Security By Default

Evitando el espionaje telefónico

noreply@blogger.com (Lorenzo Martínez) — Sun, 22 Nov 2009 05:50:00 +0000

Últimamente está muy de moda esto de los pinchazos telefónicos en las altas esferas políticas de nuestro país. No hacemos más que oir hablar de algo llamado Sitel (Sistema Integral de Interceptación de las Comunicaciones Electrónicas), de tramas de presunta corrupción escandalosamente millonarias destapadas gracias a pruebas proporcionadas por el Echelon o Carnivore español. Sin embargo, el proyecto Sitel (curiosamente iniciado por el PP allá por el 2001) que ha contado con un presupuesto de 36 millones de euros para poder analizar todas las comunicaciones españolas que se desease, posibilita la intercepción del tráfico de datos a la vez que el de voz.

Ya es algo bastante antiguo el que las comunicaciones móviles transmitidas por GSM son vulnerables y crackeables mediante equipos bastante más baratos que Sitel aunque es necesario estar relativamente cerca (a más de 32 kilómetros de distancia) del terminal a interceptar, como se demostró en la Blackhat del 2008. En resumen, que de forma casera es posible que se descifren nuestras conversaciones móviles por parte de cualquiera (con los conocimientos y con el equipo adecuado). Y si además la policía solicita mediante una orden judicial que se haga de una forma más oficial, directamente los operadores telefónicos serán quienes provean los datos de forma directa desde la central mediante Sitel.

Pensando en cómo poder asegurar las comunicaciones móviles con aquellos a los que les vamos a dar la combinación ganadora de la Lotería Primitiva de la semana que viene, o como hacía Yago cuando sincronizaba un comando terrorista mediante Twitter cifrado, pero mediante comunicaciones de voz lo primero que se me ocurre, es utilizar Skype o Google Voice.

Estos servicios, al estar basados en Voz sobre IP, ya evitan una buena parte de los análisis de voz basados en GSM o por el operador telefónico. Para poder hacer uso de estas soluciones, con disponer de acceso wireless o 3G ya es suficiente como para encapsular la voz... por IP. He leido varias referencias respecto a la seguridad de Skype, dejando claro que se utiliza AES 256 bits para la transmisión de tráfico de voz. Incluso la propia policía alemana aseguraba no haber podido con el cifrado de Skype.

Ojalá los políticos de ambos bandos de nuestro país leyeran nuestro blog más a menudo!!!

La PS3 como herramienta para la lucha contra el e-crime

noreply@blogger.com (Laura Garcia) — Sat, 21 Nov 2009 08:00:00 +0000

Hace pocos días salió a la luz una noticia en la que agentes del FBI, en su lucha contra el cibercrimen y de forma particular contra las redes de pornografía infantil, habían usado consolas PS3 conectadas en red y ataques por fuerza bruta para romper las contraseñas de cifrado de la información confiscada.

La PS3 o "Crackstation", salió al mercado en 2006. IBM, Toshiba y Sony colaboraron para crear el CBE (Cell Broadband Engine), formado por un p rocesador escalar y ocho procesadores vectoriales.

La PS3, es muy apta para la criptografía. Mientras que los procesadores Intel permiten realizar operaciones complejas, los Cell están pensados para realizar múltiples operaciones simples al mismo tiempo. Además posee seis núcleos de procesador SPU (Synergistic Processing Unit) y puede realizar más de 80 millones de operaciones MD5 por segundo usando la computación vectorial para realizar cálculos criptográficos en paralelo.

Comparándola con la tecnología Intel, el Cell crackea passwords 100 veces más rápido que el hardware de Intel.

Si le sumamos que se puede instalar Linux y el software necesario (Sony bloqueó esta funcionalidad para la PS3 Slim), todo esto ha influido para que los agentes del FBI hayan decidido usar la PS3 en sus investigaciones.

Además reducen los costes, de 8000$ que cuestan las máquinas de Dell que usaban a 300$ por los que pueden adquirir la consola.

¿Sabían los de Sony que habían creado una máquina potente y poco costosa para romper contraseñas? ¿Podemos imaginar el alcance de una red de PS3?

Resumen - Jornada de seguridad UCA

noreply@blogger.com (Alejandro Ramos) — Fri, 20 Nov 2009 06:30:00 +0000

Como era de esperar el día en Cádiz ha sido increíle, la gente nos ha tratado genial, la ciudad es espectacular y la charla parece que ha gustado. ¿Qué más se puede pedir? ¡¡Sí!! ¡¡cazón!! ¡¡también hubo!! Dejamos para el año que viene la tortilla de camarones...

También me traigo algunos bonitos recuerdos de la asociación ADWYS organizadora del evento. Incluso uno de ellos artesanal.

Como en otras ocasiones, colgamos la presentación que se ha utilizado durante el evento, una mezcla rarita en la que he tratado de encajar algunas extensiones de seguridad en el OWASP Top10, "un poco de aquella manera", pero en el fondo ha quedado gracioso.

Owasp Top10 Fire Fox

Y para rematar, una foto en acción

Construyendo un sistema multi capa de defensa personal

noreply@blogger.com (Yago Jesus) — Thu, 19 Nov 2009 06:52:00 +0000

Llevo bastante tiempo queriendo hablar de un artículo realmente interesante y muy completo con directrices para construir un sistema defensivo a varios niveles orientado a un PC de usuario, empleando herramientas gratuitas.

Punto uno (sorpresa!) emplea un buen antivirus / firewall que actúe a modo de primera defensa perimetral, en el artículo original recomiendan Avast y ZoneAlarm, yo añado el Cloud Antivirus de Panda.

