31 octubre 2013

La salida del iPhone 5S abrió la caja de Pandora. Por primera vez, uno de los dispositivos que más acogida tiene en el mercado mundial móvil incluía un sensor biométrico como sistema de seguridad.

Sobre sus ventajas y desventajas, ya hemos hablado largo y tendido. Desde el potencial peligro que conlleva un sistema (en principio almacenado únicamente en local) que registra el minutae propio de cada usuario,sabedores del poder de la NSA y el interés de gobiernos de medio mundo por eliminar todo rastro de privacidad del tercer entorno, hasta las deficiencias propias de un sistema de inherencia como es el biométrico (único, permanente, basado en la probabilidad y no en la exactitud,...).

Y lo cierto es que pese a todo lo antes mencionado, parece que estemos ante un producto que viene para quedarse, que muchos medios señalan como tendencia, y que nos guste o no, habrá que lidiar con él.

Así es como vuelve a salir a la palestra FIDO Alliance, una iniciativa de casi 50 compañías que pretenden estandarizar la identificación basada en huella dactilar, cuyo germen nacía hace ya más de un lustro, y que no se había formado oficialmente hasta enero de este mismo año.


El objetivo de la misma sería el de ofrecer una guía de buenos hábitos de cara a la implementación de un sistema biométrico universal, una misión complicada, más teniendo en cuenta que Apple ya tiene su propio servicio TouchID en funcionamiento.

Habrá que ver como evoluciona la propuesta, a priori destinada a la autenticación en cualquier servicio (recordemos que TouchID sirve únicamente para desbloquear el terminal y hacer compras en la AppStore, al no tener una API abierta a desarrolladores), lo que lleva ineludiblemente a preguntarse cómo de seguro sería un sistema abierto basado en una clave que nunca podríamos cambiar.

Y a la única conclusión a la que llego es que quizás en un futuro tratemos este tipo de sistemas como un login, y no como una contraseña. Un suerte de verificación en dos pasos, delegando la seguridad de nuestros perfiles en un sistema híbrido de inherencia y conocimiento, lo que por un lado mejora la experiencia de usuario (está claro que es más inmediato poner el dedo en un sensor que teclear nuestro email o usuario), y por otro mantiene las principales ventajas de una contraseña (fácilmente modificable y basada en la exactitud con el patrón elegido).

Artículo cortesía de PabloYglesias (@Pablo__Fdez).
Leer más...

30 octubre 2013

Reflexiones sobre el DNI-E

Cada X tiempo sale el típico pseudo análisis sobre el uso del DNI-E que suele contener las mismas líneas argumentales.

De entrada, se pone encima de la mesa el dato de DNIs expedidos (masivo) y luego se contrasta con algún tipo de encuesta sobre cuanta gente lo usa (ínfimo).

Se coge el resultado y en base a eso, se genera un 'sesudo' libelo sobre las deficiencias del DNI-E. Principalmente se habla de la usabilidad: que es difícil de instalar, es complejo de usar ... y se termina diciendo que es por eso su escaso uso.

Ahora que tenemos en ciernes el 'DNI-E 3.0' ha vuelto esa corriente de opinión, esta vez clamando por que el nuevo DNI sea más usable y gracias a eso todo el mundo empiece a beneficiarse de las indudables utilidades.

Ante eso, lo que tengo que decir es: MENTIRA

Aducir excesiva complejidad en el DNI y asociarlo a su escaso uso es una falacia, el problema, como en muchos casos, es la motivación.

Servidor ha visto a gente absolutamente lega en el mundo de la informática ingeniárselas para seguir un procedimiento de 'hackeo' a una WII en el que intervienen pasos que implican, entre otras cosas, sobre-escribir el firmware de la consola o alterar parámetros internos, y todo esto, a través de una interface tipo matrix con volcados de memoria en hexadecimal.

También he visto a auténticos zotes de la electrónica ejecutar con maestría 'rooteos' de teléfonos usando vagas explicaciones en foros y software que no ha sido, ni de lejos, diseñado para usuarios 'normales'

¿Cuales son los motivos del escaso uso del DNI-E? que a día de hoy no hay NADA (salvo la renta) que pueda motivar a una persona a usarlo. En vez de preguntar a la gente los motivos de su escaso interés, habría que preguntarse qué es lo que hay que hacer para que a la gente le interese y haga ese esfuerzo extra para instalar el lector y los drivers.

Mi opinión es que el DNI-E ha sido absoluta y completamente infravalorado y no ha servido para el propósito que a muchos nos habría gustado: la participación de la sociedad en la toma de decisiones.

¿Estoy hablando de voto electrónico? Efectivamente, de eso estoy hablando. Creo que es hora de quitarse los complejos, de intentar medrar con los temores y lanzar de una vez una plataforma real de voto electrónico a través del DNI-E para tomar el pulso a la gente sobre sus inquietudes.

Probablemente aun tenga que pasar mucho tiempo hasta poder llegar a un punto donde se pueda elegir a un presidente a través de un PC, yo mismo he hablado y publicado pruebas de concepto sobre ataques al DNI-E, no creo que todavía se haya alcanzado la madurez para llegar a ese punto.

Pero es que hay puntos intermedios: Por ejemplo, sería genial que alguien lanzase una plataforma de consulta ciudadana (no tiene porque estar tutelada por el gobierno) donde se pueda convocar a la gente para que opine y vote de una forma representativa (usar change.org suena bastante ridículo si aspiras a que los datos tengan valor)

Con esa plataforma en marcha, si se lanza una consulta, por ejemplo, sobre dación en pago, el número de votos que se recojan pertenecerán si o si a ciudadanos de verdad, no serán datos que provengan de una encuesta sesgada o de campañas para recoger firmas (dicho esto con todo mi respeto)

Un voto mediante esa plataforma permite que se pueda poner encima de la mesa algo como '2.000.000 de personas han votado en el sentido X' y será inapelable, será la voluntad del pueblo expresada electrónicamente.

Empiezo a estar un poco saturado de las 'mayorías silenciosas', de las manifestaciones en las que hay 100.000 o 1000 personas según donde leas el dato y en general, de esa guerra de cifras que a la postre sirve como excusa para que quien nos gobierna haga oídos sordos.

Como última reflexión, opino que, si todos los esfuerzos que se están haciendo en demonizar el DNI-E y en inventar pseudo-excusas, se enfocasen en algo constructivo, se le podría dar al DNI-e el uso para el que mejor sentido tiene.
Leer más...

29 octubre 2013

Mi experiencia personal en 8dot8 Chile



Tal y como os anticipé en el post con mi experiencia en FIADI 2013 en Bolivia, la semana siguiente he estado en Santiago de Chile para asistir como ponente en la tercera edición del evento 8.8. En esta ocasión, ha sido para mí un auténtico honor y placer poder "torear en la plaza" de mi segunda tierra. Digo esto con alegría porque las últimas dos veces que he viajado a Chile en los pasados 10 años, ha sido de urgencia a despedirme para siempre de seres queridos, miembros de mi familia. 

