S21sec Blog. Seguridad digital.

Nuevo binario de Zeus

noreply@blogger.com (S21sec Labs) — Fri, 06 Nov 2009 07:40:33 PST

La evolución continúa. Hace unos días apareció en escena un nuevo binario de ZeuS, concretamente la versión 1.3.0.26. Se trata de un espécimen que intenta mejorar el grado de ocultamiento en el sistema, como se comentaba en uno de los archivos TODO encontrado hace un tiempo. A modo de análisis superficial se pueden observar las siguientes características:

Cuando se ejecuta, en el caso de no estar infectado ya, se copia como siempre en el directorio %SystemRoot%/system32, pero con un nombre diferente en cada ejecución, tomando como información básica del fichero la de %SystemRoot%/system32/ntdll.dll (fechas de creación, último acceso y modificación).

Si al ejecutarse encuentra una versión anterior del troyano ésta es borrada del disco, dejando sus archivos de configuración visibles en el próximo reinicio. Para hacerse una idea, una de las últimas versiones con nombre de ejecutable sdra64.exe es la 1.2.12.

Aparentemente ya no guarda en disco los archivos de configuración y datos robados, sino que esta información sólo se almacena en memoria.

Aparte de estos cambios importantes, también es remarcable el hecho de que no se use nombre de dominio en la URL del punto de envío de datos, sino que únicamente aparece una IP. Además, en el directorio correspondiente no parece estar el grueso del panel de control, como es normal, sino que únicamente se ve un archivo PHP de poco tamaño, tratándose probablemente de una redirección. Esto es algo que ya habíamos visto anteriormente, pero que podría ser un punto característico en esta nueva versión, siguiendo la línea de ocultar y dificultar al análisis.

Sin embargo, también hemos encontrado muestras cuyo número de versión era 1.3.1.1 pero mantenía el comportamiento de las anteriores (aunque sí eliminaba versiones anteriores): el nombre del ejecutable era sdra64.exe y guardaba los archivos de configuración y datos en disco. Esto puede ser debido a las distintas opciones a la hora de construir los binarios (builder) o a la existencia de diferentes autores.

Como veis, alguna de las recomendaciones dadas en el post sobre detección de ZeuS varían, pero básicamente todas las técnicas siguen siendo válidas a excepción de la localización de los archivos de configuración y datos ocultos, que parecen no existir.

Se trata de un análisis preliminar de este nuevo binario, pero conforme avancemos en nuestros análisis iremos dando más detalles, ¡estad atentos!

Jose Miguel Esparza
S21sec e-crime

English version

Reputación Online: Podrías estar muerto y no lo sabías

noreply@blogger.com (S21sec Labs) — Fri, 06 Nov 2009 03:44:39 PST

En este blog ya hemos hablado sobre la reputación online. Volviendo a recordar un poco el concepto, la reputación online es el reflejo del prestigio o estima de una persona o marca en Internet. Como ya dijimos anteriormente, un aspecto esencial de la gestión de la reputación online es la monitorización en tiempo real de Internet para estar al tanto de ataques potenciales contra la reputación del individuo o de la organización en cuestión.

Generalmente estos ataques pueden venir de blogs, o de alguna de las diferentes redes sociales existentes.
En este rango de ataques, recientemente nos hemos topado con un caso llamativo, al "enterarnos" esta semana de que "str0ke", moderador del popular “site” sobre vulnerabilidades Milw0rm, había muerto.

Parece ser que todo empezó aquí, y se empezó a extender por internet, apareciendo mensajes transmitiendo condolencias a la familia, esquelas e incluso fiestas. Afortunadamente, "str0ke" ha dado señales de vida
a través de su cuenta de twitter.

Aquí tenéis otro divertido ejemplo de cómo una persona murió en facebook, para finalmente ser resucitada y convertida en un “zombie” de facebook.

Así que ya sabéis, tened cuidado de lo que se dice de vosotros en internet, ¡podríais haber muerto y no saberlo!

Asier Marruedo

S21sec e-crime

Un par de opiniones (parte 2)

noreply@blogger.com (S21sec Labs) — Thu, 05 Nov 2009 01:11:55 PST

Continuando el post de la semana anterior...

2. Un ciber-ataque puede causar daños en las instalaciones e incluso a las personas.

SÍ, PERO NO. Es el sistema físico el que puede causar el daño. Lo que es peligroso son las materias (gases, sustancias químicas, elementos pesados...), las condiciones de proceso (altas o bajas presiones, temperaturas, atmósferas explosivas…), los equipos (riesgo de atrapamiento, aplastamiento, corte..)…

La interconexión de "sistemas de gestión" con sistemas productivos, aumenta los riesgos porque se introduce una nueva fuente de errores o problemas, pero no tiene la capacidad directa de interacción con el medio físico.

En cada nivel o capa de nuestro sistema deben existir mecanismos de seguridad que no dependan de niveles superiores y que garanticen la no interferencia en el funcionamiento de las aplicaciones de niveles inferiores.

Cada nivel debe ser diseñado para ser correcto, que en condiciones normales funcione como debe, y efectivo, que sea capaz de responder adecuadamente ante a los imprevistos (variables del proceso, fallo accionamientos, órdenes de incompatibles con el contexto...). La implementación de mecanismos de seguridad en cada nivel permite mitigar el daño o las pérdidas.

El nivel más importante es el nivel físico y los equipos deben tener cuantas modificaciones y elementos auxiliares sean necesarios. Dentro de lo posible, un sistema sobre el que perdamos la capacidad de control debiera evolucionar por si mismo hacia un estado seguro y estable, priorizando (en este orden) el bienestar del entorno y las personas, la integridad del sistema en sí y las materias y/o productos en proceso.

En el siguiente plano, están las aplicaciones de usuario que interaccionan con el sistema físico (sea en un PLC, DCS, RTU, IED...). Aquí tenemos dos problemas:

se intenta ahorrar en la parte de seguridad de los equipos y poner los mecanismos de seguridad dependiendo de la parte software.
no se suelen auditar los programas. Se verifica su funcionamiento (corrección) pero las pruebas sobre su efectividad suelen ser muy limitadas (y cuando los servicios de programación son subcontratados la situación final puede ser muy diversa).

Si el sistema está bien diseñado, implementado y mantenido, el daño principal que se podría sufrir sería la pérdida de disponibilidad del sistema. La parte de visualización del proceso, no debiera suponer una amenaza, porque las operaciones inseguras o incorrectas no deben ser ejecutadas por un programa del nivel inferior (SI ESTA BIEN HECHO).

El resto de capas superiores son gestión, procesado y análisis de información y debiera ser posible trabajar sin ellas, al menos temporalmente y desde el punto de vista de poder producir un bien o prestar un servicio y sin considerar implicaciones normativas (cómo sucede en farmacia y química fina).

Diego López
S21sec Labs

Fiabilidad en los IDS

noreply@blogger.com (S21sec Labs) — Wed, 04 Nov 2009 08:58:11 PST

Hoy, leyendo la noticia sobre el sistema del DNI facial y, más concretamente, leyendo los comentarios que acompañan a la noticia, se podía leer que el sistema no era del todo fiable. El sistema tiene una fiabilidad del 95% dentro de un escenario controlado, o lo que es lo mismo, un error en la identificación de personas del 5%.

Y es la fiabilidad de los sistemas automáticos lo que más me ha llamado la atención. Extrapolando el término de fiabilidad a la seguridad informática, y más concretamente, al concepto de sistemas de detección de intrusiones, me ha llevado a formularme la pregunta ¿cuán fiables son los sistemas automáticos frente a los configurados manualmente? Para responder a esta pregunta, en primer lugar, debemos diferenciar entre los sistemas automáticos, conocidos como detectores de anomalías, de los configurados manualmente, también denominados detectores basados en firmas o del mal uso.

Los sistemas basados en detección de anomalías, son sistemas basados en comportamientos inusuales del sistema. Estos sistemas se basan en el aprendizaje de patrones dentro de un escenario exento de ataques o intrusiones. Para llevar a cabo este aprendizaje, estos sistemas hacen uso de técnicas de inteligencia artificial tales como modelos de clasificación y modelos de predicción.

Los sistemas basados en firmas o en detección del mal uso, son sistemas capaces de monitorizar las actividades de un sistema y compararlas con las firmas de ataques ya conocidos, almacenadas a su vez en Bases de datos. Estos sistemas son incapaces de predecir un ataque debido a su propia naturaleza ya que, solo detecta aquellos ataques ya identificados por el sistema.

En la realidad, cabe mencionar que son los sistemas basados en firmas son los que máyor número de ataques identifican correctamente, alcanzando cotas del 90-100% de ataques bien identificados, gracias a su bajo nivel de falsos positivos. Por otro lado, los sistemas basados en la detección de anomalías ofrecen ratios bastante altos, alcanzando cotas de 85-95% de los ataques bien identificados, dependiendo del escenario de uso.

En consecuencia, mencionar que a pesar de que los sistemas de detección basados en firmas son bastante más fiables que los basados en anomalías, estos últimos no ofrecen malos resultados, acercándose rápidamente al rango de fiabilidad deseado.

Aitor Corchero Rodríguez
S21sec labs

Retos para la Administración Pública de la Ley 11/2007

noreply@blogger.com (S21sec Labs) — Wed, 04 Nov 2009 01:07:00 PST

Con la publicación de la Ley 11/2007, nuestro país ha dado un paso de gigante hacia la Administración electrónica (lo que se ha venido denominando e-Administración) al reconocernos a los ciudadanos nuestro derecho a relacionarnos con las Administraciones Públicas a través de los medios electrónicos. Evidentemente, esto que, para los ciudadanos es una ventaja, para la propia Administración es un gran reto desde una perspecitva operativa pero también en lo relativo a la seguridad.

De todas formas, esta situación no es nueva, el sector financiero español se enfrentó al mismo tipo de problema al principio de la década. Las entidades financieras tuvieron que exportar su modelo de negocio hacia Internet para lograr que los usuarios pudiesen realizar el mismo tipo de operaciones en la vida digital que ya hacían cotidianamente en el mundo físico. En mayor o menor medida, esos retos, dentro del sector financiero, están ya resueltos. Para lograrlo, fue necesario tomar medidas correctivas, puesto que no se planificó el despliegue de esos servicios desde un punto de seguridad, sino desde el punto de vista de negocio, cosa completamente legítima, pero que demostró que planteaba problemas.

La experiencia durante estos años nos ha enseñado que uno de los problemas principales es poder demostrar que el usuario ha realizado una determinada operación a nivel informático. Lo que comúnmente conocemos por trazabilidad. Un usuario realizará los trámites que la e-Administración le brinde y tendremos que, además de prestarle el servicio adecuadamente, verificar que ese trámite se hizo en forma y tiempo. No solo para una correcta tramitación, sino para poder demostrar, en caso de que sea necesario, de una manera conforme al principio de legalidad establecido en el artículo 4 de la Ley, en cuanto al mantenimiento de la integridad de las garantías jurídicas de los ciudadanos ante las AA.PP. establecidas en la Ley 30/1992.

