jueves, 30 de diciembre de 2010

Valoraciones del primer día de flu-project.com.


Buenas a todos, la verdad que no hay otra palabra para catalogar el primer día de andadura del proyecto Flu, que no sea la de éxito.

Nos hemos visto desbordados, literalmente:
  • Casi 800 visitas únicas al portal web www.flu-project.com
  • 35 usuarios registrados en el portal
  • 57 amigos en Facebook
El Twitter ha arrancado más lento, con 15 seguidores, pero estoy seguro que arrancará ya que es nuestro principal canal de comunicación con vosotros.

Pero sobretodo lo que nos ha parecido muy importante, es que os habéis involucrado mucha gente y tenemos ya muchos (¡muchísimos!) correos vuestros con ideas para mejorar a Flu. Aprovecho para recordaros que todas las propuestas os recomendamos hacerlas desde este subforo: http://www.flu-project.com/forum?mingleforumaction=viewforum&f=4.0, ya que así otros usuarios pueden verlas, estudiarlas, comentarlas y aprender de ellas. Recordad que el proyecto tiene unos fines didácticos como pilar principal.

Aprovecho también la entrada para agradecer a toda la gente que desde otras comunidades como dragonjar, elhacker.net o indetectables nos han dado mensajes de apoyo, sois unos cracks!

saludos a todos, me voy a contestar todos vuestros correos!


miércoles, 29 de diciembre de 2010

Hoy lanzamos mundialmente el troyano Flu, Open Source y la comunidad www.flu-project.com

Buenas a todos, el gran día ha llegado, muchos de vosotros, los que me conocéis más en profundidad, sabéis que no puedo estar sin cacharrear con nuevos proyectos, y tras la publicación de la versión 1.1 de Anubis me planté realizar un proyecto Open Source con mi amigo Pablo, del i64 Team. Nuestra afición por la seguridad de la información nos llevó a realizar los que eran unos pequeños pasos de un troyano ideado para utilizar en nuestros respectivos trabajos de consultores y formadores en seguridad a la hora de dar cursos y realizar auditorías y consultorías.

¿Qué es Flu?

Hoy Flu se ha convertido en un troyano muy potente, capaz de generar botnets de máquinas zombis y controlarlas de manera remota gracias a la tecnología HaaS, basada en una arquitectura cliente-servidor.

Para dar a conocer la herramienta hemos publicado un portal web. El portal es en realidad una comunidad, esperemos que muy activa, donde podréis hacer comentarios, dar ideas, enviarnos nuevos desarrollos de Flu, ya que al ser Open Source podréis descargaros el código fuente, y un largo etcétera.

Podéis encontrar toda la información en la web: www.flu-project.com

Para dar a conocer el proyecto hemos montado un webcast de 9 minutos donde os explicamos todo sobre el proyecto, desde como está distribuido el portal, hasta una demo de Flu en funcionamiento, ¡¡disfrutarlo!!. Cuento con todos vosotros:



martes, 28 de diciembre de 2010

Los blogger de Google se fusionarán con Joomla para combatir a Wordpress tras su unión con Microsoft Live Spaces


Tras este anuncio y como era de esperar, Wordpress ha ganado una gran parte del pastel adjudicándose la mayor cuota de mercado. Hecho que ha perjudicado principalmente a Google, la otra gran rival en el mundo blogger..., hasta ahora.

Ayer a última hora de la noche Vinton G. Cerf, vicepresidente y jefe de evangelización de Internet, anunciaba que Google adquirirá en el primer trimestre de 2011 al otro "grande y libre" y más fuerte en el mundo de los blogs y los gestores de contenidos, Joomla. La noticia ha dado la vuelta al mundo generando gran controversia. En mi opinión, es una jugada muy astuta ya que Google tendría un poder de mercado muy similar al de Wordpress en el mundo de los blogs y además pondría su granito de arena a la hora de desarrollar nuevos plugin para el popular CMS.

Un hurra por Google, feliz día de los Santos Inocentes

Saludos!


lunes, 27 de diciembre de 2010

Un exploit cuela Spam a Google

Buenas a todos, vía Dr T, he leído la noticia de que Google ha tenido un pequeño percance con un exploit que ha conseguido incluir Spam en sus búsquedas.

