S21sec Blog. Seguridad digital.

Keyloggers

noreply@blogger.com (S21sec Labs) — Mon, 06 Jul 2009 04:04:06 PDT

Hace poco un compañero comentaba en un post la comercialización por internet de USB’s infectados con malware. La realidad es que no paran de surgir nuevas posibilidades de infecciones virus, troyanos, etc.

Dentro de todo este maremágnum de software malicioso, me voy a centrar en los keyloggers, ya que parece que está bastante de moda el uso de los mismos.

Como podemos comprobar ya no sólo son los troyanos los que capturan pulsaciones de teclado con el fin de robar credenciales y cometer fraude posteriormente con los mismos, como es el caso del Mebroot. Troyano que vemos que evoluciona constantemente variando de manera que resulta cada vez más difícil la detección del mismo.

Existe también multitud de Spyware (programas espía) que monitorizan toda la actividad que tenemos en nuestro ordenador, y por supuesto, también capturan las pulsaciones dando varias posibilidades, crear archivos de logs con las pulsaciones, enviarlas a un servidor ftp, enviarlas a una cuenta de correo, etc.

Lo cierto es que hemos analizado una gran cantidad de keylogers que incluyen este tipo de programas espía, los que aparecen en este link y otros tantos más.

Utilizando tanto aplicaciones del mercado, como aplicaciones propias hemos visto que la técnica que más predomina en este tipo de malware son los hooks SetWindowsHookEx. En RING 3 (espacio de usuario) en torno al 80% de las aplicaciones analizadas utiliza ésta técnica SetWindowsHookEx. En RING 0 (espacio del kernel) normalmente acceden a los datos del dispositivo de teclado correspondiente (USB, PS/2). Parece obvio que el porcentaje de keyloggers en RING 0 sea bastante menor pues la programación a este nivel es mucho más compleja.

Es evidente que debemos protegernos de este tipo de malware, para ello tenemos varias opciones:

Programas Antivirus. Normalmente detectan este tipo de malware o bien por firmas o por técnicas heurísticas. Algunos de los programas de monitorización aseguran en sus web que son indetectables con este tipo de programas.

Programas Anti-Keyloggers o Antiespía. La mayoría son similares a los antivirus, es decir necesitamos firmas, y por tanto tener actualizado el programa para detectar los últimos keyloggers.

Programas especializados en la detección de rootkits. Programas que no suelen utilizar firmas, sino que basan su análisis en las estructuras internas del sistema operativo (procesos, drivers, IDT, SDT, etc.) para detectar modificaciones sospechosas, por ejemplo GMER, Rootkit Unhooker, etc.

Lo cierto es que en nuestras pruebas hemos podido constatar que aunque la eficacia de detección en cualquiera de los tipos de programas anteriormente mencionados es alta, no llega a ser del 100%, cosa que es lógica dada la constante evolución del malware.

No debemos olvidar que, a pesar que tengamos actualizados nuestros antivirus, anti-spyware y usemos varias herramientas de detección, la mejor forma de evitar este tipo de infecciones es usar el sentido común.

Raúl García
S21sec e-crime

Correo Electrónico y Colisión de Derechos Fundamentales

noreply@blogger.com (S21sec Labs) — Mon, 06 Jul 2009 00:39:36 PDT

En jerga legal, se entiende por colisión de derechos fundamentales el hecho de que existan dos normativas jurídicas que posean un contenido incompatible entre sí.

En el mundo tecnológico uno de los ejemplos más claros de colisión normativa se da en el contexto del uso del correo electrónico corporativo u otros medios de comunicación telemática como la mensajería instantánea por parte de los empleados de una organización.

¿Hasta qué punto puede un empresario controlar que no se haga un mal uso del correo electrónico u otros sistemas de comunicación que la organización ponga a disposición de sus empleados?

Si analizamos el marco jurídico español nos encontraremos con que en el artículo 20 del Estatuto de los Trabajadores se reconoce el derecho del empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales, lo que parece legitimizar la vigilancia sobre el contenido de las comunicaciones electrónicas de los empleados para garantizar que no se realiza un mal uso de las mismas.

Por otro lado, en el artículo 18.3 de la Constitución Española se garantiza el secreto de las comunicaciones salvo resolución judicial. Por lo tanto, este derecho sería vulnerado en caso de que un empresario ejerciera el derecho anteriormente mencionado.

Claramente se está produciendo una colisión entre ambos derechos fundamentales. La única herramienta para dilucidar qué derecho debe prevalecer es revisar la jurisprudencia existente, es decir, lo que los jueces están dictaminando en los casos en los que estos derechos están colisionando.

En este sentido, nos encontramos con sentencias favorables tanto al trabajador como al empresario en casos de inspección no consentida del correo electrónico de trabajadores cuando se sospechaba, que estaban haciendo un uso indebido del mismo, por lo que resultaba complicado tener claro cómo se debía actuar.

No obstante, en los últimos años, las sentencias dictaminadas por el Tribunal Supremo sobre el control empresarial y el uso del correo electrónico han permitido unificar la postura del poder judicial a este respecto, fallando a favor de los empleados, y haciendo prevalecer el derecho a la intimidad sobre el derecho de la empresa a controlar y vigilar un recurso de su propia organización como es el correo electrónico.

¿Entonces, qué pueden o deben hacer las empresas para evitar, en la medida de lo posible, que sus empleados hagan mal uso del correo electrónico corporativo?

En primer lugar, la empresa debería informar siempre al trabajador sobre las políticas de uso de los recursos que ponga a su disposición, así como de cualquier control o vigilancia que pudiera establecer para garantizar su cumplimiento.

Además, cualquier acción o control que la empresa desee realizar sobre los instrumentos telemáticos que pone a disposición de sus empleados deberá ser siempre proporcionada.

Finalmente, las empresas no deberán en ningún caso, inspeccionar el contenido de los correos electrónicos o cualquier otra documentación personal de los empleados que pudiera estar alojada en los ordenadores de la empresa sin contar con el consentimiento explícito del empleado afectado o salvo resolución judicial previa.

Los servicios de Asesoramiento Jurídico en Nuevas Tecnologías pueden ayudar a las organizaciones a adaptar sus procesos a las normativas vigentes.

Además, los especialistas en auditorías informáticas cuentan con la formación y la experiencia necesarias para ejercer como peritos de parte o expertos independientes en investigaciones de informática forense.

Omar Benjumea
Consultor S21sec

Te vigilo.

noreply@blogger.com (S21sec Labs) — Fri, 03 Jul 2009 04:09:15 PDT

Ayer tuvimos noticia de un hecho preocupante, un chalet con “máxima seguridad” (cámaras, servicio de vigilancia,..) fue asaltado con sus dueños dentro. Se les agredió y robó sin que nada pudieran hacer. Las cámaras de vigilancia fueron testigos mudos ya que no se sabe todavía muy bien como fueron inutilizadas.

Parece ser que sintonizando la frecuencia en la que emiten las cámaras inalámbricas la señal es interceptada y manipulada si se encuentra sin cifrar. Este lamentable hecho que se supone realizado por mafias organizadas, desgraciadamente no es tan difícil de llevar a cabo. Las cámaras de vigilancia inalámbricas que desde diferentes establecimientos nos vigilan son igualmente fáciles de manipular.
La señal que emiten las cámaras que están sin proteger se intercepta con un aparato muy común y cualquiera puede ver lo que sucede en tiempo real en el local desde la calle (recogida de caja, escondite de la recaudación, horario de apertura y cierre, …) de esta manera la seguridad queda en entredicho y es que el mundo de la seguridad no se libra del intrusismo.
Debemos ser conscientes de que ciertos trabajos necesitan realizarse por especialistas preparados que garanticen un servicio eficiente y eficaz. Para poder asegurarse que la empresa que se contrata para la instalación de su sistema de vigilancia es realmente la adecuada debe cerciorarse que está acreditada ante el Ministerio de Interior y cumple el Real decreto 2364/1994, del 9 de diciembre, que aprueba el reglamento de seguridad privada. Además estas instalaciones tienen que estar registradas en la Agencia de Protección de Datos y en la Policía. Aunque en muchos casos poseen un cartel que informa a sus clientes que están siendo grabados, la instalación debe garantizar su seguridad e impedir que terceros no autorizados accedan a esos datos (LOPD). El no cumplimiento de estos requisitos conllevan unas multas que van desde los 600 hasta los 60.000 euros.

Existe en la sociedad el debate sobre la conveniencia o no de instalación de cámaras de vigilancia en la vía pública, ¿servirán realmente para su cometido? ¿Estaremos así más seguros?

Amaia Urtasun
S21sec - e-crime

Nociones Básicas

noreply@blogger.com (S21sec Labs) — Thu, 02 Jul 2009 07:53:31 PDT

Las grandes empresas de todo el mundo tienen todas sus aplicaciones e información interna bien protegidas en la red interna de la empresa y separándola lo máximo posible de ese gran mundo conocido como Internet para mantener su información protegida, gastando al año grandes cantidades de dinero en dicha seguridad. Estas mismas empresas controlas sus procesos productivos e infraestructuras de fabricación y/o distribución a través de sistemas SCADA, que suelen ser sistemas antiguos y con muchas deficiencias a nivel de seguridad. Con el auge de Internet y la intercomunicación los sistemas SCADA se han “enchufado” a Internet, haciendo que las redes de las empresas se vuelvan inseguras debido a sus debilidades.