El reto es poder demostrar que el usuario ha entrado en nuestas aplicaciones, que ha hecho el trámite necesario, que fue él quién realmente lo hizo, y que él mismo ha firmado documentos, en fin, asegurar el timeline (trazarlo).

Una mala planificación de la entrada en vigor de los servicios prestados nos lleva a tener que realizar inversiones adicionales, a demoras en el tiempo de despliegue y a una enorme dificultad en el tratamiento de los datos. Pero si somos capaces de encontrar una vía de desarrollo adecuado, podremos incurrir en menor gasto y ahorrarnos gran parte de los dolores de cabeza que aquí planteamos.

Nuestra sugerencia, sobre la base de las lecciones aprendidas, pasaría por un ciclo de vida completo de los logs necesarios para dicha trazabilidad, desde la definición inicial, pasando por una herramienta capaz de gestionar la información de los logs hasta una auditoría que verifique que se cumplen las condiciones necesarias para evitar el no repudio.

La definición inicial debe permitirnos marcar cuáles son los requisitos que establecemos para dicho sistema de gestión de logs, qué tipo de información deben generar las aplicaciones que se creen para posibilitar los trámites electrónicos y poder así planificar adecuadamente todas las acciones necesarias para llevar a cabo la implantación de dicho sistema. Por otra parte, los criterios definidos en esta primera fase deberían ser la base para la realización de las auditorías de verificación una vez implementado el sistema.

Para el último punto, es necesaria una aplicación que controle los logs de las aplicaciones, que los centralice, con propósito de restaurar de alguna manera la actividad y que nos permita, no solo reconstruir la sesión, sino asegurar que se produjo. Tenemos que tener en cuenta que algunos de los datos que encontraremos están sujetos a LOPD u otros controles. Así mismo, es necesario la firma y sellado de tiempo, si procede, de esos logs. En algunos casos será incluso necesario cifrarlos. Y por supuesto, tendremos que ser capaces de buscar entre todos los datos almacenados, para poder demostrar al ciudadano, u a otra instancia superior, que esa relación entre el ciudadano y la Administración Pública se ha producido.

Sabemos que es un proceso largo y que las aplicaciones no serán todas iguales pero mejor abordar las cuestiones de seguridad incluidas en la Ley antes del despliegue de los servicios online a los ciudadanos.

Antonio Ramos, Director S21sec Galicia
Fernando Carrazón, Consultor tecnológico preventa

El FTP password stealer definitivo

noreply@blogger.com (S21sec Labs) — Tue, 03 Nov 2009 13:18:49 PST

Es usual ver multitud de troyanos en la red buscando en el tráfico palabras mágicas como "USER" y "PASS", que identifican una autenticación FTP, así como POP3. Los troyanos que disponen de este tipo de monitorización de tráfico son capaces de recolectar tanto servidores como credenciales de usuario en cuanto el usuario hace la petición de login mediante protocolo FTP. No obstante, esto es frecuente en distintas familias de malware. Hace unos días analizamos un troyano cuya única función era la recolección de credenciales FTP, pero lo hacía realmente bien: intentaba recuperar dichas credenciales de todas las fuentes disponibles en el equipo infectado, más allá de la monitorización de red ya mencionada y soportando gran cantidad de distintos clientes FTP. En casos en que las credenciales se almacenaban en formato cifrado, el troyano era capaz de lograr el descifrado.

La lista completa de las aplicaciones afectadas eran:

* CoffeeCup Free FTP
* TransSoft FTP
* Core FTP
* Far Manager's saved connections
* Total Commander's saved connections
* GlobalSCAPE Cute FTP client
* FileZilla
* FlashFXP
* Passwords from Windows Internals (Protected Storage)
* SmartFTP
* FTP Navigator

Detección de antivirus:

Filesize: 32768 bytes MD5: 22bee10a9c989e3d217b0259b2bf9f63 Resultado: 38/41 (92.68%)
a-squared	Trojan-PWS.Win32.Agent!IK
AhnLab-V3	Win-Trojan/Daurso.32768
AntiVir	TR/PSW.Agent.mzh.1
Antiy-AVL	Trojan/Win32.Agent.gen
Authentium	W32/Agent.HKC
Avast	Win32:Trojan-gen
AVG	PSW.Agent.AAJK
BitDefender	Generic.PWStealer.5EFCF3C4
CAT-QuickHeal	TrojanPSW.Agent.mzh
ClamAV	Trojan.Spy-63868
Comodo	TrojWare.Win32.PSW.Agent.mzh
DrWeb	Trojan.PWS.Multi.24
F-Prot	W32/Agent.HKC
F-Secure	Generic.PWStealer.5EFCF3C4
Fortinet	W32/Agent.MZH!tr.pws
GData	Generic.PWStealer.5EFCF3C4
Ikarus	Trojan-PWS.Win32.Agent
Jiangmin	Trojan/PSW.Agent.htc
K7AntiVirus	Trojan-PSW.Win32.Agent.mzh
Kaspersky	Trojan-PSW.Win32.Agent.mzh
McAfee	Generic PWS.y!yx
McAfee+Artemis	Generic PWS.y!yx
McAfee-GW-Edition	Heuristic.BehavesLike.Win32.Backdoor.H
Microsoft	PWS:Win32/Daurso.A
NOD32	Win32/PSW.Agent.LQD
Norman	W32/Agent.PHND
nProtect	Trojan-PWS/W32.Agent.32768.Q
Panda	Trj/CI.A
PCTools	Trojan-PWS.Agent
Rising	Trojan.PSW.Win32.Agent.euo
Sophos	Mal/Generic-A
Sunbelt	Trojan.Win32.Generic!BT
Symantec	Infostealer
TheHacker	Trojan/PSW.Agent.mzh
TrendMicro	TSPY_AGENT.AVMG
VBA32	Trojan-PSW.Win32.Agent.mzh
ViRobot	Trojan.Win32.PSWAgent.32768.R
VirusBuster	Trojan.PWS.Agent.NPLX
http://www.virustotal.com/analisis/90acaa9342474fda4543157511fe52d079dc587b5814003809736fe938a1de28-1257151450

En este caso la detección de antivirus es bastante buena para la muestra, todos lo detectan. Pero ¿es posible que esto no tenga ninguna importancia? ¿Por qué tengo esa impresión, a pesar de la detección de todos los antivirus? En este caso el troyano se distribuye con la ayuda de otro, llamado Bredolab, y es el que descarga los ficheros cifrados. De este modo, no salta ninguna alarma para firmas de "PE" o "MZ" en la red que puedan hacer saltar ninguna alarma de descarga de ejecutable. Por otra parte, Bredolab puede evitar varios productos antivirus, así como ejecutar los binarios que descarga directamente en memoria y sin necesidad de tocar el disco. De este modo, sin ningún fichero en disco, no queda nada que escanear.

Por otra parte, ¿cómo se benefician los delincuentes de las credenciales FTP robadas? Pueden venderlas, o comprobar si pertenecen a alguna empresa importante, pero la práctica más habitual estos días es utilizarlas para distribución de código malicioso. De forma automática enumeran todos los logins de FTP y comprueban si pueden modificar alguna página web dentro de la cuenta (necesita acceso de escritura, y comprueba si el sitio tiene index.html o ficheros php). En caso afirmativo, añaden contenido javascript extra en el código o redirecciones a un sitio web remoto en el que un kit de explotación intenta infectar los equipos vulnerables que la visiten. Este escenario es similar a las inyecciones SQL masivas, aunque en este caso son las credenciales FTP las que permiten comprometer cientos de sitios a pesar de no tener ninguna vulnerabilidad.

Jozsef Gegeny
S21sec e-crime

¿Cómo está España respecto a otros países en materia de seguridad en Internet?

noreply@blogger.com (S21sec Labs) — Tue, 03 Nov 2009 08:12:59 PST

¿Cómo está España respecto a otros países en materia de seguridad en Internet? Es una pregunta que se repite a menudo en muchas de las reuniones y eventos a los que asistimos. Realmente es difícil dar una respuesta objetiva, pero puesto que ya nos encontramos en una fase de madurez de los delitos en Internet, tenemos suficientes datos y estadísticas que nos permiten posicionar a España en el conjunto de los países mundiales, en lo referente a la seguridad en Internet.

Los datos y estadísticas que vamos a comentar están obtenidos de tres fuentes principales:

El volúmen 7 del Microsoft Security Intelligence Report, que cubre el primer semestre de 2009.
Estadísticas de TLD emisores de SPAM de SURBL
Estadísticas propias de S21sec en su servicio antifraude

Máquinas infectadas

En el informe aparecen datos reales sobre el número de máquinas que la herramienta de Microsoft ha detectado (y limpiado) algún tipo de código malicioso. Está claro que no todo el mundo usa Microsoft Windows y no todo el mundo usa la herramienta de Microsoft, pero nos ofrece unas estadísticas muy interesantes:

España ocupa el puesto 5, con más de 1.8 millones de máquinas limpiadas, lo que supone un incremento del 20% respecto al semestre anterior. El top 5 lo ocupan EEUU con 13.9 millones, China con 2.8, Brasil con 2.1, y Reino Unido con 2 millones.

En el caso de España, casi el 50% de esas detecciones correspondieron a gusanos, y un 30% (en el informe se habla de Win32/Taterf, un gusano especializado en robar contraseñas de juegos online, pero tiene más pinta que se refiere a Conficker, más aún viendo el gráfico de infecciones de Conficker de sus 7 millones de máquinas infectadas).

Si nos referimos al tanto por ciento de máquinas infectadas, España se encuentra el la posición 4, con un 21.6% (esto es, 1 de cada 5 ordenadores que use la herramienta de Microsoft ha sido infectado), frente al 97.2% de Serbia y Montenegro, el 32.3% de Turquía o el 25.4% de Brasil.

Envío de SPAM

Según el informe de Microsoft, que utiliza geo-localización para asignar el país a las direcciones IP que envían SPAM,

España se encuentra en la posición 7, detrás de EEUU, China, Corea, Brasil, Argentina y Rusia,

pero si vemos las estadísticas de los TLD que más emiten SPAM, y nos centramos en los ccTLD,

España ocupa la posición 5, por detrás de China, EEUU, Rusia y Austria (excluyendo los .com, .net, .org, .info y .eu)

Phishing y código malicioso

Referente a las máquinas que albergan páginas de phishing, en el informe de Microsoft no aparecemos ni siquiera en el top 10, pero según las estadísticas internas de S21sec, donde tenemos registrados más de 8.000 incidentes de fraude,

España ocupa la posición 7, donde el 3% de los incidentes están albergados en máquinas de España, por detrás de EEUU (41%), Alemania (4%), Rusia (3.7%), Turquía (3.3%), México (3.1%) y Polonia (3.1%).