El problema ha sido detectado por la empresa de seguridad Sucuri.net, que ha confirmado que circula por los buscadores un nuevo exploit que agrega un modulo nuevo a varios servidores webs Apache, y que podría retornar enlaces que contengan spam.

Al parecer la mayor parte de las páginas web son dominios acabados en .edu, campo educativo, quizás porque los Hackers hayan pensado que son sitios web que reciben pocas actualizaciones y que podrían no eliminar el nuevo módulo en poco tiempo.

A continuación os dejo un listado de algunas webs que se han visto afectadas por el exploit.
  • www.jchs.edu
  • www.jmkac.org
  • www.legal-library.co.uk
  • www.thedigest.com
  • www.tumenprogram.org
  • www.uinteramericana.edu
  • www.umoncton.ca
  • www.unionsportsmen.org
  • www.uwest.edu
  • www.wcwonline.org

viernes, 24 de diciembre de 2010

Esta noche es Nochebuena y mañana Navidad...

Esta noche es Nochebuena y mañana Navidad, dame las botas María que me voy a trabajar...!

Buenas a todos, sí, en estos momentos estoy trabajando, pero esta tarde comienzo mis vacaciones. Me quedaré por Madrid con la familia y aprovecharé para descansar y recargar pilas, que hace falta.

Estos últimos meses han sido de locos para mí, con muchos proyectos, imagino que al igual que muchos de vosotros, así que no nos viene mal un pequeño paréntesis.

La semana que viene, si todo sigue su curso y no acabamos muy perjudicados tras este fin de semana festivo =), os tengo preparada una sorpresa en forma de lanzamiento de un proyecto de seguridad, que llevo preparando los últimos meses con mi amigo Pablo, del i64 Team.

Os adelanto que el proyecto no tiene nada que ver ni con Anubis, ni con ningún otro proyecto de los que os he hablado hasta ahora. Lo hemos decidido mantener en secreto para haceros a toda la comunidad de Internet un regalo por navidad, ¿a que somos majos?

Así que nada, hasta entonces os mantengo con la intriga y os deseo que paséis unas FELICES NAVIDADES A TODOS.

Saludos!

P.D. Y aquí el villancico que esperabais en versión 2.0:


miércoles, 22 de diciembre de 2010

Las doce estafas tecnológicas de la navidad 2010-2011

Vía ABC leo un artículo bastante interesante sobre un informe realizado McAfee para mostrar cuales son las estafas tecnológicas que están más de moda estas navidades.

Os dejo a continuación los puntos mas importantes:

1. Ofertas de iPad gratis. Sin duda es el gadget de moda y objeto de deseo de muchos de nosotros. Así que no es de extrañar que algunas páginas de dudosa credibilidad que venden on line equipos informáticos, ofrezcan un iPad como regalo a la compra, -previa solicitud del número de tarjeta de crédito-. Lógicamente el estafado nunca recibe el iPad.

2. Pedido de auxilio. Consiste en un mensaje de socorro de un supuesto familiar o amigo que se encuentra de "vacaciones" y al cual han robado; nuestro conocido solicita que le enviemos dinero por giro postal o transferencia electrónica para poder regresar a casa.

3. Tarjetas de regalo falsas. Suele ser habitual en estas fechas, que las grandes cadenas de distribución pongan a la venta tarjetas de regalo por una cantidad determinada de euros para que el regalado pueda canjearlos en sus centros. Aprovechándose de esto, los criminales cibernéticos están comenzando a ofrecer a través de las redes sociales tarjetas de regalo falsas con el fin de robar la información y el dinero de los consumidores.

4. Ofertas laborales. Las típicas ofertas laborales para "ganar mucho dinero" trabajando desde el hogar, aumentan en épocas de crisis y en fechas como la navidad. La mayoría solicitan información personal como la dirección de correo electrónico, dirección postal y número de seguridad social para acceder al trabajo falso.

5. Mensajes de texto. El “smishing”, es una variedad del pishing que consiste en el envío de mensajes de texto (SMS) fraudulentos. Estos mensajes parecen provenir de su banco o de un comerciante minorista en línea y afirman que hay un problema con su cuenta y el usuario debe llamar a un número para confirmar su información de cuenta.

6. Alquileres sospechosos. Muy habitual en Estados Unidos, durante las temporadas de mayor demanda de viajes, cuando los consumidores buscan en línea alquileres navideños convenientes, los cibercriminales publican sitios de alquiler falsos que solicitan pagos iniciales con tarjeta de crédito o giro postal.