Fue ya en la Ekoparty 2012 cuando conocí a Gabriel Bergel y Fabien Spychiger. En esa época, presenté "Welcome to your secure /home, $user!" y parece ser que a los organizadores del congreso chileno les gustó, porque conversaron conmigo para asistir, el mes siguiente a la segunda edición de 8dot8. Lamentablemente, en esos tiempos, me encontraba volcado con la anterior asociación de peritos informáticos forenses, y tenía comprometido dar una charla en unas jornadas de "cierta asociación de peritos forenses a la que pertenecía", que se dieron en la Universidad de Valencia, por lo que tuve que rechazar la invitación del país andino. 

OFFTOPIC: Actualmente, como sabéis los lectores de SbD, ya no me encuentro en dicha asociación, sino en ANCITE, una asociación comandada por gente bastante más seria y con la transparencia como uno de sus pilares principales.

Igualmente, acordamos que en 2013, participaría en 8.8 como ponente. Aunque el evento comenzaba oficialmente el jueves 24 de Octubre, por evitar el cambio horario y porque tenía entendido que tendría que dar un taller el lunes y martes, solicité a las organizaciones de ambos eventos salir el sábado, tras el Congreso de FIADI, desde Santa Cruz de la Sierra en Bolivia, enlazando uno con otro. Finalmente, el evento 8.8 no organizó talleres, por lo que aproveché para ¿"descansar"? un par de días en Santiago.



El miércoles 23, participé en una mesa redonda en las oficinas de Deloitte en Santiago, en la que había CISOs por un lado y Hackers por el otro. Nos lo pasamos genial en un grupo formado por Daniel Martínez, Héctor Escalona, César Cerrudo y yo, aportando puntos de vista sobre diferentes temáticas relacionadas con la seguridad, desde el punto de vista de ambos tipos de mente. Finalmente, llegamos a la conclusión que tampoco es que pensemos tan diferente y que un CISO es una de las posibles evoluciones de un experto/curioso de la seguridad, así como las diferentes formas de convivencia entre ambos perfiles. Por la noche, varios componentes de la organización (Damian, Mike y Fabien) nos llevaron a disfrutar de la noche santiaguina por el barrio Lastarria, a tomar unas cervezas.



El jueves 24 comenzó formalmente el evento. El lugar elegido, el cine-teatro Normandie, está situado en el centro de Santiago y tiene una capacidad de unas 550 personas. Me sorprendió muy gratamente ver que aunque se veían algunos asientos libres, la ocupación era bastante elevada. Según la organización, hubo unas 480 personas el primer día, lo cual está francamente genial, puesto que demuestra cada vez más interés por parte de la comunidad chilena ante temática relacionada con seguridad. Me sorprendió la interacción que tenía el público con los ponentes en todo momento, se veía que todos, estudiantes, profesionales, Fuerzas y Cuerpos de Seguridad del Estado, contratistas, etc,… disfrutaron las charlas y colaboraban a hacerlas más amenas. 

La tipología de charlas fue también bastante variada. Desde ataques a tecnologías de pago como NFC o tarjetas Myfare, recopilación de información existente en Internet, análisis forense, ingeniería social (grandiosa la charla que dio nuestro amigo argentino Claudio Caracciolo), hacking de diferente tipo de dispositivos cotidianos (otra charla muy interesante de César Cerrudo),… y muy muy divertida la que dio el nativo Fernando Figueroa con un humor típico chileno. Lamentablemente, por motivos de expansión de Securízame por Latinoamérica, tuve que atender reuniones en clientes de Santiago según terminé la primera de mis charlas, por lo que me perdí la tarde del primer día.



Por mi parte, ofrecí "Buenas Prácticas forenses: casos reales en Linux e IOS" el primer día, que tuvo una buena acogida por parte del público: GRACIAS!! y "LIOS #FF: a tool for IOS Forensics", en la que conté las últimas funcionalidades que he incluido en una herramienta que he desarrollado para hacer análisis forense del sistema operativo de Apple, a partir de un backup de iTunes. Esta última la dí justo después de una completa guía de análisis forense de IOS, de la mano del amigo Jaime DragonJar




La verdad es que, después de esta 8dot8, tanto por la genial hospitalidad y buen hacer de los componentes de la organización, como del buen rollo y calidad de mis compañeros ponentes, como del público chileno asistente,…. lo añado en mi lista de eventos imperdibles de LATAM!

¿Cuántos congresos de seguridad habéis visto que haya barra libre con un grifo de cerveza durante todo el evento?




Lo dicho,… que hasta el año que viene!!

P.D: Como consecuencia de nuestra necesidad de constante conectividad, cuando viajamos a otros países, solemos adquirir un chip de teléfono que nos permita tener Internet a precio local. En este caso, compré una tarjeta de datos del operador Claro. La idea es que desde otro teléfono hago tethering para poder navegar desde otros dispositivos. Pues bien, simplemente advertir a los lectores que tengan que ir a Chile y necesiten un operador, de lo NEFASTA de mi experiencia con dicha compañía. Las compras de paquetes de datos desaparecían, el servicio técnico se inventaba incompatibilidades de los chips con el Iphone (cuando llevaba tiempo funcionando), cobertura muy mala,… en fin… que si váis a Chile, os valga mi NO-Experiencia 
Leer más...

27 octubre 2013

Anonymous publica informes de CESICAT


Anoymous ha hecho público un comunicado sobre lo que denominan el CNI Catalán que reproducimos en esta entrada. En ella adjuntan un archivo de 70Mbs que incluye 38 informes (PDF) de vigilancia digital de tres operaciones distintas. Estos documentos contienen enlaces de páginas web y redes sociales como facebook, youtube, tweets, fotos y estadísticas de diferentes hashtags, así como quien fue el primer usuario que lo creo. Hay que tener en cuenta que estos datos realmente son públicos, y son habituales en empresas. Lo que evidencia en este caso Anonymous es que se elaboran informes de este tipo por parte de CESICAT.

Los informes tienen fecha del 2012 y están ordenados por distintas operaciones: OPBCE, OP1215M y OP1M. En los metadatos (y en la cabecera de algún documento) aparecen dos usuarios como los creadores Carles y Xavier, con sus respectivos apellidos.

En los documentos también se pueden ver cuentas de twitter ordenadas por followers, como son @acampadabcn, @la_directa, @anti_capi, @isaachacksimov, @cgtcatalunya, @albertmartnez, @hibai, @toret, @xmonge, @kolontai1959,  etc.

Es importante señalar que este tipo de informes es muy habitual en el sector privado para vigilar la marca de una compañía o el efecto que una campaña de marketing tiene entre sus clientes. Casi todas las empresas que ofrecen servicios de seguridad tienen este tipo de servicio.