Claramente EEUU tiene un gran problema con la seguridad en Internet relacionado con sus activos, pero también es debido a la gran cantidad de máquinas que tienen allí, puesto que por ejemplo, tiene una tasa de infección de 6.9, mucho menor que España (21.6%). Desde hace tiempo EEUU se ha puesto a trabajar para intentar mejorar, y gracias a un indudable apoyo directo desde el gobierno, pronto verán mejoras. Un claro ejemplo es el siguiente video, donde el presidente Obama habla de ciberseguridad de forma clara y concisa (relacionado conque Octubre fue el mes de concienciación nacional en ciberseguridad):

Aunque la seguridad de las grandes empresas españolas no tenga nada que envidiar a sus homónimas de ningún país (y de hecho, en muchas veces superiores), realmente tenemos un problema en España en lo referente a los ordenadores infectados; sólo con una mezcla de concienciación y formación a todos los ciudadanos, iniciativas de colaboración conjuntas entre el mundo público y el mundo privado (como comenta Obama), y una legislación coherente y actualizada, podemos intentar salir de la Champions League de la inseguridad en Internet.

David Barroso

S21sec e-crime

El mercadillo de las redes sociales

noreply@blogger.com (S21sec Labs) — Tue, 03 Nov 2009 01:32:49 PST

Todos conocemos la importancia que tienen las redes sociales (Sistemas de comunicación, nacidos
originalmente a partir de los servicios de mensajería instantánea, y que han evolucionado hasta convertirse en un espacio de interacción social entre las distintas comunidades de usuarios).

Según datos oficiales a día de hoy ya contamos en España con unos 24 millones de internautas (rondando el 60% de la población) los cuales, poseen al menos, una cuenta en alguna red social .

Enlace: España es el segundo pais del mundo en usuarios redes sociales

A continuación muestro un mapa mas o menos actualizado de las redes sociales con mayor presencia en España:

Estas redes permiten publicar imágenes y vídeos , chatear, conocer gente nueva...en fin, multitud de posibilidades a realizar con la única condición de “donar” a la compañía que gestiona la red social unos datos tan insignificantes como :

El correo electrónico
Fotos
Datos personales

Esta es una de las razones por la que los “malos” continúan apoderándose de nuestras cuentas y distribuyendo malware que ataquen a nuestros equipos y permitan la extracción de credenciales e información.

Pero no solo los malos están sacando partido de esta información Las propias redes sociales ya están aprovechando toda esa información que en su momento fue en gran parte privada:

Facebook ha modificado su política de privacidad para reducir la jerga jurídica, y ha indicado que tiene previsto ampliar el número de datos de usuario que venderá a sus anunciantes alegando que. "Esta información permite a los anunciantes a hacer lo que comúnmente se llama seguimiento de conversiones, que les ayuda a medir la efectividad de sus anuncios y a hacerlos más pertinentes".

Enlace: Facebook vendera mas datos de usuario a sus anunciantes

Twitter esta negociando con Google y Microsoft para concederles licencias sobre su flujo de datos

Enlace:Twitter talking separately to microsoft and also google about big data mining deals

Microsoft, Xerox y, ahora, la CIA, han invertido en Visible Technologies, una herramienta poderosa capaz de rastrear lo que pasa en medio millón de webs interactivas al día y de recopilar más de un millón de posts y conversaciones de blogs, forums online y sitios tan conocidos como Flirck, YouTube o twitter.

Enlaces: La CIA adquiere un nuevo software de extraccion de informacion en las Redes sociales Visible technologies

Es una pena que no hayan visto aún una de nuestras herramientas, Vigilancia Digital

La consecuencia de todo esto es que la posibilidad de identificar a un usuario, supuestamente anónimo, se vuelva en una red social, muy real:.

Un grupo de investigadores logra identificar a individuos utilizando datos de redes sociales supuestamente anónimos.

Grupo de investigadores logran identificar a individuos utilizando datos de redes sociales

Extracción de información de las redes sociales:

Extracción de información de las redes sociales

Incluso una vez, fallecidos , quieren tenernos en sus bases de datos:

Facebook y el cementerio virtual

Las cartas se van descubriendo sobre la mesa, de una forma muy lenta, pero imparable, socavando todo derecho a la intimidad y la privacidad, y viendo como comercian impunemente con la información que se les confió.

Raúl Pérez Rojo
S21sec-ecrime

ICANN - Internacionalización de los Nombres de Dominio

noreply@blogger.com (S21sec Labs) — Fri, 30 Oct 2009 03:02:56 PDT

La ICANN, Corporación de Internet para la Asignación de Nombres y Números de Internet, - Organización sin ánimo de lucro que opera a nivel internacional, responsable de asignar espacio de direcciones numéricas de protocolo de Internet (IP), identificadores de protocolo y de las funciones de gestión del sistema de nombres de dominio (DNS); decidirá, en una reunión hoy viernes en 36 Encuentro Publico Internacional que tendrá lugar en Seúl si incorpora secuencias de comandos no basadas en caracteres latinos.

El nuevo modelo propuesto, denominado Internacionalización de los Nombres de Dominio (IDN- Internationalized Domain Name), es un nombre de dominio en el que se pueden escribir caracteres no ASCII. Hasta ahora, desde la invención de Internet hace 40 años, el nombre de dominio sólo lo componían caracteres latinos.

Con la nueva propuesta sería posible escribir direcciones en alfabetos diferentes, como el árabe, griego, hindi, japonés, coreano y el cirílico.

La globalidad de Internet encuentra una barrera en el lenguaje que puede suponer un obstáculo para su evolución. Según algunas fuentes, el acceso multilingüe no será real hasta que no se logren nombres de dominio multilingües y la internacionalización de los estándares y protocolos de nombres de Internet. La ICANN espera con el cambio llegar a los millones de usuarios de Internet que hablan idiomas que no usan caracteres latinos.

La conversión entre las formas ASCII y no-ASCII de un nombre de dominio se realiza mediante algoritmos llamados ToASCII y ToUnicode.

El modelo ha sido probado durante años para conseguir que el sistema de nombre de dominio traduzca varias secuencias de comandos diferentes en una única dirección y así poder garantizar que los usuarios accedan a la web correcta.

Esta internacionalización de los nombres presenta varios problemas, uno de ellos es el relacionado con los caracteres homógrafos (palabra que teniendo distinta significación que otra, se escribe de igual manera que ella)

Diferentes caracteres en diferentes lenguajes pueden parecer iguales, dependiendo de la fuente (tipo de letra) utilizada. Por ejemplo, el carácter Unicode U+0430 ("a" cirílica minúscula), puede parecer idéntico al carácter Unicode U+0061 ("a" latina minúscula, utilizada en el idioma español).

La similitud de caracteres sólo se encuentra en la versión Unicode del nombre de dominio, ya que la versión ACE de los dominios es diferente, lo que nos lleva a descubrir las diferencias. Por ejemplo, sabiendo que la primera "a" de pаypal.com es una "a" cirílica, la versión ACE del dominio es xn--pypal- 4ve.com.

Este mismo problema surge en el uso de IDN para dominios de primer nivel. Así, Rusia no quiere confundirse con Paraguay: el actual código de caracteres de país para Rusia es “.ru”, cuyo equivalente cirílico se parece mucho al código latino para Paraguay “.py”.

Si la propuesta llega a buen puerto, tendríamos que esperara hasta mediados de 2010 para ver los primeros nombres de dominio no latinos se resuelvan en Internet.

Según Peter Dengate Thrush, presidente de la Junta de la ICANN, "Este es el mayor cambio técnico de Internet desde su invención."

Desde un punto de vista de la seguridad también hay una enorme cantidad de trabajo necesaria. Por ejemplo, simples confusiones de dominio por parte de usuarios podrían considerarse como spoofing para el administrador de red que recibe la petición. Por otra parte, los pocos usuarios capaces de reconocer una URL falsa "a simple vista" lo tendrán mucho más difícil. Y, en esta misma línea, los sistemas de detección antiphishing han de tener en cuenta un grado de complejidad adicional.

Esperemos que esta propuesta de internacionalización no desemboque también en un pico histórico de fraude electrónico.

Para saber más:
http://www.icann.org/en/topics/idn/fast-track/idn-cctld-implementation-plan-30sep09-en.pdf

http://www.blackhat.com/presentations/bh-usa-09/WEBER/BHUSA09-Weber-UnicodeSecurityPreview-SLIDES.pdf

Fuentes:
http://www.fundacion.telefonica.com/
http://www.icann.org/

Paula Remírez Ruiz
Vigilancia Digital

Un par de opiniones (parte 1)

noreply@blogger.com (S21sec Labs) — Fri, 30 Oct 2009 00:34:52 PDT

Cuando se habla de la seguridad de los sistemas de control, hay un par de cosas con las que no estoy de acuerdo en cómo se abordan y de las que se habla en términos demasiado generales. Esta semana publicamos la primera y la semana que viene la segunda.

1. Sistemas tiempo real y determinismo

En la mayoría de los sistemas reales, no es necesario el determinismo. Y dentro de los sistemas que lo necesiten, la necesidad de tiempo real estará restringida a unas partes concretas.

Si un sistema de control lo consideramos como una superposición de capas, sólo la primera capa (la que interacciona directamente con el sistema físico) es la que puede tener mayor necesidad de velocidad y determinismo.

En un sistema de control podemos encontrar muchas aplicaciones de soporte y gestión cuyas necesidades de transferencia y procesado de la información deben ser tenidas en cuenta. Podemos encontrar aplicaciones de gestión de producción, calidad, eficiencia, trazabilidad, mantenimiento, control estadístico, gestión de stocks....

Estos paquetes de software se han integrado dentro de los sistemas de control para poder obtener los datos necesarios (inputs) directamente del sistema y enviar sus resultados.

Anteriormente se tomaban "a mano" (escritura de los datos en formato papel o electrónico) y luego se introducían en la aplicación correspondiente, para obtener o mantener una información que luego se empleaba utilizar en la operación del sistema.

La información que manejan estas aplicaciones puede dividirse en tres categorías:

Información necesaria para producir un bien (o prestar un servicio)
Información sobre la capacidad de producir un bien o prestar un servicio
Información sobre el estado actual de la producción del bien o prestación del servicio (sería la imagen del proceso)

En principio todo esto podría tratarse como un sistema de información puramente IT.

La amenaza es la interconexión con la parte puramente productiva y que los canales de lectura de información sean empleados para afectar negativamente al sistema.