En el segundo y tercer punto recomiendan emplear herramientas de 'análisis de comportamiento', estas herramientas se diferencian en los tradicionales anti-virus en que no emplean firmas para reconocer amenazas, lo que hacen es analizar el comportamiento del sistema e identificar patrones maliciosos. Ellos recomiendan PC Tools' Threatfire y SurfRight Hitman Pro yo añado mi Patriot (que algún día retomaré, lo prometo)

AntiSpyware: Lo quieras o no, es seguro que tras cierto tiempo usando un equipo Windows seguro que se ha colado algún programa de reputación dudosa, para enfrentarnos a el, Ad-Aware

Interesante, en el artículo recomiendan emplear herramientas de 'sandboxing' y recomiendan Sandboxie del que ya hablamos por aquí

Importante mantener el equipo con versiones actualizadas y parcheadas, para ello Secunia PSI, también comentado en este blog

Criptografía como elemento defensivo, en el artículo original mencionan una herramienta capaz de cifrar un fichero, nosotros somos mas ambiciosos, cifrado de alto nivel con True Crypt, con su correspondiente tutorial

Gestión de contraseñas, todos sabemos lo importante que es tener una política de contraseñas apta y también lo difícil que es recordar un montón de passwords, para ello Password Hash y nosotros añadimos KeePass

Por último y totalmente de nuestra cosecha ¿Que tal algo de 'hardening'? FFHardener es tu amigo, disponible en nuestro repo de herramientas en Google Code

Publicado el Metasploit Framework 3.3

noreply@blogger.com (José A. Guasch) — Wed, 18 Nov 2009 07:30:00 +0000

En Noviembre del año pasado, que casualidad, anunciábamos por aquí el lanzamiento de Metasploit 3.2, plataforma de exploiting por excelencia. Curioso lo que ha supuesto este año para el proyecto de HD Moore, y no sólo por la herramienta en si, si no por todo lo que la rodea. De momento, la noticia más reciente es que se acaba de hacer pública la versión de Metasploit 3.3.

Pero una de las noticias más ¿sorprendentes? de estas últimas semanas fue la compra de Metasploit por parte de la empresa Rapid7, que no supuso cambio alguno en el proyecto (seguirá Open Source...), si no simplemente que HD cumpliría con el puesto de Chief Security Officer pudiendo así trabajar a tiempo completo en el desarrollo de la herramienta. De momento seguimos respirando tranquilos si siguen definiendo a Metasploit dentro de la compañía como "A Rapid7 Open Source Project" y sigan a rajatabla el listado de preguntas y respuestas sobre la adquisición:

Volviendo a la actualidad, la nueva versión 3.3 aporta varios cambios, además de los típicos de optimización en el entorno, con mejoras en los procesos de instalación para cada sistema, ampliación de información y ayuda sobre los exploits, inclusión de nuevas técnicas de explotación y un amplio etc, todo ello detallado ampliamente tanto en el propio post del anuncio en el blog del proyecto como en el Changelog (más de 180 bugs corregidos...).

¡Haced caso a HD Moore y a actualizar!

Y no podéis utilizar la excusa de que no sabéis como usar este framework, porque ya os hablamos en SecurityByDefault del curso gratuíto Metasploit-Unleashed publicado por la gente de Offensive-Security.

Jornada de Seguridad - Universidad de Cádiz

noreply@blogger.com (Alejandro Ramos) — Tue, 17 Nov 2009 07:12:00 +0000

El próximo día 19 de Noviembre en la Escuela Superior de Ingeniería de la Universidad de Cádiz, se celebrará una actividad de Seguridad dentro de la Semana de la Ciencia que comenzó el 9 y durará hasta el día 20 de noviembre.

A las 10:00 comenzará en el Aula de Informática 9, una charla sobre seguridad web, enfocada al uso de Firefox en los test de intrusión y el nuevo OWASP Top10 del que os hablábamos ayer.

Con una hora y media de duración, el objetivo es presentar el potencial de Firefox y sus extensiones, exprimiendo al máximo sus características mediante el uso de estas herramientas en demos.

Todas ellas (menos SWF Catcher) bajo el nuestro recopilatorio en la web de Mozilla.

Por último, agradecer a la Universidad de Cádiz y en concreto a Adrian la invitación al evento al que vamos con mucha ilusión, esperando que os guste a todos y os sea de provecho.

Liberado OWASP Top10 2010 RC1

noreply@blogger.com (Alejandro Ramos) — Mon, 16 Nov 2009 06:13:00 +0000

Durante la conferencia OWASP AppSec DC celebrada el 13 de noviembre se ha hecho público el primer borrador del famoso proyecto OWASP Top10 2010, que enumera los riesgos de seguridad más críticos en aplicaciones web. Espera ser finalizado el primer cuatrimestre del nuevo año.

La versión anterior es del año 2007 y sufrirá las siguientes modificaciones:

Añadido punto A6: "Security Misconfiguration", que aparecía en el 2004 en décimo puesto (como Insecurity Configuration), recupera sitio el próximo año.
Añadido punto A8: "Unvalidated Redirects and Forwards", es nuevo este año y hace referencia a las aplicaciones web que se valen de un parámetro web para redirigir el sitio a otra zona de la página web.
Eliminado punto A3: "Malicious File Execution" es eliminado de la lista ya que era algo que se da mucho en aplicaciones PHP, pero con las nuevas opciones de ejecución de este lenguaje su número ha disminuido.
Eliminado punto A6: "Information Leakage and Improper Error Handling" es eliminado pese a que su existencia es muy alta por su bajo impacto.

Referencias:

1.- Presentación OWASP AppSec DC - Top10 2010: http://www.owasp.org/images/a/a1/AppSec_DC_2009_-_OWASP_Top_10_-_2010_rc1.pptx
2.- Documento OWASP Top 10 - 2010 (RC1): http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf

Como hacer fácil el uso de sesiones múltiples en Facebook

noreply@blogger.com (Yago Jesus) — Sun, 15 Nov 2009 04:26:00 +0000

En este blog nos encanta hablar (mal) de Facebook, en ocasiones hemos sido muy críticos con temas de privacidad y hablábamos sobre los riesgos de las aplicaciones de terceros y la forma en la que 'devoran' la información privada de los perfiles.

Hoy leía un relativamente interesante artículo sobre medidas preventivas en facebook. En el, se aconsejaba el uso de múltiples cuentas en Facebook en función del uso al que se le vaya a dar, una para compadrear con amigos, otra para jugar, otra mas privada.

La idea, es bastante interesante, el problema es que casi todos los servicios web emplean como formula para hacer seguimiento de las sesiones de los usuarios las famosas cookies y, dado que Firefox no permite nativamente especificar a cada pestaña que cookies debe ver (todas tienen una zona común), no se pueden tener múltiples sesiones abiertas. Por tanto, resulta un poco engorroso estar haciendo login / logout de las cuentas, supongo que al tercer día el hastío hará que desechemos la idea.