---------
OPGOvCAT: Desde Anonymous revelamos las actuaciones del CNI Catalán que tutela y coarta la libertad de expresión de los ciudadanos realizando actividades de controly seguimiento incluso a miembros del Parlamento Catalan o a periodistas y para entidades privadas, como La Caixa o Abertis.

En Reus (Tarragona) se encuentran las dependencias del embrión del futuro ente del espionaje catalán. El Centre de Seguretat de la Informació de Catalunya - Cesicat, que nació en 2009, bajo la segunda legislatura de la era tripartita. Su principal objetivo es proteger a la Administración catalana de las ciberamenazas, cuyas competencias están atribuidas exclusivamente al Ministerio de Defensa a través del Centro Criptológico Nacional-CCN, organismo que forma parte del CNI.

La institución de seguridad catalana está configurada como una fundación situandose La Caixa en el Patronato que realiza su gestión y cuyo presidente es Carles Flamerich, director general de Telecomunicaciones y Sociedad de la Información de la Generalitat de Cataluña.

Ni el Estatuto catalán ni la Constitución otorgan dichas políticas de seguridad a las autonomías, siendo competencias exclusivas del Ministerio de Defensa,según consta en la Estrategia Española de Seguridad, aprobada por el Consejo de Ministros del pasado 24 de junio de 2011.

El Cesicat, entre otras instituciones de la seguridad catalana, lo inspiró Miquel Sellarès, primer director de la policía autonómica catalana y responsabledel polémico informe que indicaba la ideología de los principales periodistas catalanes, cuando éste era secretario de comunicación bajo el primer Gobierno 'tripartito' de Pasqual Maragall.

El Cesicat gestiona una licitación plurianual de la Dirección General de Telecomunicaciones y Sociedad de la información por valor de € 3.156.969,19 para la ejecución de los servicios determinados en el Plan Nacional de impulso de la Seguridad TIC, donde son muchas las voces que apuntan a una grav emalversación y a un proceso irregular en las adjudicaciones, Anonymous exigimos que se investigue la violación de derechos y la corrupción a la que nos tiene acostumbrados la clase política catalana, que dispone de un cuerpo como la stasi exclusivamente a su servicio.

Los documentos que Anonymous revela al pueblo catalan demuestran que el ente actúa en Internet cuartando la libertad de expresión de ciudadanos, pero además sin tener competencias investigan actividades y realizan bases de datos no sujetas a regulación por un organismo controlador como la Agencia de Protección de Datos, una actividad que demuestra cómo el Gobierno de Mas y ERC no tienen el más mínimo respeto por la ciudadanía, ni por sus datos personales ni por su vida como hemos visto lamentablemente en las últimas horas.

Abajo la tirania!!

http://www.crocko.com/384302F0A18749E991443629ECFE4CFA/anon-cesicat.zip
http://www.crocko.com/265E1E99C178431CA07D6D0A8EC04CA5/anon-cesicat.zip
http://turbobit.net/k396ytoyisu3.html
http://sendfile.su/886135

Somos Anonymous, No olvidamos, No perdonamos, Esperadnos!
---------------

Leer más...

Enlaces de la SECmana - 198

Leer más...

25 octubre 2013

Pcap Forensics I

Muchas veces, cuando toca analizar tráfico de red, uno se puede sentir profundamente abrumado por tal cantidad de trazas, esto suele verse acentuado cuando se trata de logs especialmente grandes donde intervienen múltiples IPs.

En esos casos, viene bien hacer un primer análisis de esas IPs buscando información del proveedor y su procedencia geográfica.

En el post de hoy vamos a ver una primera aproximación al análisis de este tipo de datos empleando un script en Perl para parsear un fichero en formato pcap, y obtener los siguientes datos:

  • Hostname de la IP
  • País
  • Ciudad
El script es este:



Haremos uso de la base de datos de Max Mind 'Geo Lite' que tan buen servicio nos presta siempre y que además tiene una versión gratuita plenamente funcional.

Una vez descargada la bd 'GeoLiteCity.dat', que es la que contiene más información, simplemente tenemos que ejecutar el script contra un fichero pcap (muestra descargada de un repositorio público de ficheros pcap)

$ perl geopcap.pl anon_sid_12719_2003581.pcap

210.233.108.255,,JP,
210.85.29.241,210-85-29-241.cm.dynamic.apol.com.tw,TW,Taipei
210.233.108.255,,JP,
210.233.108.255,,JP,
210.85.29.241,210-85-29-241.cm.dynamic.apol.com.tw,TW,Taipei
210.233.108.255,,JP,
210.85.29.241,210-85-29-241.cm.dynamic.apol.com.tw,TW,Taipei
210.85.29.241,210-85-29-241.cm.dynamic.apol.com.tw,TW,Taipei
210.233.108.255,,JP,

Como podemos ver, el script devuelve la información en formato CSV, útil si se desea importar en ficheros excel para realizar un análisis más directo.

El script intenta resolver todas las IPs, averiguar su código de país y la ciudad.
Leer más...

23 octubre 2013

Mi experiencia personal en FIADI 2013 Bolivia



Como suelo hacer en SbD, en los diferentes viajes que me he ido pegando de evento en evento, os hago una pequeña crónica o al menos la experiencia vivida en el mismo.

Tengo que reconocer que cuando acepté ir al evento de la FIADI (Federación Iberoamericana de Derecho Informático), iba con bastante recelo. Un evento de corte bastante tradicional, especializado en derecho informático, es decir, charlas impartidas por abogados con conocimientos tecnológicos, con temáticas relacionados con la informática, privacidad, protección de datos, etc… pero desde el punto de vista legal… La pregunta que venía a mi cabeza: ¿Qué leches pinto yo allí?

Mi amigo Álvaro Andrade, organizador de la edición de este año en Santa Cruz de la Sierra en Bolivia, y participante en anteriores ediciones de FIADI, quiso darle un nuevo aire al evento.

Así pues, contactó conmigo y con otra pila de profesionales y amigos de los que solemos coincidir en eventos de seguridad de Latinoamérica, para compaginar charlas impartidas por abogados, con charlas con contenido algo más técnico. 

Además, quiso incorporar un debate llamado "Ángeles y Demonios", evento que originalmente celebró la gente de MKIT en Buenos Aires. En el caso argentino, la idea es meter en la misma mesa a conocidos "hackers" con CSOs de empresas del país. En el caso del evento FIADI de este año, los bandos estaban compuestos por abogados tecnológicos, y expertos en seguridad informática.




Como hago siempre, sin importar la hora a la que me haya acostado el día anterior, asistí a prácticamente todas las charlas. Cierto es que en algunos casos, la mezcla entre el sueño y el tono de voz monótono de determinados ponentes, o la decisión de directamente leer la presentación, en vez de hacerla más interactiva, podía hacer más complicado no perder el hilo y la concentración,…  Sin embargo, en la mayoría de las ocasiones, las casuísticas planteadas, resultaron francamente enriquecedoras.