Si nos centramos en un SCADA, considerándolo el nivel más alto desde el cual podemos ejecutar una orden sobre el proceso productivo, nos encontramos con que un operario no está continuamente realizando operaciones sobre la interfaz, ni tampoco los procesos o servicios de procesado de información del SCADA requieren una alta frecuencia ni determinismo y pequeños retardos son perfectamente asumibles (siempre y cuando el SCADA esté bien hecho y no asuma funciones que no debiera tener. Por ejemplo, realizar el enlace entre dos plc's para una sincronización de operaciones dependientes (pero sí que podríamos usar el SCADA para intercambiar información no esencial, que puede mejorar el comportamiento del sistema pero que debe ser prescindible). Una conexión entre dos plc's para sincronizarse o realizar una operación conjuntamente, requiere una conexión física directa a través de una red exclusiva de plc’s o a través de entradas/salidas.

Lo que si es necesario es que las comunicaciones sean fiables y las órdenes dadas se ejecuten (la información que muestra el SCADA está actualizada y la escritura se realiza).

En un SCADA tendremos:

imagen de proceso (a partir de los datos suministrados por drivers de comunicaciones)
interfaz gráfica
gestión de eventos
comunicaciones con otras aplicaciones (conexiones a bases de datos, envío de información a través de ficheros de texto plano o xml)

El tiempo total desde que se produce un cambio en el sistema físico hasta que una acción se ejecuta en respuesta a ese cambio físico se descompone en:
1- detección del cambio en el sensor

2- transferencia de información desde el sensor hasta el procesador
3- cálculo de la respuesta:

directamente en el procesador (toda situación que pueda conceptualizarse y calcularse directamente debe realizarse a este nivel, a pesar de que un SCADA tiene gran capacidad de programación y pueda ser más "agradable" de utilizar).
o envío de la información al SCADA, visualización por parte del operador, cálculo de la respuesta en la mente del operador, operación en el SCADA y envío al procesador (en un SCADA también podemos dar órdenes para el inicio, pausa y/o fin de operaciones de acuerdo a una planificación establecida y no como respuesta a un evento físico.

4- envío de órdenes desde el procesador a las salidas
5- ejecución de la orden en el accionamiento físico

Si consideramos la variabilidad del tiempo de respuesta cuando incluimos el factor humano y la parte física del sistema, vemos que no debiera existir tanta exigencia.

Con los avances en la sensorización, en los procesadores y en las comunicaciones, el factor de velocidad de transferencia de información ha dejado de ser tan determinante.

En un SCADA deben estudiarse las diferentes señales que tenemos y la dinámica asociada de las variable físicas para definir los ciclos de lectura y ajustar el tráfico de la red a las necesidades reales. En mi opinión, un SCADA (excluyendo la parte de drivers de conexión) también podría analizarse con métodos de IT.

En conclusión, lo realmente importante es realizar una segmentación física adecuada de las redes y sólo estudiar de manera especial la parte específica de "comunicaciones industriales": no encriptadas y con protocolos que pueden encontrarse fácilmente en internet.

La semana que viene: 2. Un ciber-ataque puede causar daños en las instalaciones e incluso a las personas.

Diego López
S21sec labs

Rompamos AES-128. Yo no puedo ¿Y tu? ... Tampoco

noreply@blogger.com (S21sec Labs) — Wed, 28 Oct 2009 08:22:07 PDT

En un comentario de un post anterior en el que se trataba de comparar el poder computacional de las grandes supercomputadores actuales con el poder de computación que se podría lograr con una botnet, se preguntaba sobre la posibilidad de romper una clave criptográfica AES de 128 bits con los recursos de una botnet. El tema es interesante, y en este post vamos a intentar tratar este asunto.

Lo primero de todo, deberíamos decir que, con la computación actual, romper la clave AES de 128 bits por fuerza bruta es inviable.

Vamos a simplificar el problema: para una clave de 128 bits de longitud tendríamos 2¹²⁸ claves a comprobar; vamos a asumir que necesitamos un flop para comprobar si la clave es válida o no y vamos también a asumir que estamos en el peor caso posible, es decir, tenemos la mala suerte de que la clave válida es la última que comprobamos.

Echando unas cuentas rápidas y dadas las asunciones anteriores, si consideramos el roadrunner (el supercomputador más potente del mundo), la potencia pico de cómputo es algo menos de 1.5 petaflops, con lo cual necesitaríamos más de 74 billones de siglos. Como veis esto es algo inviable.

Compararlo con el tiempo que tardaría una botnet es complicado porque no se disponen de datos objetivos sobre la capacidad de cómputo de éstas. Lo podríamos comparar por ejemplo con el conjunto de la plataforma BOINC, dentro de la que hay proyectos como el SETI@HOME, MilkyWay@home, etc. Realmente, la forma de actuar de BOINC es similar a como funciona una botnet, aunque en el caso de BOINC los usuarios ceden voluntariamente sus recursos compuacionales al proyecto. Según su página web, toda la infraestructura tiene un poder de cómputo medio de más de 2.6 petaflops (más de un 80% que el mayor supercomputador del mundo!!) y por tanto necesitaríamos más de 41 billones de siglos. Por tanto, aunque uniéramos los dos, junto con todos los supercomputadores, seguiría siendo un tiempo demasiado grande como para planteárselo.

Normalmente, desde el punto de vista combinatorio, las claves de 128 bits son muy seguras, no así las de 64 bits. Por ejemplo, con las asunciones anteriores, se podría romper una clave de 64 bits (que no es poco) con una infraestructura como la de BOINC en menos de dos horas. Pero claro, hace falta tener una infraestructura de tal calibre a tu disposición lo cual no es muy habitual ... a no ser que te hagas con el control de una botnet muy, muy grande. Con la computación actual (si pensamos en modelos de computación cuántica la cosa cambia) y dejando aparte teorías de puertas traseras en los algoritmos de cifrado, la única forma de romper claves tan grandes es atacando el algoritmo de forma lateral, buscando colisiones, vulnerabilidades en la generación de claves, vulnerabilidades en la propia estructura matemática del algoritmo, en la generación de números pseudo-aleatorios, etc.

En el caso de AES, se considera un algoritmo seguro, de hecho, el AES -128 está aprobado por la Agencia de Seguridad Nacional Americana (NSA) para proteger documentos de seguridad nacional, no así para los documentos de seguridad crítica (top secret) para los que se requiere AES-256. Actualmente, se conocen ataques a la encriptación AES, pero lo que consiguen es reducir la complejidad de la búsqueda de la clave de forma que sea algo más eficiente que la búsqueda por fuerza bruta. Aún así, el orden de búsqueda es tan alto que es inviable descubrir la clave. Por ejemplo, el ataque XSL permite reducir la complejidad de la búsqueda para AES-128 a 2¹⁰⁰ (con la arquitectura BOINC y las asunciones iniciales tardaríamos más de 17 millones de años en obtener la clave). Para claves AES-256 también hay ataques basados en colisiones locales ([1],[2]) que permiten reducir la búsqueda a un orden de 2¹¹⁹.

Como se puede ver, el cifrado AES de 128 bits o más es muy seguro (lo dice la NSA y también los creadores del algoritmo de ataque a AES-256). Pese a esto, no se puede descartar que en un futuro sí que se encuentre la forma de hacer posible romper el cifrado AES en un tiempo razonable.

Guzmán Santafé
S21sec labs

III ENISE

noreply@blogger.com (S21sec Labs) — Wed, 28 Oct 2009 01:13:57 PDT

Hoy ha comenzado en León el tercer Encuentro de la Industria de la Seguridad en España (ENISE), un evento organizado por INTECO donde se aglutinan más de 150 ponentes de las empresas e instituciones más importantes del ámbito nacional, y que S21sec patrocina. Durante tres días se irán debatiendo y exponiendo diferentes temas y enfoques relacionados con la seguridad de la información, siendo hoy el reservado para la innovación en seguridad en la sociedad de la información, mañana miércoles se dedicará al negocio e innovación en seguridad, y por último, el jueves se tratará la innovación en servicios electrónicos seguros. Cada uno de los días se comprende de sesiones plenarias, de carácter estratégico, y de talleres, donde el contenido se supone más práctico.

Durante el día de hoy, dentro de los talleres dedicados a la innovación en seguridad, se tocarán temas relacionados con el ciberterrorismo y las nuevas formas de delincuencia, donde David Barroso ha hablado sobre los mitos en el mundo del fraude electrónico, intentando de esta forma aclarar y alejar falsas creencias en este ámbito. Otros de los talleres interesantes de la jornada de hoy son los centrados en la seguridad de dispositivos móviles o en las redes sociales y su privacidad. Además, mañana también participaremos con Juan Antonio Gómez Bule en la sesión plenaria que trata sobre innovación en servicios electrónicos seguros.

Podéis encontrar más información en la página oficial del evento, y si estáis por aquí no dudéis en saludarnos.

Jose Miguel Esparza
S21sec e-crime

Criptovirología: Del polimorfismo a la kleptografía

noreply@blogger.com (S21sec Labs) — Mon, 26 Oct 2009 05:05:17 PDT

La criptografía viene empleándose en el diseño de Malware casi desde antes que se empleara en el diseño de SOFTWARE legitimo :)

Inicialmente se utilizó como una protección frente a la ingenieria inversa y contra la detección mediante cadenas y patrones: El virus cifraba su código mediante una clave y una operación sencilla, reversible, como puede ser un simple cifrado XOR con clave aleatoria.

Seguidamente se construía una rutina de descifrado, que recibía el control al ejecutar el programa infectado, y que descifraba el cuerpo del virus en tiempo de ejecución para, posteriormente, pasarle el control. La rutina de descifrado se generaba de manera que las instrucciones que la componen son diferentes cada vez, pese a realizar la misma tarea.

Al emplearse una rutina de descifrado variable y encontrarse el resto del virus cifrado con una clave también variable se lograba evitar que los investigadores pudieran crear una firma, un patrón, que pudiera emplearse para buscar y detectar el virus en todos los ficheros del disco. A esto se le denominó polimorfismo.

Remontándonos en el pasado en busca de otros ejemplos de la utilización de la criptografía en el diseño de MALWARE nos encontramos con el virus [1] ONE HALF.

ONE HALF llamó la atención de los investigadores por su manera de operar en un sistema infectado: Un HOOK en la interrupción 13h permitía al virus monitorizar la lectura y escritura de sectores a disco. En cada arranque ONE HALF cifraba ciertos sectores empleando una clave aleatoria almacenada en el propio cuerpo del virus. La información en disco, cifrada, era descifrada por el virus “al vuelo” empleando este HOOK y sin que el usuario pudiera notarlo.

A la hora de eliminar el virus ONE HALF de un disco infectado no se podía recurrir a la restauración del MBR sin más: El contenido del disco quedaría cifrado, las claves y el código del virus que permitían descifrar el contenido del disco se perderían, y con ellas toda la información almacenada.

Si bien se trata de una de las primeras muestras de lo que la criptografía podía dar de si en el desarrollo de MALWARE, ONE HALF no suponía un problema para las técnicas de detección y desinfección que vinieron mas tarde y que ya eran capaces de manejar la situación.

