25 febrero 2015

Windows: El sistema operativo menos vulnerable de 2014




Según leo en The Hacker News, un análisis publicado en el blog de la compañía de seguridad GFI, muestra como claro vencedor, en un ranking donde el contador es el número de vulnerabilidades parcheadas en 2014, a los sistemas operativos basados Windows, en contra de los basados en Mac OS X y Linux.

¡Toma ya! ¿Quién iba a decir hace unos años eh?

Si se mira uno a fondo el informe, y aunque estadísticamente sea impecable, se pone de manifiesto que 2014 fue un año nefasto para la seguridad de los usuarios en Internet. Se resaltan vulnerabilidades de alto impacto como Heartbleed o Shellshock (del que Windows también tuvo algo similar con Winshock).

Si se observa esta tabla, obtenida del propio blog de GFI, está más que claro que por vulnerabilidades parcheadas (y sobre todo de impacto alto y medio), los sistemas operativos basados en Apple y Linux salen perdiendo. 

Linux and Mac OS X Most Vulnerable Operating System In 2014

Sin embargo, lectores, quiero matizar un poco lo que aquí se concluye, porque sinceramente no estoy del todo de acuerdo.

Es decir, los números no los podemos cambiar y son esos, sin embargo, creo que tener en cuenta qué sistema operativo elegir para tu uso diario basándote únicamente en el número de vulnerabilidades descubiertas y corregidas, es cuanto menos poco objetivo.

Además del sistema operativo, a lo largo del día hacemos uso de un compendio de aplicaciones, servicios e interacción con el mundo que no siempre son nativas al sistema operativo: Procesador de textos, hoja de cálculo, correo y navegación, son vitales, y también son herramientas susceptibles de ser vulnerables.

En este sentido, el informe de GFI también dedica una tabla completa al apartado de aplicaciones:

application chart
De este análisis se desprende que Internet Explorer es, de lejos, el navegador más vulnerable del mercado. ¿En qué otro sistema operativo que no sea Windows viene de forma nativa Internet Explorer? Ah sí, en ninguno.

En la parte de los plugins no se salva ninguno y Flash, Java y Adobe Reader revientan en montones de sitios. Ante eso estamos igual de expuestos los usuarios de Mac OS X y Linux, ventajas de que el malware también sea multiplataforma

Lo que es, sin duda, un factor que no se ha tenido en cuenta en el análisis es la cantidad de dispositivos con Windows, con Mac OS X y con Linux. Obviamente, cuanto mayor sea el parque de equipos con un sistema operativo, más extendido se encontrará éste y los creadores de malware se preocuparán de que este funcione en aquel sistema operativo del que mayor sea el beneficio de la captura.

Por este motivo, y si tuviera que decir un sistema operativo más seguro, para mi tranquilidad, diría que ninguno me convence al 100%. Pero teniendo en cuenta todos los factores aquí mencionados, si tuviera que priorizar me quedaría con Linux, luego con Mac y luego con Windows. Aunque soy usuario declarado y contento de Mac, porque para mi trabajo diario, tiene el balance entre rendimiento y comodidad que mejor me viene, tengo claro que en seguridad, me sentía mucho más tranquilo cuando usaba Linux como sistema operativo de escritorio (sobre todo en versiones más antiguas, que me permitían controlar mejor los procesos que se ejecutaban en él).

En cualquier caso, esta reflexión sobre qué sistema operativo es mejor o quién la tiene más larga, sí o sí, deriva en un flame, en el que no pienso entrar.

En mi opinión, no hay sistema operativo seguro, todos son susceptibles de que por un punto u otro, y en un amplio porcentaje, por culpa del usuario, se comprometa la seguridad de los datos.

Lo que está claro es que en todos es el propio usuario quien tiene que tener las precauciones necesarias para intentar evitar ser infectado, contar con sistemas antimalware, software que prohiba las conexiones salientes en puertos no estándar, instalar cuantos menos plugins sea posible (Java, Flash, Adobe *, etc,...), no abrir documentos de fuente no fiable, ni enlaces acortados de forma directa, cifrar el disco con una contraseña en pre-boot, utilizar un gestor de contraseñas, y cuantas más soluciones y procedimientos paranoides se os ocurran.... Y aún así... por supuesto que no estaremos del todo seguros, pero mitigaremos unas cuántas amenazas.

Y sí, estos consejos valen para ser usados en todos los sistemas operativos.  


ACTUALIZACIÓN: La fuente de esta noticia para mí ha sido el blog de GFI, de la que me he enterado vía The Hacker News, aunque la información original proviene de la National Vulnerability Database del Gobierno Americano
Leer más...

24 febrero 2015

Man in the middle en épocas de crisis


Desde que empecé a estudiar de nuevo, en este caso un Ciclo de Grado superior de Administración de Sistemas Informáticos en Red en el centro Don Bosco de Villamuriel de Cerrato, Palencia, me he comenzado a interesar más por el mundo de la seguridad informática y el hacking, en gran parte por culpa del profesor del módulo de Seguridad y Alta disponibilidad Amador Aparicio y sus retos hacker.

Una vez que comienzas en este mundo, aunque sea a pequeña escala, no haces más que mirar las redes, aplicaciones, páginas web... con otros ojos, de una forma diferente, con el fin de intentar llevar la tecnología un poco más lejos. Desde siempre he sido alguien curioso y al que le gustaba "cacharrear", por lo que casi siempre mis amigos antes de tirar algo, me preguntan para ver si "adopto" algún cacharro viejo.

