Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

sábado, 31 de diciembre de 2011

Otro año menos

Esta humilde morada cumple ya dos años. En los manuales de supervivencia en la montaña, una de las recomendaciones para no perderse antes de internarse en la parte agreste es; echar una última mirada hacia atrás. La idea de este post, como ya hice el año pasado es esa, mirar atrás y recapitular el año en lo profesional:
  • Este año deje una gran empresa y un excelente equipo para iniciar una nueva aventura profesional en un proyecto muy ilusionante
  • Durante algunos meses estuve viendo la posibilidad de trabajar fuera de España, principalmente en EEUU para conseguir experiencia internacional y 'aprender' inglés, pero el tema no cuajo, bien por mi spanglish, la dificultad de conseguir una VISA en estos tiempos, o porque no daba el perfil adecuado. 
  • Este año obtuve la certificación CISSP.
  • Un reto al año sigue siendo un clásico, te pone a prueba física y mentalmente.
  • Me faltan 3 asignaturas y el proyecto para conseguir el BSc(hons), con tranquilidad.
  • Este año empecé un proyecto en el cual..., no tengo excusa.
  • Este año leí menos libros de los deseados, culpa de twitter.
  • A partir de ahora realizaré algunas colaboraciones con artículos en el blog de SbD.

Pararte un momento y echar una pequeña vista atrás te da algo de perspectiva.


¡¡ FELIZ AÑO 2012 !!

martes, 13 de diciembre de 2011

La seguridad visible de la banca electrónica en España

En su día el Banco de España ya defendió al cliente ante el fraude de la banca online. Hace años, en un foro creado al efecto, el Banco de España solicito a las entidades un mínimo de requisitos para sus operaciones por internet, se les exigía requisitos como haber informado previamente al cliente y haber impartido información y asesoramiento necesarios para el uso adecuado del canal y la correcta custodia de las claves. 

El Banco de España ya afirmó que no es una práctica bancaria recomendable que el consumidor tuviera que asumir las consecuencias del fraude online él solo. Algunos de los argumentos que dió el BdE fueron:

  • No todos los sistemas de la banca online son igual de seguros.
  • Las entidades financieras son las que han creado la banca electrónica y las que fomentan su uso (muchas veces sin advirtir los riesgos) por la importante reducción de costes que supone.
  • El fraude online es cada vez más avanzado y los sistemas de protección del banco pueden no ser los más adecuados.

No hay estadísticas públicas de que entidades son las más afectadas por el fraude online, ese dato no se conoce incluso ni entre ellas, sólo disponen datos de forma anónima. Cada entidad actúa de mejor o peor forma, o incluso no actúan en reforzar la seguridad para proteger los datos de sus clientes. Como observadores desde el exterior, podemos ver cual es la seguridad SSL de las entidades y puede que eso nos de una idea de la concienciación en seguridad de las entidades y de la diligencia en la gestión interna de la seguridad de sus sistemas.

viernes, 25 de noviembre de 2011

Entendiendo la seguridad SSL de los sitios web -PKI I-

Los recientes casos de StartComComodo, la ya desaparecida Diginotar y el reciente de los certificados RSA-512, ponen de manifiesto la seguridad de las Autoridades Certificadoras, aquellas que se suponen deben velar por la seguridad de los sitios de la banca y comercio electrónico, redes sociales, etc.

En este artículo, inspirado en el original, voy a intentar exponer de manera sencilla conceptos base sobre la tecnología SSL para qué como usuarios, sepamos algo más que aquella famosa y falsa afirmación: "si la web lleva un candado (https) la conexión es segura". Y podamos también conocer el alcance de una brecha de seguridad en Entidades Certificadoras como las anteriores.

INTRODUCCIÓN
https o lo que es lo mismo, los certificados SSL/TLS, se basan en la tecnología PKI --infraestructura de clave pública-- en inglés, la cual hace uso del cifrado de clave pública. Esta tecnología se diseño para solucionar el problema fundamental de permitir a dos partes (personas, sitios web, dispositivos...) que no tenían una relación previa el confiar entre ellas para intercambiar información sensible. PKI soluciona este problema definiendo una tercera parte, la cual verifica la identidad de las otras dos. Es lo que en la vida real conocemos como "tener buenas referencias".

Para aquellos que estén interesados en la parte técnica y teórica de esta tecnología pueden echar mano de los RFCs, ver los vídeos 3, 9 y 10 de intypedia o apuntarse al curso de cifrado que en Enero impartirá de manera gratuita y online la Universidad de Stanford.

En Internet, la tecnología PKI se usa principalmente con los certificados SSL/TLS para que los dueños de los sitios web puedan asegurar a sus visitantes que:
  • El sitio web es de confianza (es seguro hacer negocio/compras con él)
  • Auténtico (el sitio web es de la compañía que dice poseer dicho sitio)
  • Pueden proporcionar el material necesario a la capa SSL/TLS para permitir qué el tráfico entre el usuario y el sitio web se intercambie en privado (a través del cifrado) y autenticado (a través de la autenticación de datos) 
La tecnología PKI se puede usar para otros propósitos como enviar correos firmados/cifrados pero este artículo se basa únicamente en la funcionalidad de los certificados web SSL/TLS.

Cómo usuarios, cuando visitamos un sitio web por primera vez no tenemos información que podamos usar para validarlo. Por ello, los sitios web lo delegan en los servicios de una Entidad Certificadora (CA). Una CA es una organización que actúa como una tercera parte de confianza para los certificados SSL/TLS emitidos a los operadores de los sitios web. Una CA está sometida a rigurosas auditorías de seguridad, entre otros por las empresas de los navegadores de Internet como; Microsoft, Apple, Mozilla, Opera, etc. Estas empresas añaden el certificado raíz de la CA directamente en su software. Este hecho hace que los navegadores actúen como agentes ante nosotros los usuarios en decidir si confiar o no en una CA particular (aunque por supuesto, también podremos instalar manualmente certificados raíz qué no estén por defecto en los navegadores, pero supondrá un trabajo 'extra'). Cuando un navegador ha decidido confiar en una CA, esta CA es inherentemente confiada por cualquier usuario de dicho navegador. Cómo comprobación final, un navegador puede usar la información del certificado del sitio web y el certificado de la CA para verificar que el certificado del sitio web no ha sido revocado por la CA.