Buscando fórmulas de hacer eso mas llevadero, he encontrado una extensión para firefox llamada CookieSwap que permite tener múltiples 'zonas de cookies' en forma de perfiles y que facilita mucho el cambio de sesión ya que podemos cargar dinámicamente unas cookies u otras

Vídeos de seguridad Wireless

noreply@blogger.com (Yago Jesus) — Sun, 15 Nov 2009 00:19:00 +0000

Miguel Ángel Bernabé Cruz es un joven investigador en seguridad informática que ha creado un par de vídeos donde trata temas de seguridad desde un punto de vista práctico, mostrando el lado mas entretenido y curioso del hacking.

El primer vídeo es un escenario en el que alguien se conecta a la red Wifi de su vecino, algo muy de moda, y su vecino se entera y decide darle un pequeño susto.

El segundo vídeo, más serio, es un ejemplo práctico de por qué hay que proteger bien la red Wifi por si tenemos vecinos cotillas, y lleva a cabo un sniffing pasivo bastante completo, siendo un ejemplo bastante bueno y demostrativo de algo que bien se podía llevar a cabo en la gran mayoría de comunidades de vecinos. No olvidemos que, gracias a ciertas compañías telefónicas, descifrar las claves 'by default' de muchos routers es tarea realmente fácil (solo hay que ojear el foro de seguridadwireless).

Seguridad por oscuridad ¿verdadera seguridad?

noreply@blogger.com (Lorenzo Martínez) — Fri, 13 Nov 2009 06:01:00 +0000

En el día a día de mi profesión veo, entre otras otros hábitos y políticas, diferentes formas de afrontar la seguridad por parte de las empresas.

La primera y más reconocida por parte de clientes, organizaciones e incluso entre departamentos dentro de las mismas compañías, es la seguridad por oscuridad. Raro se me hace a veces el encontrar titulares en prensa especializada en el mundillo de los fabricantes, mayoristas, integradores y clientes españoles, como SIC, TCN, o Red Seguridad, en los que se publica que tal o cual organización ha confiado su seguridad en la solución de "nosequé" fabricante de UTMs o de antivirus. Cuando hago una presentación a clientes de los productos de mi empresa, suelo mantener la confidencialidad de los clientes con los que trabajo, mencionando los sectores a los que se adecúa mejor nuestra tecnología, pero sin identificar a nuestros actuales clientes.

En general, corporaciones cuya información requiere de especiales cuidados (véase bancos y cajas o como dice mi compañero Javier.... los que ponen la pasta colgando en Internet) suelen ser más comedidos ante determinadas publicaciones o "disclosures" de información. ¿Por qué? ¿Por qué ese tipo de corporaciones sí que tienen fuertes restricciones con lo que se publica en los medios de prensa y las demás no? ¿Es que los que sí que publican a los 4 vientos no les importa tanto lo que protegen? Organizaciones que pertenecen a la administración pública, están obligados porque han de publicar en el BOE cómo invierten los impuestos de los españoles. Otras, en general, relacionadas con el mundo de la industria, energéticas, salud, viajes,... lo que tienen para proteger no es dinero como beneficio directo, sino a través de producto transformado: sus datos. Sin embargo, éstas últimas, suelen tener menos tapujos a la hora de indicar qué mecanismos utilizan como primera o segunda línea de defensa, qué tipo de tecnología de autenticación, de cifrado, etc,...

Mi pregunta ante estos hechos son: ¿cuál de las dos políticas es la correcta? Parece de sentido común el pensar que el no divulgar información al exterior sobre los datos concretos de en qué producto/fabricante confiamos nuestros huevos (los de la cesta, claro) puede ser una medida de los más acertada.

Sin embargo, el otro día leyendo una de estas revistas que mencionaba anteriormente, en una entrevista realizada a un directivo de una aseguradora, una afirmación que me resultó muy interesante: "La seguridad no tiene que ser secreta: secretos son los procedimientos". Y en buena parte tiene razón.

Estaréis hartos de oirnos (o leernos) repetir en nuestros posts que las buenas prácticas en materia de seguridad han de incluir unos procedimientos sólidos y una metodología basada en la estrategia del diseño, la fortificación (1, 2, 3 y 4) (esta vez no me pilláis con el bastionado, aunque sea válido) de las infraestructuras, de política de parches y actualizaciones, de selección de la tecnología de calidad y adecuada a los tiempos y a los ataques actuales,... Al fin y al cabo "Quien nada hace, nada teme" por lo que, aunque te decantes por la elección de un fabricante u otro para proteger parte de la seguridad de tu organización, si partes de unos buenos principios como los mencionados, y mientras no se desvele la estrategia o detalles internos de la red.

Yo sin embargo, sigo pensando que, mientras no sea obligatorio, mejor dar un trabajo de más a los atacantes para averiguar qué me protege y qué versión, en vez de evitarles un montón de pruebas de auditoría.

Una de Espías

noreply@blogger.com (Yago Jesus) — Wed, 11 Nov 2009 06:37:00 +0000

A todos nos fascinan las historias de espionaje, y si encima son muy sofisticadas aun mas. Si a esa historia se añade un componente informático la suma es perfecta.

Supongo que todo el mundo conoce al Mossad, la agencia de espionaje de Israel que seguramente sea una de las mas avanzadas y, también sea dicho de paso, menos escrupulosa. Igualmente es conocido el interminable conflicto en oriente medio que tiene como contendientes a Israel + EEUU VS el mundo Árabe, son años y años de luchas, atentados y masacres de uno y otro bando. A la ya explosiva situación últimamente se ha unido un tema de máxima prioridad: los programas nucleares de los países árabes.

Sin duda es lógico comprender la preocupación que supone para Israel que sus vecinos (mayormente Irán) estén cada vez mas cerca de tener a su alcance material nuclear que se pueda emplear para construir una bomba.