En este caso un amigo me avisó de que iba a tirar un router de la compañía roja, un Observa Telecom VH4032N sin estrenar y claro, no podía permitir que acabara así sus días, por lo que con el router ya en casa me puse a leer sobre él y sus características para buscarle un nuevo uso.

Figura 1 - Modelo utilizado para esta prueba

Decidí que para poder sacarle partido debía lograr quitar el software que traía y "liberarlo" para poder usarlo a mi antojo, por lo que saqué del cajón el adaptador serie a USB, un puñado de cables y me descargue un firmware OpenWRT para ponerme manos a la obra. 

Figura 2 - Conexión del adaptador Serie-USB al router

El proceso es sencillo y se basa en una de las características de este router y que muchos otros integran, y es la posibilidad de acceder a un modo de rescate en caso de que se produzca un error en memoria durante el proceso de carga del firmware. Los pasos que seguí fueron los siguientes:


  • Conectar el adaptador al puerto serie del router, En este caso se disponía de los pines para ello, pero en otros casos puede ser necesario soldar algún conector a la placa, habitualmente en los manuales de fabricante aparece donde se debe soldar o conectar ese conector para la comunicación serie.


  • Comunicarnos con el equipo a través de algún programa como Putty que nos permita establecer una conexión serie con los parámetros específicos de cada fabricante.


  • Durante el arranque del equipo, interrumpiremos la carga del firmware, en este caso simplemente con una combinación de teclas aunque puede haber casos que requieran realizar un puente entre algunos pines de la placa.


  • Una vez en modo rescate usaremos un servidor TFTP para subir el firmware de OpenWRT al router y poder flashearlo, utilizando los comandos propios de cada fabricante.


Una vez seguidos estos pasos ya tenía mi router con un nuevo firmware mucho más flexible, por lo que ahora quedaba buscarle un buen uso. Fue entonces cuando se me ocurrió montar algo parecido a una Pinneapple Mark en mi nuevo router, pero en este caso sería una piña "low cost" como la basada en Raspberry, que ya se trató en otra entrada de SecurityByDefault, aunque sea de una manera sencilla y con un uso más limitado.

Lo primero es dotar al router de conexión a Internet pero sin depender de una red WiFi para que sea más versátil, por lo que instalé los módulos necesarios (kmod-USB, Comgt...) para hacer funcionar un pincho 3G liberado previamente y con el firmware modificado para dar conexión a nuestro "Rogue router", haciendo que no tenga la funcionalidad de almacenamiento USB y solo cargue únicamente como módem, evitando que tengamos que cambiar el modo de funcionamiento desde el Router en caso de un posible reinicio.

Superado el paso de dar Internet a los usuarios del router, barajé varias opciones para realizar las capturas de tráfico, aunque al final, debido a las limitaciones hardware del aparato, opté por un clásico que nunca pasa de moda, TCPDump.

Figura 3 - Ejemplo de captura con TCPDump

Respecto al acceso a estas capturas, el firmware trae soporte para varios servicios, como OpenVPN, Sendmail (para enviar las capturas en un correo), Pure-FTP, etc... que nos permitirán recoger los datos obtenidos.

En este caso instalé un servidor Pure-FTP en el router para descargarme los archivos de captura junto a una entrada en el Crontab del mismo para ejecutar tanto el servidor como el TCPDump, cuando mejor me convenga. La solución no es muy discreta pero para esta prueba era suficiente.

El resultado final ha sido un "juguete" muy curioso para auditoría de redes WiFi. Tras una tarde colocado en mi casa realizando pruebas (siempre los familiares son los daños colaterales de estos experimentos) pude obtener ciertos datos de "interés".

Imágenes de la navegación...

Figura 4 - Salida de NetworkMiner al abrir la captura

Archivos descargados...(aunque no sea el archivo en sí, podemos saber su nombre y ruta de descarga)

Figura 5 - Archivos "reconstruidos" por NetworkMiner

E incluso alguna que otra contraseña...

Figura 6 - Contraseñas capturas en navegación sin https

En este firmware incluso disponemos de herramientas para hacer que los leds del equipo simulen tráfico y levanten menos sospechas, así podremos hacernos con las capturas de tráfico, o implementar otro tipo de ataques. Como pueda ser la explotación de un Shellshock en equipos sin parchear para obtener más información o realizar una denegación de servicio apagando equipos simplemente configurando nuestro router con DNSMasq y haciendo que en las peticiones DHCP vaya la cadena que explota este fallo, tal y como he estado comprobando en otras pruebas.

Figura 7 - Paquetes disponibles ser instalados

Las posibilidades son muchas al disponer del control del router, como la configuración de unos servidores DNS que no sean legítimos para redirigir las consultas donde nos interese, disponer de soporte para SSLStrip para comprobar la seguridad de las peticiones https... las ideas son muchas.

Esto me ha dado que pensar en varias opciones... Por ejemplo a través de un correo electrónico podemos saber la dirección IP de un remitente que puede ser una empresa o administración pública y a través de esta información conocer su proveedor de Internet con la intención de colocar mediante ingeniería social (o echándole morro en su defecto) un router modificado.

Otro caso podría ser que una vez conocemos el número de móvil de una persona (fácil ahora mismo a través de las diferentes redes sociales) si es o ha sido de la compañía del que disponemos el router modificado, podemos justificar el cambio del equipo con la excusa de un nuevo servicio más veloz o con nuevas funciones.

Aunque todo lo mostrado sea un proceso simple no deja de ser un buen entrenamiento para alguien que está empezando en esto de la seguridad y que no siempre dispone de muchos medios económicos para disponer de hardware más especializado supliendo esa carencia con ganas de aprender, imaginación y conocimientos, que al fin y al cabo no deja de ser eso la esencia del Hacking, ¿No?