El cifrado empleado por los virus polimórficos o por el virus ONE HALF era débil, lo que permitía romperlo para desentrañar aquello que el autor pretendía ocultar. Se trataba de sistemas de cifrado de clave simétrica, reversible, muy básicos y simples: Una vez conocida la clave, que en la mayoría de las ocasiones se encontraba oculta en alguna parte del cuerpo del virus, era ya posible recuperar la información.

La criptografía de clave pública vendría a solucionar este problema, pues pronto los autores de MALWARE empezarían a usarla para romper la simetría entre lo que el usuario o el investigador ve del MALWARE y lo que el autor puede ver. Su utilización en el desarrollo de MALWARE daría pie a la aparición de un campo de estudio que se denominó CRYPTOVIROLOGY.

Algunos de los primeros ataques en esta dirección, como RANSOM o GPCODE, darían lugar a lo que se denominó [2] CRYPTOVIRAL EXTORSION: El MALWARE emplea criptografía de clave pública para cifrar la información que el usuario guarda en su disco, solicitando el pago de una cantidad de dinero a cambio de la clave que permite su recuperación.

La criptovirología estudia la manera en que la criptografía moderna y sus paradigmas pueden explotarse para diseñar MALWARE más potente y eficaz, ofreciendo una mayor privacidad al autor, dando lugar a nuevos ataques, permitiendo la utilización de canales para la fuga de información que no se habían considerado hasta el momento, etc.

Pero no sólo el uso de la criptografía puede ser explotado con fines maléficos, si no también los propios mecanismos criptográficos en si mismos: En [3] PRACTICAL RSA TRAPDOOR, publicado en 1993, Ross Anderson mostraba la creación de una puerta trasera en la generación de claves RSA.

En el escenario propuesto por Anderson se emplea un dispositivo HARDWARE para la generación de claves RSA. Dicho dispositivo se encuentra modificado de manera que las claves RSA generadas funcionan correctamente, pero contienen oculta la información necesaria para recuperar la clave privada.

Más adelante el esquema propuesto por Anderson para la creación de su TRAPDOOR se mostró inseguro, pues resultaba posible detectar la presencia de la puerta trasera a partir de la salida de la caja negra criptográfica (el dispositivo HARDWARE) sin necesidad de entrar a estudiarla internamente. Además se encontró que se trataba de una puerta trasera simétrica: Cualquier investigador que descubriese su existencia podría hacer uso de ella, como se describe en [4] ANDERSON'S RSA TRAPDOOR CAN BE BROKEN.

En 1996 los investigadores A. Young y Moti Yung presentaron una nueva puerta trasera sobre la generación de claves RSA que denominaron SETUP: SECRETLY EMBEDDED TRAPDOOR WITH UNIVERSAL PROTECTION.

Al igual que en el esquema de Anderson la puerta trasera propuesta por Young y Yung permitiría al atacante obtener la clave privada, pero con importantes diferencias: La presencia de la puerta trasera no podía detectarse mediante el simple análisis de las claves generadas. Además se trataba de una puerta trasera asimétrica, pues explotarla para obtener las claves privadas estaba solo en manos del atacante, aún en el caso de que se descubriese su presencia y se realizase ingeniería inversa de ella.

Se introducen así los principios de la kleptografía, que saca partido de la existencia de canales subliminales en los sistemas criptográficos en combinación con la criptografía de clave pública: Los canales subliminales se emplean para logar la fuga imperceptible de la información necesaria para la posterior recuperación de la clave privada. La criptografía de clave pública permite proteger el uso del canal, convirtiéndose así en una puerta trasera asimétrica explotable solo por su autor.

Un ataque kleptográfico supone la modificación de un sistema o un protocolo criptográfico de manera imperceptible e indetectable: La salida que obtenemos de un sistema criptográfico infectado no se puede distinguir mediante cálculo alguno de la salida obtenida a partir de un sistema criptográfico no infectado.

La puerta trasera permanecerá totalmente oculta si no se recurre a la ingeniería inversa y el análisis en profundidad de la caja negra, del sistema criptográfico en si mismo… Y aun en ese caso el investigador tan solo podría llegar a conocer su presencia, pero no podría hacer nunca uso de ella.

Un escenario hipotético para un ataque de estas características podría ser la instalación de una puerta trasera en las librerías criptográficas de algún sistema operativo ampliamente difundido. Ciertas agencias gubernamentales podrían acceder a la información cifrada, de manera segura, en caso de considerarla sospechosa.

[1] ONE HALF
http://en.wikipedia.org/wiki/OneHalf_(computer_virus)

[2] CRYPTOVIROLOGY: EXTORTION-BASED SECURITY THREATS AND COUNTERMEASURES
A. Young, Moti Yung
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=502676

[3] PRACTICAL RSA TRAPDOOR
R. J. Anderson
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=216366

[4] ANDERSON'S RSA TRAPDOOR CAN BE BROKEN
Burton S. Kaliski Jr.
http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.45.1789

Óscar Gallego Sendín
S21Sec e-crime

Ya está aquí, ya llegó.

noreply@blogger.com (S21sec Labs) — Mon, 26 Oct 2009 02:47:07 PDT

Llegó el gran día, ayer fue lanzado oficialmente al mercado el nuevo sistema operativo de Microsoft: Windows 7. Tras las críticas cosechadas por su predecesor Windows Vista, los de Redmond han realizado una apuesta en firme con su nuevo producto y han obtenido una calurosa acogida previa, aunque es ahora cuando empieza su verdadero examen con los auténticos usuarios.
Como es habitual Windows 7 se presenta en varias versiones diferentes. Seis opciones para PCs convencionales y una séptima, adecuada a los últimamente tan de moda mini portátiles o netbooks, llamada Windows 7 Starter Edition.
Las tres fundamentales son:

En cuanto a sus mejoras según asegura ‘la casa de las ventanas’ el nuevo sistema es más ágil, aunque en realidad esta cualidad es dependiente de los recursos del ordenador (cantidad de RAM, el procesador...). En lo que respecta a seguridad también ha sido mejorado tanto a nivel de usuario como corporativo y cuenta con el sistema Bit Locker (ya presente en Windows Vista) en su edición Ultimate.

En general se trata de un sistema operativo muy intuitivo con un escritorio que ofrece multitud de opciones de colocación de ventanas, con simples movimientos de ratón. Además, dispone también de la nueva función ‘Jump List’ que nos permite acceder a los últimos documentos utilizados con un programa, simplemente posicionándonos encima de su icono y haciendo clic en el botón derecho del ratón.

Asimismo, con sus nuevas características de transferencia de datos multimedia y su facilidad para conectarse en red el nuevo sistema puede convertirse en un fantástico gestor de contenidos multimedia en un entorno doméstico.

Con el objetivo de no dejar a nadie indiferente Microsoft ha apostado por una llamativa campaña publicitaria, que le ha llevado por ejemplo en EEUU, a comprar un episodio de una famosa serie de animación en la que sus protagonistas destacarán las bondades de su producto en momentos puntuales a la vez que lanzarán alguna indirecta contra la competencia. No menos extravagante ha sido la campaña de marketing en España, donde por motivo de su nombre han elegido un pueblo asturiano llamado Sietes para hacer su lanzamiento, han adornado sus calles con anuncios y han alfabetizado digitalmente a su población.

Y de este modo se presenta Windows7. Las bases parecen adecuadas pero todo esta por ver ¿Conseguirá hacer olvidar la incertidumbre originada por Windows Vista y aupar de nuevo a firma americana a lo más alto del mercado?
Windows 7 al rescate.

Fuentes y enlaces de interés:

http://www.elpais.com/articulo/tecnologia/Iniciar/Windows/elpeputec/20091022elpeputec_4/Tes
http://emea.microsoftstore.com/es/Microsoft/Windows/Windows-7

http://iphoneros.com/?p=5611
http://www.tgdaily.com/content/view/44377/140/
http://www.muylinux.com/2009/10/21/ibm-apuesta-por-linux-no-por-windows-7/

Amaia Urtasun
S21Sec e-crime

Ataques a sistemas críticos

noreply@blogger.com (S21sec Labs) — Thu, 22 Oct 2009 14:32:28 PDT

En esta ocasión vamos a hablar sobre un tema muy relacionado al mundo de los SCADA, y es el estudio constante que se está haciendo en el ámbito militar sobre dispositivos capaces de lanzar ciberataques a distintos objetivos de interés. Como no puede ser de otra manera, EE.UU está al frente en esta carrera tecnólogica y es el país que más tiempo y dinero invierte en ello. Esto puede ser debido a los conflictos armados más recientes, como el de ejército israelí y Hamas, o Georgia y Rusia. En este último caso además de la movilización de tropas, también hubo diferentes clases de ciberataques a redes y servidores gubernamentales, como por ejemplo "Denial Of Service".
EE.UU está buscando una herramienta para duplicar el tipo de ataque, es más, el Departamento de Defensa ha firmado varios contratos con compañías IT para diseñar un rango de posibles ciberataques. El problema está en que hoy en día sólo unos pocos (con suficientes conocimientos) podrían dirigir un ataque con este tipo de dispositivo, por lo que dicho dispositivo tiene que ser manejable por los soldados, sin la necesidad de tener conocimientos técnicos en cuanto a hacking o protocolos de seguridad. El dispositivo estaría controlado mediante comandos de deslizamiento (sliders), con los que el soldado podría especificar el tipo de ataque a realizar (ataque lento pero con gran precisión o un ataque más rapido y devastador en situación de peligro). Esto daría a los soldados la capacidad de invadir redes enemigas.

Además de poder atacar redes inalámbricas, el dispositivo podría interferir en comunicaciones satelitales o de Voz sobre IP. Sin embargo, lo que resulta interesante sería la capacidad de penetrar sistemas SCADA como plantas nucleares, refinerías de petróleo o plantas eléctricas. Esto supondría una manera muy eficaz de atacar a los puntos más críticos y estratégicos de un país, logrando una ventaja muy importante en una guerra. Las diferentes formas de ciberguerra se están haciendo notar cada vez más, y los gobiernos están dándole mayor importancia, por lo que están invirtiendo cada vez más dinero en esta materia.

Fuente:http://www.aviationweek.com/aw/generic/story_channel.jsp?channel=defense&id=news/CYBER052109.xml

Iker Berriozabal
S21sec labs

Nuevos ataques mediante ingeniería social

noreply@blogger.com (S21sec Labs) — Thu, 22 Oct 2009 10:15:28 PDT

En los últimos días nuestras herramientas de detección han detectado dos nuevas olas de ataques mediante correos maliciosos especialmente dirigidos a empresas e instituciones, que mediante ingeniería social intentan engañar a los usuarios para instalar software malicioso en sus equipos.

En la primera de ellas, haciéndose pasar por una actualización de Microsoft Outlook Web Access (OWA), se avisa al usuario que debe ejecutar una aplicación en su ordenador actualizar la configuración de su cuenta de correo. A continuación se muestra una captura de la web fraudulenta.