En este punto, cuando un usuario visita un sitio web que tiene un certificado emitido por una CA de confianza en tú navegador, EJEMPLO, el navegador proporcionará una indicación visual de que dicho sitio web es de confianza. A partir de entonces, podriamos --nótese el condicional-- estar seguros de que no es un sitio fraudulento o de phishing.

CONFIANZA EN EL MODELO PKI
Cómo he descrito antes, hay 3 puntos básicos en los que se crean decisiones de confianza en una PKI:
  • Las empresas de navegadores confían en CAs comerciales para incluirlas en su software.
  • Las CAs corroboran la identidad de los sitios web emitiendoles certificados
  • Nosotros los usuarios usamos un navegador en el que confiamos.

Confianza en CAs comerciales
Las empresas de navegadores y las CA comerciales, a través de la organización CABForum, han acordado un conjunto de estándares de auditoría que definen las prácticas de seguridad que las CAs comerciales deben seguir e implementar durante el curso de su emisión de certificados a los operadores de los sitios web. El estandar de facto es WebTrust. Dichas prácticas se enfocan en asegurar que la CA protege apropiadamente todo el equipamiento relacionado con los certificados raíz, implementa las contramedidas necesarias para prevenir la emisión de certificados fraudulentos y actúa con buena diligencia en:
  • Asegurarse que el propietario de un sitio web está autorizado a emitir un certificado para su sitio web.
  • Asegurarse que el propietario del sitio es realmente quién dice ser.
Las dos medidas anteriores evitan principalmente la creación de mirrors de sitios 'válidos' pertenecientes a esquemas de phishing.


Confianza en los operadores de los sitios web
La responsabilidad de validar al propietario de un sitio web y verificar la identidad de la organización que está detras de dicho sitio web recae en la CA. Para validar al propietario de un sitio web las CAs normalmente validan que la persona que solicita un certificado SSL para un determinado sitio web está autorizado para ello consultando el registro DNS del sitio. Las CAs usan la información pública de los registros DNS para validar solicitudes, normalmente contactando con la persona que se muestra en el registro del sitio web. Los certificados SSL que se validan así se conocen como certificados de dominio válidos.

Las CAs también pueden realizar verificaciones adicionales ( esto para otro artículo, y mostrar así el problema de tener varios dominios diferentes e intentar esto ) para conseguir certificados que han pasado unos rigurosos controles de verificacion. Dichos certificados son los Certificados de validación extendida. SSL EV.

Confianza en los navegadores web
La última y quizá más importante decisión de confianza en el modelo PKI es la decisión de nosotros; los usuarios, sobre el navegador que usamos para visitar sitios web seguros. Como los navegadores contienen ya una lista precargada de CAs públicas en las que confía, el usuario final, seleccionando un navegador en concreto implícitamente confía en todas las CAs que su navegador confía. Gracias a los esfuerzos del CABForum para involucrar a la mayoría de navegadores y sistemas operativos en los esfuerzos de estandarización con las CAs comerciales, el conjunto de CAs confiables es casí común en la mayoría de navegadores. Pero desafortunadamente el mecanismo de mostrar que una CA en particular confía en un sitio con SSL/TLS varía notablemente entre los navegadores confundiendo asi más si cabe al usuario.

Por ahora llegamos hasta aquí, en la siguiente parte veremos problemas que puede haber y sus consecuencias.

Un pequeño ejercicio de investigación. A ver quién conoce el nombre de la primera compañía española que tuvo su CA propia incluida en Windows 2000. (se puede consultar en los navegadores actuales)




We monitor all networks in real time, all the time,". "This isn't something you can teach in a few minutes, it's an attitude, a way of life. Eddy Nigg.

lunes, 17 de octubre de 2011

Las empresas se empiezan a tomar en serio la seguridad

Las empresas no se toman la seguridad en serio, es el título del artículo escrito por la prestigiosa periodista española Merce Molist, única periodista que conoce el auténtico significado del término hacker especializada en el entorno underground. El contexto de dicho artículo fué la mesa redonda de la conferencia de seguridad NoConName 2011. En dicho artículo se ponía de manifiesto las principales causas de la desidia de las empresas en cuanto a la seguridad, pero poco a poco esa mentalidad está cambiando, y no solo por todos los incidentes de seguridad que han ocurrido últimamente, sino porque cada vez más el perfil del profesional de seguridad está siendo más necesario y solicitado. Su objetivo es claro; proteger la información de las organizaciones (personas, negocios o gobiernos ).
"Ningún campo en el empeño humano ha nacido con una madurez total. Desde la construcción de barcos hasta poder desplazarnos por el aire, la innovación ha ido a través de un largo y factuoso proceso de evolución. Una idea se situa encima de otra sobre un periodo de muchos años con el objetivo de alcanzar ese punto de perfección o finalización. Por ejemplo, las prácticas médicas que existían durante la época victoriana se consideraban un arte en aquel tiempo, y no son las que se aplican actualmente, aunque deriven de ellas. La experiencia práctica es un constante flujo y reflujo de nuestra comprensión de como las cosas funcionan. 
Este concepto es particularmente aplicable al campo de la Seguridad de la Información. Esta profesión tal y como la conocemos hoy no ha existido como otros campos más establecidos. Mientras la sociedad se ha acostumbrado al rol de los arquitectos y abogados, los analistas de seguridad de la información son prácticamente unos recién llegados."

miércoles, 28 de septiembre de 2011

Como robar datos de usuarios para realizar campañas virales

El otro día me encontré un e-mail de este tipo en mi buzón (enviado por uno de mis contactos):