Contribución por cortesía de Héctor Alonso (@hector6598)


Leer más...

22 febrero 2015

Enlaces de la SECmana - 264


Leer más...

20 febrero 2015

Tendencias sobre seguridad (IMHO)


Mucha gente nos envía correos preguntando por nuestra opinión con respecto a qué tecnologías merece la pena apostar, qué titulaciones tienen futuro o simplemente, cual lenguaje de programación es el que ahora 'lo peta'


Estas preguntas son difíciles de responder ya que siempre tienen un componente altamente subjetivo, no obstante hay algunos criterios que sí suelen ser bastante obvios. En esta entrada voy a expresar mi punto de vista.



Dentro de la seguridad, ¿qué áreas están ahora al rojo vivo?


Sube claramente:
  • Respuesta ante incidentes (detección de intrusos, análisis de malware, etc)
  • Análisis forense (Área que no deja de crecer)
  • Reputación Online (búsqueda de información sensible que afecte a una compañía / persona, gestión de 'leaks' ...)

Se mantiene:
  • Pentest y Auditorías (y esto va a seguir en el TOP años y años y años)
  • Hardening / bastionado (No tiene el tirón que tuvo hace algún tiempo, pero sigue siendo apuesta segura)

A la baja:
  • Auditorías 'de papel' (entendiendo por 'papel', LOPD, normativas, etc)
  • Redes (Firewalls, elementos de red, etc)
  • Exploiting / cazador de 0Days (la barrera de entrada actual a nivel técnico es MUY ELEVADA, se requiere profundizar mucho y el sector cuenta con actores muy consolidados. Si te metes en esto y eres un crack, vas a forrarte, pero tu caso será 1 entre 1.000.000)


Si tengo que aprender un lenguaje ¿Cual triunfa actualmente?

Sube claramente:
  • Python (Te guste o no, hoy día todo en seguridad es Python)
Se mantiene:
  • C y C++ (Esto es como el pentest, siempre va a estar arriba ...)
  • Perl (En Europa claramente está en decadencia, pero EEUU sigue contando con una legión de programadores de Perl enfocados a seguridad)
A la baja:
  • PHP (En algún momento estuvo de moda ...)
  • Ruby (Metasploit es Ruby y eso creó un 'hype' con este lenguaje que no ha terminado de cuajar)

Titulaciones y formación en seguridad


Sube claramente:

Se mantiene:
  • Los masters universitarios sobre seguridad
  • Los talleres presenciales

A la baja:
  • Las certificaciones CISSP, CISA y CISM (años atrás eran imprescindibles, hoy día ya no tienen tirón)
  • La certificación CEH    

Sistemas operativos

Sube claramente:
  • Android
  • IOS

Se mantiene:
  • Linux
  • Windows

A la baja:
  • Solaris
  • Sistemas *BSD   

Países para ir a trabajar  


Sube claramente:
  • Argentina, Chile, Colombia y en general sudamérica (ahora mismo, destinos HOT para buscar trabajo en seguridad)
  • EEUU (Siempre vas a encontrar trabajo)

Se mantiene:
  • Inglaterra
  • Alemania   

A la baja:
  • Francia (muchas de las empresas creadas entre el 2000 y el 2010 no han terminado de funcionar)
  • Rusia (Fue un destino HOT hace 3-4 años)    
Leer más...

18 febrero 2015

Rooted CON 2015

En apenas 2 semanas comenzará uno de los congresos más importantes de España en cuanto a seguridad informática se refiere. Tendrá lugar los días 5, 6 y 7 de Marzo de 2015 en el Centro de Congresos Principe Felipe del Hotel Auditorium Madrid y espera más de 1000 asistentes al igual que la edición del 2014.

Charlas y ponentes

Se han anunciado ya todos los ponentes y ponencias que formarán los 3 días repletos de charlas inéditas con protagonistas de lujo. Además también está disponible la agenda.

  • David Perez y José Picó – Ampliando el arsenal de ataque Wi-Fi
  • David Barroso – Infección en BIOS, UEFI y derivados: desde el mito a la realidad
  • Pablo Casais – (in)seguridad en el gran casino
  • Alejandro Ramos – Rojos y Azules: dos equipos con dos sabores
  • Jose Selvi – El tiempo en MIS manos
  • Alfonso Muñoz y Antonio Guzman – Finding stegomalware in an ocean of apps…
  • Abel Valero – WEBEX: Análisis de datos en bruto
  • Ricardo J. Rodríguez y José Vila – On Relaying NFC Payment Transactions using Android devices
  • Eduardo Arriols – Physical Penetration Testing
  • Adrian Villa – Bypassing DRM Protections at Content Delivery Networks
  • Jorge Bemúdez – LECr* Service Pack 2 (* Ley de Enjuiciamiento Criminal, Criminal Procedure Act)
  • Julian Vilas – Deep inside the Java framework Apache Struts (Str-SUCK-ts)
  • Hugo Teso – El Manco: Y por último, pero no por ello menos importante…
  • Yaiza Rubio y Felix Brezo – How I met your eWallet
  • Chema Alonso – Can I play with madness
  • Christian Lopez – Bug Bounties 101
  • Sebastián Guerrero – Desmitificando Apple Pay
  • Carmen Torrano – Investigando sobre los cortafuegos de aplicaciones web
  • Raul Siles – Android: Back to the Future (Too? or Two?)
  • Eduardo Cruz – Ingeniería inversa de circuitos integrados
  • Andrzej Dereszowski – Turla:Development & Operations – the bigger picture
  • Miguel Tarasco – Bend the developers to your will

RootedLabs


RootedLabs es un conjunto de actividades formativas de un día de duración que se realizan durante los tres días previos a RootedCON. Estas acciones están orientadas a la generación de fondos económicos para poder sufragar los gastos que conlleva la difícil labor de organización de una CON como la que deseamos. Con este fin se seleccionan un conjunto de acciones formativas de alto nivel que se encuentran divididas en diferentes áreas de conocimiento. RootedLabs 2015 se celebrarán los días 2, 3 y 4 de Marzo en las aulas MSL Formación.