7. Préstamos pre aprobados. Otra modalidad frecuente de estafa online es la oferta de préstamos preaprobados y con bajo interés si el destinatario paga una tarifa de procesamiento, que lógicamante va directamente a los bolsillos del estafador.

8. Saludos falsos. No tardarán en llegar a nuestro correo decenas de felicitaciones navideñas de amigos, familiares y compañeros de trabajo. Cuidado, porque algunas de ellas utilizan servicios de dudosa credibilidad, que en muchos casoscargan versiones falsas con enlaces a virus troyanos y otro tipo de malware en lugar de la felicitación.

9. Subastas falsas. Nadie ofrece duros a cuatro pesetas. No lo olvides. Por eso, cuando encuentres sitios de subastas que ofrecen negocios demasiado buenos para ser reales, desconfía, y mucho, pues su objetivo principal será el robo de dinero e información.

10. Donaciones. Aprovechando que en Navidad los sentimientos están a flor de piel, muchas organizaciones criminales que operan en internet, envían correos electrónicos que solicitan realizar donaciones de caridad de diverso tipo, como aquellas a favor de la infancia, adultos mayores o para ayudar a supuestos damnificados de una catástrofe ocurrida recientemente. Es importante saber detectar si estamos ante fuentes fehacientes o no.

11. Protectores de pantalla. Al igual que ocurre con las tarjetas de felicitación, los protectores de pantalla, canciones y animaciones de temática navideña son una manera fácil para que los estafadores propaguen virus y otras amenazas cuando los enlaces vienen en un correo electrónico o un mensaje que parecen ser de un amigo.

12. Wi-Fi en hoteles y aeropuertos. Para terminar, no olvidemos que durante la temporada navideña, muchas personas viajan y usan wi-fi gratuito en lugares como hoteles y aeropuertos. Esta es una ocasión para que los delincuentes “hackeen” las redes en busca de oportunidades para robar información del usuario desprevenido.

martes, 21 de diciembre de 2010

Vídeos del DISI 2010

Buenas a todos, ya se encuentran disponibles los vídeos de las distintas charlas del DISI 2010 que se celebró en la Universidad Politécnica de Madrid el pasado día 30 de Noviembre y del que os hice un resumen que podéis encontrar aquí.

Podéis ver los vídeos a continuación:

D. José Manuel Perales, D. Taher Elgamal, D. César Benavente, D. Jorge Ramió
Duración 06:05 minutos. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.


Mr. Taher Elgamal (Axway - USA)
01:41:36 hours. Video produced by UPM GATE, YouTube UPM Channel.

Participan D. Eduardo Carozo del CSIRT ANTEL, Uruguay, Dña. Chelo Malagón de RedIRIS, D. Javier Candau del Centro Criptológico Nacional y D. Marcos Gómez de INTECO. Modera Dña. Gemma Déler, Directora Adjunta Unidad TI de Applus+.
Duración 01:07:16 horas. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

Participan D. José Parada de Microsoft Ibérica, D. Juan Luis Rambla de Informática64 y D. Rubén Santamarta de Wintercore. Modera: D. Justo Carracedo, Catedrático EUITT - Cátedra UPM Applus+.
Duración 01:17:38 horas. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

D. César Sanz, D. Taher Elgamal, Dña. Gemma Déler, D. Jorge Ramió
Duración 06:33 minutos. Vídeo producido por el GATE-UPM. Disponible en el Canal YouTube UPM.

lunes, 20 de diciembre de 2010

Un empleado abandona Google para crear Disconnect, extensión para navegadores que cura el malware "Facebook Connect"


Buenas a todos, últimamente ando inmerso en un par de proyectos bastante interesantes y que pronto compartiré con todos vosotros. En ambos, estoy desarrollando sendos portales web, con el gestor de contenidos WordPress. Para evitar los engorros que producen los registros de los usuarios en los portales me pareció interesante agregar conectores desde Twitter y Facebook, para que los usuarios pudiesen registrarse en el portal con sus cuentas en las redes sociales. Hasta aquí todo bien.