Al día siguiente, el incauto fué consciente de lo que había ocurrido y envío el siguiente correo a todos sus contactos (entre los que me encontraba yo) y ¡¡con CC visibles mostrando más de 100 cuentas de correo!!, bueno, al menos tuvo el detalle de avisarnos :-)


¿Un virus?, vamos a ver de que se trata. El enlace tan llamativo para ver las fotos apunta a la siguiente dirección:

y envía por parámetro GET la dirección de correo de quién accede desde el enlace malicioso. Pero dicha dirección está configurada para redirigirnos temporalmente a otro sitio (estas campañas suelen durar poco) en concreto nos lleva a:


que nos presenta en el navegador el siguiente formulario


en el cual introducimos nuestra cuenta de correo y contraseña que usamos para la mayoría de servicios que tenemos (hay hasta quién se enorgullece de ello), y esta irá a parar tranquilamente a una suculenta BBDD con direcciones de correo y contraseñas.


mientras tanto, siguiendo con nuestro periplo vamos a parar a una web de este estilo:


sí lo probábamos varias veces, al final nos redirigía a Google, ya que nos habían fichado ya, qué es de lo que se trataba.
pero podíamos volver a ver el mensaje anterior tan solo modificando el parámetro aff_id

En conclusión, se trataba de una de estas estafas promociones de tarificaciones especiales por cada mensaje en el móvil, y por el mismo precio además conseguían credenciales de cuentas de correo con su password correspondiente para seguir distribuyendo la supuesta promoción e inflar el negocio, que la crisis nos ha afectado a todos.

NOTA: Un antivirus no hubiera servido de nada en este caso, ya que se trata de Ingeniería Social, el mejor antivirus conocido ante esta técnica es la formación y concienciación.

lunes, 5 de septiembre de 2011

Seguridad informática != Seguridad de la información

"Information security is no longer a technology-focused problem. It has become the basis for business survival as much as any other issue."


La seguridad informática es sólo una parte del gran cuadro de Seguridad de la Información. Y de esto último es de lo que se ocupan los SGSI, pero no hablemos de estándares, sino del concepto en sí de Seguridad de la Información y en como se diferencia de seguridad informática.

Sobre decir que la seguridad informática es muuuy importante, en particular para los departamentos de sistemas y tecnología, pero la Seguridad de la información va más allá del concepto técnico para enfocarse en los procesos del negocio y en el flujo de datos tanto electrónicos como papel. Este marco nos ayudará a entender donde invertir el presupuesto (siempre limitado) para proteger los sistemas y dispositivos con información más sensible y más esenciales para la organización. INCISO: Consultar el libro "Security Metrics: Replacing fear, uncertainty and doubt" para la creación de cuadros de mando de Seguridad.

El software inseguro es uno de los principales motivos de la inseguridad de la información, el manejo de los procesos y los sistemas de información por parte de personal no concienciado lo suficientemente es otro de ellos. ¿Por qué una empresa se va a gastar cientos de miles de euros en proteger un servidor cuando se pueden volcar datos sensibles en un Smartphone, con pocas o ninguna medida de seguridad, que ni siquiera pertenece a la empresa?

Es absolutamente necesario que las empresas dispongan de medidas de seguridad informática en sus servidores y dispositivos (de forma propia o externalizada). Pero un buen número de herramientas de seguridad configuradas y controles técnicos establecidos no son suficiente para manejar los riesgos de las empresas de la captura, procesamiento y uso de datos sensibles.

Si todos los miembros de la empresa supieran que datos se procesan y porque, como se usan, y que  se debería prescindir de ellos tan pronto como el costo de almacenarlos y protegerlos exceda el valor del negocio de retenerlos, eso, sería vital para reducir el daño que un incidente pudiera ocasionar. Ha habido ejemplos recientes de incidentes que conservaban datos sensibles más allá del punto en que eran ya de poco valor. Estos datos representan una gran responsabilidad (evitable) cuando un incidente ocurre. Los de IT pueden controlar el acceso a una base de datos, pero quizá no pueda imponer estrictos controles de retención o forzar el hashing u otros controles similares sin un mandato regulatorio o legal. La seguridad informática compone una pequeña parte de la Seguridad de la Información, la primera es la parte técnica y la segunda un proyecto global o proceso continuo, o mejor aún; una actitud.  

Basado en el original

miércoles, 20 de julio de 2011

Como preparar el examen para la certificación de Seguridad CISSP (en poco tiempo)

Disclaimer: Este artículo sólo es válido si tienes la experiencia necesaria en sistemas y seguridad y crees firmemente que el examen CISSP será un trámite y una forma de ordenar y aclarar algunos conceptos. Así mismo tampoco pretende sustituir a los múltiples cursos preparatorios que se ofertan. Toma este artículo con cautela y bajo tu propia responsabilidad.

Sí te estas pensando sacar la certificación CISSP, tienes años de experiencia en sistemas y Seguridad y no mucho tiempo para prepararla, sigue leyendo. Este artículo es por si a alguien le sirve de algo mi experiencia al preparar el examen para CISSP. CISSP sigue siendo una de las certificaciones más demandadas en el área de Seguridad y requiere de una muy buena preparación para afrontar con éxito el examen. Actualmente en España hay 396 certificados en CISSP.  Antes de nada hay que saber que para conseguir el certificado CISSP es necesario:
  1. Aprobar el examen que consta de 10 dominios principales de Seguridad. Tienes que obtener 700 puntos o más (si apruebas no sabrás cuantos obtuviste, si suspendes sí). El examen es tipo test con cuatro opciones en cada pregunta. Tiene una duración máxima de 6 horas.
  2. A través de un documento oficial proporcionado por ISC2, otro miembro que ya sea CISSP deberá recomendarte alegando que certifica que cumples con los 5 años de experiencia en 2 o más de los dominios exigidos en Seguridad.
  3. En el 25% de los casos realizan una auditoría, por lo que en el caso que te toque deberás pasarla para obtener la certificación.
  4. Una vez que consigas la certificación CISSP necesitarás recertificarte cada 3 años a través CPEs (Continuing Professional Education) que los puedes obtener a través de asistencias a congresos, formación o seminarios.
En mi caso, contaba con 5 años de experiencia en el área de sistemas e implantando proyectos de Seguridad como PKIs, cumplimientos de SGSI, participación en la creación de BCPs y DRPs, gestión de identidades, filtros de contenidos, fortificación de servidores y sistemas biométricos. Además he participado en diversos proyectos Open Source de documentación de Seguridad y nuevas amenazas online. A todo esto le sumaban 2 años de experiencia en el departamento de e-crime de quién me paga la nómina actualmente, y que gracias al plan de carrera interno patrocino mi certificación. En estos dos años gané experiencia en forenses, auditorías, algo de análisis de malware y servicios de protección contra el fraude online. Todo ello me permitía cumplir el primer requisito. Aunque otra opción si no lo cumples es, pasar el examen y cumplirlos posteriormente.