Este año disponemos de los siguientes RootedLabs:


Bootcamps

Continuando la experiencia de la edición anterior, y adicionalmente a los RootedLabs, este año dispondremos de dos bootcamps, cursos avanzados de más de un día de duración con especialidad concreta en una temática. Este año podréis disfrutar de dos temas diferentes:

Counter Threat Intelligence – Bootcamp ofrece a los profesionales de la seguridad de información acceso a una nueva mentalidad a la hora de tratar la inteligencia y hacer frente a las amenazas emergentes. Esta visión analítica proporciona a los analistas y responders de la capacidad de detectar y defenderse contra las nuevas amenazas en Internet, mientras que todavía están madurando. 

Finalmente el objetivo de Counter Threat Intelligence – Bootcamp es el de proporcionar metodologías prácticas y proactivas que den visibilidad sobre las nuevas amenazas sofisticadas y evasivas.

El curso (en castellano) se celebrará los días 2, 3 y 4 de Marzo de 2015 en el Centro de Congresos Principe Felipe de Hotel Auditorium, y aún pendiente de patrocinio, su precio máximo será de 795€ (675€ en caso de disponer de una entrada pagada para Rooted CON 2015). 

Si te pre-registras y pagas la entrada antes del 20 de Febrero podrás optar a un descuento adicional de 200€.
El Bootcamp de Corelan es una verdadera única oportunidad para aprender tanto técnicas básicas como avanzadas por parte de un desarrollador de exploits experimentado. Durante este curso, los estudiantes conocerán todos los entresijos sobre el desarrollo de exploits fiables para plataformas Win32. El profesor compartirá sus notas y trucos para ser más efectivo desarrollando exploits. 

Creemos que es importante empezar el curso explicando los fundamentos básicos de buffer overflows y desarrollo de exploits, pero no quedará ahí el curso. De hecho, esto es un verdadero Bootcamp y uno de los cursos más avanzados que podrás encontrar sobre el desarrollo de exploits para Win32.Este intensivo curso práctico proporcionará a los estudiantes unos conocimientos sólidos para entender las actuales técnicas de explotación y evasión de protecciones de memoria en Win32. Nos aseguramos de que el material del curso se mantiene actualizado con técnicas actuales, incluyendo trucos previamente no documentados y detalles sobre investigaciones que nosotros mismos hemos llevado a cabo.

El curso (en inglés) se celebrará los días 3 y 4 de Marzo de 2015 en el Centro de Congresos Principe Felipe de Hotel Auditorium, y aún pendiente de patrocinio, su precio máximo será de 995€ (845€ en caso de disponer de una entrada pagada para Rooted CON 2015)

Si te pre-registras y pagas la entrada antes del 20 de Febrero podrás optar a un descuento adicional de 200€.

En este enlace podréis encontrar la descripción detallada de los cursos así como la forma de per-registrarse.

X1RedMasSegura edición RootedCON 2015

Como ya sabéis, uno de los pilares que la organización de Rooted CON ha tenido siempre presente, es el hacer comunidad y en esta edición hemos tenido la oportunidad ir un punto más allá, gracias a X1RedMasSegura, que pondrá a vuestra disposición a todo su elenco, con el fin de ayudarnos, tanto a nosotros, como a nuestras familias (abuelos, padres, hijos), a tener una percepción a niveles menos técnicos, sobre los peligros que nos acechan en la red.


La agenda de charlas tanto para Adultos como para Menores que tendrá lugar durante el sábado 7 de Marzo en una sala del propio Hotel Auditorium es la siguiente:

ADULTOS
Agenda para Adultos X1RedMasSegura en Rooted CON 2015

MENORES
Agenda para Menores X1RedMasSegura en Rooted CON 2015

El formulario de registro para esta iniciativa paralela al congreso lo tenéis en este enlace.

Registro

Todavía estáis a tiempo de conseguir vuestra entrada a un precio de:
  • 110 € para profesionales
  • 50 € para estudiantes
  • 100€ para todos aquellos que opten a descuentos por asociación con ISACA o ISMSForum y por estar certificados por ISC2 o EC-Council.
El enlace para el formulario de registro de asistentes lo encontrarás en la siguiente URL:

https://reg.rootedcon.com

¡No te quedes sin tu entrada!

[+] Rooted CON | @rootedcon
Leer más...

17 febrero 2015

Equation: El APT más sofisticado hasta el momento




Seguro que si has estado atento a twitter y RSS, habrás leído sobre el último bombazo relativo a APTs. Según el análisis realizado por Kaspersky Lab, se trata de un malware de una sofisticación nunca vista, que lleva operando desde - atención- 2001!!

Aprovechando con la celebración del Security Analyst Summit 2015 en Cancún, desde donde me encuentro para dar una charla en la mañana de hoy, el fabricante de seguridad Kaspersky ha querido liberar los detalles de este APT, que ha puesto los pelos de punta a la audiencia. 

Básicamente, y en palabras de Costin Raiu, este malware “le patea el culo a Regin” en cuanto a nivel de sofisticación. 