Me gustaría hacer especial mención las charlas que dieron Jaime Andrés Restrepo AKA Dragonjar, titulada "Mi vecino hacker", exponiendo los pasos seguidos para el análisis de un caso real de compromiso de una red wireless, al más puro estilo "El Huevo del Cuco", así como la "Hacking Humans" por Matías Katz sobre PNL aplicada a Ingeniería social, casi al final del evento. Desde mi punto de vista fueron charlas técnicas perfectas, tanto por lo académicas, como por lo cracks que son mis dos compañeros.

Por mi parte, expuse "Ciberguerra: Armas y Objetivos" y "LIOS #FF: A tool for IOS Forensics", en las que expuse al público asistente lo más gráficamente que pude el estado del arte de los ataques de hoy en día, así como de la herramienta LIOS, a la que he ido añadiendo unas cuantas nuevas funcionalidades desde que la presenté en ConectaCon 2013 y Navaja Negra 2013



Desde un punto de vista personal, como siempre, compartir palestra con grandes amigos y profesionales, siempre es un honor y un placer. Creo que el objetivo que Álvaro Andrade tenía para el evento de la FIADI se cumplió: exponer opiniones, desde un punto de vista legal y técnico, ante cómo atajar un mismo problema, así como establecer los lazos entre prestigiosos abogados y jueces del panorama iberoamericano y expertos en seguridad.

Por mi parte me voy con un muy buen sabor de boca, con nuevos amigos, y valiosos contactos profesionales con los que, de seguro, volveré a encontrarme en un futuro próximo de oportunidades. 

Por cierto, que escribo este post desde el avión que me lleva a Santiago de Chile, donde asistiré como ponente al evento 8dot8, del que os contaré mi experiencia en un próximo post.

De momento, paro de escribir y os obsequio con una de las vistas que tengo desde el avión del salar de Uyuni,... un paisaje único!



Leer más...

22 octubre 2013

Emuladores de Android

Mucho está cambiando la industria de la seguridad con este "nuevo" panorama de tecnología móvil. Con los teléfonos y las tabletas, miles de aplicaciones deben auditarse para asegurar que no incrementan el riesgo de una compañía.

Bancos, pasarelas de pago, tiendas online, redes sociales e incluso juegos, son los nuevos objetivos de maleantes y capitanes garfio.

Para llevar a cabo un análisis de seguridad se suele estudiar el código fuente, así como el binario y sus recursos resultantes tras ser compilado.

Si vais a ejecutar un proyecto de este estilo, es prácticamente imprescindible montar un entorno con el que emular Android. Para este propósito existen varias alternativas, cada una de ellas con unas ventajas y unos inconvenientes. En esta entrada hacemos un repaso por las más conocidas.


El SDK oficial de Android dispone del que posiblemente sea el emulador más usado. Con este emulador se cargan y crean los AVD (Android Virtual Device), como si fueran imágenes de distintos dispositivos, en los que se especifica el hardware y la versión del sistema operativo.

Algunas características interesantes de este emulador:
  • Posibilidad de emular la camara de teléfono mediante una webcam.
  • Emula procesadores ARMv7.
  • Aceleración OpenGL
  • Opción de emular una tarjeta SIM
  • Emulación del acelerómetro, obteniendo los datos de un teléfono real conectado por usb.
  • Simulación de tarjetas SD.
Adicionalmente permite configurar otras opciones como son las teclas para interactuar con el emulador o el aspecto mediante temas.


Android Emulator


Genymotion es una aplicación que trabaja usando VirtualBox, siendo la evolución de AndroVM, Facilita la gestión y trabajo como emulador. Es conocida por ser muy rápido frente a otras opciones y la posibilidad de trabajar mediante línea de comandos con el emulador, lo que permite a los desarrolladores llevar a cabo pruebas de forma automática.

Otras características destacables:
  • Fácilmente descargable e instalable (requiere registrarse gratuitamente en la web), 
  • Preconfiguradas las imágenes para Android 4.1.1 y 4.2.2: Nexus 7, Nexus S, Nexus One Jelly Bean, 10.1'', WXGA Tablet, 7.0'' y tableta WSVGA.
  • Funciona bajo Linux, Windows y MAC
  • Red mediante ethernet que emula wireless
  • Soporte GPS
  • Soporte de emulación de nivel de bateria)
  • Aceleración OpenGL
  • Soporte ADB
  • Plugins para Eclipse y IntelliJ

Genymotion
Otra de las opciones más comunes es BlueStacks. Permite emular tanto x86 como ARM sobre Windows, aunque tiene una clara orientado a juegos y promocionar aplicaciones del mundo Android al uso en entornos Windows.


BlueStacks


Youwave es un entorno no enfocado al desarrollo que permite ejecutar aplicaciones en sistemas Windows mediante emulación. Se vende bajo dos versiones: básica y home, por cerca de 15$ y 20$. Es ejecutado en VirtualBox (requiere que no esté instalado en el equipo).

Sus características son las más pobres y no emula sensores como otras alternativas. Su principal negocio está en los usuarios que desean jugar o usar aplicaciones como whatsapp en el pc.

YouWave

Leer más...

21 octubre 2013

La importancia del QUIÉN y el CUANDO en un documento

Hoy voy a relatar el caso de Juan, un caso que refleja bastante bien la problemática de la autoría en los documentos.

Juan se dedica al mundo de la consultoría financiera, su trabajo es emitir informes aconsejando / desaconsejando inversiones, compra de acciones o activos. Es un trabajo muy especializado y donde acertar / fallar en una decisión implica ganar / perder bastante dinero, es fácil imaginar el nivel de estrés asociado al puesto y la enorme competitividad.

Por encima del grupo de consultores hay un supervisor y por encima de él, un socio que es quien realmente tiene las funciones ejecutivas (tomar decisiones).

Resulta que a Juan se le encomendó valorar una inversión, Juan emitió un completo informe donde se recomendaba una inversión económica importante. Juan compartió ese documento con su supervisor (usan una alternativa a Dropbox en teoría más segura). Pasó el tiempo y la inversión que Juan había recomendado supuso un éxito y la empresa ganó varios cientos de miles de euros. A raíz de eso, esperaba que alguien le felicitase, tal vez un aumento ... 

Pasó el tiempo y nadie dijo nada, esto generó cierta desidia en Juan, pasó de ser un empleado 'ninja' de los que llegan a las 8 de la mañana y se van a las 21, que trabaja en fin de semana, responde correos a horas intempestivas ... A algo mucho más pasivo.

Un día el socio le citó en su despacho, la conversación tenia un tono de 'te estamos dando un toque por bajo rendimiento', entonces Juan explotó y expuso su malestar por la falta de reconocimiento. El socio se quedó perplejo y dijo que no tenía conocimiento de que el documento con la valoración fuese suyo, asociaba la autoría al supervisor. 