Para poder subsanar los errores y conseguir asegurar y proteger toda la red hemos de tener en cuenta que además de invertir en la propia red de la empresa también se ha de revisar toda la infraestructura SCADA.

Vamos a comentar algunos de los puntos más importantes y sencillos de controlar para poder llegar a tener una red SCADA segura y eficiente.

Lo primero a realizar es iniciar un estudio de las conexiones que presenta la red SCADA, indicando el motivo por el que existe cada conexión, para poder eliminar todas aquellas conexiones que no sean necesarias para el propio funcionamiento de la red SCADA, es decir, eliminaremos todas aquellas conexiones que se han realizado para favorecer el control de la red o para simplificar su administración.

Todas las conexiones que nos queden después del estudio serán las que tengamos que proteger de la mejor manera posible y con todos los medios de los que se pueda disponer. Para ello hemos de colocar firewall, IDS e IPS para controlar el acceso a la red. Tampoco es una mala práctica crear una DMZ para separar las redes de control.

Además, uno de los errores más comunes en las redes SCADA es la falta de seguridad en la aplicación y los datos, por no tener contraseñas de acceso a las mismas, o ser demasiado simples y no tener las comunicaciones de datos cifradas. Las contraseñas de las aplicaciones nos permitirán protegerlas de posibles ataques, además de limitar los privilegios de las personas que acceden a las mismas.

Muchos de los componentes que forman parte de una red SCADA han de estar conectados a la red del fabricante para poder así tener actualizaciones y obtener mejoras de los mismos, estas conexiones suelen ser directas vía MODEM o mediante VPN. Por este motivo hay que controlar los accesos que realiza el fabricante sobre los equipos, porque puede que el ataque venga desde la red del fabricante y no desde nuestra propia red.

Pero todos estos controles y medidas que hemos realizado y tomado no son de gran ayuda si no presentan una buena configuración todos los elementos de la red, desde las contraseñas de los elementos finales a las especificaciones en los firewall para que solo se pueda acceder desde un rango de red concreto o los multiplexores y acopladores que presenta toda la infraestructura hasta llegar a la empresa. Tampoco son muy útiles si una vez que tenemos todos los componentes protegidos no se realiza un proceso de monitorización de la red. La monitorización consistirá en revisar los logs de los terminales remotos para observar si las conexiones se han realizado correctamente por personal autorizado o si lo ha intentado un intruso, monitorizaremos la red para comprobar el tráfico, etc., como se indica en el siguiente enlace.

Jairo Alonso
S21sec Labs

Green Dam

noreply@blogger.com (S21sec Labs) — Wed, 01 Jul 2009 23:18:13 PDT

Hoy día 1 de Julio se cumplía el plazo impuesto por el Gobierno Chino para que los vendedores de ordenadores en China empezaran a incluir en sus equipos el programa conocido como Green Dam Youth Escort. Se trata de un filtro de contenidos desarrollado por la empresa china Jinhui Computer System Engineering Co. y que se ha publicitado como la solución impuesta por el Gobierno Chino para proteger a los menores de acceder a sitios de internet con contenidos pornográficos. No obstante, desde el primer momento, este anuncio ha estado sembrado de controversia ya que el filtro está controlado por el Gobierno Chino y no sólo establece filtros de contenidos pornográficos sino también censura ciertos contenidos según su caracter político y también es capaz de recoger y enviar información privada sobre el uso del equipo. Esta medida se suma a todas las que el Gobierno China ha implantado para controlar y censurar el aceso a internet [1, 2].

Las quejas sobre el software han llegado de todas partes:

Se ha acusado al Gobierno Chino de vulnerar el copyrigth del filtro CyberSitter desarrollado por la empresa Solid Oak Software así como de eliminar la licencia BSD de la librería OpenCV que parece ser utilizada para el reconocimiento de imágenes que incluye Green Dam [3].

Análisis realizados a algunas versiones del software han revelado que tiene graves problemas de seguridad que pueden permitir tomar el control del ordenador de forma remota.

Activistas Chinos han denunciado la censura que sufren en internet por parte de su gobierno y han propuesto el día 1 de Julio como el día off-line, en el que los chinos no se conecten a internet en señal de protesta.

Quizá todas estas quejas hayan hecho que el Gobierno Chino replantee sus propositos iniciales y retrase la implantación del Software sin establecer una fecha determinada. ¿Será esta una retirada de la política de imposición del filtro de contenidos, o volverán a la carga con fuerzas renovadas?

Guzmán Santafé
S21sec labs

Las Redes Sociales ¿Cómo gestionan la privacidad de sus usuarios? ?

noreply@blogger.com (S21sec Labs) — Wed, 01 Jul 2009 01:04:45 PDT

Es importante tener en cuenta que las redes sociales se nutren exclusivamente de datos de carácter personal de sus usuarios, y en muchas ocasiones, sin que éstos conozcan y controlen los posibles accesos y el uso que terceros pueden hacer de los mismos.

Como bien es sabido, la finalidad prioritaria de las redes sociales es interrelacionar a personas, por lo tanto como punto de partida, los datos de contacto (por lo menos nombre, apellido y nacionalidad) están accesibles a todo el mundo con el objeto de facilitar la localización de amigos o conocidos. El problema surge cuando el usuario, que se registra en una red social, no es informado de manera clara y sencilla del tratamiento que se puede realizar sobre sus datos.

Las redes sociales, están basando la confidencialidad / privacidad de los datos de sus usuarios en la autorregulación que los usuarios realizan sobre los mismos. Esta técnica es válida e incluso recomendable, pero, para que de verdad los usuarios la usen de forma correcta, los portales deben informar de las diferentes reglas de confidencialidad de manera clara, fácil y sencilla, consiguiéndose así que cada usuario sea el que autorice o posibilite la publicación o no de sus datos personales, fotos privadas, videos, etc. En caso contrario estarían incumpliendo las normativas europeas en la materia de protección de datos, ya que desde la directiva Europea se establece que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modos expreso, precioso e inequívoco (…)”.

Otro aspecto controvertido es la indexación de los datos identificativos en buscadores como google, yahoo, live.com, etc. Esta indexación supone una cesión de los datos identificativos de los usuarios a nivel mundial sin que el usuario tenga la más mínima posibilidad de impedir que este paso se lleve a cabo, ya que nadie le solicita su previa autorización. El portal informa acerca de dicha indexación, pero en ningún momento facilita al usuario la posibilidad de negarse a dicha indexación.

Desde las principales redes sociales se destaca la importancia que juega el papel del usuario, en definitiva cada usuario es responsable de gestionar su propia privacidad. Además de centrar la importancia en el usuario también destaca la formación de padres y usuarios de las redes sociales, la colaboración con las Administraciones Públicas y las ‘medidas de seguridad especiales’ para los menores de edad. Como por ejemplo, los usuarios de entre 13 y 16 años no pueden recibir ninguna comunicación de un mayor que no éste en su lista de contactos.

En conclusión y tras este pequeño análisis de los tratamientos de datos que se realizan en las redes sociales, es recomendable que el usuario analice con detenimiento las opciones de privacidad que el portal pone a su disposición con objeto de administrar su privacidad y que tenga en cuenta el riesgo que corren sus datos por el mero hecho de publicarlos en Internet. Hace un tiempo publicamos unos consejos para proteger tu intimidad en redes sociales, echarle un vistazo.

Koldo Peciña Txintxurreta
Consultor Senior S21sec.

Buscadores: arma de doble filo

noreply@blogger.com (S21sec Labs) — Tue, 30 Jun 2009 01:13:58 PDT

Los buscadores son los servicios más usados en Internet con diferencia y en la actualidad podemos afirmar que se han hecho totalmente imprescindibles dada la necesidad que tenemos de procesar la ingente cantidad de datos que encontramos en la red. No obstante y desde hace algún tiempo, han pasado a ser el objetivo de atacantes para usarlos con fines bien distintos.

Ya hablamos de técnicas como el malvertising, consistente en insertar anuncios maliciosos dentro de las redes de publicidad que se muestran en distintas webs, con el fin de infectar el equipo que visualiza el anuncio. Este tipo de técnicas amenazan el principal negocio de los buscadores, que es la publicidad, por lo que empresas como Google ya están empezando a ofrecer soluciones a este problema.

Otro de los problemas a los que se enfrentan en la actualidad los buscadores es el BlackHat SEO (Search Engine Optimization). Este término hace referencia a posicionar términos comunes asociados a URLs maliciosas en los principales buscadores, de modo que cuando accedamos a los resultados pensando que se trata de una URL legítima, se infecte nuestro equipo. Básicamente es usar las mismas técnicas que usa cualquier empresa para posicionarse en buscadores, pero con fines maliciosos y usando técnicas ilegales, como inyectar miles de URLs en páginas legítimas mediante alguna vulnerabilidad, SPAM en servicios como Twitter, etc.

