21 diciembre 2014

Enlaces de la SECmana - 255




Leer más...

15 diciembre 2014

Carta a los Reyes Magos.


Otro año más toca escribir una carta a sus majestades los reyes magos. Para todo aquel que necesite ideas o quiera darse un caprichito os dejo unas cuentas sugerencias. ¡¡ A mí me va a caer alguna !!

Eso sí, todos estas cosas siempre para hacer el bien, de esa forma nos aseguramos que el año que viene seguirán volviendo y no tendremos que pedir un permiso especial para ir a cenar con nuestra familia al ministerio del interior.

1.- Un receptor DVB-T (menos de 20€) con el que jugar con RTL-SDR y que tenga chip r2832u, Por si teneis dudas, os dejo un enlace con buenas recomendaciones.

Receptor DVB-T

2.- Un dispositivo Pro-II de Reaversystems (unos 60€) para jugar un rato con la seguridad wireless, que eso del aircrack y los tropecientos comandos está muy bien, pero seguro que hay formas de botón gordo más chulis para hacerlo, además me consta que tienen cosas especiales para romper WPS.

Reaversystems ProII

3.- Unos calcetines de Hacker (~15€) que son la respuesta de Vicente a cuando le reproché que la camiseta con ojos no era suficientemente jakeriana para incluirla en el artículo, entonces me pasó este regalo tan molón.

Típicos calcetines que lleva un hacker.
4.- Si el DVB-T para RTL-SDR (más de 150€) se queda corto y hay pasta, pues un HackRF, que da muchísimo más juego.
HackRF
5.- Licencias de software, como el VMWare Fusion (ahora que me he vendido a Mac), Little Snitch o algo para leer de una forma cómoda NTFS, como Tuxera o Paragon.

VMWare Fusion


6.- Unos libros (menos 20€) como son el nuevo "Rtfm: Red Team Field Manual" escrito por Ben Clark, que contiene un listado de comandos a modo de chuleta para un test de intrusión  y The Hacker Playbook: Practical Guide To Penetration Testing de Peter Kim, con un repaso a lo que es un test de intrusión para los más novatos. Seguro que ambos son muy interesantes.

Rtfm: Red Team Field Manual

7.- El phantom keystroker (menos de 20€) con el que gastar bromas a mis compañeros, un dispositivo que se pone entre el teclado y el ordenador y añade pulsaciones o cambia mayúsculas por minúsculas y otras perrerías par volver a alguien loco.

Phantom Keystroker

Os dejo mi lista de otros años, por si os da más ideas:

Leer más...

14 diciembre 2014

Enlaces de la SECmana - 254

Leer más...

13 diciembre 2014

Entrevista a Fernando Bonsembiante, de Virus Report




En mi último viaje a “Las Américas”, como ya relaté aquí, tuve la oportunidad de estar en Buenos Aires, en la décima edición de Ekoparty.

Durante una mesa redonda sobre delitos informáticos en la que participé, se sentó entre el público un tipo con una poblada barba, al que no conocía, y al que la gente le saludaba con gran admiración.

Leo Pigner, uno de los organizadores de Ekoparty, me lo presentó como toda una leyenda. Se trataba de Fernando Bonsembiante, un hacker argentino (aunque él mismo no se considere así) que escribía en la publicación argentina “Virus Report”, allá por mediados de los 90. Leonardo recordaba con nostalgia aquellas revistas, de la que hubo 21 números, como uno de los pocos medios para aprender sobre seguridad informática y malware. 


Para el evento, Fernando cargó con los 21 números de “Virus Report”, con la idea de poder exponerlos libremente a quien quisiera, y compartir con los asistentes la magia, nostalgia y "no sé muy bien el qué", que emanan. 

Tuve la oportunidad de echar un vistazo rápido a alguno y fue como viajar en el tiempo. Detalles técnicos de funcionamiento interno de virus como Barrotes, Viernes 13, Michelangelo, Klez, Flip… Recuerdo que cuando estudiaba en la Universidad, tenía varios disquettes de 3” y 1/2 con muestras de estos bichos, etiquetados como “Virii”, y que un colega los copió en el escritorio de un Windows 98 de un aula multiusos y los ejecutó todos a la vez. 

No quise dejar pasar la oportunidad de entrevistar a Fernando y os dejo bajo estas líneas el resultado de la misma

Fernando, ¿Cómo surgió la idea de escribir tus conocimientos en la revista Virus Report?