Buscando plugins dí con uno de los mas utilizados en WordPress, "Facebook Connect", tras hacer diversas pruebas me di cuenta de que era malware puro, sin saber porque, si estaba logado en el navegador con mi cuenta de Facebook me auto-registraba en el portal y se logaba, ¿hola privacidad? No se si habrá gente que le ha ocurrido esto mismo, o habrá sido un problema puntual, pero por si acaso decidí eliminarlo inmediatamente, si hay algo que me parece realmente mal es obtener datos de gente que no los proporcione de manera voluntaria y con total conocimiento de ello.

Por ello, tras ver lo que podrían estar haciendo conmigo mientras navego por internet, me pareció interesante buscar plugins para navegadores que bloqueen este tipo de conectores y fue cuando descubrí la extensión "Facebook Disconnect".

Brian Kennish, ex empleado de Google (desde hace 3 semanas), tras darse cuenta de este mismo hecho que os acabo de contar se puso manos a la obra para proteger los datos de las personas mientras navegan, y creó "Facebook Disconnect".

Facebook Disconnect es una extensión para navegadores que elimina el servicio Facebook Connect y su botón de todos los sitios web, evitando que pueda obtener información privada de los usuarios al navegar a través de sus cookies.

Este plugin alcanzó un gran éxito, con más de 50.000 descargas en la versión para Google Chrome. Y es por ello por lo que Brian decidió seguir adelante con el proyecto y abandonar Google hace 3 semanas.

En el nuevo proyecto Brian Kennish ha desarrollado esta herramienta para bloquear la recolección de información hecha por empresas interesadas en saber información privada de los usuarios, como las redes sociales Facebook y Twitter o la gran Google, bloqueandoles las cookies del navegador. Podéis descargarla desde la web: http://www.disconnectere.com/

Disconnect está disponible para Google Chrome y RockMelt, pero pronto se lanzarán las versiones de Safari y Firefox.

A continuación os dejo un ejemplo sobre su funcionamiento contra mi blog (promesa que yo voluntariamente no obtengo datos de nadie =) ):



Si os fijáis bloquea también los botones de compartir en Facebook y Twitter que tengo en la parte superior de cada post.

Descargas:

sábado, 18 de diciembre de 2010

Una Honey Pot rubia de 21 años, demuestra que el 94% de los usuarios son vulnerables en las redes sociales

Buenas a todos, la empresa Bit Defender lleva un tiempo realizando un peculiar estudio sobre las redes sociales, en este caso sobre Facebook, para demostrar la ingenuidad de sus usuarios que podrían caer en distintos ataques de Ingeniería Social de una manera bastante sencilla.

En el estudio se creó un perfil falso en Facebook, de una joven y atractiva rubia de 21 años, un pequeño pero potente Honey Pot, que envió 2000 solicitudes "al azar" a 1000 hombres y 1000 mujeres, para comprobar si los usuarios aceptarían a una extraña como amiga. La verdad y siendo sinceros, no se cuanto ha habido de azar ya que el 86% de los usuarios crédulos que aceptaron ser amigos del perfil falso provienen de la industria tecnológica, y el 31% de ellos trabajan en seguridad informática (y conozco a algunos, yo no tranquilos =P)

En la muestra de usuarios se incluyeron edades que oscilaron entre 17 y 65 años, con una edad media de 27,3 años.

Tras una semana en funcionamiento, la joven rubia tuvo un rotundo éxito con 1.872 solicitudes aceptadas de las 2000.

Los usuarios que aceptaron las solicitudes se podrían categorizar de la siguiente manera:

  • Nivel 1: usuarios muy crédulos: aceptan la amistad sin preguntas.
  • Nivel 2: Los usuarios crédulos: aceptan la amistad después de una o dos conversaciones online.
  • Nivel 3: usuarios escépticos: aceptan la amistad después de entre 3 y 5 conversaciones online.
  • Nivel 4: Los usuarios que no aceptan desconocidos.
Tras el estudio se le preguntó a los usuarios su motivación para aceptar a la chica y aquí están las respuestas:
  1. 53%: "un hermoso rostro"
  2. 17%: "una cara conocida aunque no recuerdo donde la he conocido"
  3. 24%: "una persona que trabaja en la misma industria"
  4. 6%: "un perfil interesante".
Para rematar la faena se seleccionaron 20 personas de las que aceptaron la solicitud para mantener una conversación "privada" con la joven rubia por escrito. Curiosamente tras una media hora alrededor de un 10%, es decir, 2 personas, ya habían revelado datos sensibles como su dirección, número de teléfono, nombre de la madre y el padre, información utilizable para los servicios de "¿olvidó su contraseña?".