Cuando tuve claro que quería presentarme al examen (el 17 de marzo), busqué en el portal de ISC2 las convocatorias en España. La aplicación mostró sólo una convocatoria, el 30 de abril en Barcelona. Tenía poco más de 1 mes para prepararlo, pero si no lo hacía, tendría que esperar otro año, cosa que no me apetecía (luego me enteré que en Octubre hay otra convocatoria en Madrid, pero todavía no salía en el portal del ISC2). Decidido entonces, empecé a buscar información sobre buena documentación para preparar el examen. 


DOCUMENTACIÓN Y METODOLOGÍA

Toda la documentación y tests que he usado para prepararlo fueron en inglés. Existe multitud de documentación para preparar el CISSP, pero de todo ello, el libro de Shon Harris es una de las guías más completas que existen para preparlo. Por un lado me lo compré, siempre está bien tenerlo en la biblioteca para consultar, y por otro lado me lo imprimí para estudiarlo con más comodidad pudiendo subrayar y practicar con los tests que vienen al final de cada capítulo. Puede haber varias versiones del libro, en la última que yo tenía, constaba de 12 capítulos (1149 pags) más una guía de estudiante (847 pags). Como tenía poco tiempo, me centre unicamente en los capítulos de cada dominio:
  • Security management
  • Access control
  • Security architecture
  • Physical arquitecture
  • Network security
  • Cryptography
  • BCP
  • Legal and investigations
  • Application security
  • Operations security
En un cálculo rápido, tenía 6 semanas para preparlo, así que me propuse estudiar 2 áreas por semana y la última para repasar y prácticar con diferentes tipos de exámenes.

Cada día invertía entre una y dos horas en una lectura-comprensiva y subrayando las partes que creía eran claves. Al final de cada módulo realizaba el test correspondiente para comprobar el nivel de comprensión de dicho módulo. En cada test que hice, saqué entre 60 y 90% de aciertos, lo que me daba una idea de la preparación. Además en los tests, venía una explicación de cada respuesta, lo que te daba más comprensión en caso de fallo.

La última semana la dedique por completo a realizar exámenes y revisar las respuestas fallidas. Existe multitud de sitios en Internet con preguntas del tipo examen CISSP. En definitiva, si tienes experiencia real en Seguridad de algunos de los dominios exigidos por el CISSP, la lectura del libro de Shon Harris te dará una mayor perspectiva, y si has entendido los conceptos que para tí pueden ser nuevos, has hecho multitud de tests y los resultados de aciertos no bajan del 60%, se podría decir que ya estarías preparado para realizar el examen con altas posibilidades de aprobarlo.

DÍA DEL EXAMEN

El día anterior procura relajarte y no hacer repasos de última hora, descansa un mínimo de 8 horas antes del examen, y acude con tiempo, ya que son estrictos hasta tal punto, que si llegas unos minutos tarde ya no podrás acceder al examen.

Puedes llevar bebida y algo de picar, alguna chocolatina o barrita energética, yo pasé las 5,30h del examen con un botelín de agua y 2 barritas energéticas. Antes me había tomado una pastilla de vitamina de esas que llevan jalea real (tipo apiserum), es una manía que tengo desde la época de exámenes :-)

Para el examen, te dan un librillo con las 250 preguntas y una hoja de respuestas para anotarlas, que es la que entregaras. En el libro, puedes hacer apuntes y borrones, en la hoja de respuestas no. @hacktimes me dio el buen consejo de contestar las preguntas en el libro, y cada 50 pasarlas a la hoja, de esta forma tu mente va descansando. 

Luego a esperar unas 4 semanas hasta que te llegue el resultado.
Finalmente comentar que, aprobar el examen CISSP demuestra tu destreza para saber como pasarlo y un conocimiento muy global de la mayoría de aspectos que rodean a la Seguridad de los sistemas. Personalmente opino que existen multitud de vías para medir la experiencia y conocimientos, pero el CISSP es el estándar Internacional para certificar que un individuo ha demostrado una competencia y dominio de las más diversas disciplinas en el campo de la Seguridad.

domingo, 10 de julio de 2011

Extreme Bardenas XIV (2011)

Reto conseguido un año más, el año pasado ya describí algunas de las sensaciones de participar en esta aventura en el desierto de las Bardenas Reales de Navarra. Esas sensaciones, el compañerismo, el perfecto engranaje y óptima organización y así como ver a todo el pueblo de Arguedas volcado en ella es lo que te hace repetir año tras año.

Se trata de una prueba en la que el límite lo pones tú. Siempre te encuentras con esos atrevidos que en el KM 40-50 empiezan a atacar ya que el cuerpo se encuentra en pleno rendimiento pero queda mucho camino por 'disfrutar'. A partir del KM 80-90 empiezas a encontrar a bikers andando o tirados en la cuneta con calambres frutos de error de cálculo y de escasa reserva de fuerzas. A mí personalmente qué no puedo entrenar todo lo que quisiera, me atrae la sensación que tienes en los últimos 20-30Km cuando quién manda es ya la mente y la capacidad de sacrificio personal de cada uno. Así que ¡¡ENHORABUENA!! a todos los que participais en esta prueba y la disfrutais como yo. El reto de terminar es el mejor premio.