Trabajaba en la editorial MP ediciones en la revista PC Users, el director editorial era Alejandro Bojman, el observó que cada vez que salía una revista con el tema de virus en la tapa, las ventas aumentaban, decició que era una buena idea sacar una revista exclusiva sobe virus informáticos y me encargó el trabajo a mi, luego de convencer a los dueños de que era una buena idea. Yo estaba en contacto con verdaderos hackers, no como yo que como siempre repito no soy hacker ni nunca lo fui en todo caso soy periodista y ahora escritor de cuentos, sólo que tenía conocimientos de segunda mano sobre el tema.  Mi principal referente era el hacker conocido como Chacal y luego la gente de HBO y Azrael, este ultimo especialmente en el tema virus.

¿De cuál de todos los artículos que escribiste en Virus Report te sientes más orgulloso o más satisfecho?

Te dejo una lista de los que más me gustaron y la razón del por qué de algunas


¿Cómo consideras que ha evolucionado el hacking, en el sentido puro, hoy en día? ¿Eres de los que piensa que el romanticismo de antaño ya no existe?

Bueno ahora es mas que nada un buen negocio, antes se hacía por amor al arte y un sentido romántico de la vida, y ahora todo eso ha muerto.

¿A qué te dedicas actualmente?

Ahora escribo libros de cuentos y los edito por mi cuenta, como puedes ver en este enlace http://hecate.com.ar/ediciones_ubik/index.html

¿Qué sistema operativo hay en tu notebook actualmente? Si la respuesta es GNU/Linux ¿qué distribución?


Tanto en mi computadora de escritorio como en la portátil o notebook uso GNU/Linux y la distribución en concreto es Ubuntu.
Leer más...

12 diciembre 2014

Sh3llCON: Conferencias de seguridad en Santander

A principios del año que viene, exactamente el 23 y 24 de enero, se celebra en Santander (Hotel Santemar) el congreso Sh3llCON con una agenda repleta de grandes ponencias sobre temas muy diversos como son el malware, los APTs, la vida trabajando con los programas de recompensas de vulnerabilidades, la privacidad y un largo etcétera que puedes ver en la  programación, que copio directamente en esta entrada.

El precio de la inscripción antes del 15 de Diciembre es de 40€. Sube a 50€ entre el 15 de diciembre y 15 de enero y 60€ hasta la fecha del congreso.

También puedes seguir las novedades en su cuenta de twitter.

Agenda Viernes 23


Agenda Sabado 24

Ponencia especial para la defensa del menores.

Leer más...

11 diciembre 2014

La administración Española se hace 'Hacker friendly'

Ayer se estrenó en España el portal de la transparencia, una iniciativa gubernamental para que cualquier ciudadano pueda revisar donde se gastan sus impuestos.

Sin duda una iniciativa muy positiva. No obstante, llama la atención lo enormemente descriptivo de los datos. Cuando se revisa una compra, aparecen modelos exactos y el suministrador.

Desde un punto de vista informático, tanta información tiene un contrapunto bastante negativo. Hoy día donde los ataques informáticos han mutado en verdaderas operaciones de espionaje, estudiar el entorno que se pretende atacar es clave y vital para asegurar el éxito.

Gran parte de la planificación de un ataque dirigido (APT) conlleva intentar averiguar las medidas de seguridad de tu 'adversario', por poner un ejemplo: Si alguien quiere diseñar un troyano para atacar una organización, es vital saber con qué modelo de antivirus se va a encontrar para anticiparse y diseñar una pieza concreta que pase inadvertida.

Al hilo del portal de transparencia, me ha dado por buscar 'Antivirus' y he obtenido un listado bastante completo de las soluciones que emplean algunos organismos:


Si deseamos atacar al ministerio de Defensa, hay que evadir los antivirus de Mcafee o Trend Micro, -bueno es saberlo-

Si nuestro objetivo fuese la Seguridad social y estuviésemos atascados pensando por qué nuestros ataques quedan bloqueados, ya sabemos que tenemos que buscar 'tampers' para IPSs Check Point 


Si hablamos de sistemas operativos, podemos probar una búsqueda de tipo 'Windows' para discernir si nos toca diseñar algo para XP, 7 o Windows 8


En definitiva, es genial saber donde va el dinero del contribuyente, la transparencia es necesaria, pero igual se debería limitar la información técnica ofrecida a un potencial 'enemigo'
Leer más...

10 diciembre 2014

Cronología de la intrusión a Target

Hace ya casi un año que os hablamos de por aquí de uno de los hacks más importantes de la década, sobretodo por la cantidad de usuarios/clientes afectados (más de 70 millones): el compromiso de la cadena americana de tiendas Target.

En Diciembre de 2013 (hace casi un año) nos hicimos eco del hack a Target

En Ars Technica publican las alegaciones por las cuales los bancos pueden proceder a denunciar a la compañía debido a sus negligencias. Uno de los graves problemas a los que se enfrenta Target es el haber hecho caso omiso de las advertencias por parte de terceros en referencia a multitud de problemas de seguridad.