Mandó llamar al supervisor y organizó un careo. En ese momento el supervisor en un ejercicio de cinismo extremo se arrogó la potestad del documento y achacó a un problema de celos lo que estaba contando el pobre Juan. En ese momento Juan se dio cuenta que no tenía elementos contundentes para justificar sus afirmaciones. Sí, el documento estaba en su PC, sí, se podrían contrastar las fechas de creación pero a la postre todo era excesivamente 'circunstancial'

Juan fue despedido y, aunque a los pocos días encontró otro trabajo, su salario era un 30% inferior al anterior.

¿Podía haber hecho algo Juan para no quedarse 'vendido'? Yo tengo una respuesta: usar eG-Doc 

eG-Doc es uno de los servicios que ofrecemos en eGarante, está orientado a cumplir tres requisitos

1- Definir la autoría de un documento
2- Garantizar la integridad del documento (que no se haya modificado)
3- Asegurar la fecha de creación del documento

Y todo como testigo tercero independiente con plena validez legal.

eG-Doc fue diseñado pensando en facturas electrónicas, como mecanismo para poder enviar una factura y que quede constancia del importe y la fecha en la que se emitió, pero tiene también mucho sentido en escenarios como el anteriormente relatado.

Para usar eG-Doc tan solo hay que enviar un documento en formato PDF  a la dirección docsigned@egarante.com

El servicio devolverá al remitente el documento con la firma digital de eGarante y un sello de tiempo emitido por una TSA reconocida. Si en el correo has puesto más destinatarios, ellos también recibirán la copia del documento ¿Fácil verdad?

Junto con la firma digital de eGarante y el sello de tiempo, eGarante añade un campo llamado 'Visible signature' donde indica el correo origen del documento, siempre y cuando el correo haya superado la validación SPF. Así se mitiga una posible falsificación de origen

Una vez abierto un documento procesado con eG-Doc usando Acrobat Reader, nos encontramos en el panel de firmas la siguiente información


Lo que garantiza y acredita el contenido del documento y su fecha.

Dentro del propio documento, podemos ver la 'visible signature'


Donde se indica el correo que generó el documento. Esta 'visible signature' sale en la página 1 y solo es visible a través de Adobe Reader, no forma parte del texto del documento y por tanto, si se imprime el documento, no aparece en la copia impresa.
Leer más...

20 octubre 2013

Enlaces de la SECmana - 197

Leer más...

18 octubre 2013

Presentación de la jornada de Ciberdefensa en la UEM


Ya ha terminado la jornada de Estrategia de seguridad Española y la realidad de las TIC y aunque tuve una corta intervención, me dio tiempo a contar algunas vulnerabilidades básicas (y divertidas) en aplicaciones móviles, unas con mayor riesgo que otras. En concreto, aplicaciones de las que particularmente soy usuario.

Como en otras ocasiones he tratado que la presentación sea lo más auto-explicativa posible. De esta forma debería servir como herramienta a aquel que quiera leerla, también he adjuntado los vídeos de las demos para todos aquellos a los que les interese.


Leer más...

17 octubre 2013

New release of Bellator - Parte I

"Habemus" nueva versión de Bellator, estimados amigos y colegas.

Para los que no lo sepáis o no os acordéis del anterior artículo, Bellator es una herramienta para auditar sistemas Microsoft en función de unas plantillas de entrada (.INF y .POL). Lo que hace es que los parámetros (registro, permisos de ficheros, servicios, claves de registro, eventos del sistema, plantillas administrativas, etc.) que son pasados como entradas son comparados con los que posee la máquina, de tal modo que comprueba el cumplimiento de dichas políticas.

Tras más tiempo del que hubiera deseado, he podido “robar” horas a la familia para dedicarlo a Bellator, y así corregir, mejorar y añadir nuevas funcionalidades, que buena falta le hacía :).

La principal mejora es la de proporcionar soporte para arquitecturas de 64 bits. Hasta ahora ciertos módulos de auditoría no ofrecían resultados por lo que el informe de resultados final era erróneo. Pues bien, asunto arreglado :P.

Se han corregido algunos errores en la parte de permisos de los ficheros, puesto que en determinadas circunstancias no interpretara correctamente los datos obtenidos del equipo.

Por otra parte, ya se pueden realizar auditorías aun sin contar con los ficheros correspondientes a las plantillas administrativas (tanto de usuarios como de equipos -.POL-). De esta forma sólo auditarán los apartados correspondientes a las plantillas de seguridad (.INF).

Con respecto a este punto decir que para auditar las plantillas de usuarios, que aplicarán a usuarios no administradores, sería conveniente crear un usuario de auditoría, también sin privilegios, a modo de un usuario estándar pero con la excepción de poder acceder al registro (si es que éstos no pudieran hacer “uso” del mismo, como sería recomendable). En este caso sería necesario que dicho usuario de auditoría tenga esta posibilidad (acceso al registro) para poder comprobar los parámetros correspondientes a las plantillas administrativas de usuarios. Ya que éstos parámetros no suelen estar asociados a los usuarios privilegiados y por tanto no pueden ser comprobados por éstos al no estar aplicados en el equipo cuando se loga un administrador.

Las plantillas administrativas de equipo afectan, como se puede deducir, al equipo independientemente de a qué grupo pertenezca el usuario que está logado en la máquina.

Las plantillas administrativas de usuarios, en el caso de equipos fuera de un dominio, pueden distinguir usuarios y administradores. No hace ninguna otra distinción, cualquier usuario no administrador estará dentro del mismo “saco”.

En el caso de equipos en dominio, se pueden configurar y asociar a unidades organizativas a gusto del consumidor y por tanto asociar según requerimientos de distintos perfiles.



En cualquier caso habrá que asegurarse de tener deshabilitada o sin configurar (ojo! no haya otra política con mayor jerarquía que machaque esta opción).


Otra mejora, se produce en la funcionalidad de comprobación de hotfix instalados en el sistema, añadiendo nuevas localizaciones y por tanto poder de búsqueda.

Por último dos sorpresas, dos nuevas funcionalidades.

1. Por una parte Bellator se integra con Babel, para complementar la parte de auditoría que no puede efectuar ésta herramienta. Si bien es cierto que esta característica ya se había anunciado hace tiempo, no ha sido hasta ahora que no se ha materializado, debido a diversos problemas surgidos durante la integración.

Para los que no la conozcan, Babel Enterprise es una herramienta Open Source desarrollada por la compañía Ártica ST (responsables entre otros proyectos de Pandora FMS, Integria IMS, etc.) que permite automatizar las auditorías de sistemas.



Con Babel se puede medir el riesgo del sistema en base a los distintos resultados aportados por las auditorías ya realizadas y evaluar así el cumplimiento de los sistemas con respecto a las políticas de seguridad establecidas. Babel almacena todos los datos de auditoría de cada host en una base de datos. 

