23 abril 2015

Pasando el invierno al calor de tus datos




Ayer, mientras desayunaba viendo las noticias en TV, en relación con la celebración del #diadelatierra hubo una que me llamó mucho la atención, y que me dio mucho (más malo que bueno) en lo que pensar. Se está haciendo un experimento piloto en Holanda, por la que hay empresas que incorporan en las casas ordenadores de su propiedad, obviamente que están haciendo algo (computando o almacenando datos) para aprovechar el calor que generan como calefacción. Las empresas pagan el consumo de luz que hacen sus máquinas, y las familias no pagan nada por calefactar sus casas, eso sí, tienen como radiadores unos elementos que meten más o menos ruido. 

Hasta aquí dices: “Como medida de aprovechamiento de la energía es una muy buena idea”. En mi experiencia personal, la habitación donde he tenido un par de servidores funcionando 24x7, siempre ha tenido una temperatura de un par de grados más que el resto de las habitaciones, así que como elemento de ahorro y aprovechamiento de un calor que se va a perder sí o sí, o a extraer mediante caros equipos de aire acondicionado, es maravilloso. 

Ahora bien, desde el punto de vista de la seguridad, esos ordenadores o servidores que instalarán en casa de las familias, ¿qué interfaces de entrada/salida tendrán? ¿VGA, USB, puerto serie, RJ-45? 


Si algo no funciona en una máquina, tendrá que ir un técnico de la empresa responsable de dicho equipo y acceder a ella de alguna manera para ver qué pasa, ¿no? 

Respecto a los datos que se guardan y/o procesan ¿Estará cifrada la información almacenada?

¿Qué medidas de seguridad se tomarán para evitar que alguien dentro de esa casa, no se acerque demasiado al “radiador” y vea si puede “radiar” los datos que hay dentro? ¿Será suficiente barrera el contrato que firma la familia en el que no va a intentar acceder ni manipular la máquina, ni el contenido, ni "esnifar" el tráfico que entra y sale de la máquina? No tiene pinta, ¿verdad?

Si para lo que se están usando esas máquinas para colaborar en el proyecto SETI aún tiene un pase, pero la noticia que ví decía que eran empresas las que cederían esas máquinas de su propiedad, es decir, servidores que procesan datos, como máquinas. Si de lo que hablamos es que son datos de personas, de clientes, correos electrónicos, en fin… lo que sea, el distribuir en cajas con cables y un ventilador en casas de desconocidos, es una patada bastante grande a lo que dictarían las buenas prácticas de seguridad en entornos corporativos, en cuanto a seguridad física se refiere.

¿Y el tráfico que entra y sale de la máquina? ¿Irá cifrado por VPN hasta el destino? Si logro ver el sistema operativo de la máquina, puedo extraer certificados y configuraciones VPN y sustituir rápidamente un cable por otro, forzando una reconexión VPN, esta vez desde una máquina mía hasta dentro de la empresa en concreto.

Imagino que además, las máquinas se conectarán a la red de casa y harán uso de la conexión a Internet que tenga el domicilio. ¿Se aislará esa máquina-radiador de la red normal de la casa o será un CTF? ¿Y si alguna de esas máquinas es comprometida y empieza a descargar imágenes con pornografía infantil o a compartir contenidos con derechos de autor a través de la conexión a Internet de la familia?

Como se puede ver, aunque la idea inicial es buena para el planeta, tiene sus riesgos tanto para los clientes de las empresas que “se ahorran" espacio en el Datacenter y distribuyen su infraestructura por ahí, como para los propietarios de las casas, cuya conexión a Internet puede ser aprovechada para vete tu a saber qué oscuros objetivos, ya sea voluntaria o involuntariamente.  

A lo mejor sería interesante promover una ley que obligara a las empresas que forman parte de esta iniciativa, que lo notificasen a sus clientes, para que éstos pudieran decidir si confiar en "la nube" o no.
  
Buscando enlaces para incluir en la entrada, aunque no he encontrado la fuente actualizada de la noticia, he visto varias noticias de hace ya tiempo en el que se pensó en esto mismo en países nórdicos. 