Marga que entro la penultima llorando de emoción por conseguirlo te hace ver que la lucha, pundonor y sacrificio lo llevamos marcado en nuestras mentes y cuerpo todos los que participamos, porque esa es la alma y seña de identidad de la Extreme...[]

Alguna vez había leído en algún sitio que para poder preparar esta marcha apropiadamente, tenías que tener hechos unos 1000 km un par de meses antes o algo así. Es decir, tenías que estar rodado. Yo este año no tuve mucho tiempo para prepararla, y este fue mi entrenamiento, con el que pude terminarla en el puesto 1080 de manera tranquila.
 
¡¡GRACIAS ARGUEDAS!!

lunes, 20 de junio de 2011

Metodologías de respuestas ante incidentes

Intrusiones en nuestros sistemas, gusanos que se replican por la red red infectando nuevas víctimas, defacements de sitios web y denegaciones de servicios (DDoS) son solo algunos ejemplos de incidentes que pueden ocurrir en cualquier empresa y corporación hoy día.


Recientemente estuve en una multinacional por un problema en el cual tenían varias máquinas infectadas con un rootkit, dicho rootkit lo detectaba el AV pero al limpiarlo seguían infectándose. Al tratarse de una multinacional, la infección venía de otro País, pero se estaba extendiendo por todo el sistema. En un solo día, con el trabajo en equipo de varios profesionales involucrados, pudimos conocer el tipo de malware que era, que vulnerabilidades aprovechaba y cuales eran sus vectores de propagación para, a partir de esos datos, poder proponer un plan de contención y detección proactiva de más equipos infectados, parcheo y desinfección.

Para casos similares a este y para cualquier incidente similar a los mencionados al principio, el CERT Societe General dispone de una serie de IRM (Incident Response Methodologies) para actuar ante diferentes amenazas clasificadas como:

      lunes, 13 de junio de 2011

      Gazapos en la detención de anonymous

      Las siguiente afirmaciones extraídas de la rueda de prensa son dignas de destacar, en negrita van dichas afirmaciones, a continuación un breve comentario. Faltarán muchas incongruencias más pero, estas son algunas de las que se escucharon en la rueda de Prensa facilitada por: Jose Luis Olivera (Comisario de la UDEF), y Manuel Vazquez (comisario de la BIT)



      10/6/2011: COMISARÍA GENERAL DE POLICÍA CIENTÍFICA
      Complejo policial de Canillas (Madrid)

      A destacar:
      • Máximos responsables a nivel directivo: Anonymous es una comunidad descentralizada.
      • Organización de hackers: El uso del término "hacker" es una batalla perdida, aun así recordemos. Según Himanen, un hacker no es un delincuente, vándalo o pirata informático con altos conocimientos técnicos (a los que prefiere llamar crackers), sino que hacker es todo aquel que trabaja con gran pasión y entusiasmo por lo que hace. De ahí que el término 'hacker' pueda y deba extrapolarse a otros ámbitos como ser, por ejemplo, el científico
      • Sistema conocido como DDOS o Denegaciones de auxilio: Sin comentarios.
      • Eran expertos informáticos porque usaban encriptación y redes wifi, algunas hasta de vecinos: Sin comentarios.
      • Son anónimos de verdad, ha sido muy difícil llegar a ellos: de eso se trata.
      • Denominan cúpula a los 3 detenidos porque son los administradores del chat: Sin comentarios.
      • Todas las grandes empresas tienen un departamento de Seguridad: Sin comentarios.
      • Muchas empresas y organizaciones para protegerse contratan otras empresas para contratar más ancho de banda y evitar que le hagan un DDOS: Sin comentarios.

      EXTRA:
      -Pantallazo publicado por la policía enseñando algunas herramientas que usan en sus investigaciones.
      -IMAGEN del material incautado: Revista @rroba, routers, máscara de Guy...
      -Comunicado de Anonymous en respuesta a estas detenciones.
      -Uno de las mejores artículos que he leido de lo ocurrido, y casualmente no es de ningún medio español pero sí de una periodista española.
      - Así actuo la Policía para identificar a los supuestos líderes.

      Horas después de esta rueda de prensa, la página web de la policía era víctima de un ataque DDoS, algo muy previsible según el CCN-CERT. Anonymous también publicaba un video aclarando conceptos.

      miércoles, 1 de junio de 2011

      Clickjacking y sígueme en twitter

      Ayer twitter publicaba la disponibilidad del nuevo botón "Sígueme".


      Dicho botón permite de una forma sencilla que cualquier sitio web lo incluya y permitir así poder hacerse seguidor sin necesidad de ir al sitio de twitter. Se trata de una poderosa herramienta para establecer una conexión más profunda con su público, o con cualquiera

      Por otra parte Clickjacking es un tipo de ataque que se basa en el uso de capas transparentes para hacer que un usuario haga click en un botón o enlace de una web de nuestra propiedad mientras el usuario piensa que hace click en otra parte. Pues bien, a las horas de publicarse el famoso botón de twitter, un investigador de seguridad francés, ha liberado una prueba de concepto (POC) de la vulnerabilidad en el botón de twitter.

      Se basa en lo siguiente:
      • Configura el iframe totalmente invisible a través de CSS
      • Captura el evento mouse
      • Cuando el usuario mueva el ratón, mueve el iframe del botón de twitter para que siempre permanezca bajo el cursor.
      • Si el usuario hace click en cualquier parte de la página, automáticamente seguirá la cuenta.
      Como en el momento de probarlo no estaba disponible la página de test, he creado esta para comprobar el funcionamiento.

      Esta es la petición HTTP que generá y le devuelve el OK.