Con esta información, ofrece unos informes y vistas detallados, permitiendo obtener tendencias y datos históricos relativos al riesgo del sistema. Todo ello accesible mediante un interfaz web.


Babel permite realizar auditorías de forma local o remota sobre los sistemas UNIX y Microsoft Windows. En este caso, la integración de Bellator usa los agentes de Babel Enterprise para sistemas Windows para realizar la auditoría y enviar los datos al servidor central. En la siguiente imagen se puede ver el resultado de la auditoría realizada con Bellator.

Babel contabiliza todas las comprobaciones realizadas por Bellator y muestra si ha encontrado elementos nuevos, repetidos, borrados o sin cambios, y calculando el nivel de riesgo para el host.


Además de los datos globales de la auditoría se puede consultar los datos pormenorizados enviados por Bellator. La siguiente imagen muestra el resultado detallado de la auditoría anterior con todas las comprobaciones realizadas por Bellator a bajo nivel.


Con esta integración se intenta ofrecer una forma sencilla de guardar y consultar la información de Bellator junto con el resto de información de auditoría de los sistemas.

2. La segunda nueva funcionalidad consiste en que Bellator sirve los datos de auditoría para que puedan ser “analizados” por la aplicación ArcSight. Pero esta parte la dejaré para el siguiente artículo ;).

Bellator se puede descargar en:


Espero que sea de vuestra utilidad.

Artículo cortesía de Ricardo Ramos
Leer más...

15 octubre 2013

Detalles sobre el 'ciber ejército' de la NSA

Poco a poco el halo de misterio que rodea a la parte cibernética de la NSA se va desvaneciendo, del asombroso stuxnet que golpeó el mundo de la seguridad, y el aclamado Flame, con 0day criptográfico incluido, ha pasado bastante tiempo, se han ido conociendo más detalles y ya no son, precisamente, una unidad secreta

Por ejemplo, tal y como indican en este artículo, el centro de operaciones de ese ciber ejército se encuentra en la sede central de la NSA en Fort Meade, lo componen unas 600 personas, y trabajan turnos rotativos 24 x 7 en un moderno espacio con todos los lujos tecnológicos.

En este punto, tal vez, cabe detenerse y tratar de hacer la traslación a España. ¿Alguien se imagina a 600 personas en la sede del CNI trabajando solo en eso? cuesta imaginarlo.

Lo gracioso del artículo antes mencionado es que, incluso se han localizado en linkedin perfiles de personas que trabajan / han trabajado en la unidad ciberéntica de la NSA. Si aun quedaba un pequeño punto de suspense, esto lo remata.

Por ejemplo, podemos intentar añadir a nuestra red profesional a Barbara Hunt

De la que podemos leer:

My last position in the Intelligence Community (2008-2012) was as Director of Capabilities for Tailored Access Operations at the National Security Agency. As a member of NSA/TAO's senior leadership team


O incluso a Brendan Conlon que se describe como:

most recent government post was as the Deputy Chief of Integrated Cyber
Operations within the Information Assurance Directorate where he was responsible for vulnerability assessments and penetration tests on U.S Government Networks (NSA’s Red Team), Advanced Persistent Threat analysis on classified government networks (NSA’s Hunting Division), and incident response operations (NSA's Blue Team)

¿Cuanto valdría una recomendación 'linkedinera' de alguno de ellos?
Leer más...

14 octubre 2013

La Ciberseguridad: Una Responsabilidad de Todos



Aprovechando la entrada anterior, otro evento de igual interés, del que podreís obtener más información en: @CyberSecMonth e @ISACAMAdrid.

--------------------------------------------------------------------------------------------
ISACA Madrid, en el marco del Mes Europeo de la Ciberseguridad, ha preparado un evento en el que pretende contribuir a esta campaña de concienciación para promover la ciberseguridad entre los ciudadanos con el objetivo de cambiar su percepción de las ciber-amenazas y para proporcionarles información actualizada en esta materia, así como buenas prácticas. Por dicho motivo, la temática de la Jornada versará sobre la propuesta de Directiva Europea para la Seguridad de los Sistemas de Información y de las Redes como eje vertebral que persigue la ciberseguridad en la Unión Europea. El evento cuenta con el patrocinio de Telefónica.

Al tratarse de una conferencia de concienciación, el acceso será gratuito tanto para asociados de ISACA Madrid como para no asociados. Se han inscrito ya casi 200 personas.

Contaremos con la participación de Marnix Dekker, Security expert and Information Security Officer de ENISA, Antonio Alcolea Muñoz, Vocal Asesor en la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), Jesús Milán-Lobo, Head of IT Risk & Security business services de Telefónica, Cesar Pérez-Chirinos Sanz, Presidente del Instituto de Continuidad de Negocio (Continuam) y Erik de Pablo Martínez, Director de Auditoría de Sistemas de Repsol. Tras sus ponencias individuales, celebraremos un debate-coloquio sobre la propuesta de Directiva sobre la Seguridad de las redes y los sistemas de información.

Fecha: Jueves 17 de octubre
Horario: 9:15 - 13:30h
Lugar: Distrito Telefónica, Auditorio Edificio Central. Ronda de la comunicación S/N, Las Tablas, 28050.

Más información, programa completo y registro en http://stghq.me/e/KR .

  • 9:15 Bienvenida: Miguel García-Menéndez, Miembro de la Junta Directiva y Research Director de ISACA Madrid
  • 9:30 Bienvenida: "Raising Awareness on Cyber Security". Marnix Dekker, Security expert and Information Security Officer de ENISA
  • 10:00 Antonio Alcolea Muñoz, Vocal Asesor en la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI).
  • 10:45 "Estrategia de ciberseguridad". Jesús Milán-Lobo, Head of IT Risk & Security business services de Telefónica
  • 11:15 Coffee Break
  • 11:45 "La aportación de la Auditoría TIC a la gestión de la continuidad de negocio", Cesar Pérez-Chirinos Sanz, Presidente del Instituto de Continuidad de Negocio (Continuam)
  • 12:15 "Revisando la frontera de los SSII: ciberseguridad en entornos industriales". Erik de Pablo Martínez, Director de Auditoría de Sistemas de Repsol
  • 12:45 Mesa redonda "La Propuesta de Directiva sobre la Seguridad de las redes y los sistemas de información". Intervienen: SETSI, Telefónica, Continuam, Repsol. Modera: Antonio Ramos, Presidente de ISACA Madrid.
  • 13:30 Conclusiones y fin

Contacto: ISACA Madrid: Joris Vredeling, Coordinador - 677033692 - eventos@isacamadrid.es
--------------------------------------------------------------------------------------------
Leer más...

Os copio una nota de prensa de una jornada gratuita en la Universidad Europea de Madrid, en la que además tengo el privilegio de participar.