Leer más...

22 abril 2015

Son ya 11 ediciones de la asignatura "Temas Avanzados en Seguridad y Sociedad de la Información" (TASSI) impartida en el Campus Sur de la Universidad Politécnica de Madrid, en la Escuela Técnica Superior de Ingeniería de Sistemas Informáticos ETSISI.

Como hemos comentado en otras ocasiones, aún correspondiendo con una asignatura, la entrada es gratuita para el público en general y no sólo para alumnos. Este año además ha contado con la participación de nuestro compañero Lorenzo con Memorias de un perito informático forense como ya comentó en esta entrada.

El programa de este año es el siguiente (incluímos los videos ya publicados de las sesiones hasta el momento):
  • Román Ceano - ULTRA: Enigma y Fish
  • Antonio Ropero - Hispasec: 16 años de seguridad informática
  • Marc Rivero y Dani Creus - Ecrime evolution
  • José María Marín - Protección de las comunicaciones críticas por fibra óptica
  • Sergio de los Santos - Malware en Android y Google Play
  • José Picó y David Pérez - Seguridad en redes móviles GSM, GPRS, 3G, 4G
  • Pedro Sánchez - Offensive forensics
Como cambio significativo frente al tríptico publicado inicialmente, la sesión de José Picó y David Pérez de Layakk se ha adelantado a este jueves 23 de Abril, y Pedro Sánchez pasa al 30 en su lugar.

A continuación se muestra el mapa para poder llegar a la Escuela dónde se celebran las charlas:



[+] Tríptico informativo sobre TASSI 2015
[+] Videos de charlas TASSI (ediciones anteriores)
Leer más...

20 abril 2015




Hasta el gorro estamos de oir que las grandes compañías nos espían, que nos perfilan en base a nuestros hábitos, a nuestras búsquedas, a los recursos visitados, que nos ofrecen publicidad ad-hoc según lo que buscamos. 

Más aún cuando tenemos como navegador predeterminado Google Chrome, que gracias al single sign-on que es disponer de una sesión autenticada con nuestra cuenta de Google, nos avisa cuando nos llega un mail, un hangout o cualquier otro recurso integrado de Google, y que no sabemos cuántas otras cosas hace por debajo, y a quién o dónde envía nuestros hábitos.

En muchos casos, la dirección IP asignada por el ISP, es fija (incluso aunque no la hayamos contratado así) y podría permitir perfilar a los usuarios por la navegación que han hecho desde dicha dirección IP.

Pensando únicamente en nuestra privacidad, y por supuesto NO fomentando que se cometan delitos gracias a esto, quiero dar diferentes alternativas (muchas de ellas combinables para una navegación "algo más privada"). 

Obviamente, esto no será efectivo si tu/s equipo/s está comprometido y dispone/n de algún tipo de malware que permite enviar tu navegación, pulsaciones de teclado o acceso remoto a vete tú a saber quién directamente.

1.-) Usar una VPN a un país diferente al tuyo: Al menos, la dirección IP a través de la que navegarás es diferente a la tuya. Todo el tráfico lo envías por allí y a correr. Esto, siempre y cuando esté bien hecho a nivel de rutas puede ser una posible solución para darte algo más de privacidad. Dejo aquí un listado que publicamos en SbD hace tiempo respecto a servicios de VPN que se toman en serio la privacidad

2.) Usar el modo incógnito o navegación privada: Se supone que no guarda cookies, ni historial, ni temporales, pero si estamos usando el mismo navegador. No sé... no me fío. 

3.-) Por si acaso, usar un navegador diferente para esas consultas "privadas". Además usar modo incógnito o navegación privada.

4.-) Usar la red TOR. Aunque se han dado casos en los que el FBI ha podido identificar ciberdelincuentes aun utilizando la red TOR (ya sea por disponer de muchos nodos de salida de TOR, o por alguna vulnerabilidad en el navegador que permitía hacer peticiones desde la IP real), no deja de ser una buena alternativa, aunque... el rendimiento se resiente y mucho. Navegar a través de TOR es leeeento.