No obstante el post de hoy habla de una de las técnicas más antiguas, el Google-hacking, que parece vivir una segunda juventud. Google-hacking consiste en la búsqueda de ciertos términos en cualquier buscador (son extrapolables dependiendo de la funcionalidad que ofrece cada uno de ellos) con la finalidad de detectar versiones de software vulnerables o vulnerabilidades en sí. De este modo, la búsqueda de una cadena que sepamos aparece cuando hay un error de SQL en un conocido CMS nos retornará miles de potenciales objetivos a explotar.

Tuvo un gran impacto en su momento para quedar en la actualidad en un segundo plano. No obstante está volviendo a ser una técnica muy usada para la realización de ataques masivos en campañas de infección masivas, inyectando en URLs vulnerables iframes que redirijan a sitios maliciosos, o buscando objetivos para campañas de BHSEO.

Finalmente, y en lo referente al mercado más under, estas técnicas siguen siendo explotadas, en esta ocasión para obtener números de tarjetas de crédito. En la actualidad este tipo de bienes tiene un valor muy bajo en el mercado, que maltrata el bien al revenderlo en multitud de ocasiones y debido al alto grado de fraude entre los mismos delincuentes. Es por ello que hay distintos niveles de calidad, siendo circulos cada vez más cerrados los que ofrecen material de primera mano. En los circulos más bajos, y dada la dificultad a acceder a dicho material, se buscan alternativas a la compras de dumps (conjuntos de números de tarjetas de crédito) que posiblemente son inusables a estas alturas. Una de las alternativas es volver a las técnicas

de Google-hacking.

La popularización de todo tipo de herramientas para la creación de tiendas on-line crea un mercado potencial muy amplio para la búsqueda de vulnerabilidades que puedan llevarnos a encontrar datos relacionados con la compra, esto es, tarjetas de crédito. A continuación se muestran algunas de las técnicas usadas para localizar los mismos:

Por supuesto recomendamos comprobar que ninguno de nuestros sitios sea vulnerable a los problemas relacionados con las búsquedas, así como mantenerse atento a cualquier nueva vulnerabilidad y a las técnicas utilizadas para su detección.

Vicente Díaz
S21sec e-crime

Análisis automático de VMs?

noreply@blogger.com (S21sec Labs) — Mon, 29 Jun 2009 02:23:39 PDT

Últimamente me he interesado bastante por los métodos de ofuscación basados en máquina virtual ( VM ) y sobre todo por su creciente uso en el mundo del malware, quizás lo más "novedoso" desde la creación de algunos de los mejores engines de metamorfismo: zmist & simile.

Las VMs son sencillas en su concepto inicial, la complejidad depende de la imaginación del autor, el contexto y la finalidad. Debido a su propia naturaleza, son métodos de ofuscación puros y como pasa con el resto de métodos la dificultad de su análisis radica en "cuanto tiempo vas a tardar?". En esta presentación de un conocido reverser se puede ver una pequeña introducción gráfica.

Si estuviéramos en los días de oro de los virus con mochila de engines, una VM hubiera sido una pesada compañera de viaje y poco habría ayudado a su amigo el engine de metamorfismo para evadir la heurística de los Antivirus.

A día de hoy el tema ha cambiado bastante y la gran mayoría del malware no se replica por infección clásica, sino que simplemente se hospeda en nuestra máquina, mediante nuestro navegador favorito, como un binario fresco gracias al uso de server-side polymorphism.

En este contexto el uso de VMs se vuelve muy poderoso puesto que su único objetivo es el de dificultar al máximo el trabajo del analista de turno que debe comprender que hace el bicho, una vez ha sido detectado. Así pues, cuantas más rutinas críticas estén gestionadas por la VM, más tiempo tardará el analista, más dinero se robará y más máquinas quedarán comprometidas.

El autor del malware solo tiene que programar su generador de VMs y comienza la pesadilla.

Esta situación ha dado lugar a la necesidad de buscar formas "automáticas" de análisis de VMs, surgiendo documentos y presentaciones muy interesantes en el último año. De todos los documentos que he visto estos son los que me han parecido más relevantes o que más me han gustado:

la serie de artículos de Rolf Rolles en los que se muestra como utilizar técnicas de optimización, adaptadas del mundo de los compiladores, para atacar a la VM: "Compiler 1, X86 Virtualizer 0", "Part 0: Basics", "Part 1: Bytecode and IR", "Part 2: Introduction to Optimization" y "Part 3: Optimizing and Compiling".

un ejemplo de optimización de un handler correspondiente a una VM generada por Themida. Gracias a la información de Rolf Rolles, el autor del post muestra la potencia que puede tener un desofuscador básico y pequeño: "Fighting Oreans'VM (code virtualizer flavour)".

presentación de Boris Lau ( SophosLabs ) en la que se expone un método experimental para la identificación y desofuscación de VMs: "Dealing with Virtualization packer".

uno de los que he leído recientemente y me ha parecido muy bueno, de los autores de metasm, se explica paso a paso como han utilizado su framework para resolver un reto crackme que incorpora VM: "Semi-automatic binary protection tampering".

Los que estéis más interesados en ver los detalles técnicos de VMs reales, sobre todo las generadas por algunos de los packers más conocidos, podéis encontrar algo de información en la web de ARTeam (destacan los documentos y código de Deroko) y el foro chino Unpack.cn.

Espero que todos los enlaces que he puesto os ayuden a conocer mejor un tema que a mí, particularmente, me parece muy interesante :)

Rubén Jiménez
S21sec e-crime

Sé lo que estás pensando

noreply@blogger.com (S21sec Labs) — Fri, 26 Jun 2009 01:01:27 PDT

Desde que en 1999 se realizó la primera demostración experimental donde a través de neuronas corticales se conseguía controlar un brazo robótico [1], la interacción cerebro-máquina (BMI o brain-machine interface) ha sido un área de creciente estudio entre la comunidad científica.

Las BMIs han sido concebidas principalmente para potenciar nuevas terapias en la restauración del sistema motor en pacientes con lesiones severas tales como la esclerosis lateral amiotrófica, daños en la médula espinal o parálisis cerebral. Recientes estudios muestran avances en la restauración de miembros amputados mediante dispositivos protésicos controladas por el sistema nervioso [2] y la posibilidad de comunicarse mediante impulsos eléctricos generador por el cerebro sin necesidad de utilizar el aparato fonador [3].

Al margen de las aplicaciones terapéuticas, ¿a alguien se le ha ocurrido otros usos?. Parece que sí, comenzando por las artes, donde se propone el uso del cerebro para la creación de música y el control de instrumentos musicales [4]. La industria del videojuego no podía quedarse atrás y busca nuevas interfaces para sus videoconsolas en las que utilizar los impulsos cerebrales para interactuar directamente con el juego. Un ejemplo de ello es la compañía Emotive Systems quienes prometen próximamente el control y manipulación de objetos o cambios del entorno dentro de un videojuego de acuerdo a tu estado emocional.

Hasta ahora hemos visto aplicaciones para mejorar nuestra calidad de vida en un futuro no muy lejano. Sin embargo, la industria militar está al tanto de estos avances [5] y el gobierno estadounidense invertirá cuatro millones de dólares para comenzar el programa "Silent Talk" cuya meta principal es permitir una comunicación entre militares dentro del campo de batalla sin la necesidad de usar el habla vocalizada mediante el análisis de la señal neuronal. Aunque en estado embrionario, existen estudios para leer la mente humana con el objetivo de interrogar a enemigos, saber en qué están pensando y si mienten.

Si estas metas se consiguen, ¿dónde quedan los derechos de privacidad de un individuo si consiguen leer nuestras mentes?, ¿comenzará un nuevo modelo de hacking biomecánico?

Desde el punto de vista de la seguridad digital debemos tener en mente los nuevos avances en neurocomputación biológica para adelantarnos a futuras amenazas.

Referencias:

Real-time control of a robot arm using simultaneously recorded neurons in the motor cortex. John K. Chapin et al. Nature Neuroscience 2, 664 - 670 (1999)
Neuronal ensemble control of prosthetic devices by a human with tetraplegia. Leigh R. Hochberg et al. Nature 442, 164-171 (2006)
A spelling device for the paralysed. Birbaumer, N. et al. Nature 398, 297-298 (1999)
Mental ways to make music. Cane and Alan. Financial Times, London (UK), 22 April 2005, p12.
Emerging Cognitive Neuroscience and Related Technologies. The National Academy Press (2008)

Israel Varea
S21sec e-crime

Ataques sobre el nivel 2 del modelo OSI (VII): 802.1Q

noreply@blogger.com (S21sec Labs) — Thu, 25 Jun 2009 09:42:30 PDT

El protocolo IEEE 802.1Q es una especificación pública. Describe el formato de los paquetes que pasan por enlaces de trunking. Debido a la naturaleza abierta de la especificación, este estándar se encuentra ahora aceptado por la mayoría de los fabricantes y es la manera común de establecer trunks entre switches de distintos fabricantes. Sin embargo, no es el único protocolo. Algunos fabricantes tiene su propia solución. Por ejemplo, Cisco usa su protocolo propietario ISL (Inter-Switch Link).