------------------------------------------------------------------------------------------
  • La Universidad Europea acoge el próximo 17 de octubre esta jornada en la que miembros de los Cuerpos de Seguridad del Estado hablarán sobre la línea de actuación del Gobierno español en esta materia
  • El encuentro se completa con la presencia de Chema Alonso, recientemente nombrado director de Eleven Paths, la nueva filial de ciberseguridad de Telefónica Digital, y director del Máster Universitario en Seguridad de Tecnologías de la Información y de las Comunicaciones de la Universidad Europea


Madrid, 14 de octubre de 2013.- La Escuela Politécnica de la Universidad Europea acoge el próximo 17 de octubre una jornada sobre ciberamenazas y ciberdefensa. Con el título La estrategia de la seguridad española y la realidad de las TIC, el encuentro contará con la intervención de miembros de los cuerpos de seguridad del Estado y con Chema Alonso, director de Eleven Paths, la nueva filial de ciberseguridad de Telefónica Digital y Director del Máster Universitario en Seguridad de Tecnologías de la Información y de las Comunicaciones. 

El reciente caso de cibersepionaje Snowden y la constitución del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, puesto en marcha el pasado 27 de septiembre, son algunos ejemplos que ponen de manifiesto la importancia de que empresas y gobiernos tomen medidas para garantizar la seguridad. El evento se enmarca en la V Jornada sobre Ciberamenzas y Ciberdefensa que organiza la Escuela Politécnica de la Universidad Europea en colaboración con el del Instituto Español de Estudios Estratégicos y el Ministerio de Defensa con el objetivo de abordar la actualidad de este sector a través de sus protagonistas.

16:15 Apertura y Bienvenida: Luis de Salvador Carrasco, Director de la Jornada; Isabel Fernández, Directora de la 
Escuela Politécnica de la Universidad Europea y María José Caro Bejarano, Analista del Instituto Español de Estudios 
Estratégicos. 

16:30 Estrategia Española de Seguridad (EES) 
  • Comentarios a la Estrategia Española de Seguridad. María José Caro Bejarano, analista del Instituto Español de Estudios Estratégicos. 
  • Las amenazas estratégicas en el Ciberespacio. Ángel Gómez de Ágreda, analista geopolítico en el Ministerio de Defensa. 
  • Ciberdelincuencia: evolución, últimas tendencias y nuevos modus operandi. Óscar de la Cruz Yagüe, Jefe del Grupo de Delitos Telemáticos - Unidad Central Operativa de la Guardia Civil. 
  • Los ciberataques como un nuevo medio de guerra. Ana Pilar Velázquez Ortiz, Asesoría Jurídica de la Dirección General de la Guardia Civil. 

18:30 Ejemplos prácticos de hacking de aplicaciones móviles y vulnerabilidades en las TIC: Alejandro Ramos, IT  Security & Risk Analyst en ING DIRECT y José María Alonso Cebrián, director de Eleven Paths, la nueva filial de ciberseguridad de Telefónica Digital y Director del Máster Universitario en Seguridad de Tecnologías de la Información y de las Comunicaciones. 

Lugar de Celebración: Universidad Europea de Madrid, Auditorio. Edificio B; Campus de Villaviciosa de Odón, c/ Tajo, s/n.
------------------------------------------------------------------------------------------


Leer más...

13 octubre 2013

Enlaces de la SECmana - 196

Leer más...

10 octubre 2013

LeaseWeb, AVG, Avira, WhatsApp: El fail es para...

AVISO SPOILER: El fail es para el registrador.

¡Hola amigos! Soy Co...(pido disculpas de nuevo, por tener que recurrir a este inicio de post por segunda vez desde aquel EU2010.es: El fail es para...)


No voy entrar en el debate de si debe llamarse DNS Hijacking o Domain Hijacking. Considero que el DNS Hijacking se debería llamar al ataque sobre servidores DNS en si como servicio y su procesamiento de peticiones recibidas, algo que incluso algunos ISPs utilizan para introducirnos publicidad o redirigirnos a servicios personalizados o concertados con los originales.

Comenzaremos con conceptos básicos de este ataque que se está poniendo tan de moda entre los defacers (frente a la imposibilidad en un principio de comprometer los servidores en sí de su objetivo), de grupos como el KDSM Team, o incluso algunas de las últimas acciones de los ¿ya pasados de moda? Syrian Electronic Army.

Qué es el Domain Hijacking

En la mayoría de los casos en los que no se gestionan los registros DNS por el propio usuario, estos se delegan a empresas llamadas registradores sobre los cuales se contratan los nombres de dominio necesarios y se gestionan a través de su software o panel de control. El Domain Hijacking se conoce como al acceso no autorizado a la gestión de los registros de un dominio, modificando dichos registros para que se apunten a direcciones IP diferentes a los originales. Para el caso de lo ocurrido con Avira, WhatsApp y otros, se ha confirmado que el hack se ha realizado sobre el proveedor Network Solutions, el cual gestiona sus dominios, además de los de muchas más importantes compañías.

Quién se ve afectado/de quién es la responsabilidad

Este ataque afecta, obviamente, a los registradores de nombres los cuales ven comprometidas sus aplicaciones de gestión de nombres y registros de dominios, y por consecuencia, todos sus clientes. Hay dos casos, bien diferentes y que determinan el alcance del ataque y sus consecuencias:

  • Si se consigue comprometer la aplicación de gestión de dominios por una vulnerabilidad en su software o en su procedimiento de actualización de servidores DNS, se comprometen todos.
  • Si se consiguen obtener las credenciales de acceso al panel de gestión de dominios de un cliente en concreto, se comprometerán sus dominios y subdominios. Esta obtención de credenciales se puede realizar mediante ingeniería social, malware, campañas de phishing, acceso a la cuenta de e-mail utilizada al registrarse, etc. Así de simple.

La web parece modificada ¿han secuestrado el dominio?

Se puede utilizar cualquier herramienta de obtención de información sobre DNS y dominios para comprobar que la IP a la que se resuelve no corresponde con la original, o pertenece a un rango de direccionamiento IP sospechoso y no propio del dominio.