      Pero aún así, no todo va de seguidores, el peligro que tiene dicha vulnerabilidad es que de esa forma, sin necesitar la precondición de estar logueados, nos pueden llevar a cualquier sitio sin nuestro conocimiento. Compruébalo.

      martes, 17 de mayo de 2011

      Breve repaso a las webs de los principales partidos políticos de Navarra

      Estamos en plena recta final de la campaña electoral, echemos entonces un rápido vistazo a las webs de los partidos con más opciones de lograr representación Parlamentaria en Navarra y veamos que nos dicen de ellos:

      UPN: Su página web para la presente campaña es http://www.upn2011.es. Todo apunta a que usan la última versión de wordpress, 3.1.2. Por lo que parece que estan muy concienciados con la seguridad. Además está sobre un servidor Apache/2.2.16 con S.O Debian y para su alojamiento cuentan con empresas de la propia comunidad Navarra.

      NA-BAI: Su página web http://www.nafarroabai.org está realizada sobre PHP, a simple vista no se ve un framework claro sobre el que esté basada, pero ¡tiene frames!, una etiqueta ya obsoleta. Esta sobre un servidor web apache 1.3.34 y S.O Debian. También usa empresas Navarras para su alojamiento.

      PSN-PSOE: Su página web http://www.psn-psoe.org. Está realizada con tecnologías .NET y por lo tanto  alojada en un servidor web Microsoft IIS 6.0. Por supuesto también cuentan con empresas Navarras para su diseño y alojamiento.

      PP: Su página web http://www.ppnavarra.es realizada sobre un wordpress 3.0.1 y alojada en un apache 2. No están muy concienciados con la seguridad al usar una versión tan antigua y con fallos de seguridad. Los datos públicos apuntan a que usan empresas de fuera de Navarra para sus servicios web.

      Bildu: Su página web http://bildu.info está realizada sobre Wordpress 3.1.1 y se encuentra sobre un servidor Apache. Los datos públicos de alojamiento muestra que usan servicios de fuera de España para alojar su página web.

      Izquierda-Ezquerra: Su página web http://www.izquierda-ezkerra.org es la única que muestra el logotipo de licencia CC y con un mensaje en su pie de página informando que usan tecnologías de Software libre para el desarrollo de su web. Concretamente PHP 5.2.6 sobre un Servidor web Apache 2.2.9 y S.O Debian. Usan empresas Navarras para el diseño y alojamiento de su web.

      CDN: Su página web http://www.cdn.es también realizada con tecnologías .NET y sobre servidor web Microsoft IIS/6.0 al igual que PSN, también usa empresas de Navarra para la creación y alojamiento de su web.
      Como nota informativa indicar que es muy importante mantener actualizado el software que se usa para el diseño y publicación de páginas web. En los ejemplos anteriores hay casos vulnerables. Otro punto a destacar es las noticias que podemos ver en la prensa sobre hackeos hechos en páginas web de partidos políticos, algunos muy llamativos pero con errores muy graves de comprensión por parte de los periodistas. Para empezar hackeos no es la palabra correcta, sino defacement. Para lograr un defacement hace falta tener acceso al servidor para modificar contenido directamente en él. En varias ocasiones la prensa ha llamado de forma errónea hackeos a fallos de programación o falta de validaciones que dejan vulnerabilidades conocidas como XSS, que son fallos de la aplicación que permiten realizar montajes sólo visibles en tu navegador, pero sin modificar nada en la página web afectada. Para finalizar, indicar que los defacements es una vieja práctica pero que hoy en día apenas se estila, solo algunos grupos reivindicativos y script-kiddies hacen uso de esta técnica. Una práctica más extendida hoy en día y menos llamativa es comprometer los sitios web el mayor tiempo posible sin ser descubierto. No es el caso de ninguno de los anteriores, todavía.

      Se podría realizar otro análisis del uso que hacen de las redes sociales cada partido político o la optimización SEO de sus sitios, pero eso queda para los expertos que quieran analizarlo. Para realizar este breve análisis se ha usado la inócua herramienta whatweb en modo pasivo y consultas públicas a registradores.

      ¡¡Felíz día de Internet!! 


      UPDATE [18-5-11]: Influencia de los partidos y candidatos en twitter.


      DEFACEMENTS
      [19-05-11: 13:19]: Pagina web del PP de Aragón (captura)

       

      miércoles, 27 de abril de 2011

      Seguridad en grandes y pequeñas empresas

      Ya comentaba en un artículo anterior lo de hbgary, pero es que el ambiente en Seguridad los últimos meses está muy, muy caliente:

      Y así podríamos continuar, tan sólo hay que seguir las noticias de Dataloss DB, un proyecto que documenta y publica todas las brechas de seguridad ocurridas y que exponen pérdida de datos en todo el mundo. Este proyecto existe porque en EEUU 35 estados tienen una legislación sobre la notificación de pérdida de datos en empresa privada y del Gobierno, es decir, si ocurre un incidente que pone en peligro los datos de los usuarios hay que notificarlo a un organismo central para su publicación e información de los usuarios que puedan ser víctimas potenciales.

      Sí todos los incidentes anteriores ocurren en empresas de ese tamaño y sector en las cuales el cumplimiento de las medidas de seguridad adecuadas y concienciación debieran ir en el ADN de la organización, ¿que ocurrirá en las PYMES?, aquí, tan sólo teneis que fijaros "un poco" cuando tengais oportunidad. Desconozco si la LSSICE o LOPD obliga a ello, pero me alegraría ver un proyecto similar a Dataloss DB orientado a España.

        viernes, 22 de abril de 2011

        Algo de perspectiva, no eres tan importante como te crees

        Es duro de aceptar, pero a una escala galáctica no existes. Formas parte de una mota de polvo suspendida en un rayo de sol. La tierra no es más que un pequeñísimo grano que forma parte de una vasta arena cósmica. Impresionante eh? :-) 

        Esta es la perspectiva que te da este resumen del clásico COSMOS de Carl Sagan:



        No recuerdo como me enteré pero, desde que ví el primer DVD que regalaba Diario de Noticias todos los domingos dentro de la colección sobre el universo de discovery channel, me enganché.