Cuándo un switch recibe una trama, añade una marca 802.1Q (4 bytes), recalcula el FCS (Frame Check Sequence) y envía la trama original con las modificaciones por el enlace de trunking. El campo VID identifica la VLAN a la que pertenece el paquete. Este identificador puede variar entre 0 y 4096. Teóricamente, si hemos establecido el trunking y el switch soporta 802.1Q, podremos enviar paquetes a VLANs distintas.

Para utilizar 802.1Q es obligatorio tener establecido un trunk. En la sección anterior hemos visto con DTP y, además, especificar el encapsulamiento que se llevará a cabo con 802.1Q. Supongamos, entonces, que el enlace de trunk ha sido establecido en el puerto correspondiente. Los ataques contra 802.1Q pueden dividirse en dos clases:

enviar tramas 802.1Q con el fin de enviarlas a VLANs no pertenecientes al atacante,
uso de tramas 802.1Q doblemente encapsuladas – este tipo de ataque añade dos marcas al paquete original con el propósito de utilizar la VLAN de la segunda marca como destino, una vez que el switch ha eliminado la primera marca.

Intentemos primero enviar tramas 802.1Q doblemente encapsuladas con Yersinia. En la pantalla de 802.1Q, rellenamos los campos con valores por defecto (tecla [d]) y vamos al modo edición (tecla [e]). Ahora cambiamos el campo Source MAC con el valor 66:66:66:66:66:66, seguidamente cambiamos el campo VLAN con el valor 16 y VLAN2 con el valor 1. Finalmente, salgamos del modo editor ([return]). Ahora vamos a la ventana de ataques con [x], y elegimos el ataque sending 802.1Q double enc. packet.

Yersinia usa 802.1Q para enviar paquetes ICMP Echo Request con el payload YERSINIA. Se puede apreciar perfectamente que hemos enviado un paquete 802.1Q doblemente encapsulado – primero con la VLAN 16 y finalmente con la VLAN 1.

Paquete ICMP Echo Request de Yersinia decodificado con Ethereal
Ethernet II, Src: 66:66:66:66:66:66, Dst: ff:ff:ff:ff:ff:ff
 Destination: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
 Source: 66:66:66:66:66:66 (66:66:66:66:66:66)
 Type: 802.1Q Virtual LAN (0x8100)
802.1q Virtual LAN
 111. .... .... .... = Priority: 7
 ...0 .... .... .... = CFI: 0
 .... 0000 0001 0000 = ID: 16
 Type: 802.1Q Virtual LAN (0x8100)
802.1q Virtual LAN
 111. .... .... .... = Priority: 7
 ...0 .... .... .... = CFI: 0
 .... 0000 0000 0001 = ID: 1
 Type: IP (0x0800)
Internet Protocol, Src Addr: 10.0.0.1 (10.0.0.1), Dst Addr: 255.255.255.255 (255.255.255.255)
 Protocol: ICMP (0x01)
 Source: 10.0.0.1 (10.0.0.1)
 Destination: 255.255.255.255 (255.255.255.255)
Internet Control Message Protocol
 Type: 8 (Echo (ping) request)
 Checksum: 0xb953 (correct)
 Identifier: 0x0042
 Sequence number: 00:42
 Data (8 bytes)
0000  59 45 52 53 49 4e 49 41                           YERSINIA

Este ataque sólo demuestra que podemos inyectar tráfico a otras VLANs (esto es conocido como VLAN-hopping). Sin embargo se pueden realizar ataques más sofisticados, tipo Man-in-the-Middle.

Alfredo Andrés

David Barroso

S21sec e-crime

Participación en el NiSSF09 Forum

noreply@blogger.com (S21sec Labs) — Thu, 25 Jun 2009 09:28:30 PDT

La semana pasada estuvimos como participantes en el forum NiSSF 09, presentando nuestra visión del tema "Monitorización de seguridad en entornos Scada". Daniel ha escrito un resumen del fórum.

Aunque a la conferencia asistieron entre otros C4, Byres security, Waterfall, Siemens y Motorola, e incluso el Department of Homeland Security tuvo un hueco, no fue la típica conferencia de intercambio de tarjetas, sino de conocimiento, hasta tal punto que ni siquiera existe una web de referencia.

Lo bueno de la conferencia es que parecía uno de los pocos sitios en los que se puede hablar de SCADA sin tener que explicar qué es la seguridad, y viceversa, ya que la gente compartía experiencias en los dos campos.

S21sec labs

GRC: Governance Risk & Compliance (y II)

noreply@blogger.com (S21sec Labs) — Wed, 24 Jun 2009 08:47:33 PDT

En otro post comentamos de manera genérica los motivos que habían llevado a la creación de unas siglas que cada día suenan más entre las tecnologías de seguridad de la información: GRC, Governance Risk & Compliance.

Hoy prefiero acercarme un poco más al caso real, al que ocurre en la calle. Aunque en España la presión reguladora no es tan intensa, que levante la mano quien, de alguna manera, se identifique con la siguiente historia.

Un buen día, tras una auditoría o, simplemente, una noticia en los medio, el jefe jefazo de la compañía X se hace consciente de que tiene que cumplir con tal o cual normativa. Mejor dicho se hace consciente de qué puede ocurrir si no cumple con ella, pero para el caso es lo mismo. Lo que ocurre es que unos cuantos, sobre todo gente de sistemas, tienen que volverse locos durante varios meses organizando e involucrando a mucha gente para conseguir alcanzar ese cumplimiento. En esta fase, ése es el único objetivo: cumplir.

Entonces hay que averiguar qué hace falta para cumplir. Y la respuesta inicial es medio sencilla "presentar informes de cumplimiento". Así que toca averiguar cómo generarlos, alimentarlos, etc... Hay que reunirse con más gente y tomar notas, pero al final la cosa sale adelante. El objetivo, que ahora es generar informes de cumplimiento, se consigue.

Pero al cabo de unos cuantos informes, otro se da cuenta de que es una labor repetitiva, tediosa, que la gente no se involucra lo suficiente... En definitiva, un incordio. Pero, como todo el mundo sabe, las labores repetitivas y tediosas son la especialidad de los ordenadores. Ahora lo que hay que conseguir es que los trastos, ellos solos, hagan la mayor parte del trabajo. El objetivo entonces es automatizar.

Y en ese momento, uno vuelve la vista atrás, y se da cuenta de que para cumplir todo eso ha tenido que involucrar personas, sistemas y asignar recursos hasta el punto de que, en cierto grado, ha cambiado la manera de hacer las cosas en la compañía.

Pues bien, lo que ofrecen las soluciones GRC es, precisamente, recorrer el camino contrario. Es decir, si tan importante es cumplir con la normativa, y llevar a cabo los controles, por qué no empezar planteándolo desde arriba, desde la misma estrategia empresarial.

El proceso, sin duda, es largo y complicado. Pero hay mucha gente en las altas esferas a las que les seduce la idea.

Por mi parte no tengo ninguna duda al respecto, vamos a oír hablar mucho de todo esto.

Luis Tarrafeta

S21sec labs

Cursos de verano de la Universidad de Salamanca

noreply@blogger.com (S21sec Labs) — Tue, 23 Jun 2009 09:40:49 PDT

Del 8 al 10 de julio tendrán lugar los cursos de verano de la Universidad de Salamanca, en los que tenemos el placer de participar con una ponencia en la que se presentarán los entresijos del cibercrimen, exposición que tendrá lugar durante el tercer día de este evento.

Además, habrá otras muchas charlas muy interesantes, como la que tratará las implantaciones y un análisis de los CAPTCHA, por parte de Alejandro Ramos, o la anatomía de una intrusión malware por parte de Pedro Sánchez, entre otras, además de un reto sobre seguridad WiFi por las calles de Salamanca.

Tenéis toda la información disponible en el siguiente link:
http://www.informatica64.com/CursoDeVeranoSalamanca

¡Nos vemos allí!

Mikel Gastesi
S21sec e-crime

S21sec blog ahora en tu e-mail

noreply@blogger.com (S21sec Labs) — Mon, 22 Jun 2009 23:33:29 PDT

Durante estos más de dos años de vida del blog de S21sec, hemos hablado con muchos de vosotros, y a menudo nos habéis comentado que otra forma interesante para estar al tanto del blog es recibir un correo electrónico con los posts diarios en vez de leer el blog a través de RSS o accediendo a la página web.

Por eso, y gracias al servicio ofrecido por Feedburner (desde hace un tiempo Google), os podeís suscribir al blog (fijaos en la caja que aparece a la derecha) con la dirección de correo electrónico de vuestra preferencia, y todos los días a partir de las 17:00 os llegará un correo con todos los posts nuevos. ¡Más fácil imposible!

Por ahora sólo estará disponible en nuestro blog en castellano, pero si la iniciativa tiene éxito, también lo haremos en nuestro blog en inglés.

¿Qué os parece la idea? ¿Cuál es vuestra forma preferida de seguir nuestro blog?

Generalización de ataques tipo cross site scripting contra móviles y páginas de redes sociales

noreply@blogger.com (S21sec Labs) — Mon, 22 Jun 2009 07:47:38 PDT

Tal y como adelantaba en mi último post, los principales objetivos a la hora de intentar explotar vulnerabilidades este año iban a ser los dispositivos móviles, y la generalización de ataques tipo cross site scripting contra páginas web con uso cada vez más habitual como Youtube o Facebook. Para justificar esto me basaba en la evolución del número y tipo de ataques a lo largo de este semestre.