Y aquí comienza la historia: Por lo visto, tras un cambio de poder en Siria (padre-deja-el-poder-a-hijo) el nuevo presidente comienza a tener inquietudes nucleares apoyadas y financiadas por Irán, con idea de desarrollar la temida bomba atómica. Para ello iniciaron contactos con Corea del norte que, según parece, ya dispone de toda la tecnología necesaria. Todo esto, obvio, bajo la atenta mirada de los servicios secretos de Israel. El caso es que, según se puede leer en la muy interesante narración de spiegel, uno de los factores clave a la hora de recabar pruebas contra Siria, fue el hecho de que durante un viaje de un alto oficial Sirio a Inglaterra, agentes del servicio secreto Israelí troyanizaron el portatil y de ahí sacaron fotos, documentos y planes secretos de la planta nuclear que se estaba construyendo.

Finalmente, y en parte gracias a esta acción, Israel pudo detectar la ubicación de la planta nuclear llamada 'Al Kibar' y destruirla por completo.

Sin duda, una fascinante historia sobre espías, troyanos y amenazas nucleares

Se buscan mujeres

noreply@blogger.com (Laura Garcia) — Mon, 09 Nov 2009 15:00:00 +0000

Todos sabemos que en el sector de la Seguridad Informática el número de mujeres en los proyectos es muy reducido, y si pensamos cuántas de ellas los lideran, podríamos contarlas con los dedos de la mano.

¿No resulta atractiva la Seguridad Informática para una mujer?

La seguridad de TI es una profesión compleja, multidisciplinaria y desafiante. Existe una creciente demanda en estos proyectos, en busca de personal con talento y dedicación, que aporten soluciones innovadoras que ayuden a proteger a las organizaciones del cibercrimen.

En un paper de SANS.org nos comentan lo exitosos que podrían llegar a ser estos proyectos si fueran liderados por mujeres.

¿Podría llegar una mujer a ser un buen líder de un proyecto de seguridad?

Según un estudio reciente publicado en Harvard (Ibarra & Obodaru, 2009), las mujeres superaban a los hombres en siete de las diez competencias claves de liderazgo, entre ellas formación de un equipo, tenacidad, inteligencia emocional, diseño y alineación.

Un buen líder, y hablo de líderes y no de jefes, debe tener las habilidades necesarias para guiar un equipo formado por diversos perfiles. Debe ser capaz de saber comunicar, encontrar problemas y proveer soluciones. Debe tener una actitud positiva, capacidad de análisis y saber formar un equipo que aporte buenos resultados.

¿Como acercar el sector femenino a la Seguridad de TI?

Lo primero que habría que hacer es acercarlas a las TI. Desde que somos niños existen muchos casos donde los padres creen que las niñas deben jugar con muñecas y los niños con coches y ordenadores. Esto comienza a cambiar, y cada vez mas el número de chicas que juegan con su ordenador, programan, les gustan los gadgets, está aumentando.

También el número de mujeres en las charlas de seguridad y en carreras de ciencias ha aumentado, aunque sigue siendo un número muy reducido. Si queremos que este número aumente, debemos hacer que se sientan cómodas, también tienen mucho que aportar. Si se sienten cohibidas, nunca lograremos que vengan a estos proyectos, y no pararemos de oír las mismas quejas de siempre... ¿por qué no hay chicas en las charlas de seguridad?

Se venden Macs a 43 céntimos

noreply@blogger.com (Yago Jesus) — Sun, 08 Nov 2009 06:47:00 +0000

Hace ya un tiempo que queria hablar sobre una presentación magistral de Dmitry Samosseiko (investigador de Sophos )en la que desmenuza los pormenores de las tramas organizadas que se dedican a la 'captación' de equipos troyanizados.

En ella, tal vez el titular mas sensacionalista es el hecho de que un equipo Mac troyanizado se cotiza en el mercado negro a 43 céntimos de dolar.

En la presentación se explica como funcionan las tramas organizadas creando incluso programas de 'afiliados' muy al estilo de los negocios tradicionales. También se comentan casos como la introducción de supuestos video-codecs maliciosos en sites al estilo de 'Porntube' para infectar equipos, el uso de 'Black-Seo' para generar visitas o lo que el autor llama Spam 2.0.

Sin duda una lectura muy entretenida sobre el sub-mundo de la seguridad.

El artículo se puede consultar aquí

LHC DoSed otra vez... por una miga de pan!

noreply@blogger.com (Lorenzo Martínez) — Sat, 07 Nov 2009 06:28:00 +0000

Después de una ardua semana de trabajo y viajes (sobre todo muchos viajes), me encontraba descansando merecidamente en un puff que compré en Portugal (amigo Omar, gracias por la compenetración del regateo), y al leer elmundo.es he llegado a una noticia que me ha llamado la atención. El LHC (Gran Colisionador de Hadrones) ha sufrido una nueva parada. Ya tiempo atrás Yago nos avisaba de un defacement de la propia página web del proyecto en sí.

Lo normal es que a lo largo del tiempo sufran averías debido al día a día del trabajo, así como algún que otro problema técnico. Sin embargo la que me refiero hoy es increible. Se ha producido un cortocircuito en el LHC por una miga de pan transportada por un pájaro que cayó en el aparato. Eso degeneró en un "calentamiento de dos de sus sectores y la interrupción del sistema criogénico del acelerador de partículas, que ya han sido enfriados hasta su temperatura operacional" (según indica el portavoz).

Uno de los objetivos más importantes de la seguridad de una organización es la de garantizar que ninguna alteración provocará una denegación de servicio en los sistemas, es decir, que genere una indisponibilidad en el servicio. En el caso del LHC, considerado como el proyecto científico más caro y ambicioso de la Historia, que una simple miga de pan haya podido generar una parada en el servicio resulta cuanto menos irónico. No ha sido necesaria una conspiración por parte del doctor Maligno para boicotear el proyecto. Nunca se consideró a un inocente pájaro con una miga de pan en el pico, como un riesgo de seguridad tan grande como a partir de ahora

How To deshabilitar McAfee, NOD32, Norton y otros

noreply@blogger.com (Yago Jesus) — Fri, 06 Nov 2009 06:58:00 +0000

Evidentemente, a la hora de evaluar una solución antivirus, aspectos como la fiabilidad en la detección o velocidad de respuesta a la hora de actualizar las firmas son parámetros a tener muy en cuenta, pero además, un buen antivirus debe tener en cuenta que, muy probablemente todo malware que se precie, va a intentar deshacerse de el a la hora atacar el sistema.