        El primero que ví fué una versión remasterizada de COSMOS, del cual por cierto recomiendo el anterior video si es que no lo has visto. Los siguientes episodios eran de Stephen Hawking, el científico vivo más famoso del mundo, en los cuales habla de temas como; alienígenas y como serían morfologicamente y probabilidades de contacto, viajar en el tiempo, Stephen explica por qué sería imposible viajar en el tiempo hacia atras debido a las paradojas que se producirían, pero detalla diversas formas en como se podría viajar en el tiempo hacia adelante, en otro título habla sobre toda la historia del Universo desde el comienzo hasta como podría acabar. Los demás capítulos todavía no los he visto pero son igual de interesantes, sobre agujeros negros, la formación y muerte de las estrellas y unos cuantos más. En fin, una colección muy interesante y didáctica que te dejará con más preguntas que respuestas y que te permitirá además practicar inglés al estar en DVD.

        Ver ese tipo de documentales te hará pensar en lo pequeños que somos a escala individual pero también en como estamos todos conectados, aliens incluidos. Todos estamos en el mismo universo intentando sobrevivir, así que, se bueno con los demás, se bueno y cuida la tierra, tu único hogar conocido hasta ahora.
        Fotos del universo y artículo original del cual surgió la idea para este.

        Extra: Fascinantes fotos de la Tierra, cortesía de la NASA y ESA

        martes, 22 de marzo de 2011

        Consejos para compañías que usan servicios en la nube

        Para quien no lo sepa, este artículo de arstechnica resume a la perfección de como la realidad supera a la ficción. Es lo que le ocurrió a una compañía de Seguridad digital, por anunciar que harían una presentación en una importante conferencia de seguridad, de los entresijos y miembros del grupo Anonymous. Esa compañía de seguridad, contratista del gobierno de los EEUU, ya no existe tal y como era. Las lecciones aprendidas sirven para cualquier compañía actual, y en especial a las de seguridad (por eso de: "en casa de herrero cuchillo de palo"). Aunque mi experencia me dice que la tecnología, recursos y políticas existen, pero es cuestión del usuario/admin concienciarse y hacer uso de ellas. 

         (stand vacío en la conferencia RSA 2011)

        Lo que el grupo anonymous nos enseño con lo que le hicieron a esta compañía fue:
        • No tengas el correo corporativo en la nube. Por mucho SLA que exista, el servicio de atención al cliente en la India no será efectivo cuando estes en un aprieto.
        • Habilita la autenticación por 2 factores. No es algo infalible, pero se trata de una capa más. Si esta compañía lo hubiera tenido activado, el grupo anonymous solo disponía de uno de los factores.
        • Habilita la restricción por IP para las partes de administración de tus servicios web. Si tus credenciales han sido comprometidas, todavía no podrán acceder al panel de administración de tus servicios.

        Estas lecciones están extraidas del artículo Hbgary's Hoglund identifies lessons in Anonymous hack, pero yo añadiría un par mas:
        • Habilita la firma digital por defecto en tu correo corporativo. De esta forma, siempre que te comuniques por correo, la otra parte sabrá que efectivamente eres tú el que lo hace, y no un suplantador. Además cuando necesites cifrar información sensible, se lo estarás facilitando a la otra parte, y de paso, dificultando a quien pueda tener acceso indebido a dicho correo.
        • No reuses contraseñas entre los diferentes servicios. Usa un gestor de contraseñas y olvídate de ellas.
        • Usa contraseñas muy complicadas para servicios de administración sensibles. El consejo del anterior punto, te permitirá hacer esto de forma sencilla.
        • Y por último, no intentes desafiar al grupo anonymous.
        La ironía de todo esto, como dice el maligno, es que todos esos consejos es lo que vendían, entre otros servicios, y que cuatro criajos con demasiado tiempo libre les ha enseñado una cruel lección en su terreno.

        jueves, 3 de marzo de 2011

        lunes, 14 de febrero de 2011

        Prototipo para revisar sitios web en busca de código malicioso

        Ya tengo una mínima parte del prototipo de mini-servicio que tenía pensado. Tras ver continuamente en los foros de malware a webmasters y desarrolladores preguntando porque sus sitios web habían sido bloqueados por Google, compruebo que la dinámica es muchas veces similar. He juntado diversos casos de uso de código malicioso inyectado en sitios web (análisis estático), y junto con mi lento aprendizaje del framework django, estoy creando este pequeño servicio que pondré online en cuanto esté listo.

        Se trata de un servicio orientado al usuario normal, desarrolladores o webmasters, por lo que se trata de presentarle una interfaz limpia y sencilla para revisar su sitio web:


        En caso de que el sitio web no contenga nada sospechoso, mostrará este aviso:



        En caso de que el sitio de algún error por cualquier motivo, mostrará este aviso:



        En caso de que el sitio contenga código sospechoso, mostrará este aviso:


        En caso de que el sitio haya sido víctima de los spammers, mostrará este aviso:



        Se trata de que cuando alguien se encuentre con ese mensaje de Google de sitio bloqueado, pueda saber de un vistazo que es lo que le ocurre a su sitio web para que haya sido bloqueado. O también para que en cualquier momento, se pueda revisar si un sitio web contiene algo sospechoso.

        Las fechas están falseadas. Esto es solo el principio, falta mucho más, como páginas de enlace que den más información sobre los resultados. Enlaces con las urls maliciosas encontradas para investigar los tipos de ataques, opcion para escanear todo el sitio y no sólo la url que se le pasa... , testing, mucho testing, y aprender mucho django y python. Cualquier idea más o colaboración será bienvenida.

        jueves, 27 de enero de 2011

        Más control en la privacidad de tus datos con Firefox

        Hoy es el día de la privacidad de datos en Internet.  El modelo de negocio imperante en la red es la publicidad, una publicidad cada vez más segmentada en relación a la navegación del usuario, recopilando todo tipo de información sobre nuestra experiencia online para ofrecernos una publicidad totalmente adaptada a nuestro pérfil. Firefox lleva años tratando la privacidad de sus usuarios de manera muy seria, es por ello que dispone del poderoso plugin ADblock Plus, y Ghostery entre cientos más, y liderando la privacidad en geolocalización.