Se ha generalizado el uso de los troyanos para explotar problemas en dispositivos móviles y vulnerabilidades que utilizan código malicioso para infectar sesiones web de usuarios utilizando redes sociales como Facebook, YouTube o Twenty haciendo que la velocidad de propagación aumente considerablemente.

Respecto a los problemas provocados en los móviles no hablamos de vulnerabilidades que hayan nacido para estos dispositivos, sino de ataques ya conocidos que se han mejorado o nuevas vías de ataque a través de programas para sincronizar datos entre nuestro PC y el móvil. El objetivo sigue siendo el mismo: robo de datos personales, replicación a traves de los contactos, mal funcionamiento del dispositivo.

Cabe destacar que a pesar del gran número de terminales móviles con los que operamos diariamente y lo dependientes que somos de ellos, es sorprendente la poca atención que prestamos a la seguridad de los mismos. ¿Será por la escasa concienciación de los riesgos a los que estamos sometidos?

Es sorprendente que prestemos tanta atención a la seguridad de los ordenadores personales y descuidemos la seguridad de los dispositivos móviles que operan con ellos. La mayoría de nosotros tenemos especial cuidado que nuestros ordenadores tengan el antivirus actualizado, no abrimos ficheros de fuentes desconocidas, incluso usamos frecuentemente software para evitar troyanos o cookies, en cambio, si se trata de dispositivos móviles pensamos que no van a ser afectados, o si lo son, los daños serían mínimos pues olvidamos toda la información sensible que llevamos en estos dispositivos: datos personales, contactos, claves, banca electrónica.

Para minimizar este tipo de riesgos sería recomendable tomar las siguientes precauciones:

·No activar el Bluetooth o IRDA, excepto cuando sea necesario.
·No aceptar la transferencia de archivos si el origen de los mismos no es de confianza.
·Utilizar diferentes contraseñas para el inicio y para el acceso a datos importantes.
·Tratar de tener actualizado el dispositivo, tanto su SO como las aplicaciones.
·Si se guarda cierta información confidencial es mejor cifrarla antes.
·Al igual que con los PC personales es aconsejable realizar copias periódicas de los datos.
·En el caso de las empresas, se deberían definir políticas de seguridad para el uso y mantenimiento de este tipo de dispositivos como BlackBerry o PDAs.

A pesar de que las infecciones vía web no son algo nuevo, la aparición de páginas como YouTube, Facebook, Twenty, y similares han motivado la aparición de herramientas como Youtube Fake Creator que permite crear páginas idénticas a las originales y desde las cuales se logra engañar al usuario para conseguir que se descargue lo que supuestamente sería un códec para ver un video cuando, realmente, se está descargando un archivo que incluye código malicioso o, quizás, mediante algún exploit, infectarse con tan solo acceder a la página poniendo en peligro su PC y, quizás, hasta sus datos financieros.

Una nueva fuente de infecciones surge por el hecho de que, páginas de las denominadas “redes sociales” como MySpace, permiten el intercambio de cualquier tipo de ficheros entre los usuarios que, unido a la facilidad de utilizar técnicas de ingeniería social en la que el atacante puede lograr ganarse la confianza de sus víctimas. Este tipo de ataques es cada vez más habitual.

Algunas páginas ya han comenzado a incluir ciertas recomendaciones de seguridad como, por ejemplo:

·No aceptar ficheros ejecutables sin tener clara la procedencia o efecto del mismo.
·Disponer de un antivirus actualizado.
·No descargar codecs de origen desconocido para visualizar ficheros multimedia.
·Realizar periódicamente copias de respaldo de los datos importantes.
·Cifrar la información más sensible de nuestro disco duro.

Estas serían las medidas mínimas que se deberían adoptar para evitar males mayores, pero, sin una campaña de concienciación para promover cambios en los hábitos de seguridad de los usuarios -y unas buenas políticas por parte de los proveedores de este tipo de páginas y servicios- este tipo de problemas continuarán aumentando.

Patxi Irisarri
S21sec e-crime

Lanzamos nuestro CERT con funcionalidades añadidas de inteligencia

noreply@blogger.com (S21sec Labs) — Mon, 22 Jun 2009 02:49:55 PDT

La semana pasada lanzamos oficialmente al público nuestros servicios como CERT(R) (es decir, como Equipo de Respuesta ante Incidentes de Seguridad Informática - más conocido por su acrónimo en inglés, CSIRT - acreditado por la Carnegie Mellon University como propietaria de dicha marca).

Hace casi un año que empezamos a trabajar en esta línea y parece que finalmente ha dado sus frutos. Cuando analizamos los servicios que podían considerarse parte de un CERT (ver RFC 2350) allá por el verano pasado, nos dimos cuenta de que prácticamente todos ya los veníamos prestando como compañía con la diferencia de que no estábamos organizados como tal equipo. Sin embargo, contábamos con algunos factores a nuestro favor como la introducción de nuestro Centro de Operaciones de Seguridad hace ya 3 años que había cambiado nuestra mentalidad hacia el servicio y la gestión de incidentes y, en paralelo, nuestros servicios antiphishing, que ahora ya son mucho más y que han dado lugar incluso a una unidad de negocio dentro de S21sec, e-crime.

Lo cierto es que este proceso ha sido, por una parte muy sencillo en cuanto a nuestra capacitación para prestar este tipo de servicios (incluyendo la formación específica en gestión de incidentes y nuestra certificación como SEI Partner) pero, por otra, bastante complicado en cuanto al cambio organizativo necesario, de ahí, lo que nos ha llevado finalizar el proyecto.

En cualquier caso, durante la ejecución del proyecto nos dimos cuenta de que podíamos ir un poco más allá y, por eso, a todos los servicios típicos de un CERT, les hemos añadido una capa de inteligencia con la que pretendemos aportar a nuestros clientes todo el conocimiento y experiencia que hemos adquirido durante estos años y una vía adicional para canalizar el valor de nuestro esfuerzo en innovación (más conocido como S21sec labs). Básicamente, estos servicios de inteligencia consisten en el tratamiento y análisis de la información a la que tenemos acceso en virtud de nuestra actividad en la gestión de incidentes para proveer a nuestros clientes de conocimiento aplicado a su negocio que le ayude en la toma de decisiones estratégicas.

En definitiva, lo importante es que ya está ahí y que os invitamos a todos los que leéis este blog a visitarlo y aportarnos vuestras sugerencias, opiniones y comentarios que os agradecemos de antemano en https://cert.s21sec.com/.

Por cierto, permanecer "atentos a estas pantallas" porque pronto volveremos con nuevas noticias sobre este asunto... os adelantamos que ya estamos trabajando en nuestra incorporación a los organismos internacionales más representativos en esta materia: FIRST, TERENA...

Antonio Ramos

Compatibilidad o Seguridad, ¿por qué elegir?

noreply@blogger.com (S21sec Labs) — Mon, 22 Jun 2009 00:05:29 PDT

Today, the overwhelming majority of enterprises support Internet Explorer--remarkably, 60 percent of enterprises are still on IE 6. "

Se trata de una afirmación de un reciente informe de Forrester, lo cuentan en CNET.
Al margen de todas las vulnerabilidades, (ver gráfica, la mayoría ya corregidas) que haya tenido IE6, lo más preocupante son las características que no tiene, cómo tabs, mayor rápidez, gestión de recursos, características de búsqueda. Microsoft ha sido el primero de los fabricantes de navegadores en desplegar protecciones contra ataques XSS. Y en esa línea ha seguido con las siguientes versiones de su navegador; IE7, IE8

Fuente: Vulnera

Estas nuevas características de seguridad son esenciales para navegar por Internet actualmente, muchas son configuraciones estándar en otros navegadores.

IE6 es conocido por ser un navegador de intranet, este es, un navegador para empresas. Algunas estadísticas muestran patrones poco estimados del incremento de IE6 durante horas de trabajo. Una de las principales razones por las que IE6 siga ejecutándose en el 60% de los entornos corporativos es por cuestiones de compatibilidad. Existiran cientos e incluso miles de razones para que esto sea así, pero este es un terreno polémico de constantes luchas políticas entre los departamentos de IT y seguridad sin mucha garantía de éxito, pero mientras tanto estamos exponiendo la seguridad de nuestros usuarios. Usuarios que por otra parte ni siquiera conocen el software de navegación que usan.

Si por cuestiones de compatibilidad necesitamos utilizar software deprecated, no tenemos por qué exponer nuestra seguridad. En este punto se hace necesario desplegar controles de defensa en profundidad, especialmente cuando no podemos controlar el software de nuestros usuarios.

Emilio Casbas

S21sec labs

Ataques sobre el nivel 2 del modelo OSI (VI): Dynamic Trunking Protocol

noreply@blogger.com (S21sec Labs) — Fri, 19 Jun 2009 14:26:54 PDT

Veamos como se efectúa un ataque contra un switch Catalyst 2950T con IOS 12.1(22) EA3. El dispositivo se encuentra configurado con nombre zipi y dos VLANs: Office (puertos Fa0/10, Fa0/11, Fa0/12 y Fa0/13) e Internet (puertos Fa0/20, Fa0/21, Fa0/22 y Fa0/23). El dominio VTP ha sido cambiado a Yersinia. El resto de parámetros
se dejan por defecto.