El impacto

Todos sabemos, sobretodo por las últimas noticias acerca de los compromisos a Leaseweb, AVG, Avira, así como las acciones realizadas por los SEA contra Twitter, The Hufington Post y demás, que lo que más llama la atención de estos ataques es que aparecen en los medios como modificaciones de la web, ya que estos grupos buscan sobretodo notoriedad. Pero parece que nadie se da cuenta en la gravedad que esto entraña en caso de caer en otro tipo de manos menos...propagandísticas. El comprometer un dominio puede suponer, a modo de ejemplo y si se prepara convenientemente, lo siguiente:
  • Posibilidad de redireccionar todo correo electrónico dirigido @dominiocomprometido.com a servidores controlados por los atacantes.
  • Creación de phishings de páginas supuestamente legítimas, pero que finalmente son controladas por usuarios ajenos (el usuario que navega a la web, sigue comprobando que el dominio es correcto, por lo que asume que es legítima)
  • Imaginemos los dominios de AVG o AVIRA, si bajo sus dominios comprometidos tienen un servicio de actualizaciones para sus software antivirus, en actualizaciones.dominiocomprometido.com. Dicho subdominio podría prepararse para que al solicitarse el software realmente fuese un fichero binario malicioso. O directamente, la descarga de las versiones gratuitas de dicho software, se sustituyesen por otros ejecutables.
  • Y un largo etcétera, mismas técnicas de post-explotación que afectarían a los usuarios que accediesen o utilizasen servicios en dichos dominios.
Como veis el impacto y el compromiso no se realiza sobre la empresa en si en la mayoría de los casos, si no contra su imagen pública (defaces) o contra los visitantes (¡¡nosotros!!).

Corrección inmediata, propagación lenta

Uno de los grandes inconvenientes que se encuentran en la recuperación ante un problema o incidente de seguridad que afecte al DNS es la propagación de las correcciones, debido al propio concepto de DNS y su arquitectura de Internet. Si bien las empresas como leaseweb detectaron el problema rápidamente y pudieron recuperar sus registros DNS originales, muchos servidores DNS dónde se queda establecida la versión anterior envenenada tardaron en actualizar, de ahí que la corrección sea progresiva.

Resumiendo

Una web o webs afectadas por un secuestro de dominio no implica un robo de datos de usuarios y un compromiso de sus servidores. Por lo tanto, recomiendo huir de titulares tipo "XXX Team hackea YYYY" y utilizar en su lugar "XXX Team hackea ZZZZ, empresa encargada de gestionar los dominios de YYYY", más que nada para no liar al personal.

Si queréis conocer todos los entresijos, peligros, amenazas, recomendaciones y demás temas a tener en cuenta acerca del secuestro de dominios o Domain Hijacking, os recomiendo este genial informe en PDF de la ICANN, publicado en 2005 por parte del Security and Stability Advisory Committee (SSAC).
Leer más...

09 octubre 2013

Mi experiencia personal en Navaja Negra 2013 #nn3ed




Hace ya un tiempo anunciábamos la existencia de la tercera edición de uno de los congresos de seguridad del panorama español que más inercia ha ido cogiendo. Nos referimos al popular evento  "Navaja Negra" celebrado en Albacete a primeros de Octubre. 

Sus principales promotores, Pedro Candel y Dani García, contactaron conmigo antes del verano para que participase como ponente en Albacete. Después de haber oído excelentes referencias de las ediciones anteriores de este evento, me animé a ir.  

Para ser un evento que se lleva a cabo con apenas presupuesto, con patrocinadores que disponen de recursos bastante humildes, os prometo que es sorprendente la calidad y medios del sitio dispuesto, la casa de cultura Jose Saramago de Albacete, al que hubo que migrar a última hora, por causas de fuerza mayor.

Gustoso haría una crónica de las diversas charlas que se hicieron, pero por motivos de agenda, no pude asistir a todo el evento, llegando en el ecuador del mismo, con tiempo suficiente eso sí, para disfrutar de la alegría que me supone encontrarme con un montón de colegas y amigos. Sois tantos que si os nombro a todos, no termino, así que hacemos un @* y solucionado. 

Mi charla era la que cerraba la jornada del viernes, por lo que aún tuve tiempo de escuchar a la de Pancake sobre bitcoins y otras monedas virtuales, el divertido David Melendez haciendo volar un quadcopter hecho por él con el cerebro de una Fonera, y Manu Quintans y Frank Ruiz sobre diversas arquitecturas de Botnets.





En mi caso, quise presentar en Navaja Negra, una vez enumeradas las funcionalidades y carencias de diferentes herramientas existentes, una herramienta llamada LIOS #FF (Lawwait IOS Forensic Framework).






Tuve el placer de presentar una versión muy prematura de LIOS, meses atrás, en ConectaCON en Jaen, y precisamente me dí cuenta que la herramienta podía dar para mucho más. El objetivo de la misma es ayudar a un investigador o perito, en un análisis forense de un dispositivo IOS, clasificando los ficheros disponibles en un backup del mismo, así como mostrando en un interfaz web con pestañas la información extraída de diferentes bases de datos existentes en el mismo, de aplicaciones nativas del dispositivo (las llamadas, SMS, notas, agenda, etc,...), así como de aplicaciones de uso extendido como Whatsapp, Viber, Line,... entre otras, siendo esto una novedad y diferencia respecto a las herramientas existentes actualmente. Sin embargo, la capacidad que me parece más interesante es la de mostrar una línea temporal o timeline de todo el dispositivo, pudiendo mostrar la actividad del usuario en modo cronológico, indicando la interacción de todas las aplicaciones soportadas, ordenadas en el tiempo, para un periodo especificado.



El día 3 comenzó con Pepelux hablándonos de la Deep Web.



Continuó David Pérez como representante de la BIT de Policía Nacional contándonos el trabajo que llevan a cabo.





En la siguiente cambiamos el color del uniforme y Javier Rodríguez y César Lorenzana del GDT de Guardia Civil hablándonos de "troyanos policiales" y su imposibilidad de aplicación tras la reforma de la ley de enjuiciamiento criminal o LECRIM.





Al final, hubo una mesa redonda, moderada por Dani García, en la que participó Pepelux, representantes de los FCSE existentes en la sala y el abogado tecnológico Pablo Fernández Burgueño.



Tras un sorteo de libros con una función "random" pythonera, se dio fin al evento y nos fuimos a comer. 

El ambiente del evento fue inolvidable. Tanto en el papel de ponente como de asistente, no puedo hablar más que maravillas. Hubo risas, cervezas (algunas hasta sin alcohol), buena compañía, interminables discusiones filosóficas sobre dudas existenciales en la aplicación de la justicia ante una actuación pericial (esto en sí da para un post, que consultaré con mi abogado si lo puedo o no publicar xD), e incluso terminamos haciendo geocaching en Albacete con uno de nuestros componentes completamente entusiasmado por la originalidad del mismo.



Sin embargo, contamos con varias bajas. A todos nos habría encantado haber podido contar con colegas y amigos como David Barroso y Juan Garrido, que por causas de fuerza mayor tuvieron que cancelar su participación en el evento.

Ponemos el contador a cero esperando la cuarta edición de un evento, que siendo totalmente low cost, y pese a la distancia, fue capaz de congregar a unos 300 locos por la seguridad informática en la manchega ciudad de Albacete. Si ha tenido el éxito que ha tenido, ha sido sin duda, por el esfuerzo, empeño e ilusión de la organización, voluntarios y colaboradores, volcados con la idea de hacer un evento con temática atractiva y posicionado a la altura de otros congresos de la geografía española.
Leer más...