El punto de entrada era, en aquellas épocas, un CD-ROM con un fichero .LNK que explotaba una vulnerabilidad relacionada con el icono del .LNK, por la que se infectaba el sistema. Posteriormente, hubo más vectores de entrada como un pendrive USB, o contenido web que se insertaba en determinado tipo de foros (creo recordar que dijo PHPBB).

Entre las diferentes 6 piezas de malware que componen Equation, relacionadas con troyanos que permiten control total y remoto sobre la máquina infectada, posibilitando la instalación de nuevos módulos según el atacante necesite. Otra de las piezas de este conjuntos de malware, era la instalación de un boot kit, llamado Gray Fish, que parcheaba todo aquello que necesitaba y borraba sus propias huellas. 

Una de las características que más miedo da, es el grado de persistencia alcanzado por Equation, y es que es capaz de infectar el firmware de discos duros de diferentes fabricantes, para que no sea visible ni modificable los sectores donde Equation se alberga. 

En palabras de Kaspersky, ni siquiera formateando el disco duro es posible dejarlo completamente limpio, puesto que es el propio firmware quien protege que esa parte de disco contra escritura posterior.  

Realmente interesante es el ver que un malware como Equation, descubierto en sistemas mucho más antiguos que otras piezas de malware clasificadas como APT, comparta similitudes con Flame o Stuxnet, como la replicación por redes no conectadas a Internet, o la explotación de la vulnerabilidad que permitía ejecución de código por el .LNK, mencionada anteriormente, y que Microsoft parcheó posteriormente. 

Una de dos: o el malware, una obra maestra de la ingeniería del software, ha sido realizado por el mismo equipo de expertos, o diferentes personas han descubierto y aprovechado el mismo Zero-Day. Lo que está claro es que no es fruto de un grupo de amigos en su casa, sino un proyecto muy bien financiado y organizado.

Según las fuentes, se piensa que el malware podría haber existido desde 1996, por lo que implicaría que desde los principios del boom de la utilización masiva de los ordenadores, ya había intereses en lograr el control de lo que en ese momento, sería el futuro. 

A tenor de estas noticias, sólo nos resta preguntarnos ¿En manos de quién estamos? ¿Podemos realmente hacer algo para mantener a salvo nuestra información más secreta? ¿Están preparados los dispositivos que funcionen con bits para proteger el contenido de lo que pasa a través de ellos?


Si queréis leer más detalles sobre esta joya de la ingeniería, os recomiendo esta review, mucho más extensa en ArsTechnica

Actualización: Podéis ver aquí la información original publicada por Kaspersky  (Gracias @txalin)
Leer más...

15 febrero 2015

Enlaces de la SECmana - 263



Leer más...

13 febrero 2015

Presentación del capítulo OWASP Madrid


El principal objetivo del capítulo de OWASP Madrid es compartir el conocimiento sobre seguridad de la información mediante eventos gratuitos y de acceso libre impartidos por profesionales del sector de la seguridad y miembros de la Comunidad.

Otros propósitos del capítulo son:

  • Creación de herramientas que ayuden a desempeñar el trabajo diario.
  • Compartición de herramientas y búsqueda de colaboradores.
  • Ofrecer talleres donde cualquiera que tenga interés en contar algo tenga su espacio para hacerlo.
  • Formación y certificaciones: Ofrecer una guía a quienes necesiten orientación al respecto.
  • Wiki Pentesting Web: confeccionar una lista breve con enlaces y/o comandos que ayuden a buscar o solventar vulnerabilidades.


Un punto importante es el de contribuir a la mejora de la seguridad de las aplicaciones en general. Para ello se tratará de ampliar el círculo de asistentes más allá de especialistas en seguridad incluyendo a desarrolladores, administradores de sistemas, y en general, a cualquier entusiasta de la seguridad con el objetivo de concienciar y formar ("Hacking para no hackers").

En estos momentos tenemos previsto que los eventos se realicen cada tres meses como máximo. Las reuniones serán de tipo informal por las tardes, para que cualquiera pueda acudir sin tener que pedir vacaciones. La idea es rescatar la filosofía y estilo de las "conferencias FIST" a las que muchos pudimos asistir para aprender de auténticos "hackers" sin la definición actual de la RAE y que lamentablemente ya no se celebran.

Con motivo de la creación del capítulo de Madrid de OWASP, el próximo día 26 de Marzo se realizará un evento de presentación en el que se detallarán las metas del capítulo y donde se incluirán dos charlas que esperamos resulten de vuestro interés y al que queremos invitaros públicamente.

Los detalles de la agenda son los siguientes:


Charlas:

  1. Presentación OWASP Madrid
  2. "From vulnerable source to shell in two hours". La charla estará comprendida de dos partes:
    1. Introducción a la seguridad en código (por Ángel García @_Ell0_). Se explicarán conceptos de seguridad en código, enseñando fallos comunes y también se mostrarán ejemplos prácticos. En concreto se utilizará un fallo conocido de Drupal, framework de PHP famoso por su seguridad.
    2. Explotación fallo de seguridad (por Danito @dan1t0). En esta charla que continuará donde termine la anterior, se explotará el fallo mostrado por Ángel, dumpeando información de la BBDD, troyanizando y controlando el servidor remoto. Se mostrará como poder usar este fallo para atacar a otros usuarios.

Podéis emplear nuestros canales oficiales de comunicación para más información y desde ellos, os incitamos a participar activamente del capítulo OWASP Madrid.

Leer más...