Sin duda, es importante que el antivirus esté preparado para el hipotético caso de que algo se cuele en el sistema sin ser detectado e intente inutilizarle.

Recientemente se ha hecho un pequeño estudio sobre como de fácil / difícil es inhabilitar algunos de los principales antivirus que hay en el mercado. ¿Resultado? Si esto fuera como el cuento de las casitas de los cerditos y el lobo: muchas casas de paja y pocas de madera.

Los antivirus analizados han sido:

McAfee

NOD32

GDATA

Norton

AVG

Kaspersky

DrWeb

El estudio, se puede consultar aquí, y además lo he subido a issuu para poder visualizarlo mejor (aunque parece que el flash da problemas con Explorer ):

4a Edición del Día Internacional de la Seguridad de la Información (DISI) 2009

noreply@blogger.com (José A. Guasch) — Thu, 05 Nov 2009 07:42:00 +0000

El lunes 30 de Noviembre se celebra la 4ª edición del Día Internacional de la Seguridad de la Información (DISI) en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, como es habitual. La Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información es la encargada de organizar este evento que reúne a un gran número de profesionales relacionados con la seguridad informática.

La agenda de este año es muy atractiva por varios motivos, componiéndose esta de una conferencia y de dos coloquios.

La conferencia (de 9:30h a 10:30h), Randomized Hashing: Secure Digital Signatures without Collision Resistance, será dada por Hugo Krawczyk, investigador de la compañía IBM cuya, y que consistirá en la presentación de métodos para obtener firmas digitales seguras aún utilizando estas funciones que sean vulnerables. Esto viene a raíz del estudio que publicó un grupo de estudiantes de la Universidad de Eindhoven (y a los que más tarde se unieron entre otros Alex Sotirov y Jake Appelbaum) en el que demostraban como falsificar un certificado de clave pública utilizando los ataques contra la función hash de MD5 (seguro que recordáis algo de unas PlayStation 3...). Tenéis más información en nuestro post titulado MD5: Tocado, hundido y encima, muere matando. La charla será en castellano.

Seguidamente, le toca el turno al primero de los dos coloquios, titulado Tendencias de Malware (de 10:30h a 12:00h), en el que participarán Ero Carrera (Virus Total), José Bidot (Segurmática) y Emilio Castellote (Panda). El segundo coloquio "Mitos y realidades del Hacking" (de 12:45h a 14:45h) contará con la participación de Luis Guillermo Castañeda (Rusoft), Fermín Serna (Microsoft), Chema Alonso (informatica64) y nuestro compañero Alejandro Ramos (SIA).

El evento es gratuito, y tenéis hasta el 27 de Noviembre para realizar la pre-inscripción al evento. Es una cita que no os podéis perder si estáis por la zona o tenéis intención de pasaros por Madrid. Pero tranquilos, antes de que nos preguntéis si se van a grabar los coloquios y la conferencia...como sucedió en años anteriores, el evento se retransmitirá via streaming, cuyo enlace os anunciaremos cuando se haga público. Para los que tampoco puedan asistir a la retransmisión, todo el contenido se publicará más adelante en el canal de la UPM en Youtube.

[+] Programa del DISI 2009 (pdf)

[+] Página del CAPSDESI

SANS Forensics: Análisis de SpyKing

noreply@blogger.com (Laura Garcia) — Wed, 04 Nov 2009 14:50:00 +0000

SpyKing es un software que permite vigilar tu ordenador, registrando de forma secreta las pulsaciones de teclado, conversaciones de chat y mensajería instantánea, páginas visitadas, correos leídos, contraseñas tecleadas, documentos abiertos y programas ejecutados. También puede tomar capturas de pantalla como si de una cámara de vigilancia se tratase.

Se puede ejecutar en modo oculto sin ser visible para los usuarios de la máquina. Además, dispone de un panel de control desde el que se puede monitorizar la actividad de la máquina y recibir toda esta información en nuestro correo personal o vía ftp. Puede ser usado por padres que quieran controlar las actividades de sus hijos en la red, monitorizar empleados, e incluso investigar crímenes.

En SANS Computers Forensics han publicado un análisis bastante completo sobre esta herramienta.

En él, comentan que a pesar de todo el bombo que se le ha dado, el programa deja una gran huella en el sistema para ser un programa de spyware. El tráfico no está cifrado por lo que es fácil configurar filtros para monitorizarlo.

Lo peor de todo (o mejor, según ser mire), es que el software es fácil de encontrar en el registro y también es posible tracear su existencia analizando el disco duro.

SPAM, SPAM! y el registro de usuarios...

noreply@blogger.com (Alejandro Ramos) — Tue, 03 Nov 2009 10:50:00 +0000

Todos conocemos ya el origen de la palabra Spam (spam with eggs!), y es para evitar estos correos molestos que acaban llegando a nuestro buzón cuando nos registramos en cientos de páginas web, que se han creado servicios que proveen cuentas de correo temporales y de un solo uso.

Su funcionamiento es muy sencillo; únicamente nos solicita un nombre de usuario y a los pocos instantes tendremos una cuenta de correo que no requiere registro ni credenciales, algo similar a un apartado de correos anónimo (o todos los que queramos), donde enviar a todos aquellos que sabemos que no necesitan conocer nuestra dirección de correo real.

Entre los más populares se encuentran los siguientes:

Incluso se ha liberado el código de alguno por si queremos montarlo sobre nuestros sistemas: PookMail.com

En ocasiones, algunos de estos dominios están prohibidos y no son permitidos a la hora de hacer un registro. En general, siempre se dejan varios de ellos sin cubrir y uno acaba montándose el suyo propio para evitar la salvaguarda.

En el caso de Bitacoras.com, tras el concurso de votos, acabaron añadiendo @spam.la como dominio no permitido, pero todos los demás podían seguir utilizándose. De esta forma trataban de evitar el registro masivo de usuarios de forma automática tal y como ocurrió con el concurso de Eurovisión. Además, recientemente (ayer) han incluido su magnífico captcha en el registro y la comprobación de la cabecera User-Agent (que define la versión del navegador) para calcular si la petición está realizada automáticamente o de forma manual.