5.-) Utilizar una distribución Live en una máquina virtual, única y exclusivamente para navegar anónimamente. Hay distribuciones específicamente diseñadas para proteger nuestra privacidad como Tails, Whonix, etc,... que podemos incluso instalar y que garantizan que todos los que la usan, serán identificados con los mismos plugins, versiones de software, user-agent, resolución, etc,... 

Y con esto, parece que ya estamos seguros, ¿verdad?

Bueno, pues parece ser que no. Y es que, a no ser que TODO nuestro tráfico esté saliendo a través de la VPN (controlado a nivel de rutas del sistema operativo), en algunos casos es posible identificar la IP real, dependiendo de la web que estés visitando, debido al soporte de navegadores como Firefox o Chrome de WebRTC

Para evitarlo, en Firefox, hay que ir a about:config y poner el valor del parámetro media.peerconnection.enabled como false

Para Chrome, que se sepa, no hay un remedio para esto todavía.

Además, una buena ayuda extra, es la extensión más completa para Firefox para mejorar la privacidad: Random Agent Spoofer

Por una parte podemos hacer que aleatoriamente envíe un User-Agent cualquiera (entre otros, el nuestro también, claro...)


Es genial también poder incluir cabeceras que indiquen que se ha utilizado proxies con direcciones IP aleatorias para encaminar el tráfico. Lo mismo en cuanto a las cabeceras HTTP  que indican el encoding y los idiomas aceptados. 


Y ya otra pila de opciones que evitan que se guarde información en cache, historial, amen de otras posibles medidas anti-detección relacionadas con deshabilitar la geolocalización, prefetching DNS, webGL, etc,...



Para poder comprobar el grado de privacidad con la que podemos contar en la navegación, hay dos recursos muy interesantes:












Leer más...

19 abril 2015

Enlaces de la SECmana - 272

Leer más...

18 abril 2015

Libros: Ethical Hacking vs. Ethical Hacking





Muchas veces, lectores o asistentes a algún congreso, me preguntan por dónde empezar “en esto de la seguridad”. Es normal que en pleno 2015, cuando estamos inundados de tecnología por todas partes, no sepamos qué rama seguir, o qué hacer. Hace un par de meses leí un post en el blog de Chema, en el que lidiaba con esta misma temática, que me pareció bastante bien orientado en esta línea. 

En general, y por lo que veo en las diferentes formaciones en las que participo, si hay que elegir entre análisis forense, securización o hacking puro, la preferencia de la gente es clara y se suele decantar por la tercera: Romper cosas, mola!

En esta línea hoy quiero hablar de dos libros que pueden servir de ayuda para todos aquellos que estéis empezando en esto de la seguridad, y que queráis ver desde un punto de vista abierto, la metodología a seguir en un proyecto de Hacking Ético.

Ambos libros, se han escrito en épocas muy diferentes, por personas con perfiles muy diferentes (aunque el destino los haya hecho trabajar en la misma empresa, Eleven Paths) enfocan de manera muy diferente el mismo cometido: una metodología para llevar a cabo un proyecto de Hacking Ético. De hecho, lo único que tienen igual es el nombre: 

Ethical Hacking: Un enfoque metodológico para profesionales (de Claudio Caracciolo), Ezequiel Sallis y Marcelo Rodríguez


Sin duda un libro escrito por tres profesionales como la copa de un pino. Explica desde un prisma de muy alto nivel, los diferentes tipos de auditoría que hay (caja negra, caja blanca, caja gris, etc,…), las etapas del análisis, qué técnicas y algunos recursos utilizar a la hora de hacer reconocimiento pasivo y activo, fuentes abiertas, Google hacking, etc. Hace especial énfasis en el uso de ingeniería social (algo en lo que Claudio podría escribir varios libros por sí solo). Se muestra con muy poco grado de detalle la ejecución de herramientas. Se centra más en que el lector comprenda el concepto de lo que se pretende, de lo que se busca en cada fase. Nombra herramientas, evidentemente, pero está pensado a otro nivel. A menudo plantea diferentes puntos de vista y/o formas de llevar a cabo una fase, dando opciones al lector, explicando las diferencias que hay entre ellas para que según la ocasión se pueda elegir correctamente.