Tras 2 horas de conversación el 73% de los usuarios había revelado información privada de su empresa como su lugar de trabajo, planes estratégicos, tecnologías que utilizaban y un largo etcétera.

La conclusión del estudio es clara, la ingenuidad de los usuarios les podría hacer vulnerables a ataques de Ingeniería Social, cuya eficiencia es directamente proporcional a la belleza de su foto de perfil =), que nos haría bajar el nivel de seguridad de "nuestro firewall" y de ahí podrían colarnos ciertos correos con malware, utilizar toda la información que nos han sacado para intentar recuperar nuestras contraseñas, etc.

Así que ya sabéis el dicho, no os fieis de las rubias =). Saludos!

viernes, 17 de diciembre de 2010

Publicada la versión 3.0 de la metodología OSSTMM

Buenas a todos, recientemente ha sido publicada la versión 3.0 de la metodología OSSTMM, Open Source Security Testing Methodology Manual, que junto con OWASP es uno de los estándares más completos utilizados en Auditorías de Seguridad.

Creada por Pete Herzog y realizada con el trabajo de 150 profesionales, OSSTMM describe las fases que deben seguirse en una auditoría de seguridad de la información.



Puedes descargar la última versión de la metodología OSSTMM desde aquí.

Recordaros también que en el apartado "Normas y Modelos" del blog encontraréis información en detalle de las metodologías nombradas en el post y de la serie de normas ISO/IEC 27000.

Saludos!

jueves, 16 de diciembre de 2010

La Ley "Sinde" será publicada antes de fin de año

Buenas a todos, como sabéis hace unos meses el gobierno español "lanzó" la disposición final primera en el marco de la Ley de Economía Sostenible, "La Ley Sinde", para poder cerrar webs de forma administrativa, es decir, las que les parecen. La ley generó un gran rechazo entre la comunidad de Internet, que llevó a muchos importantes bloggers y dueños de webs a intervenir en telediarios y programas de debate.

Tras unos meses en el olvido, parece ser según cuentan en lainformacion.com, que la ley va a ser aprobada de manera EXPRÉS, para no dar tiempo a debates. Probablemente antes de fin de año (y quedan únicamente 15 días).

Las enmiendas presentadas a esta ley serían presuntamente debatidas en una única sesión de la Comisión de Economía y de ahí la ley iría al Senado sin pasar por Pleno.


Al gobierno español no le interesa la libertad en la red y harán todo lo posible por censurar todo lo que moleste a sus amistades.

miércoles, 15 de diciembre de 2010

Y ahora le toca el turno de los DDoS a los fax de las compañías en contra de Wikileaks

El grupo Anonymous, encabezado por 4Chan (¿o Alex Tapanaris...?), y que dirigen la ya conocida como Operación Payback (en la que actualmente se ha atacado a Visa, MasterCard International y PayPal) han encontrado una nueva manera de fastidiar a las corporaciones que han rechazado prestar sus servicios a WikiLeaks, los ataques de DDos a sus faxes.

Para ello, Anonymous ha publicado los números de fax de media docena de corporaciones, para que voluntarios envíen documentos de forma masiva a través de servicios online gratuitos de envío de fax como MyFax.com o FaxZero.com.

Nada parece parar al grupo Anonymous, aunque de momento parece ser que ya han detenido a uno de sus miembros.

martes, 14 de diciembre de 2010

¿Vas a participar en la Hacker Cup?

Buenas a todos, Facebook ha anunciado una nueva competición para el próximo año 2011 llamada Hacker Cup para encontrar al mejor "hacker" del mundo.

El torneo consistirá en una serie de problemas de programación, que deberán resolverse contrareloj. El concurso tendrá tres rondas y los 25 hackers más destacados se trasladarán a la sede de Facebook para la final.

El ganador obtendrá el título de "campeón del mundo" y 5.000 dólares, el segundo recibirá 2.000 dólares y el tercero 1.000 dólares. El resto de los 25 finalistas tendrán un premio de 100 dólares.

La inscripción comienza el próximo lunes 20 de diciembre y la primera fase a principios de 2011.

¿Vas a participar en la Hacker Cup?