Una buena opción para solucionar el problema es usar recaptcha.net u otra librería de captchas "de verdad", además de controlar las direcciones IP desde las que se hace el registro, tal y como se hace en Meneame.net.

Un ejemplo de la prueba de concepto en el siguiente video

Una implantación de C(r)aptchas. Bitacoras.com

noreply@blogger.com (Alejandro Ramos) — Mon, 02 Nov 2009 09:05:00 +0000

Los captchas es un tema que hemos tratado en este blog repetidas veces, como la ocasión de Tuenti, de Digg, el caso de MegaUpload o la charla del Curso de Verano de Salamanca. Hoy, aprovechando que se han dado a conocer los nominados finales en los premios Bitacoras.com repetimos con su curioso y divertido caso, que a más de uno le hará sonreír de medio lado.

Bitacoras.com para muchas de sus tareas implanta esta contramedida con el objetivo de evitar procesos automáticos, como por ejemplo en la inserción de noticias o durante el concurso de blogs, sumar votos.

Si nos fijamos en la dirección de origen del captcha (la etiqueta IMG), se puede observar que está formada por un hash md5. En este caso: 7d1f58aeb175fd9c9425467c480cfc7f que corresponde con el texto de la imagen: 859061CD y que en todos los casos en las imágenes generadas su texto corresponde a un tamaño de 8 caracteres de un mapa hexadecimal, es decir, siempre se compondrá con los caracteres: 0123456789ABCDEF.

[f00f@sbd bitacoras]$ echo -n '859061CD' |md5sum -
7d1f58aeb175fd9c9425467c480cfc7f -

Con esta información es suficiente para encontrar un sistema rápido que permita saltarse el control sin necesidad de procesar la imagen del captcha, que por otro lado, y sea dicho de paso, es fija en tamaño, colores y rotación, así como en la imagen de fondo. Lo que la convierte también en muy débil ante otros ataques de tipo OCR.

Volviendo al nombre de archivo y su contenido, con las tablas rainbow podemos generar una combinación con todas las posibilidades en un tamaño de 640Mbs y consultarla cada vez que se solicite un captcha.

Para generar las tablas, primero es necesario modificar el archivo 'charset.txt' y añadir la línea siguiente línea:

alpha-hex = [ABCDEF0123456789]

Posteriormente se genera y ordenando la tabla con el comando "rtgen"

[f00f@sbd bitacoras]$ ./rtgen md5 alpha-hex 8 8 0 1000 40000000 0
hash routine: md5
hash length: 16
plain charset: ABCDEF0123456789
plain charset in hex: 41 42 43 44 45 46 30 31 32 33 34 35 36 37 38 39
plain length range: 8 - 8
plain charset name: alpha-hex
plain space total: 4294967296
rainbow table index: 0
reduce offset: 0

generating...
100000 of 40000000 rainbow chains generated (0 m 49 s)
[...]

[f00f@sbd bitacoras]$ ./rtsort md5_alpha-hex#8-8_0_1000x40000000_0.rt

Tras finalizar, ya se puede consultar sobre las tablas los nombres de archivo y por lo tanto, averiguar su valor:

[f00f@sbd bitacoras]$ ./rcrack *.rt -h 7d1f58aeb175fd9c9425467c480cfc7f
[...]
searching for 1 hash...
cryptanalysis time: 0.00 s
5984 bytes read, disk access time: 0.00 s
searching for 1 hash...
cryptanalysis time: 0.00 s
5984 bytes read, disk access time: 0.00 s
searching for 1 hash...
plaintext of 7d1f58aeb175fd9c9425467c480cfc7f is 859061CD
cryptanalysis time: 0.00 s

statistics
-------------------------------------------------------
plaintext found: 1 of 1 (100.00%)
total disk access time: 0.03 s
total cryptanalysis time: 0.76 s
total chain walk step: 498501
total false alarm: 309
total chain walk step due to false alarm: 119601

result
-------------------------------------------------------
7d1f58aeb175fd9c9425467c480cfc7f 859061CD hex:3835393036314344

En algunas pruebas el tiempo que ha tardado en obtener el resultado es menor al segundo y en otros ha llegado a superar los 10. En cualquier caso, es una espera más que aceptable para una resolución del 100%.

Agradeceros a todos los votos recibidos. Nos habéis situado en los seis primeros puestos, siendo realmente el primer blog íntegramente de seguridad de la categoría, que por otro lado, no entiendo muy bien la mezcla con los de Software.

Adelantaros que en nuestra próxima entrada contaremos, como se podría haber clasificado un blog con unos cuantos comandos que sumarían votos automáticos. Algo que desde luego no hemos hecho nosotros que finalmente hemos quedado sextos :-)

Gadgets de seguridad para geeks

noreply@blogger.com (Laura Garcia) — Sun, 01 Nov 2009 11:10:00 +0000

La proporción de aparatos tecnológicos a personas en tu casa es de 4 a 1, tienes una caja enorme de cables que nunca usas, tu hábitat natural es la red, le hablas a tu ordenador, no sabes lo que es estar bronceado, hablas un lenguaje que tus compañeros no entienden... tienes madera de geek.

Si además tus amigos dicen que eres un paranoico de la seguridad, sólo porque piensas que al otro lado de la red hay alguien que conspira contra ti, y siempre andas buscando evidencias de algún ataque en alguna de tus máquinas.

No pueden faltar en tu colección de artilugios algunos de estos gadgets de seguridad:

Spy Keylogger: te permitirá grabar las pulsaciones de teclado de tu víctima. Disponible tanto para teclados USB como PS/2.

Puede ser usado por padres "preocupados" por la seguridad de sus hijos en la red, monitorizar actividad sospechosa en tu trabajo, o cazarle las contraseñas a tu pareja.

Falsa cámara de vigilancia: te ayudará a proteger tu cuartel general de mirones, esa habitación con tus ordenadores en donde no quieres que anden fisgoneando.

Incluye un LED para hacerlo más realista. Más de uno se lo pensará dos veces antes de intentar cotillear tu correo.

Detector de micrófonos ocultos: ¿tienes paranoias de que alguien pueda estar escuchándote? Con este aparato podrás detectar micrófonos wireless y transmisores que pueda haber escondidos en tu casa, oficina o habitación de hotel.