12 febrero 2015

Respuesta de Nacho @Vigalondo a mi carta abierta

Estimado Yago:

Lo primero de todo, muchas gracias por pensar en mi en esta propuesta que consideras tan relevante, e incluso urgente. No hay mayor privilegio para un director de cine pequeño como yo que estar en mente del espectador, no sólo en las películas que he hecho, sino en las que él idealiza. Ante eso sólo puedo mostrarte mi más humilde agradecimiento.

En efecto, el mundo hacker es un entorno fascinante, por sí mismo, también a partir de la colisión con el mundo físico, su efecto en los medios, la política, la sociedad, la posibilidad de definir una nueva ética...

La gran dificultad a la hora de trasladar la comunidad hacker al cine (no he visto Blackhat todavía, lo siento) es, en realidad, la misma que se presenta a la hora de retratar cualquier trabajo. Pocos trabajadores de pocos gremios, desde la policía hasta la pesca en alta mar, te dirá que las películas trasladan su rutina a la pantalla con fidelidad. Lo más fascinante del cine es su gran limitación: Es un lenguaje visual, cinético, y como tal demanda que lo que vemos en pantalla sea convenientemente deformado para ser asimilado. ¡Ni siquiera las películas que muestran rodajes de películas son realistas! Sin embargo, que algo no se parezca a la verdad no quiere decir que no contenga ninguna verdad.

Sin embargo ¿se puede hacer una película sobre hackers que te satisfaga, según lo que expresas en tu carta? Creo que sí. ¿La puedo hacer yo?

Te confieso que hasta ahora no he confiado mucho en mí mismo a la hora de hacer un retrato fidedigno de ninguna realidad. Todas mis películas lidian con elementos reconocibles, hasta vulgares, pero siempre en el cruce con un elemento fantástico. Por ejemplo, en mis dos primeras películas jugué a partir de un planteamiento abiertamente fantástico pero desarrollándolo con personajes banales, incluso mediocres, en vez de tirar de héroes y villanos de película épica. En Open Windows sucedió lo contrario, el arranque transcurría en un entorno más o menos reconocible, pero la película se iba deformando más y más, hasta desembocar en un espacio fantástico, de abierta ciencia-ficción. Es una fantasía en la que no hay un retrato de nada (en absoluto del mundo hacker). Y si hay alguna verdad dentro de esa peli, es decisión del espectador buscarla y encontrarla. Sólo si cree que la película lo merece, claro.

¿Por qué mis películas han salido hasta ahora así? No tengo la menor idea. Creo que es algo que, sencillamente, está sobre mi. Cualquier escritor o artista decente te dirá algo parecido. Hay mucho cálculo en la elaboración de nuestras obras, pero si no hay un elemento básico de locura o intuición pura no estaríamos siendo artistas, sino estrategas. Y que conste no tengo nada en contra de los estrategas, de hecho,a veces pienso que no me vendría mal ser capaz de ser uno de vez en cuando...

En cualquier caso, de los tres proyectos que tengo más o menos desarrollados, por ejemplo, uno habla del acoso online (entendiendo al acosador como un usuario corriente de redes sociales, no un hacker). Me apasiona el que tantas personas posiblemente decentes y pacíficas pierdan por completo la capacidad para empatizar con el otro en entornos virtuales y tengan comportamientos psicopáticos con gente desconocida. Esta película, por el momento, no incluye ningún elemento fantástico. ¿Incluye elemento hacker? De momento no, pero lo digo con la boca pequeña, porque el guión está en bragas. Si surgiese, te prometo que pondré especial cuidado en ofrecer un retrato nada vulgar, estereotipado o sensacionalista. Y, si quieres, prometo contrastar contigo cualquier cuestión. ¿Qué te parece?

Por supuesto, traslado el ofrecimiento a cualquier idea que vaya surgiendo a partir de mañana mismo.

Un abrazo agradecido,
Nacho.
Leer más...

11 febrero 2015

Seguridad en Mainframes (I): Preparación del entorno de pruebas

Continuamos la serie que iniciamos allá por Julio con el post "'Casi todo' lo que necesitas saber sobre seguridad en Mainframes" y por fin nos vamos a poner a jugar con "Mainframes. Antes de nada, tranquilidad, y no analicéis todo Internet en busca de sistemas accesibles sobre los que intentar entrar.

Vamos a empezar la casa por el tejado, y a continuación explicaremos cómo disponer de un entorno Mainframe en nuestros propios equipos personales (ya sean Windows, Mac OS X o Unix...) gracias a un emulador. Y digo empezar la casa por el tejado ya que la teoría básica que necesitamos conocer sobre estos sistemas la veremos en próximos posts antes de ponernos realmente a jugar.

Requisitos

Necesitamos cumplir concretamente 3 requisitos indispensables para montar nuestra infraestructura de pruebas. Debido a que la arquitectura no es la habitual, nos olvidaremos de los tan conocidos VMware y VirtualBox.
  1. Emulador: Nos decantaremos por Hercules, software open source que implementa las arquitecturas System/370, ESA/390 y las nuevas z/Architecture de 64bits. 
  2. Terminal: para conectarnos al sistema, no podremos interactuar por completo a través de la interfaz de Hercules, por lo que necesitaremos engancharnos al hardware para poder interactuar con el entorno. Para el terminal elegiremos x3270, el cual está disponible para todos los sistemas operativos de tipo Unix, y además está disponible de forma nativa también para Windows. Instalaremos por tanto wc3270
  3. Sistema operativo: Aquí viene el punto clave de todo esto, a Hercules le tenemos que dar las rutas de las imágenes del sistema operativo IBM z/OS que queremos ejecutar. Como sabréis la mayoría, aquí no tenemos ni ISOs ni hay posibilidad de descargarse el sistema operativo de manera gratis, ya que no lo es en absoluto. Por lo que asumimos que para continuar, dispondrás de imágenes de IBM z/OS, por tener licencia válida o... Nosotros utilizaremos para este post, las imágenes de z/OS v1.10, que dejaremos ubicadas por ejemplo en C:\ZOS110. Ahí se colocan todos los ficheros cckd.