La dirección URL en el correo electrónico parece que lleva a la página del OWA de la propia empresa, por lo que deberán prestar atención aquellas empresas en las que utilicen este sistema de correo. Una vez se accede a la página, ésta intenta se descargue un binario en el equipo del usuario.

Lo que hace a este mensaje realmente peligroso es que esta personalizado de manera que el usuario piense que el correo ha sido enviado por el equipo de soporte del dominio, spoofeando la dirección del From del mensaje para simular proceder del mismo.

En la segunda ola recibida "Microsoft" nos envía un aviso de actualización critica de Outlook y Outlook Express presentándonos un enlace para descargarlo, A continuación se muestra una captura de pantalla del correo fraudulento.

Es muy importante señalar que en ambos casos NO se explota ninguna vulnerabilidad, sino que simplemente solicita la descarga del binario, por lo que un usuario que se niegue a su descarga y ejecución no resultaría infectado.

En ambos casos el binario que pretenden que instalemos en nuestros ordenadores se corresponden con un mismo troyano, nuestro archiconocido Wnspoem/Zbot (ZeuS). Además la configuración que descarga el troyano es la misma en ambos correos, así que podemos deducir que el grupo de ciberdelicuentes que esta detrás de estos envíos es el mismo.

Como siempre, recomendamos tener cautela con cualquier correo en el que se solicite la descarga de binarios o la introducción de credenciales además de desconfiar de cualquier correo de remitentes desconocidos.

David Ávila
S21Sec e-crime

KRAKEN vs. KRAKEN

noreply@blogger.com (S21sec Labs) — Wed, 21 Oct 2009 09:21:58 PDT

La semana pasada me llamó la atención la noticia de que el supercomputador Cray XT5 conocido como Kraken perteneciente al Instituto Nacional para las Ciencias de la Computación (NISC) había sido ampliado convirtiéndose en una máquina de 96.000 núcleos de cómputo. De esta forma, el Kraken se convertía en el mayor computador de uso científico, sobrepasando el petaflop y por tanto escalando posiciones hasta situarse dentro de los 5 mayores supercomputadores del mundo. Esto me recordó a la botnet también conocida como Kraken, que se hizo famosa el año pasado por llegar a ser la botnet más grande del mundo superando a la gran Storm.

Ciertamente es curiosa la comparación: el supercomputador Kraken ha alcanzado este año los 96.000 núcleos mientras que la botnet Kraken, en Abril del año pasado contaba con más de 400.000 víctimas distintas observadas a lo largo de un día. Es cierto que el número de víctimas observadas de esta botnet son a lo largo de un día y por tanto no se puede decir que se dispongan de 400.000 equipos disponibles de forma simultánea y continua, también es cierto que los procesadores de las víctimas infectadas, en su mayoría, serán peores y las comunicaciones entre ellos no están optimizadas para el cómputo como lo están en los de los supercomputadores. Sin embargo, la diferencia en número de núcleos (contando a un núcleo por cada víctima infectada, pese a que hoy en día es habitual contar con procesadores domésticos con dos y cuatro núcleos) es notable, y eso que la diferencia en la comparativa tiene más de un año.

La comparación entre supercomputadores y botnets es, cuando menos, curiosa. De hecho, las redes de ordenadores domésticos ya vienen siendo utilizadas como supercomputadores desde hace mucho tiempo en los proyectos basados en la Berkeley Open Infrastructure for Network Computing (BOINC). Pese a que es difícil estimar el número de equipos infectados en las diferentes botnes, este verano se publicó el top-ten de las botnets en Estados Unidos. Esta lista va desde Zeus y Koobface con 3.6 y 2.9 millones de equipos infectados en Estado Unidos respectivamente hasta la famosa Conficker con 210.000 equipos infectados en Estados Unidos. Estas cifras, supuestamente, corresponden a una estimación del total de equipos que han sido infectados sólo en Estados Unidos, y no implica ni que todos ellos formen parte a la vez de la botnet, ni siquiera que todos ellos estén controlados por un mismo botmaster (es sabido que Zeus no es una única botnet como tal sino un conjunto de ellas que actúan de forma separada). Pese a todo, y pese a que la comparación no es directa, echando un vistazo a la lista de los mayores supercomputadores del mundo las cifras asustan. Según la última lista, actualmente, el mayor computador del mundo es el Roadrunner que cuenta con 129600 núcleos de cómputo. Como se ha dicho antes, no es comparable la potencia de cómputo de los mayores supercomputador del mundo (por disponibilidad y optimización de su arquitectura) con la de una botnet, pero los recursos computacionales de los que disponen los botmasters sí que podrían ser equiparables a otros supercomputadores más modestos, y todo esto para hacer cosas malas .... ¿no asusta un poco el poder del que disponen?

Guzmán Santafé
S21sec labs

Extracción de Información (2)

noreply@blogger.com (S21sec Labs) — Fri, 16 Oct 2009 05:30:16 PDT

Correferencias

En el anterior artículo sobre extracción de información halábamos sobre la importancia de localizar entidades con nombre como lugares, personas, organizaciones, etc. en documentos extraídos de Internet para monitorizar y proteger la información pública relativa a los activos de información de una compañía (datos personales de directivos, eventos públicos, productos y servicios, etc.).

Para mejorar la calidad y el estilo en la redacción de textos es aconsejable evitar la repetición de palabras, en especial nombre propios.

La Resolución de Correferencias es el proceso de extracción de sintagmas nominales que se refieren a la misma situación en el texto. Este proceso es vital para aplicaciones relacionadas con el procesamiento del lenguaje tales como la traducción automática, resumen automático de textos y sistemas de pregunta-respuesta.

Podemos distinguir tres tipos de correferencias:

Correferencia pronominal: Utilización de pronombres para referirse a una entidad.
Vamos a perder esta votación y esta moción le llegaría al Gobierno. Él verá cómo actúa.
Correferencia ortográfica: Variantes del mismo nombre relacionados ortográficamente, abreviaturas de nombre, acrónimos, etc.
El presidente del Gobierno, José Luis Rodríguez Zapatero, anunció ayer (...). También anunció Zapatero que su Gabinete estudiará (...).
Correferencia metonímica: Utilización de conceptos semánticamente relacionados con la entidad.
La alegría que recorrió ayer la Bolsa tuvo como uno de sus protagonistas a Telefónica. El valor subió un 2,09%, hasta los 17,84 euros por acción, después de que el primer operador nacional de telecomunicaciones aguantara el tipo en la zozobrante coyuntura económica actual (...). La compañía que preside César Alierta ganó (...)

¿Cómo podemos resolver la correferencia?

Existen varias aproximaciones para encontrar referentes de una entidad. Examinemos una de ellas, basada en aprendizaje automático, propuesta por [2]. Para clasificar se extraen atributos de cada posible referente tales como:

Distancia entre referente y referido.
Categoría gramatical (nombre, pronombre, etc.)
Si el posible referente es una subcadena del referido
Si es un sintagma nominal
Concordancia de género
Concordancia de número
Tipo de entidad si es una entidad
Si referente y referido están en aposición

Partiendo de un conjunto de documentos donde hemos identificado manualmente los referentes y referidos, se entrena un clasificador (SVM, redes neuronales, etc.) y posteriormente se utiliza este clasificador para determinar si existe correferencia entre los términos.

La resolución de correferencias nos ayudará a obtener una mayor cobertura en el análisis de textos donde el objeto de estudio se centre en determinadas entidades con nombre.

Referencias:

[1] Orsan, C., Cristea, D., Mitkov, R., Branco, A. Anaphora resolution exercise: An overview. In: Proceedings of the Sixth International Language Resources and Evaluation (LREC'08), Marrakech, Morocco (May 2008)

[2] Wee Meng Soon , Daniel Chung , Daniel Chung Yong Lim , Yong Lim , Hwee Tou Ng. A Machine Learning Approach to Coreference Resolution of Noun Phrases (2001)

Israel Varea
S21Sec e-crime

Formación de desinformación

noreply@blogger.com (S21sec Labs) — Fri, 16 Oct 2009 00:48:49 PDT

La asistencia a los cursos de formación sobre tecnologías no suelen estar mal. A veces te cuentan cosas interesantes, y otras simplemente cosas. Pero pocas veces una formación te da más ánimos para trabajar que darte cuenta de que realmente lo que haces sirve para algo al ver como están las cosas.

Acabamos de salir de una formación sobre SCADA, y realmente ninguno de todo el grupo pensábamos que las cosas podían ser como nos las han contado, y tener tanto trabajo por delante. Lo cierto es que todo el mundo sabe que la seguridad, o ciber seguridad, que se aplica sobre los sistemas SCADA es muy básica por muchas cosas, la primera de todas porque antes era un mundo aislado enfocado al cien por cien a la fábrica. Hoy las cosas han cambiado, y la aparición de las redes acrecienta sus limitaciones.

Aunque no todo es culpa de las redes, con esta formación nos hemos dado cuenta que uno de los mayores problemas son los propios operarios y la facilidad que tienen para poder cambiar parámetros del sistema SCADA, siempre en pro de su bienestar (que suele traducirse en no puedo trabajar porque la máquina no arranca, todo gracias a un cambio una variable de un PLC).
Esto es gracias a que prácticamente el cien por cien de los drivers necesarios para los PLC están disponibles en Internet, de manera más o menos legal (no comentaremos nada de los del parche en el ojo), y que permiten hacer un descubrimiento de elementos de campo instalados y la modificación de sus rutinas de funcionamiento.

Los propios programas de visualización (HMI) suelen presentar algún tipo de autenticación para limitar las funciones a las que tiene acceso cada usuario dentro de la representación del SCADA, pero se lo puede saltar uno sin mucho esfuerzo o buscando un poco en Internet.

En conclusión, seguiremos trabajando en todos los componentes de la cadena, desde el elemento de campo hasta el operario de la fábrica, para mejorar la seguridad de los sistemas SCADA.

Jairo Alonso
S21sec Labs

Vulnerabilidades en Routers 2Wire

noreply@blogger.com (S21sec Labs) — Thu, 15 Oct 2009 00:19:14 PDT

La empresa 2Wire es de las compañías lideres en cuanto a routers caseros, con presencia en muchos países como son Estados Unidos, Canadá, Inglaterra, Singapur, Nueva Zelanda, Filipinas y México.

En México, donde hemos tenido un monopolio de telecomunicaciones hasta hace algunos años, la mayor cantidad de usuarios (con mucha diferencia) pasa por la compañía Telmex donde el principal dispositivo de conexión a internet es el router "2Wire".

En el año 2007 fue publicada una vulnerabilidad en el modelo mas común de México, que permitía entre otros ataques "drive-by pharming". Según Symantec este fue el primer caso de "drive-by pharming" on-the-wild detectado, que consiste en que aprovechándose de la falta de autenticación y vulnerabilidades de "Cross Site Request Forgery" es posible modificar la tabla de hosts del router, redireccionando dominios de bancos a direcciones fraudulentas por ejemplo.