En el modo GUI de Yersinia, elegimos el protocolo DTP. Si hay tráfico DTP en nuestra red no tardaremos más de treinta segundos en ver datos. También podemos echarle un vistazo al estado DTP del puerto que nos conecta al switch desde la consola del mismo: nuestro puerto es Fa0/10 y el estado es por defecto.Ahora necesitamos rellenar la ventana inferior con valores por defecto tecleando [d]. Tras esto, al presionar [e] nos permitirá modificar el campo Neighbor-ID con el valor 666666666666. Para finalizar la edición es necesario presionar [return].

Ahora, cambiamos a la ventana de ataques DTP presionando [x] y seleccionamos el ataque enabling trunking. El estado DTP del puerto cambiará a TRUNKING y Neighbor address 1 contendrá nuestro ID. Si además miramos los puertos asignados a cada VLAN como antes, veremos que nuestro puerto Fa0/10 ya no se encuentra en la lista (ver Listado 9). En la ventana principal de Yersinia veremos nuevos paquetes; los creados por Yersinia son los que tienen el campo Neighbor-ID con 666666666666. De ahora en adelante, seremos capaces de llevar a cabo ataques contra los protocolos 802.1Q y VTP. Y lo que es más importante, seremos capaces de comportarnos como otro switch lo cual hace posible acceder a tráfico de otras VLANs.

Puertos de VLANs tras el ataque
zipi# sh vlan
VLAN Name                          Status    Ports
---- ----------------------------- --------- -------------------------------
1    default                       active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                       Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                       Fa0/9, Fa0/14, Fa0/15, Fa0/16
                                       Fa0/17, Fa0/18, Fa0/19, Fa0/24
                                       Gi0/1, Gi0/2
100  Office                        active    Fa0/11, Fa0/12, Fa0/13
200  Internet                      active    Fa0/20, Fa0/21, Fa0/22, Fa0/23

La única contramedida viable contra ataques DTP es desactivar el auto-trunking con el comando: switchport mode access. El administrador se ve entonces obligado a activar el trunking manualmente (configurando el switch) para activar cada trunk.

Alfredo Andrés

David Barroso

S21sec e-crime

Sobre datos personales

noreply@blogger.com (S21sec Labs) — Fri, 19 Jun 2009 03:40:48 PDT

Mucho se habla en Internet sobre la protección de los datos personales de los usuarios. Resulta frecuente encontrar información sobre riesgos y amenazas (salgo en una foto del Facebook, busco mi nombre y mira lo que aparece, cookies, perfiles, etc), pero curiosamente la mayoría de las veces refiriéndose a estos datos personales de manera abstracta o vaga, sin dar una información clara sobre a qué se están refiriendo dichas amenazas. Términos como este u otros relacionados (privacidad) se usan con mucha frecuencia pero casi nunca se explican o definen adecuadamente. Así pues, vamos a intentar comenzar por el principio.

El concepto dato de carácter personal puede ser definido como "cualquier información concerniente a personas físicas identificadas o identificables" (LOPD). Se plantean sin duda muchos casos ambiguos, ¿Es la matrícula del coche un dato de carácter personal? ¿Y la localización exacta de una persona? ¿Y la nacionalidad? En casos como este está claro que con cada uno de estos datos no se puede identificar unívocamente a una persona, pero esto cambia si se pueden combinar varios de estos datos. Es posible que si tenemos una idea aproximada sobre dónde se encuentra una persona (con el GPS del móvil por ejemplo) y también conocemos otros datos como su sexo o su nacionalidad no resulte difícil averiguar quién es exactamente.

En España la ley que se encarga de proteger la privacidad (volveremos a este término en el futuro) de las personas es la LOPD (Ley Orgánica de Protección de Datos) y se aplica precisamente a todo aquello que se considere un “dato de carácter personal” según la definición expuesta previamente y durante las fases de recogida, uso y conservación de dicha información (registros, encuestas, promociones, etc).

Uno de los ejemplos que resulta más controvertido en este sentido es el correo electrónico. ¿Se puede considerar una dirección de correo electrónico un dato de carácter personal? En general una dirección de correo no identifica a una persona (por ejemplo, contacto@s21sec.com), aunque en muchos casos se utilizan reglas para definir dichas direcciones que pueden dar mucha información (nombre+apellido@s21sec.com). Por lo tanto, dada la definición, no se puede afirmar que la dirección de correo electrónico sea un dato de carácter personal. Sin embargo, una dirección de correo electrónico siempre está asociada a un dominio, mediante el cual es posible identificar al sujeto “dueño” de dicha dirección. La APD (Agencia de Protección de Datos) considera que sí y por lo tanto queda dentro del ámbito de aplicación de la LOPD.

Como resumen, un dato de carácter personal es toda aquella información que identifica de manera unívoca a una persona. Pero conviene tener cuidado, también la combinación de otras informaciones sin aparente importancia y que no corresponden a dicha categoría pueden conducir a la elaboración de perfiles y a la identificación como última consecuencia (“Mira lo que me he bajado para el móvil, te registras, luego le das aquí y te aparece donde están los restaurantes que tienes cerca”).

Más información:

Información y decálogo sobre la protección de datos (Gobierno de Navarra)
En este blog: aquí, aquí y aquí.

Alberto Yoldi
S21Sec e-crime

Gestionar la seguridad, ¿con la LOPD y su Reglamento de Desarrollo es suficiente?

noreply@blogger.com (S21sec Labs) — Fri, 19 Jun 2009 02:56:18 PDT

Por imperativo legal, muchas son las organizaciones que se han visto obligadas a adecuar su negocio y/o sus servicios a la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, LOPD) con objeto de “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”.

En la sociedad actual, donde la información se almacena en bases de datos y se intercambia en gran medida mediante sistemas de telecomunicaciones, velar por los derechos fundamentales que recoge la LOPD irremediablemente implica tomar medidas que afecten directamente a los sistemas de información. La cuestión es, ¿las directrices que pueden encontrarse en el RD 1720/2007 (por el que se aprueba el Reglamento de Desarrollo de la LOPD) son suficientes para una organización que desee gestionar la seguridad de sus sistemas de información o son sólo un principio? Si bien para algunas organizaciones el RD 1720/2007 puede ser suficiente, para aquellas organizaciones donde la seguridad de la información deba tener un peso específico, necesitarán de los estándares internacionales ISO 27000, o de un marco normativo equivalente. Para analizar el por qué, veamos la siguiente ilustración donde se tiene en cuenta el origen, finalidad, estructura y ámbito de estos documentos:

Como puede verse, la LOPD establece un marco legal para la protección de los derechos de las personas físicas frente al tratamiento de sus datos, mientras que los estándares ISO 27000 nacen con un objetivo más amplio, además de proteger los datos de carácter personal que toda organización almacena y gestiona, también quieren proteger cualquier otro tipo de información igualmente importante (diseños, topologías de red, balance y asignaciones presupuestarias, cuentas de resultados, objetivos de la compañía, reestructuraciones, futuras alianzas, etc.), a partir de la implantación de un sistema de gestión para la seguridad de la información.

A objetivos distintos, distintas perspectivas y distintos desarrollos. Así pues, nos encontramos con que:

Los estándares ISO 27000 establecen un marco para gestionar la seguridad en todos sus ámbitos: técnico, normativo, legal y regulatorio, lo que conlleva también el velar por la protección de los datos de carácter personal de acuerdo con las obligaciones impuestas por la LOPD.

El Reglamento de Desarrollo de la LOPD está formado por 158 artículos destinados a establecer unos requisitos mínimos de obligado cumplimiento comunes a todos, de los cuales únicamente 36 de ellos tratan sobre las medidas de seguridad en el tratamiento de datos de carácter personal, frente a los 133 controles empleados por el estándar ISO 27002, destinados a cubrir 39 objetivos de seguridad, pertenecientes a 11 dominios de actuación distintos. A esto hay que sumarle la existencia de otros estándares individuales (ver ilustración) cuyo objetivo final conjunto es dotar a las organizaciones de un sistema de gestión de la seguridad completo, orientado a cubrir sus necesidades, protegiéndola proporcionalmente a los riesgos que manifiesta.

Implantar la LOPD es sinónimo de cumplir con unos mínimos exigibles, mínimos que dotarán a una organización de unas medidas de seguridad básicas y de unos mecanismos que permitan la detección de problemas o irregularidades en la seguridad de los datos de carácter personal. En cambio, adecuar una organización a los estándares ISO 27000 no sólo permitirá el cumplimiento de la LOPD, sino ampliar el alcance en cuanto al tipo de información a proteger y dotar a la organización de unos mecanismos de seguridad diseñados con el objetivo de:

reaccionar frente a problemas de seguridad: mediante la gestión de incidencias,

detectar problemas de seguridad: mediante la configuración de alertas, revisiones periódicas y la notificación de incidencias, y

prevenir futuros problemas de seguridad: mediante el diseño de indicadores de seguridad,

donde los controles de seguridad se habrán implantado en función de la criticidad de la información que protegen, acompañados de un sistema que permita no sólo el análisis de la efectividad de los mismos, sino también de su eficiencia.