Saludos!

lunes, 13 de diciembre de 2010

Anuncio ESET NOD32 Smart Security 4

Como aficionado al desarrollo de videojuegos y películas 3D, con unas cuantas horas de 3ds max y XNA a la espalda, me ha encantado el nuevo anuncio del antivirus de ESET, NOD32 Smart Security 4. Os lo dejo a continuación para que lo disfrutéis. No se los antivirus, pero desde luego en publicidad se lo curran y mucho:

domingo, 12 de diciembre de 2010

Posts de la semana en EbdC (6/12/2010-12/12/2010)

Lunes 6 de diciembre de 2010

Martes 7 de diciembre de 2010

Miércoles 8 de diciembre de 2010

Jueves 9 de diciembre de 2010

¿4Chan, el autor de los ataques DDoS a SGAE, MasterCard, Visa y PayPal podría llamarse Alex Tapanaris?

Buenas a todos, hace unas horas comenzó a correr el rumor de que la última nota de prensa publicada por 4Chan y el grupo an0nymous, autor de los ataques DDoS a SGAE, y a MasterCard, Visa y PayPal "en apoyo a Wikileaks", podrían contener metadatos.

¿Qué significa esto? Qué por un descuido podrían haber dejado las huellas necesarias en el documento como para poder encontrarle.


He realizado un escaneo al documento con Anubis v1.1 y esto es lo que ha aparecido:


4Chan podría llamarse Alex Tapanaris y haber escrito el documento con Open Office.

Ahora llegan las cuatro preguntas del millón.

¿Habrá puesto estos datos para despistar?¿un cebo?

¿Erán sus datos reales?

¿Es 4Chan o es otro miembro de An0nymous?

O... ¿Era el PC de otro?

¿Vosotros que opináis? Saludos

sábado, 11 de diciembre de 2010

Wikileaks y las acciones contra Julian Assange explicadas en un divertido vídeo en 3D al estilo Sims

Buenas a todos, a continuación os dejo un interesante vídeo sobre las acciones tomadas contra Julian Assange resumidas en una simulación al más puro estilo Sims. Disfrutarla:


viernes, 10 de diciembre de 2010

Las empresas españolas líderes en medidas de seguridad informática

Buenas a todos, ayer publicó eleconomista.es una noticia sobre el estado de las medidas de seguridad en las empresas españolas de un estudio realizado por la oficina de estadística de la Unión Europea, Eurostat

Según el estudio España ocuparía el cuarto puesto dentro del ranking en el uso de sistemas de seguridad, entre los que se incluyen contraseñas fuertes y dispositivos de identificación de usuarios.

El 63% de las empresas españolas emplearon en 2009 este tipo de soluciones, lo que nos sitúa por encima de la media del 50% del resto de Europa y en un interesante cuarto puesto, superados únicamente por Italia, a la cabeza con un 66%, e Irlanda y Eslovenia, con un 64%, respectivamente.

La cola de esta lista la ocupan Eslovaquia (20%), Hungría (24%) y Rumanía (29%).

miércoles, 8 de diciembre de 2010

¿Te fías de tu equipo de desarrollo de software?

Buenas a todos, el otro día oía, no recuerdo donde, la experiencia de un jefe de proyectos con su equipo de desarrollo. El jefe de equipo, comentaba que no se fiaba mucho de sus desarrolladores, y pensaba que podrían estar implementando puertas traseras en el software que desarrollaban.

El tema es serio, ¿que intereses puede haber detrás de los desarrolladores para hacer estas modificaciones al software que no formaban parte de los requisitos iniciales del proyecto?

En este caso se abren una gran cantidad de caminos, empleados contratados/sobornados por empresas de la competencia para obtener información del software de nuestra empresa, empleados enfadados por sus malas condiciones laborales y/o bajos sueldos, que quieren tener un clavo al que agarrarse para realizar un posible chantaje, también puede darse la posibilidad de que se utilicen para piratear el software y distribuirlo ilegalmente por Internet y un largo etcétera.

Ante estos casos, mi recomendación es que se analice el código fuente de todas las aplicaciones. Probablemente los desarrolladores no nos facilitarán el código fuente "maligno" para que no podamos pillarles, por lo que no nos quedará otra que hacer reversing, y decompilar los ejecutables finales llevados a producción para intentar averiguar que hacen.