Kit de pruebas RFID: te será útil si deseas aprender más sobre esta tecnología sin necesidad de destrozar tu pasaporte.

Dispone de un software para descargar que te permitirá leer más de una docena de etiquetas.

¿Nos expresamos correctamente?

noreply@blogger.com (Lorenzo Martínez) — Sun, 01 Nov 2009 08:48:00 +0000

En un post anterior, un lector apuntaba que una palabra que había utilizado a lo largo del artículo, le había rechinado cuando lo estaba leyendo y le había hecho buscar en RAE.es. Según él, la palabra bastionar no estaba bien utilizada para indicar "fortalecer servidores". No pasa nada, se pide disculpas, se corrige si es necesario y ya está.

Sin embargo, ese hecho me hizo pensar en las muchas veces que leemos/vemos/oimos en diferentes medios como blogs escritos, noticias de periódico, prensa no especializada (e incluso especializada) diferentes palabras o expresiones relacionadas con la tecnología y/o con la seguridad informática que no nos suenan bien.

Por ejemplo, expresiones muy comunes en nuestro sector como "encriptar/desencriptar" o "estado del arte" son traducciones demasiado directas del inglés (encrypt/decrypt, state of the art). En el caso de encriptar/desencriptar lo más correcto es utilizar cifrar/descifrar (puesto que en RAE.es no nos aparece ninguna entrada con estos términos). En el caso de "estado del arte" directamente wikipedia nos indica que se utiliza para hablar de tecnología punta o "lo último en tecnología".

Parecido es lo que sucede con una palabra muy utilizada "autentificar" en vez de autenticar. Si buscamos en RAE por "autentificar", nos deriva a "autenticar". En wordreference, incluso hay una discusión sobre el uso de cuál de ámbos términos es más correcto, sin resultados concluyentes. En mi caso suelo usar autenticar, pero no para dar a entender "autorizar o legalizar una cosa" como indica en wordreference, sino como la acción de identificar a una entidad ante otra.

En el caso de "bastionar", como indicaba otro lector anónimo, en rae.es, la búsqueda por bastionar nos lleva a "abastionar", que quiere decir "Fortalecer con bastiones"... y la usamos cuando queremos decir "proteger" o "fortalecer". Otra palabra muy utilizada y que tampoco aparecen entradas en RAE pero de uso muy comúnmente extendido para el mismo fin de "bastionar" es "securizar". Incluso alguna vez he leido en algún sitio la palabra "hardenizar" que deriva claramente del inglés.

Dado el sector en el que nos movemos, estamos tan acostumbrados a utilizar el inglés en nuestra vida laboral, que estas palabras no nos suenan tan mal e incluso damos como válidas.

Seguro que me dejo muchas expresiones de las cuales dudamos sobre si están correctamente dichas, pero que utilizamos a menudo en posts, charlas presentaciones, etc,.. en nuestra vida diaria.

Os invito a que dejéis en comentarios aquellas que se os ocurran para investigar sobre ellas.

Truco o Troyano!!

noreply@blogger.com (Laura Garcia) — Sat, 31 Oct 2009 08:00:00 +0000

Se acerca la noche de Halloween. Zombies, vampiros y esqueletos saldrán de sus tumbas para atormentar nuestra feliz existencia y darnos algún que otro susto. Pero estos no llegan solos, sino que vienen acompañados por oleadas de terrorífico Spam.

Es bien conocido por todos, que en época de festividad, plagas de malware amenazan nuestra tranquila vida en la red. Desde Sophos, Sunbelt Software, PandaLabs o Trend Micro nos alertan para que estemos atentos, activemos y actualicemos nuestros kits de anti-malware. Elijamos bien donde vamos ir a pedir caramelos, siempre a sitios confiables, pasándole siempre el escáner a cada caramelo que nos ofrezcan, no vaya a ser que caigamos en casa de algún malware-zombie o un phishing-esqueletor y quedemos infectados.

Los ataques más típicos para colarte algún ser extraño en tu máquina o robar tu información personal suelen ser:

Esqueleto bailarín: podrías recibir un correo que te anima a visitar una página web, en donde puedes descargar una aplicación y disfrutar de un terrorífico esqueleto bailarín junto a un malvado troyano, que permitirá a los atacantes remotos acceder y controlar tu ordenador, acceder a tu información personal y enviar spam.

Cupones regalo: podrías recibir un correo que te ofrece cupones regalo si te registras para obtener una tarjeta de crédito. Esta forma de estafa robará información financiera personal para un uso fraudulento a posteriori.

Invitación a una fiesta de Halloween: podrías recibir un correo, que te invita a una supuesta fiesta de Halloween, si proviene de un destino desconocido podría tratarse de un ataque que intentará que accedas a un link con contenido malicioso o abras un archivo adjunto. Incluso si es de un sitio de confianza, pásalo antes por tu escáner habitual.

Dinero extra: correos cuyos links llevan al usuario a sitios maliciosos donde puede ser infectado.

Desde Sophos nos comentan, que también asistirá a la fiesta nuestra amiga la viagra, siempre presente en estos casos de spam, que hace uso de las técnicas de posicionamiento SEO para aumentar su pagerank y posicionarse en los buscadores.

Les deseo un terrorífico Halloween con muchos sustos y poco spam, así que ya saben:

No confiar en los adjuntos de los correos no confiables.
No dar nuestra información financiera.
No hacer click en links no confiables.
No ejecutar ninguna aplicación de Halloween, sin antes haberla pasado por nuestro escáner de malware.

Panda Internet Security 2010

noreply@blogger.com (Yago Jesus) — Fri, 30 Oct 2009 06:44:00 +0000

Admitámoslo, cuando se habla de Panda, la gran mayoría de personas asocian rápidamente un montón de tópicos que justa o injustamente ganados, habría que revisar cuantos de ellos tienen vigencia actualmente.

El caso es que a raíz del Security Blogger Summit he tomado un contacto mas directo con Panda y he tenido la oportunidad de contrastar unos cuantos tópicos que había oído y leído durante años.