Para mí, uno de los capítulos de más valor de esta obra, es el del informe de resultados. A lo largo de mi vida profesional he tenido que hacer unos cuantos, y leerme los de otros. Está claro que se puede haber hecho el mejor trabajo del mundo, pero si no se plasma correctamente, de una forma estructurada, enfocando cada parte al público que se lo va a leer, lograremos que unos se aburran y otros no entiendan lo que están leyendo. En este libro se dan grandes recomendaciones a este respecto, por lo que debería estar como una referencia en tu biblioteca y ser uno de los libros de introducción quizá no para ejecutar una auditoría, pero sí para entender cuáles son los objetivos y el por qué han de hacerse de determinada manera; sobre todo será un gran valor para aplicar el siguiente libro


Ethical Hacking: Teoría y práctica para la realización de un pentesting de Pablo González




Parto desde el punto que no dispongo físicamente de una copia de este libro, pero sí que he tenido la oportunidad de ojearlo con bastante detalle en el punto de venta de libros en diferentes congresos en los que he participado, por lo que me puedo hacer una idea bastante buena de lo que en él se ofrece. Esta obra, escrita muchos años después que la anterior, muestra a lo largo de toda su extensión, la utilización de diversas herramientas adecuadas para cada fase de auditoría. Basándose en herramientas integradas en la distribución Kali, el libro detalla la ejecución de maltego para análisis pasivo, nmap para la fingerprinting del objetivo, hace referencias a la metodología OWISAM para el análisis de redes inalámbricas y por supuesto utiliza metasploit, algo en lo que el autor está más que versado, en varias fases de la auditoría, tanto para explotación de objetivos vulnerables como para la post-explotación.

Tiene pinta de ir en la línea de "Hacking Ético 2.0" de Héctor Jara y Federico Pacheco, del cuál puedes leer su crítica aquí.

Supongo que tendría que leérmelo de principio a fin para dar una opinión más profunda, pero a priori me pareció interesante y recomendable igualmente.


Como digo, ambos libros se llaman igual, afrontan el mismo problema desde diferentes ópticas y plasman la ejecución de diferente manera, uno de forma mucho más conceptual, como para calentar el músculo, y luego el de Pablo con una naturaleza más práctica con técnicas y herramientas acordes a los tiempos actuales.


En definitiva, ambos libros recomendables, leídos en este mismo orden: primero el de mis colegas argentinos y después con un PC con máquinas virtuales delante, el de Pablo González.  
Leer más...

17 abril 2015

Herramientas para analizar ficheros ofimáticos online

Decir que la mayoría de incidentes de seguridad con amplia repercusión han involucrado, casi siempre, el envío de documentos con 'regalos', es hablar de una realidad en los últimos años.

Desde el siempre comentado 'Caso RSA', que involucró un documento Excel, hasta los cientos de ataques que tuvieron como protagonistas ficheros PDF, demuestra que, poder analizar de una forma eficaz un documento sospechoso, es algo en lo que merece la pena profundizar.

En este blog tuvimos la suerte de contar con una contribución de Jose Miguel Esparza hablando de PeePDF, herramienta que permite analizar y extraer el jugo a un documento PDF orientada a hacer el análisis en local. 

Hoy toca ver herramientas online al estilo virus total, que nos permitan subir un documento para que sea analizado, diseccionado y obtengamos un informe sobre su peligrosidad.

El primer servicio es 'Joe Sandbox Document Analyzer' permite analizar documentos Office y también documentos PDF. Luce tal que así:


Otra opción son las herramientas de 'Malware Tracker' que tiene una versión para documentos ofimáticos y otra para documentos PDF






Finalmente, otra muy buena opción es XecScan que además permite consultar los informes de ficheros que han ido enviando otros usuarios

 

En próximos artículos hablaré de como hacer este tipo de análisis en modo manual
Leer más...