El ataque fue principalmente difundido a través de correos electrónicos formato "Tipo Postal". Donde la víctima accedía al correo y como este incluía imágenes y código en HTML, aún si la víctima no lo tenía habilitado por default, al momento de habilitar la vista de HTML y leer el correo, se "infectaba" el router (a través de un ataque de pharming), sin importar el sistema operativo y afectando a todas las computadoras que estuvieran conectadas en esa red.

Inicialmente se creía que el problema radicaba en la falta de autenticación, debido a que un usuario sin sesión podía modificar la configuración del dispositivo y para los casos en los que el dispositivo tenia contraseña, el ataque no se podía realizar. Así que se emitió una actualización, la pagina "H04", que obligaba a establecer una contraseña cuando no se tenía una establecida previamente. El problema derivado de esta actualización fué, que se podía tener acceso a la misma, en cualquier momento y cambiar la contraseña establecida por una nueva sin necesidad de conocer la anterior.

Esto en lugar de solucionar el problema de seguridad, abría un nuevo fallo/bug más grande, ya que los módems que ya tenían contraseña establecida quedarían vulnerables ante esta actualización.

Recientemente, en una de las conferencias más reconocidas dentro del campo de la seguridad - Defcon 17, Pedro Joaquín, Security Auditor de S21sec México, realizó una presentación donde se mostraban nuevas vulnerabilidades que aún siguen afectando a este router y que permiten de nuevo, realizar ataques "drive-by pharming".

La vulnerabilidad principal se encuentra en la pagina “CD35_SETUP_01” permitiendo establecer una contraseña nueva sin conocer la establecida previamente. Es posible mediante esta misma página eliminar la contraseña anterior y dejar el router sin autenticación.

A día de hoy la mayor cantidad de routers en México, no han sido actualizados y existen muchas vulnerabilidades que afectan a este dispositivo. Entre las vulnerabilidades sin actualización, se permiten entre otras técnicas, realizar denegaciones de servicio, cross site request forgery e incluso la obtención remota de la configuración completa del router.

S21sec México

Ocio en la seguridad

noreply@blogger.com (S21sec Labs) — Thu, 15 Oct 2009 00:25:23 PDT

La seguridad es un término que cada día adquiere mayor importancia, forma parte de uno de los principios inherentes del ser humano, que es el principio de conservación de la especie. Este principio es el que lo mantiene vivo y alejado de los peligros que acechan constantemente al ser humano y por lo tanto, es lo que permite la supervivencia de la especie junto con la reproducción. De igual forma que se aplica al ser humano, también se aplica a la información y bienes físicos.

Recientemente se han publicado en este blog varias entradas mostrando la aplicación de la tecnología a la seguridad vial, que podemos consultar en las entradas de nuestros compañeros Seguridad Vial (Aitor Corchero) y Monitorizando automáticamente el tráfico (Eduardo Morrás) , y se sigue trabajando en sistemas preventivos aplicados a la circulación, al tráfico, sistemas de análisis de conducta en peatones, sistemas inteligentes de frenada implantados en los vehículos, etc.

Como último dato sobre este tema, mostrar algo del trabajo que viene realizando Volvo últimamente con relación al caso. Dispone de innovaciones como, el Driver Alert Control que analiza la conducción y puede determinar si el conductor se ha quedado dormido, el Collision Avoidance By Auto Steering, por el que se analiza el tráfico cercano para advertir al conductor y recupera la normalidad. Emergency Lane Assist con el que se evita el abandonar la calzada o el City Safety con el que se pueden evitar golpes frontales por el que se advierte a los conductores posteriores de las situaciones de frenado.

Las nuevas tecnologías tienen gran importancia en los vehículos, dado que en ellos se pasa gran cantidad de tiempo y por desgracia mueren demasiadas personas al año.

Otro ejemplo de la aplicación de tecnologías a sectores no IT y por el que se publica esta entrada, es el rumor de que FAST va a hacer uso de las tecnologías de Nintendo para llevar a cabo sus controles preventivos en los aeropuertos en su lucha contra el terrorismo.

Como se comenta en el artículo, tienen pensado utilizar la tabla de ejercicios de Wii Balance BoardNintendo para comprobar reacciones de las personas y de esa forma poder detectar anomalías. Según ellos, las personas con síntomas de nerviosismo o agitación, suelen balancear el peso del cuerpo con mucha frecuencia, que es lo que vendría detectando el periférico de Nintendo. Sin embargo, no es un sistema seguro aunque esto sumado a las medidas de seguridad actuales, ofrece mayor consistencia a los sistemas.

El principal problema que se detecta a simple vista es que si bien, estas pruebas se les pueden realizar a todo el mundo, existen personas que con facilidad no se ven afectadas por esas reacciones esperadas y por otro lado, el hecho de no conocer las condiciones en estado de reposo de las personas. El mero hecho de viajar o llevar a cabo la prueba puede generar situaciones de nerviosismo y estrés, existen personas capaces de controlar a la perfección estos valores e incluso se puede dar el hecho de que la persona en cuestión esté abatida por otros motivos, con lo que para llevar a cabo un sistema similar, hay que encontrar el sistema de eliminar los resultados falsos, tanto positivos como negativos.

Sin embargo existe otro problema añadido, si el sistema va a utilizar la Wii Balance Board, existe una limitación de peso según comenta el fabricante y no resultaría extraño encontrar terroristas malvados que utilicen pesas para sobrecargar la tabla o sencillamente villanos desalmados que pesen más, en el caso de que fuese un sistema fiable, se deberían corregir este tipo de limitaciones. Aunque recordando las noticias de hace unos años, es posible que como medida, nos acaben desnudando en el aeropuerto sin que lo sepamos…

Juan Manuel Sanesteban
S21sec labs

Algunas fuentes:

http://blog.s21sec.com/2009/09/seguridad-vial.html de Aitor Corchero.
http://blog.s21sec.com/2009/09/monitorizando-automaticamente-el.html de Eduardo Morrás.
www.univision.com
www.xataka.com
www.en.wikipedia.org
news.bbc.co.uk

Visualización de datos y análisis de foros

noreply@blogger.com (S21sec Labs) — Tue, 13 Oct 2009 00:00:04 PDT

Unos meses atrás un compañero hacía una introducción a la visualización de datos en la que definía el término y la metodología básica para “materializar” una información de manera gráfica.

Podemos ver diferentes ejemplos aplicados a nuestro campo en SecViz, sitio especializado en el tema donde encontraremos representaciones visuales creadas a partir de flujos de comunicación entre sistemas autónomos, nodos y relaciones en una botnet o basadas en la estructura de códigos maliciosos por poner algunos ejemplos. Sin duda esta técnica nos permite un mayor entendimiento de fenómenos complejos con grandes cantidades de datos y relaciones a tratar, resultando en un enfoque indispensable como complemento a otros tipos de análisis.

Me preguntaba hasta que punto sería posible aplicar está técnica al estudio de foros como el desmantelado darkmarket y similares con el objetivo de representar las relaciones entre usuarios, mensajes , acciones y poder establecer ciertos parámetros como el grado de “implicación” de los usuarios en el sistema, su especialización (compra y/o venta de información, soporte, recursos , desarrollo,etc.) y en general cualquier dato que pueda ayudar a conseguir una mejor perspectiva de este entorno.

Sería un concepto similar al recientemente abandonado Nexus aplicado a Facebook o al mapa de relaciones que Josh On creó en theyrule donde a partir de información pública crea una gráfica interactiva de instituciones, directivos y su relación entre ellos.

En un caso hipotético empezaríamos definiendo la información que queremos visualizar: a nivel básico serían las relaciones entre los miembros del foro, su “peso” específico dentro del mismo y el grado de especialización (que constaría de distintas categorías). Para este menester sería necesario crear un sistema de puntuación de la relevancia de mensajes y usuarios, además de otro de clasificación que englobe aquellos aspectos tratados en ese foro (carding, venta de infraestructura, desarrollo de malware, etc.) para obtener el tipo de especialización/importancia de un usuario.

Paralelamente evaluaríamos los datos iniciales que serían en un principio aquellos accesibles a través de la parte pública del foro (nombre de usuario, número de mensajes enviados total, número de mensaje nuevos, número de respuestas, antigüedad, rango interno, respuestas por mensaje, visitas de los mensajes, etc.) y los datos obtenidos fruto de aplicar los algoritmos de puntuación/clasificación previamente comentados (puntuación respecto a una categoría, respecto a otros usuarios, especialización, relevancia de mensajes, etc.).

Supongamos que hemos superado con éxito las etapas de definición del problema, evaluación y recolección de datos, hemos conseguido establecer los parámetros comentados previamente y finalmente todos estos datos quedan plasmados en el archivo analysis.csv, incluyendo tanto la información extraída del análisis del foro como la “deducida” por nuestros algoritmos.

En la siguiente etapa (transformación visual), deberíamos saber qué tipo de gráfico utilizaremos para que la información se pueda visualizar de manera clara. Podemos utilizar una herramienta como Afterglow mediante el comando “cat analisys.csv | perl afterglow.pl -c color.properties > analysis.dot” para generar un archivo compatible con GraphWiz, o crear la gráfica con herramientas como yET , prefuse, Ggobi o alguna solución comercial como Touchgraph .

Después de pasar nuestro archivo ficticio por Touchgraph el resultado es un mapa de relaciones interactivo (ver la siguiente ilustración para hacerse una idea del aspecto) donde se muestra la puntuación del usuario, relaciones, mensajes enviados, especialización y aquellos puntos definidos en anteriores etapas de nuestro ejemplo.

Esta visualización debería exponer una nueva perspectiva de todo el entramado de relaciones, especializaciones, comunicaciones y cualquier otro parámetro que hayamos definido previamente.

Puestos a pedir, y como conclusión, algunas ideas sobre cómo podría ser la versión “extended” de nuestro sistema ficticio (con cierto aire Big Brother), podría contemplar el cruce de datos y relaciones entre otros foros, análisis de otros canales de comunicación, la generación del mapas de relaciones en tiempo real, aspectos económicos del mercado (precios de venta, tipos de bienes), etc.

Daniel L. Creus
S21sec e-crime

Proyecto Imagination

noreply@blogger.com (S21sec Labs) — Thu, 08 Oct 2009 08:28:10 PDT

Imagination es un proyecto de investigación formado por 8 entidades (el instituto Fraunhofer, la Universidad técnica de Atenas, etc.), que dio comienzo en Mayo de 2006 y dedicado al procesado de imágenes para la extracción de información relevante.

El objetivo del proyecto es facilitar la clasificación y etiquetado de los ficheros de imagen, de forma que las búsquedas sobre este tipo de ficheros puedan ser tan eficaces como lo son sobre los ficheros de texto.