Para empezar, ¡¡ sorpresa !! Panda Software hace tiempo que tuvo un importante cambio accionarial y en ese cambio, toda la parte mas oscura desapareció y la compañía pasó a manos de un fondo de inversiones. Junto con este cambio, fue nombrado como CEO Juan Santana, persona con una visión estratégica bastante clara. Así que, de entrada, casi seguro que no veremos a Tom Cruise en un anuncio de Panda.

El segundo punto que se le achaca a Panda es la poca optimización de sus productos, su exagerado consumo e inestabilidad. Mi última experiencia pre Panda Internet Security 2010 fue hace demasiado tiempo, y no guardo un recuerdo nítido de la experiencia, pero si he probado bastantes antivirus y lo que supone uno que no esté optimizado, (AVG estuvo a punto de generarme tics irreversibles por la desesperación).

He probado Panda 2010, de hecho lo tengo en un PC donde paso muchas horas frente a el y tengo que decir que mis sensaciones son muy positivas, cumple todo lo que se espera de un producto de estas características y lo cumple con nota

Sobre el tema del consumo de memoria: otra leyenda que se derrumba, aquí una pequeña captura de los procesos Panda y el consumo de memoria RAM (click para agrandar):

A pesar de que el tamaño total de algunos procesos es un poco grande, lo que realmente 'mata' un PC es el uso que se le de a la memoria RAM, y en eso como se puede ver en la captura, Panda consume realmente poco, lo que hace que resulte imperceptible a la hora de usar el equipo.

Además últimamente Panda está teniendo bastantes iniciativas novedosas como su Cloud Antivirus que, posteriormente, han sido copiadas por los grandes del sector (McAfee, por ejemplo).

Tampoco me quiero dejar que, hace un tiempo, publicabamos el estudio independiente de AV-Test.org donde Panda sacaba un muy meritorio tercer puesto

Conclusión: Igual que Microsoft sufrió la ira y la crítica mordaz por su Windows 95-98 debido a los mil y un fallos e inestabilidades, y luego sorprendió a todos con Windows 2000 y XP que no tenían nada que ver, Panda también ha sabido re-inventarse y proponer un producto interesante y de gran calidad que deja en el pasado un montón de mitos y leyendas.

Once vulnerabilidades para Mozilla Firefox este Octubre

noreply@blogger.com (José A. Guasch) — Thu, 29 Oct 2009 14:30:00 +0000

El día de ayer nos dejó nada menos que 11 vulnerabilidades en Mozilla Firefox. Lo peor de todo, que 6 de ellas han sido catalogadas como de carácter crítico, motivo por el cuál seguramente ya contéis con el chivato en la aplicación de actualizaciones diciendo que tenéis la versión 3.5.4 disponible para ser instalada. Digamos que ayer la Fundación Mozilla vivió su particular patch wednesday...

No lo dejéis para más tarde en caso de que sigáis con una versión anterior: se debe actualizar este navegador a su última versión disponible ya.

¿Y por qué tanta gravedad? Las vulnerabilidades críticas reportadas van desde desbordamientos de búfer en heap (MFSA 2009-56 y MFSA 2009-59), escalado de privilegios (MFSA 2009-57), problemas en la liberación de recursos al realizar llamadas recursivas de web-workers (MFSA 2009-54), así como fallos en librerias relacionadas con elementos multimedia (MFSA 2009-63), etc.

Pero de todo este abanico de vulnerabilidades, las que más me llaman la atención son la 2009-52, 2009-61 y 2009-62:

MFSA 2009-52 - Posibilidad de robar el historial de formularios mediante eventos relacionados con el ratón y el teclado. Una pena que de momento no sepamos más información o una demostración, más que la reflejada en el aviso de seguridad.
MFSA 2009-61 - Mediante la llamada document.getSelection() ha sido posible obtener un texto seleccionado desde otro dominio.
MFSA 2009-62 - Falseado de un nombre de fichero descargado al no tratar correctamente carácteres RTL. Gracias a esta vulnerabilidad, un usuario podría esconder el nombre y extensión verdaderas de un fichero que pusiese en un sitio web para descargar, al no mostrar correctamente los nombres en los cuadros de diálogo de descarga. En este enlace de Bugzilla se puede ver el primer reporte de esta vulnerabilidad, así como más detalles.

Aunque las anteriores tres vulnerabilidades no se hayan clasificado como críticas por varios motivos (sobretodo por la necesidad de la interacción por parte de la víctima), a mi personalmente me parece que son las que más juego podrían dar.

Recordad que también podéis descargaros la aplicación FFHardener para bastionar vuestros Firefox desde la página de proyectos de sBD, así como seguir los consejos de nuestro post anterior Profiláctico para navegadores.

Con todo esto, el zorro favorito de muchos dormirá tranquilo...

[+] Mozilla Foundation Security Advisories

Hispasec regala libro "Una al día: 11 años de seguridad informática"

noreply@blogger.com (Alejandro Ramos) — Wed, 28 Oct 2009 23:59:00 +0000

Ayer se celebraron 11 años desde que el 28 de octubre naciera la lista de correo "una-al-día", uno de los principales medios de comunicación por el que diariamente recibimos una noticia de seguridad en nuestro correo.

Hoy en día para muchos de nosotros forma parte de nuestras vidas y parece que fue un servicio que siempre estuvo ahí. Es increíble el esfuerzo que se realiza en Hispasec para mantener la calidad y continuidad de sus noticias, que poco a poco han penetrado en todos los rincones. Es seguramente una de las listas de correo de seguridad de habla hispana con mayor difusión. Algo sobradamente merecido.

Para celebrar este cumpleaños, Hispasec ha decidido regalar la segunda edición de su libro en formato PDF, más de 300 páginas con "historias de abuelo", que a más de uno le hará caer una lagrimilla nostálgica.

El libro es mucho más que una recopilación de las mejores noticias de cada año, de las que se pueden leer entre cinco y siete por sus 11 capítulos (uno por año) . Incluye entrevistas exclusivas y "puestas en escena" del momento al que pertenecen.

Su lectura es casi obligatoria para todo aquel que quiera conocer de dónde venimos y como hemos evolucionado a lo largo de todo este tiempo.

Personalmente tengo ganas de encontrarme otro lector de este magnífico libro y comentar con el alguna de las historias que refleja.

¡Gracias Hispasec!