De acuerdo con lo expuesto, los principales cambios que supondrán para una organización que desee evolucionar las medidas de seguridad exigidas por la LOPD a un modelo como el recomendado en los estándares ISO 27000, se resumen en la siguiente ilustración:

Isabel Soler.

Área de Consultoría.

WYSIWYG (What you sniff is what you get)

noreply@blogger.com (S21sec Labs) — Thu, 18 Jun 2009 23:41:40 PDT

Cuando se quiere comprobar la seguridad de un sistema, el primer paso es recopilar la mayor cantidad de información posible hasta llegar a conocer que vulnerabilidades podrían afectarle. Hay varias técnicas y herramientas que facilitan o directamente automatizan esto. El problema viene cuando en el proceso se interactúa con el sistema de manera que efectivamente se explota una vulnerabilidad o por cualquier otro motivo el funcionamiento normal se ve afectado. Si se realiza de una manera controlada, las consecuencias pueden ser mínimas, imperceptibles para los usuarios, pero en caso de ser un sistema crítico, es inaceptable que se pueda poner en riesgo su correcto funcionamiento, aunque se haga bajo control. Cuando no se nos permite interactuar con el sistema, tan solo nos queda la técnica WYSIWYG (What you sniff is what you get) es decir, observar el tráfico de red y sacar toda la información posible de ahí. Vamos a suponer que se utiliza el tráfico es IP sobre las tecnologías conocidas como Ethernet, wifi o zigbee por ejemplo.

En primer lugar, las malas noticias. La información que se obtiene de observar el tráfico no solo es incompleta, sino que no es fiable al 100%. Al fin y al cabo hay que capturar tráfico en el momento adecuado y confiar en que el sistema no se ha modificado de manera que genera tráfico que se sale de lo que sería habitual. En este post vamos a suponer que no se ha modificado nada con la única intención de confundir o engañar.

En segundo lugar las buenas noticias. Se pueden extraer más datos de los que parece. Empecemos por lo más fácil/obvio:

Dirección IP y de enlace (MAC) (agradecimientos al capitán obvio). En la mayoría de las tecnologías, la dirección MAC indica quien es el fabricante. Los drivers especialmente de wifi y tecnologías menos maduras que la clásica Ethernet tienen vulnerabilidades, algunas de ellas muy graves.
Puertos abiertos y cerrados. Simplemente observamos los intentos de establecer una conexión (SYN) y las respuestas (SYN-ACK/RST). Aunque podemos suponer que cada puerto se utiliza para lo que está reservado, mirando el tráfico se puede comprobar que el protocolo es el esperado.
Mensajes de broadcast. Otras aplicaciones o dispositivos que hacen anuncios a toda la red usando la dirección de broadcast y que pueden tener vulnerabilidades conocidas.
Mensajes a nivel de aplicación. Algunas aplicaciones dan información clara del sistema operativo, el software, la versión e incluso el tipo de procesador que utiliza una máquina en concreto. Ejemplo, banners de servidores ftp y ssh o el campo user-agent de los navegadores web entre otros
Si se establecen conexiones a servidores de actualizaciones puede obtenerse información de qué software y posiblemente qué versión se utiliza.

Lógicamente hay técnicas más complicadas. Las más conocidas se basan en estudiar las peculiaridades de los protocolos TCP (1, 2, 3 y otros) e IP (1) para intentar diferenciar entre sistemas operativos. En el estándar hay ciertos campos cuyos valores no están definidos en todas las situaciones o pueden tomar un valor dentro de un rango. Esto hace que cada implementación tenga pequeñas diferencias que son especialmente notables en las fases de establecimiento y finalización de la conexión. Hay varias herramientas que implementan esta idea. La más conocida seguramente sea p0f. Estos son los campos que resultan más útiles a la hora de identificar el sistema operativo cuando se está estableciendo una conexión:

Tamaño de la ventana. Suelen tomar un valor característico para cada sistema operativo que puede ser fijo, o un múltiplo entero del MTU (Maximum Transmission Unit) o del MSS (Maximum Segment Size).
TTL (Time To Live). Habitualmente cambia entre diferentes familias de sistemas operativos.
flag "do not fragment". Algunos sistemas operativos lo activan mientras que otros no. Su valor es indiferente al establecer una conexión.
Opciones TCP. Un segmento TCP puede incluir una gran variedad de opciones. Es aquí donde realmente se pueden apreciar grandes diferencias, tanto en qué opciones están presente como en qué orden y qué valores tienen. Algunas de las más importantes son, el tamaño máximo de segmento, el escalado de ventana, el timestamp y la opción que indica el soporte de ACKs selectivos.
Errores y comportamientos extraños. Si señores, desafiando toda lógica, hay errores en las implementaciones de los estándares. No significa que haya alguna vulnerabilidad sino que en algún momento es posible que no cumpla el estándar o que aún cumpliendo el estándar su comportamiento no es lógico. Uno de mis favoritos es una versión antigua del kernel de Linux, que en procesadores little-endian anunciaban un tamaño de ventana de 512 o 16384, mientras que en procesadores big-endian se convertía en 2 y 64 respectivamente (parece que alguien ha metido la pata, ejem, ejem...)

Aún hay más técnicas, algunas de ellas bastante complejas que nos dan información acerca del sistema a investigar.

Peculiaridades en protocolos comunes, como ICMP, NETBIOS, DNS. Por ejemplo, la respuesta a un ICMP de tipo timestamp de algunos sistemas operativos es little-endian cuando debería ser big-endian.
Particularidades en las cabeceras IP, como el uso de opciones o patrones detectables en el campo "identification".
Análisis del comportamiento de TCP. En los algoritmos que definen TCP hay ciertas decisiones que puede tomar el implementador y que varían de una pila a otra. Por ejemplo el tamaño inicial de la ventana de congestión puede ser de 1 o 2 segmentos, o distintos sistemas operativos pueden implementar diferentes versiones de fast-recovery u otros.
El campo timestamp en las opciones de TCP crece linealmente con el tiempo. Haciendo la regresión lineal con el tiempo de varios timestamp, se puede calcular cuantas veces se actualiza este valor por segundo, valor que varía de un sistema operativo a otro.

Como podéis ver, capturar y analizar el tráfico de red nos puede dar bastantes más pistas de a que nos enfrentamos de lo que parece. Además siempre es más divertido que pedir al administrador que nos diga que hay instalado.

Patxi Astiz
S21sec labs

Código malicioso y videojuegos

noreply@blogger.com (S21sec Labs) — Thu, 18 Jun 2009 06:44:28 PDT

Como todo negocio, la “industria del malware” ha demostrado estar siempre atenta a cualquier sector del que se pueda obtener un beneficio rápido y elevado, diversificando sus estrategias y enfocándolas hacia donde resulten más rentables.

Dejando al margen a las familias de código malicioso orientadas al sector bancario, que claramente destaca como el objetivo número uno del fraude virtual, este informe analiza el impacto de códigos maliciosos dirigidos al sector entretenimiento, concretamente a los juegos de rol multi-jugador masivos online (MMORPGs del inglés: massively multiplayer online role-playing games).

Los videojuegos hace tiempo que son una de las industrias más potentes del entretenimiento, siendo algunos lanzamientos comparables a la presentación de superproducciones millonarias de Hollywood. Algunos videojuegos tienen presupuestos astronómicos, campañas de publicidad en todos los medios y dedican cantidades ingentes de recursos para lograr el máximo número de jugadores. Desde hace tiempo el modelo de juego online es el predominante, resultando conveniente tanto para los jugadores que obtienen una mejora notable en su experiencia de juego, como para los vendedores que multiplican sus ingresos mediante el cobro de suscripciones online. No sólo eso, también permite mantener una comunidad fiel que adquiere puntualmente actualizaciones, o incluso con la venta de bienes virtuales o mejoras para sus personajes.

Hay todo un mercado alrededor de esta industria que se dedica a complementar los servicios “oficiales”, ofreciendo toda una serie de ventajas, bienes y servicios al margen de las compañías de videojuegos, muchas veces de modo totalmente ilegal. Por supuesto, toda esta industria es un objetivo más que jugoso para el fraude en cuanto a beneficios potenciales. También es un objetivo que ofrece una mayor “seguridad” a los ciberdelincuentes en cuanto a sentirse menos amenazados por investigaciones que puedan conducir a su arresto, realizando robos de bienes que tienen dudosa cobertura jurídica y de muy difícil tasación, y que en muchas ocasiones no proceden a una investigación formal en la que intervengan fuerzas del orden.

Todo esto ha resultado en una serie de mafias que han visto un objetivo fácil y de alta remuneración, y que han empezado su explotación sistemática. En general se centran en el sudeste Asiático, por ser esta la región del mundo en que mayor afición hay a este tipo de videojuegos.

Por ello, dentro del servicio de Informes de Inteligencia que ofrece S21sec, hace unos días decidimos que fuera público un informe sobre el asunto, que esperamos que disfrutéis y nos comentéis vuestras impresiones.