Pongamos como ejemplo que queremos encontrar en nuestra biblioteca de imágenes todas las fotos en las que aparece una determinada persona. Las soluciones a este problema pasarían por adquirir la costumbre de etiquetar todas las fotos con los nombres de las personas que figuran en ellas o lo más probable, que ya sea tarde para esto y no haya más remedio que perder un buen rato en efectuar una búsqueda manual. El problema aún parece mayor si pensamos en colecciones más grandes y búsquedas más exigentes, como las que pueden tener lugar sobre el archivo de un museo o el de un estudio de fotografía.

La solución que proponen desde Imagination es el reconocimiento automático de objetos o incluso personas dentro de bibliotecas de fotografías, de forma que se puedan etiquetar de manera automática y efectuar las correspondientes búsquedas sobre los metadatos de los archivos una vez procesados.

Básicamente, Imagination es capaz de extraer fragmentos de texto (por ejemplo, el título de una gráfica) y reconocer objetos y caras. En el caso del reconocimiento facial, obviamente es necesario someter al sistema a un proceso de aprendizaje previo a la clasificación de una biblioteca (entre 5 y 10 imágenes de la persona en cuestión). Según Gabor Nagypal, coordinador científico y técnico de Imagination, la operación más simple de detectar si existen personas o no en una fotografía se completa con éxito en el 80% de los casos.

Según la propia web del proyecto, existe una demo pública desde el 14 de Septiembre (aunque no hemos podido encontrar la descarga). También existe una guía de usuario que explica ya de manera concreta el funcionamiento del programa.

Varias entidades ya están probando el sistema, como las agencias de fotografías Photo12 y Pitopia y la Biblioteca Italiana de Historia Moderna y Contemporánea.

Al margen de las aplicaciones ya comentadas, surgen otras ligadas a las redes sociales que pueden resultar interesantes. Por ejemplo, se podría pensar en la integración de este sistema con cualquier red social que permita almacenar fotografías. Tras ejecutar el proceso de aprendizaje con las imágenes de nuestros contactos se podría conseguir que al insertar fotografías nuevas el propio sistema las etiquete con las identidades de las personas “conocidas” que aparecen. De la misma forma, también se podrían localizar las fotos al reconocer lugares, que podrían ser más o menos genéricos (playa, montaña, ciudad) o incluso concretos (por ejemplo, la torre Eiffel).

¿Y si cruzamos estos datos con otros metadatos de las fotografías más comunes como la fecha de captura? Las posibilidades son muchas, pero las más evidentes podrían ser establecer relaciones entre personas (quién aparece con quién, cuántas veces y en qué lugares), localización de personas en instantes concretos, etc.

En S21sec también trabajamos en este campo y pensamos que este tipo de herramientas pueden servir para proteger la imágen de marca de empresas y personal de las mismas, ayudando a detectar e identificar la presencia de determinados recursos asociados a la compañía en la red.

Más información:

http://www.laflecha.net/canales/ciencia/noticias/las-claves-del-proyecto-imagination

http://www.imagenotion.com

http://www.imagination-project.org

http://www.imagination-project.org/upload/D15_UserGuideImageNotion.pdf

Alberto Yoldi

S21Sec e-crime

Seguridad Wi-Fi de brocha gorda.

noreply@blogger.com (S21sec Labs) — Wed, 07 Oct 2009 08:57:24 PDT

A la gente no le gustan los cables. Puede que a algunos de los lectores de este blog sí. Pero reconozcámoslo, la mayoría de la población convive con ellos albergando sensaciones que oscilan entre la tolerancia y el asco, cuando no el miedo. Hay incluso quien deiende que son criaturas alienígenas que han venido como infiltradas a la tierra y que, cuando llegue el momento, cobrarán vida al unísono y nos exterminarán a todos. (¡Juro que conozco a una persona que dice cosas como esta!)

Por eso abrazamos las tecnologías inalámbricas. Nos gusta no tropezarnos con los cables, no tener que andar escondiéndolos detrás del mueble del teléfono como la foto de la primera comunión.

Pero por otra parte, las ondas, con esa manía suya de propagarse, son muy poco discretas. Hizo falta desarrollar protocolos de seguridad específicos para ellas.

Pero claro, primero vimos cómo el protocolo WEP perdía nuestra confianza, cómo comenzaban a abundar los programas encargados de realizar "auditorías de seguridad" de redes Wi-Fi (preferentemente, de las redes de los vecinos cuyo SSID es WLAN_28, por ejemplo), y no nos quedó más remedio que encomendarnos al WPA.

Nos seguimos fiando de WPA, que parece que sigue siendo seguro, aunque hace ya tiempo que comenzaron a abrirse fisuras (concretamente en WPA+TKIP). Y ya tenemos disponible el WPA2. No está mal. Probablemente es más que suficiente por el momento y no quisiera resultar alarmista, pero... ¿hasta cuando lo será? Siempre queda espacio para la paranoia.

En cualquier caso, ya hay quien está pensando en ofrecer una solución mucho más analógica y, hasta cierto punto, ingeniosa.

Supongo que empezaron por preguntarse, ¿y si usáramos nuestras redes Wi-Fi dentro de una especie de jaula de Faraday? Ahí, bien confinaditas, para que el hijo de la vecina le audite las redes a su abuela.

Es una solución, desde luego. Pero claro, resultaría difícil convencer a quien sea que conviva con uno, de que se está mucho mejor dentro de una jaula metálica. Se podría, incluso, defender la eficiencia energética en cuanto a calefacción y el aire acondicionado. Pero lo más probable, es que te llenaran la despensa de alpiste mientras siguieras en tu empeño.

Sin embargo resulta que van unos investigadores de la Universidad de Tokyo, que están en todo, y desarrollan un producto original: pintura anti-Wi-Fi.

Una pintura que contiene óxido de aluminio-hierro y que resuena a las frecuencias de emisión Wi-Fi, absorbiendo las ondas, e impidiendo que se propaguen más allá de las paredes. La solución es relativamente barata, aunque requiera un cierto trabajo en la aplicación.

Además de esa, tiene otras posibiliades. Evitar, por ejemplo, que llegue cobertura telefónica dentro de recintos (como cines, teatros ...¿o coches bomba?), e incluso están hablando de aplicarla en ropa para evitar los no-demostrados pero tampoco-descartables-todavía efectos de las ondas electromagnéticas en nuestro cuerpo.

Sin duda se pueden hacer críticas a esta idea. Pero la que más me hace pensar es, ¿habrá algún color que vaya con mis muebles?

Luis Tarrafeta
S21sec labs

Desincronización de flujos

noreply@blogger.com (S21sec Labs) — Mon, 05 Oct 2009 00:38:43 PDT

La gran mayoría de los packers actuales hacen uso de todo un arsenal de técnicas de ofuscación que van desde las más complejas, capaces de ocultar por completo la estructura de un programa mediante el uso de una VM, hasta las más sencillas, destinadas a dificultar el análisis estático del código.

El grupo de las "sencillas" intenta aprovechar la forma en que están diseñados los desensambladores y como estos realizan el proceso de análisis de código, con el objetivo de generar la mayor confusión posible y que el resultado requiera un tratamiento previo, a menudo tedioso. Afectan tanto a los más simples, "linear sweep disassemblers", como a los más avanzados, "recursive traversal disassemblers". Destacan, quizás por su facilidad de programación y por estar presentes en la casi totalidad de libros de reversing, las denominadas "predicados opacos" y "solapamiento de instrucciones".

Comúnmente el solapamiento de instrucciones consiste en, como su propio nombre indica, la codificación de una o más instrucciones como parte de una o más instrucciones, de modo que todas tienen un offset de inicio distinto y entre ellas comparten algunos o todos los bytes. Así pues, su decodificación genera secuencias de instrucciones distintas en función del offset de inicio seleccionado. Esto es posible en la arquitectura x86 gracias a que las instrucciones no requieren alineación y tienen un tamaño variable.

Aunque a priori pueda parecer algo complicado, es bastante fácil y con un mínimo conocimiento de ensamblador se puede ver rápidamente. En esta presentación de Nick Harbour sobre un packer experimental se pueden encontrar algunos ejemplos gráficos.

Últimamente he tenido que lidiar con esta técnica debido a un problema surgido en un proyecto personal al que suelo dedicar parte de mi tiempo libre. En un punto especifico del desarrollo comprendí que no había tenido en cuenta, no como debería, el solapamiento de instrucciones y como consecuencia, tuve que rediseñar una parte que, en principio, daba por terminada. Podría haberme ahorrado esto si me lo hubiera planteado desde otra perspectiva.

Si consideramos lo que es obvio y es que esta técnica representa una alteración del flujo de ejecución y lo presentamos desde esta perspectiva, tendremos una visión mucho más divertida pero también más compleja.

Cuando usamos un desensamblador, uno profesional como puede ser IDA, el proceso de análisis debe comenzar en un punto de entrada especificado. A medida que se van decodificando instrucciones a partir de dicho punto, se va generando un CFG en el que se reflejan todas las transferencias de control detectadas hasta el momento. Al mismo tiempo, el desensamblador, implícitamente, nos está dibujando un "mapa de labels" en el que están presentes todos aquellos offsets donde comienza una instrucción válida, decodificada y analizada, y a la que se puede transferir el control del flujo.

Siempre que las instrucciones de transferencia de control hagan referencia a estos labels, se puede decir que el flujo principal de ejecución se encuentra sincronizado con el mapa de labels que le corresponde. Por el contrario, si en algún momento surge, se decodifica, una instrucción de transferencia de control que no respeta dicho mapa y transfiere el control de ejecución a sí misma o a otra instrucción en cualquier byte distinto del inicial, se puede decir que se ha producido una "ruptura de instrucción existente" y en consecuencia se ha producido una inmediata desincronización del flujo principal. Así pues, la decodificación continuará en el punto de ruptura y obtendrá una instrucción nueva dentro de otra ya analizada, y distinta, generando una versión alternativa del flujo y un nuevo mapa de labels.

Este "nuevo" flujo alternativo creado puede prolongarse hasta el final del desensamblado o simplemente durar unas cuantas instrucciones. Si en algún punto de la nueva decodificación se coincide con un offset del mapa de labels anterior, se produce una resincronización con el flujo principal y el flujo alternativo se da por terminado. Además, es posible que un flujo alternativo pueda contener a su vez uno o varios puntos de desincronización dando lugar a una maraña de flujos anidados.

La gran ventaja, desde mi punto de vista, de esta técnica es que resulta más fácil generar flujos alternativos, construir y ensamblar, que desensamblarlos y mostrarlos correctamente, por lo que sería posible llevarla al extremo y plagar un programa con puntos de desincronización y resincronización y convertirlo en una auténtica pesadilla. Por el contrario, su gran desventaja radica en la dificultad de prolongar la duración de los flujos alternativos, esto es, en la dificultad de crear diferentes secuencias de código solapadas y válidas.

En definitiva, toda técnica es más compleja de lo que pueda parecer y no se puede descartar ni la más mínima perversión.

Rubén Jiménez
S21sec e-crime