En este enlace en PDF, desde la página 58 a la 66 podremos leer una especie de cronología de eventos desde las primeras detecciones y evidencias sobre las que Target ignoró los graves problemas de seguridad que estaban sufriendo "en directo". Las mencionamos y resumimos a continuación:

  1. La compañía FireEye, famosa por sus soluciones de seguridad anti-APT, es contratada por Target a principios de 2013 para la protección de su infraestructura y detección de malware. En Junio de 2013, FireEye comienza el despliegue masivo de sus soluciones sobre la infraestructura de Target tras diversas pruebas.
  2. Junio 2013-Agosto 2013 - Los atacantes comienzan la fase de reconocimiento para la búsqueda de puntos débiles a aprovechar para comprometer externamente la infraestructura de Target.
  3. Mediante la búsqueda de información pública sobre Target y sus proveedores, se topan con la compañía Fazio, proveedor de sistemas de aire acondicionado y refrigeración para Target. Fazio dispone de acceso restringido a la red para determinados servicios de Target (facturación electrónica, gestión de proyectos y envío de contratos)
  4. Septiembre 2013: Mediante el malware Citadel enviado por correo electrónico, los atacantes consiguieron las credenciales utilizadas por Fazio para el acceso a la red de Target. Fazio utilizaba el MalwareBytes Anti-Malware gratuito como solución antivirus. Insuficiente...
  5. Durante Septiembre de 2013, empleados de seguridad de Target comienzan a reconocer posibles problemas de seguridad en el sistema de pagos de Target gracias al software desplegado por FireEye. Este hecho no trasciende, no se solicita más investigación sobre el tema.
  6. A finales de Septiembre de 2013, Target encargó una auditoría para demostrar que sus sistemas estaban certificados por los estándares de la industria, como PCI-DSS. 
  7. A mediados de Noviembre de 2013, comienza la intrusión sobre Target. Los atacantes acceden a la red mediante las credenciales robadas previamente y pertenecientes a Fazio. Si bien en primera instancia únicamente se disponía de acceso restringido a servicios, la red no estaba segmentada de manera segura.
  8. Los atacantes comienzan a desplegar el malware para puntos de venta en un conjunto acotado para realizar pruebas de su funcionamiento, con éxito.
  9. A finales de Noviembre de 2013, los atacantes instalan el malware en un mayor número de puntos de venta (registradoras). En este momento los atacantes ya comienzan a recibir información sensible de tarjetas de crédito en tiempo real sobre clientes que utilizan los dispositivos comprometidos. En ese momento, también comienzan a instalar malware encargado de realizar la fuga de datos desde los sistemas de Target a los sistemas pertenecientes a los atacantes dentro de la red
  10. El software de FireEye detecta este nuevo malware utilizado por la exfiltración, pero el equipo de seguridad de Target no realiza ninguna acción al respecto. Además, Target disponía de software de Symantec (Endpoint Protection) que también comenzó a detectar este malware, pero Target seguía sin reaccionar. La fuga de información continuaba sin interrupciones.
  11. El 2 de Diciembre de 2013 FireEye vuelve a reportar de nuevo lo ocurrido a finales de Noviembre, pero Target sigue sin llevar a cabo acción alguna.
  12. A mediados de Diciembre de 2013, la información comienza a pasar desde los servidores comprometidos dentro de la red de Target a servidores externos pertenecientes a los atacantes (Centros de Control). Esta fuga se realizó durante dos semanas seguidas sin problemas.
  13. El 11 de Diciembre de 2013 alguien de Target analiza una muestra del malware mediante VirusTotal. A pesar de creer que pudiese ser malicioso, la fuga de información continua.
  14. A partir de ese instante, la información robada se va proporcionando a diferentes portales del mercado negro, y los bancos comienzan a recibir incidencias de sus usuarios debido a que sus datos podrían haber sido comprometidos.
  15. El 15 de Diciembre de 2013, Target comienza a purgar sus sistemas, y el incidente aparece en los medios tradicionales.
Información pública sobre proveedores, requisitos de seguridad inexistentes para la conexión por parte de terceros a la infraestructura de Target, avisos de seguridad ignorados en multitud de ocasiones, problemas de autorización en cuentas de acceso para proveedores, credenciales con usuario y contraseña y ausencia de segundo factor para autenticación, segmentación insegura... un cúmulo de despropósitos que unidos al "pasotismo" aún habiendo realizado la adquisición y asociación de productos de seguridad en un período tan cercano, han llevado al desastre a Target y a sus clientes.

Leer más...