Ubicando lo necesario

Una vez tenemos Hercules y el terminal instalado donde corresponda, y ubicadas las imágenes del sistema operativo z/OS en C:\ZOS110, editaremos la configuración de Hercules hercules.cnf para que apunte a las imágenes correspondientes. Este fichero estará dentro de su directorio de instalación.
He subido a pastebin un fichero hercules.cnf suficiente para que podamos comenzar con la plataforma. Podéis sustituir el contenido del hercules.cnf de ejemplo que viene con el programa con lo siguiente:

Contenido de hercules.cnf de ejemplo


Como veréis en el contenido, la parte final contiene los enlaces a los cckd. Si no habéis podido ubicar las imagenes en C:\ZOS110, ahí deberéis colocar la ruta exacta.

Referencia a imagenes de zOS 1.10

Es el turno de configurar los terminales que nos permitirán conectar al sistema. Para ello, crearemos en cualquier lugar un fichero llamado por ejemplo test.wc3270 con el siguiente contenido:

wc3270.hostname: localhost:3270
wc3270.model: 4
wc3270.charset: spanish-euro
wc3270.autoShortcut: true
Al ejecutar este fichero mediante el cliente wc3270, se iniciará una conexión a modo de consola, con la que podremos interactuar y recibir información por parte del sistema al ejecutarse.

Para ello, crearemos posteriormente un acceso directo que llame a la consola y le pase nuestro fichero de sesión como argumento. Necesitamos la ruta completa donde ubicamos tanto el binario de wc3270.exe como dicho fichero. Si por ejemplo tenemos el terminal en C:\tools\wc3270\wc3270.exe y el fichero de sesión en C:\tools\wc3270\test.wc3270, nos crearemos un acceso directo que ejecute:

C:\tools\wc3270\wc3270.exe +S "C:\tools\wc3270\test.wc3270"


¡Ya tenemos todo listo para iniciar el sistema!

Iniciando el sistema

Realizaremos las siguientes acciones por orden:
    • Apertura de terminales
      • Ejecutar Hercules (Programa Hercules CMD prompt (64 bit)) e iniciar la arquitectura ejecutando el binario hercules.exe (como está el fichero de configuración en la propia carpeta, no es necesario pasarlo como parámetro)
Ejecutamos el prompt de comandos de hercules

Prompt de comandos para Hercules

Ejecución de hercules.exe con fichero de configuración en la misma ruta que el binario
      • En este momento, Hercules espera órdenes.
      • Seguidamente, abriremos dos consolas mediante el acceso directo que hemos creado previamente para el wc3270. La primera servirá como interfaz al sistema principal y la siguiente para interactuar con TSO. Al ejecutar las sesiones, veremos la conexión realizada en la pantalla de Hercules. Tendremos un total de tres ventanas abiertas.
Apertura de sesiones con consola 3270 y detección de su apertura por parte de Hercules
    • En la ventana de Hercules, ejecutaremos el comando de carga de IPL que iniciará el arranque del sistema. Utilizaremos la versión gráfica que podemos invocar mediante la tecla Esc.
Versión "gráfica" de Hercules
      • Estando en la versión gráfica mostrada en la imagen anterior, ejecutamos la tecla L, apareciendo en la parte inferior de la pantalla un mensaje de "Select Device for IPL". pulsaremos posteriormente la tecla que corresponda con el primer DASD, en mi caso (y seguramente en el vuestro, la F). 
Selección de dispositivo DASD para carga IPL
      • Para ver el proceso, volveremos a ejecutar Esc y así veremos todos los mensajes de la ejecución.
    • En la primera consola, obtendremos lo siguiente, solicitándonos responder con I o R . Escribiremos en dicha consola r 00, I y pulsaremos Enter.
Solicitud de respuesta al usuario para continuar ejecución de sistema z/OS
    • Si todo ha ido bien, comenzaremos a ver como en Hercules y dicha sesión aparece información de la carga, y en la segunda sesión un mensaje de bienvenida al sistema con el logo en ASCII de z/OS.
Pantalla de bienvenida a sistema z/OS

Entrando al sistema

  • En la pantalla de bienvenida, ejecutaremos el comando L TSO, y al solictarnos el USERID escribiremos IBMUSER como usuario y pulsaremos Enter. 
Solicitud de cuenta de usuario
  • En la siguiente pantalla se nos solicita la contraseña, y escribiremos SYS1. De nuevo, Enter para confirmar
Solicitud de contraseña para el usuario introducido previamente

Acceso a menú ISPF del sistema

¡Ya tenemos todo lo necesario para empezar! En próximos artículos veremos conceptos básicos de este sistema operativo y entorno, realizaremos tareas básicas de administración para dejar expuesto el sistema a diferentes vulnerabilidades y posteriormente veremos su explotación.

Leer más...

10 febrero 2015

Carta abierta a Nacho @Vigalondo

Estimado Nacho, en primer lugar aprovecho para felicitarte por tu labor como cineasta, aprecio mucho la forma en la que haces cine y la evolución ascendente que has experimentado desde aquella mítica 'Los Cronocrímenes', de la que me declaro MUY FAN y que siempre que me la encuentro en Paramount Channel, me quedo a verla (y ya van, tranquilamente 5 o 6 veces), hasta Open Windows, película en la que se nota un despliegue de medios al nivel de cualquier película 'made in hollywood'.