        Ahora Firefox va un paso más allá con una nueva propuesta denominada "“Do Not Track". Aunque ya existen plugins con funcionalidad similar, lo que se trata es tener de serie en el navegador Firefox, una opción (a través de una nueva cabecera HTTP) que indique a todos los sitios web por los que estamos navegando, nuestro rechazo a que nos muestren publicidad basada en la información que han podido recopilar previamente, tal y como se muestra en la imagen inferior.


        Aunque no se trata de una solución completa, es gratificante ver como Firefox, el navegador Open Source más famoso, lidera esfuerzos para proporcionar nuevas herramientas que permitan a los usuarios disponer de un mayor control de su privacidad en Internet.

        lunes, 10 de enero de 2011

        Cómo defenderse de ataques de denegación de servicio o DDoS

        Los ataques DDoS vienen produciéndose en la red desde 2001 que se tenga constancia. Pero es con Wikileaks cuando alcanzan su mayor de éxito fuera de la red.


        Cualquier organización, empresa, fundación o particular que disponga de un sitio en Internet puede ser objeto de un ataque DDoS, unos con más posibilidades que otros, pero ¿cómo es posible defenderse ante un ataque de denegación de servicio o DDoS?. Básicamente hay dos opciones principales, si optas por la difícil, es decir, disponer de tus propios servidores web para tener un control total de tus sitios, tendrás que disponer de personal competente para manejar estas situaciones junto con buenos sistemas de monitorización para detectarlos, y deberías considerar al menos:
        • Implementar mod_security en el servidor web o como un proxy inverso para bloquear las peticiones directas al servidor web. Mod_security es capaz de eludir algunos ataques comunes de aplicación, y habilita un mejor análisis de ataques después de que hayan ocurrido.
        • Cachear contenido usando un proxy inverso como Squid, nginx, o varnish. Una cache agresiva es una buena defensa contra  pequeños ataques de HTTP GET y también ofrece protección contra ataques específicos de apache, como slowloris.
        • Optimizar al máximo las configuraciones de conexiones máximas en los servidores usando herramientas de test de carga si el sitio puede ser proclive a ataques DDoS.
        • Usar plugins de cache específicos de sistemas CMS para reducir la carga del servidor en periodos de un gran tráfico legítimo y durante ataques. (ejem wp-cache)
        • Crear una versión HTML estática del sitio para mostrar mientras se migra el sitio a otros mirrors.
        • Dejar las búsquedas a proveedores como Google u otros, dadas las vulnerabilidades en búsquedas de ataques de aplicación.
        • Restringir de manera severa el acceso el acceso a los servidores por parte del equipo que los administra. Y asegurarse que el acceso a ellos se hace a través de máquinas limpias. (las credenciales de acceso a tu sitio las pueden robar)
        • Establecer algún tipo de relación con administradores de red de grandes ISPs, o intentar llegar a algún tipo de acuerdo de colaboración.
        • Implementar una estrategia de recolección de logs para permitir un análisis post-ataque.

          Si optas por la sencilla, es esta, una plataforma hospedada en blogger. :-) o en cualquiera de los servicios en la nube de grandes corporaciones, ahora veremos por qué.

          Existen varias clases de ISP, los ISPs de nivel 1, son organizaciones que se conectan directamente a otras mayores redes. No son clientes entre sí, sino que intercambian tráfico sin pagar por ello. Las ventajas de ser un ISP de este tipo son muchas, pero sólo está al alcance de aquellas que alcanzan a un gran número de clientes. Existen también ISPs de nivel 2 con algunas redes y que pagan por acceder a otras redes, mientras que los ISPs de nivel 3 pagan por todo el tráfico que tienen. La mayoría de ISPs son de nivel 2 o 3; algunas estimaciones muestran que sólo hay una docena o menos de ISPs de nivel 1.

          Tradicionalmente, las compañías que mantienen sitios web son clientes de ISPs de nivel 1, 2 o 3 o de revendedores de servicios de ellos. Las compañías que mantienen sus propias granjas de servidores pueden contratar a uno o más ISPs de nivel 1 para asegurarse caminos redundantes hacia sus servidores. Sin embargo el panorama está cambiando dado el incremento de los sitios populares como Google/Youtube, que son responsables del 6-12% del total del tráfico de Internet.  Google posee grandes cantidades de cable de fibra óptica conectada directamente con ISPs de nivel 1. Este tipo de acuerdos tiene sentido para ISPs de nivel 1 porque sus clientes demandan acceso rápido a los servicios de Google, y es ventajoso para Google porque no pagan costes de tráfico. Además, estan las grandes redes de cache distribuido, de tal manera que un usuario que solicite la página cnn.com desde España obtenga el contenido desde un servidor en España en lugar de EEUU. Las grandes redes de cache distribuido como Akamai son responsables del 20% del tráfico total de Internet.

          Cuando alguién se refiere al "core de Internet" está hablando de ISPs de nivel 1 y algunos ISPs grandes de nivel 2 junto con algunas de las redes más grandes de distribución de contenidos. Los grandes servicios como Google y Amazon están conectados directamente con ISPs de nivel 1, esto significa, que a parte de los recursos disponibles, también disponen de equipos de profesionales dedicados única y exclusivamente a la seguridad de sus redes.

          Así que ya lo sabes, si quieres protegerte de ataques DDoS, lo más sencillo es alojar tu contenido en blogger o considerar los puntos anteriores en caso de ir por libre.


          Extra: Ver también el concepto de TIER.