S21sec e-crime

Nace el Consejo Nacional Consultor sobre Cyber-Seguridad

noreply@blogger.com (S21sec Labs) — Thu, 18 Jun 2009 03:46:08 PDT

En una situación con un crecimiento sostenido y exponencial de la cyber-delincuencia movido por intereses económicos y políticos, el sector ha decidido aunar sus fuerzas y ponerse a disposición de entidades gubernamentales o privadas para asesorarlas en materias relacionadas con la Cyber-Seguridad. Su misión es hacer más segura Internet y las redes de Información, así como potenciar la innovación y el crecimiento económico de nuestro país.

Preocupados por el avance de las mafias de Internet, se están impulsando diferentes medidas a nivel internacional para combatir sus efectos. En la UE, por ejemplo, se creó la Agencia Europea de Seguridad (ENISA) y en Estados Unidos, el Plan para el diagnóstico de la Seguridad en el ciberespacio. En España, sin embargo, no existían iniciativas parecidas, aunque sí una potente industria de seguridad reconocida a nivel internacional, que puede contribuir a la prevención del cyber-crimen y a la mejora de la seguridad en diferentes ámbitos.

La actividad del Consejo Nacional Consultor sobre Cyber-Seguridad no se circunscribe a un mero órgano consultor, sino que tiene previsto poner en marcha diferentes iniciativas que ayuden a:

La protección de identidad de los consumidores.
La protección de infraestructuras críticas.
La creación de leyes nacionales contra el cyber-crimen.
La protección de la información corporativa.
La evolución de la estructura gubernamental desde el foco del ámbito físico al del cyberespacio.
La mejora y el apoyo, desde el punto de vista del Consejo, de la prosperidad económica y la seguridad nacional.

El Consejo está formado por los Consejeros Delegados de cada compañía apoyados por diferentes ejecutivos (Juan Santana, Panda Security; Xabier Mitxelena, S21sec; Bernardo Quintero, Hispasec, y Carlos Jiménez, Secuware) como Miembros Fundadores. Además, tiene previsto recabar el apoyo de organizaciones públicas y privadas externas al Consejo, como organizaciones gubernamentales centradas en promover la Sociedad de la Información y/o la Seguridad, organizaciones de usuarios, empresas de telecomunicaciones e ISPs, agencias de protección de datos, fuerzas de seguridad, etc., que serán invitados a participar activamente en las iniciativas que se desarrollen.

El Consejo tiene carácter indefinido y cuenta con la presidencia de cada una de las compañías de forma rotativa cada seis meses. El primer período de presidencia lo ocupa Juan Santana, Consejero Delegado de Panda Security.

Xabier Mitxelena, CEO de S21sec, comenta:“realmente necesitábamos este tipo de iniciativas por diferentes razones. La primera de ellas, porque como sector y de manera unificada seremos capaces de empujar iniciativas realmente interesantes que contribuyan a la mejora de la seguridad en general. Y, por otro lado, porque tenemos mucho conocimiento y experiencia para contribuir positivamente a la prevención y gestión de los ciberdelitos, investigación y desarrollo de nuevas tecnologías para mitigar los efectos del fraude y a la colaboración en la elaboración de legislación y normativas que ayuden a la protección de la Sociedad de la Información”.

Ataques sobre el nivel 2 del modelo OSI (V): Dynamic Trunking Protocol

noreply@blogger.com (S21sec Labs) — Wed, 17 Jun 2009 14:00:30 PDT

Dynamic Trunking Protocol (DTP) es un protocolo propietario de Cisco para establecer trunks entre switches de nivel dos. Los paquetes DTP tienen normalmente como MAC de destino 01:00:0C:CC:CC:CC y una trama IEEE 802.3 con una cabecera 802.2 SNAP. Este protocolo se encuentra disponible en muchos switches Cisco, excluyendo modelos XL. DTP se encuentra activado por defecto en los dispositivos Cisco, preparado para negociar en todos los puertos del switch. Sin embargo, es necesario saber cómo negociar DTP para establecer un trunk. La especificación DTP es propietaria de Cisco (no pública), lo cual lo hace algo más difícil. Por
tanto los autores del artículo se han visto obligados a utilizar ingeniería inversa del tráfico entre switches cuando establecen un trunk con el fin de ser lo más precisos posible con el formato DTP.

DTP negocia tanto la activación del propio trunk como el tipo de encapsulamiento utilizada para recibir y enviar tráfico por un puerto dado. El tipo más común de encapsulamiento es IEEE 802.1Q (soportada por la mayoría de los switches Cisco). Esta especificación es un estándar público. Por otro lado, también puede utilizarse ISL, el cual es otro protocolo propietario de Cisco y soportado sólo en dispositivos de alto nivel. El principal motivo de utilizar es marcar los paquetes con su correspondiente VLAN. Esto ayuda a los switches a saber por dónde enviar los paquetes.

DTP no utiliza autenticación y, como hemos mencionado anteriormente, se encuentra activado por defecto en todos los puertos. La única condición es si somos capaces de negociar DTP. Si lo somos podremos tener acceso a otras VLANs. Con el fin de aprender a negociar DTP primero es necesario conocer el formato del paquete:

Domain (32 bytes): Cadena ASCII igual al dominio VTP configurado
Status (1 byte): indica el estado del puerto: on, off, desirable or auto; por defecto: desirable – podemos empezar a negociar DTP
Type (1 byte): tipo de encapsulamiento soportado: ISL, 802.1Q, negotiated (ISL o 802.1Q) o native
Neighbor-ID (6 bytes): identifica el dispositivo que envía el paquete; normalmente: dirección MAC del puerto.

El primer paso en la negociación con dispositivos Cisco es enviar tres paquetes, uno por segundo, indicando el estado del trunk y el tipo de encapsulamiento requerido. Tras esto, se envía un paquete DTP cada 30 segundos. Yersinia implementa este comportamiento con un hilo encargado de la tarea.

Por otro lado, es necesario controlar el estado del otro dispositivo para cambiar el nuestro si fuera necesario. Esto se consigue con un bucle de recepción de paquetes DTP. Tras unos pocos chequeos, Yersinia cambia su estado DTP en función del otro dispositivo.

Estado DTP del puerto desde la consola del switch
zipi# sh dtp int Fa0/10
DTP information for FastEthernet0/10:
TOS/TAS/TNS: ACCESS/DESIRABLE/ACCESS
TOT/TAT/TNT: NATIVE/802.1Q/802.1Q
Neighbor address 1: 000000000000
Neighbor address 2: 000000000000

Gracias al trabajo realizado en Yersinia, fue posible añadir el soporte de DTP en Wireshark

Alfredo Andrés

David Barroso

S21sec e-crime

Los datos, al igual que la comida, entran por los ojos

noreply@blogger.com (S21sec Labs) — Wed, 17 Jun 2009 10:17:06 PDT

En este post quería dedicarle unas líneas a la visualización de datos. Es algo a lo que estamos acostumbrados pero a lo que quizá no siempre le damos la importancia que se merece. Los datos por si solos, y sobre todo cuando el volumen de datos es grande, pueden ser difíciles de interpretar. La visualización de datos trata de representar la información más relevante mediante una imagen clara y comprensible a simple vista. En cierta forma, la visualización de datos está muy ligada al mundo de la minería de datos ya que el objetivos es el mismo, extraer información importante de los datos de que disponemos.

El proceso de representar gráficamente la información contenida en los datos no es ni tan directo ni tan simple como pudiera parecer. Es muy importante que los objetivos del problema están perfectamente claros antes de empezar. Posteriormente, podremos comenzar a definir la forma en la que vamos a representar los datos. Este proceso de visualización se puede resumir en 6 pasos que se muestran en el siguiente diagrama:

1 - Definición del problema
Debemos identificar que es lo que estamos buscando y las respuestas que queremos obtener con la representación gráfica de los datos. La visualización no debe estar orientada a los datos sino por los casos de uso específicos que queremos tratar en la resolución de un problema.

2 - Evaluar los datos de los que disponemos
Debemos determinar los datos con los que contamos. Por ejemplo en el caso de la seguridad de los sistemas de información, contamos con infinidad de logs que se recogen de diversos servicios. Deberíamos identificar estas fuentes de información, la relación entre los datos provenientes de diferentes fuentes y la información adicional implícita a esos datos.

3 - Procesar la información
Debemos parsear los datos, filtrarlos y extraer de ellos la información relevante que queramos representar de forma gráfica.

4 - Transformación visual
Debemos determinar qué tipo de representación gráfica representa mejor los datos, el color, la forma, etc.

5 - Transformación de la vista
El gráfico obtenido se puede mirar de diferentes formas. Hay veces en las que las transformaciones de los ejes, las translaciones, el zoom de determinadas partes del gráfico puede ser muy relevante para representar la información de forma correcta.

6 - Interpretación
El resultado final de este proceso debería ser una representación visual, clara y concisa de aquellos datos que nos ayuden a satisfacer los objetivos iniciales que habíamos planteado en la definición del problema.

Esto ha sido simplemente una breve introducción a la metodología de visualización de datos, algo básico, pero en lo que muchas veces merece la pena pararse un poco y reflexionar sobre ello. si estáis interesados en la visualización de datos, en la página web de infovis podréis encontrar multitud de información y referencias bibliográficas sobre el tema.

Guzmán Santafé
S21sec labs