Perteneces a esa nueva generación de cineastas patrios que se alejan del cine 'tipo Almodóvar' (para mi gusto excesivamente dramático), y que adopta una forma de hacer cine mucho más moderna. Tal vez tu y Amenabar seáis los punta de lanza de dicha generación de la que se espera mucho.

El motivo de esta carta es lanzarte una proposición que, por tu perfil, te convierte en el hombre adecuado. Te propongo que seas el primer director que haga una película que aborde la seguridad informática, el hacking y todo ese apasionante mundo, de una forma coherente y REAL.

Probablemente conozcas (y hasta puede que hayas visto) la película de  Michael Mann 'Blackhat amenaza en la red'. Esta película, que prometía mucho, al final ha resultado ser bastante decepcionante. La elección de los actores, la trama y las excesivas concesiones para hacer de la película un 'blockbuster', han convertido una idea en origen muy alentadora, en una película que bien podría haber pertenecido a la saga 007

El mundo de la seguridad informática clama por una película rigurosa en la que la parte técnica sea impecable, real, coherente y que además, el resto de la trama sea creíble. No, no se pretende buscar un Mario Casas que se pase la mitad de la película sin camiseta y que mientras hace 100 cosas tan prodigiosas como irreales, aproveche para ligarse a una María Valverde que apenas aporta a la trama.

Queremos una película real, una película que podamos recomendar, aplaudir y sea fiel, sobre todo eso, FIEL.

Tu ya has tratado el tema del hacking en tu película 'Open Windows', tal vez de una forma lateral, pero no es un tema que te resulte nuevo, simplemente, en mi opinión, no era el foco principal de esa película.

Además tu tienes madera de hacker, no terminaste los estudios imagino que motivado por una vena autodidacta que, te sorprendería, es una seña de identidad del sector de la seguridad informática. Seguro que te sentirías muy cómodo trabajando con nosotros. 

Además, si 'bordas' la parte técnica de la película, no dudes que eso te posicionaría muy bien en el mercado de Estados Unidos, ya que goza de un potente mercado relacionado con la seguridad capaz de congregar miles y miles de personas en eventos de fama mundial. Dirigir una película que se convierta en el santo y seña del sector puede ser un 'hit' que perdure por mucho tiempo.

Hay muchos temas que te podrían servir de base para elaborar una película, desde los miles de incidentes de seguridad que se producen a diario, pasando por la 'ciber guerra' entre países 'enemigos', hasta los movimientos sociales que hunden sus raíces en el hacking. 

Espero que la propuesta, cuando menos, te haya encendido una chispa en la cabeza, y si termina por prender, ya sabes, solo tienes que levantar la mano y decir 'eh, ME INTERESA'   

Sin más que añadir, me despido. Esperamos noticias tuyas
Leer más...

09 febrero 2015

Plataforma de envíos certificados by eGarante

Ha pasado algún tiempo desde que presentamos novedades en eGarante y hoy toca presentar una de las gordas: La plataforma de envíos certificados. Otro paso más en la cartera de servicios que ofrecemos orientada a hacer internet mucho más confiable y que permite agilizar trámites que, necesariamente, tienen que pasar al mundo online.

La plataforma que hemos creado permite hacer envíos de documentos y hacer la trazabilidad total de dicho documento. Desde su envío, hasta su recepción y su confirmación. Esto permite, por ejemplo, la posibilidad de firmar contratos / acuerdos con la sencillez característica a los productos de eGarante.

El funcionamiento es muy sencillo, desde la Intranet de eGarante se accede a la sección de servicios donde se encuentra 'Envío certificado de documentos'


Una vez ahí seleccionamos el emisor de dicho documento, el destinatario, el documento y el tipo de envío


Hay dos tipos de envíos:

1- Básico: En este caso, se hace entrega del documento en el buzón solicitado, y al emisor se le entrega un documento de confirmación de la entrega en el buzón del destinatario con el log del servidor remoto. 

Este envío es útil cuando se desea tener constancia de que un documento ha sido enviado. Un caso típico sería, por ejemplo, enviar las condiciones generales de un servicio. 

El destinatario recibe el documento firmado digitalmente por eGarante

El emisor recibe un PDF firmado digitalmente como evidencia del envío que luce tal que así:


Y que contiene el log del servidor de correo remoto (del destinatario) que certifica su entrega


2- Avanzado: Envío con PIN de confirmación. En este caso se desea que el destinatario del correo haga alguna acción sobre el documento, aceptarlo, rechazarlo o simplemente notificar su recepción. En ese caso hemos de seleccionar 'Avanzado' y poner el correo.


El receptor del correo recibe un mail parecido a este que contiene el documento firmado digitalmente por eGarante, una URL y el PIN:


Con un enlace al que ir e introducir el PIN notificado por correo electrónico para ejercitar una acción sobre ese documento


De esa forma el destinatario puede mostrar conformidad sobre el documento y aceptar las condiciones / propuestas de dicho documento.

Una vez haya completado ese paso, se generará una evidencia digital de la acción tomada en dicho documento. Tanto emisor como destinatario recibirán un documento (con firma digital) tal que así:


Y sobre esa mecánica, se puede hacer aun más robusto el proceso de aceptación añadiendo un teléfono móvil al que entregar el PIN, de esa forma queda aun más acreditado el destinatario


Además, este servicio se encuentra disponible vía API con lo que es 100% integrable en cualquier plataforma

A futuro queremos añadir mas formas de entregar el PIN para hacerlo más flexible y robusto.
Leer más...

08 febrero 2015

Enlaces de la SECmana - 262

Leer más...