Por ejemplo, para decompilar programas desarrollados en .Net yo suelo usar Remotesoft .Net Explorer. En caso de que el código no haya sido ofuscado, nos mostrará de una manera muy clara el contenido del programa.


Remotesoft .Net Explorer también permite ofuscar el código fuente y visualizar metadatos a bajo nivel.

Para Java se puede usar Java Decompiler.

Al hilo de los ofuscadores, aunque nuestra labor en este post sea la contraria, comentaros otro ofuscador de código fuente para .Net, Eazfuscator, es muy sencillo de utilizar y efectivo.


Otros ofuscadores interesantes:

Se que muchos se estarán preguntando si existen herramientas automáticas que puedan analizar si un software contiene código peligroso, pero a menos que contenga en su código fuente una parte de algún código que sean capaces de reconocer antivirus y similares, porque haya sido previamente estudiado y recogido en una base de datos (basados en firma), esto será casi imposible. Lo que si es posible utilizar, aunque no abundan mucho, son herramientas que midan la seguridad de nuestros desarrollos software, en busca de posibles vulnerabilidades por Buffer Overflow, inyecciones de código SQL, etc. Por ejemplo, algunas herramientas que pueden ser útiles para analizar este tipo de vulnerabilidades son FindBugs, Lapse o PMD pero de ellas os hablaré en próximos posts.

Saludos!

martes, 7 de diciembre de 2010

Wikileaks, especial multimedia sobre las filtraciones

Buenas a todos, hoy os traigo una animación multimedia muy ilustrativa que he visto en lanacion.com.ar sobre las filtraciones de Wikileaks. La podéis encontrar a continuación:

lunes, 6 de diciembre de 2010

Las vulnerabilidades más destacadas de 2010

Buenas a todos, ahora que se va acercando el fin de año es hora de recapitular que ha sido lo más destacado del año. La revista SC Magazine ha publicado un artículo en el que recopila cuales han sido las vulnerabilidades más destacadas en el campo de la seguridad informática y que procedo a resumiros a continuación:

  • Operación Aurora: vulnerabilidad en Internet Explorer que permitió troyanizar a Google, entre otras organizaciones y que detectó McAfee.
  • XSS en Twitter: Medio millón de usuarios infectados por un gusano gracias a esta vulnerabilidad en Twitter.
  • Defectos en VxWorks: dos vulnerabilidades críticas en VxWorks, el sistema operativo basado en UNIX para sistemas embebidos que llevan los aviones C-130 Hercules, los vehículos de exploración enviados a Marte, equipos de telecomunicaciones, etc.
  • 0-day en Firefox: con el que se distribuyó malware a la web del Nobel de la Paz.
  • 'Jailbreak' a iPhone e iPad: El Dev-Team se encargó de que los usuarios de los dispositivos de Apple jailbreakeasen sus iPhone, iPad e iPod Touch.
  • Fallos en ATM: Barnaby Jack mediante una vulnerabilidad en el sistema operativo Windows CE, que llevan los cajeros automáticos, consiguió que escupieran dinero.
Saludos!

sábado, 4 de diciembre de 2010

Manifiesto por una red neutral


(Si te sientes cómodo y representado por este texto, dale toda la difusión que puedas y quieras: reprodúcelo, enlázalo, tradúcelo, compártelo, vótalo… todas esas cosas que puedes hacer con total tranquilidad y libertad gracias, precisamente, al hecho de que tenemos todavía una red neutral. Hagamos posible el seguir teniéndola)

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:

1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.

2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.

3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.

4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.

5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.

6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.

7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.

8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.

9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.

10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.

11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Te recomiendo visitar: http://redneutral.org/

jueves, 2 de diciembre de 2010

Ontología de seguridad para resolver vulnerabilidades

Buenas a todos, el otro día @ariel me comentaba en un post que publiqué el año pasado que estaba interesado en saber más sobre un proyecto que desarrollé durante mi postgrado en Tecnologías de la Información, en el que mediante una Ontología y una base de datos del conocimiento, podía ayudar a resolver un gran número de problemas de seguridad.

Pues bien, con el siguiente post pretendo explicaros como funciona mi idea y como siempre digo, si hay algún interesado podemos tratar de evolucionarla.

Para empezar os contaré rápidamente, para quienes no estén familiarizados con el término, qué es una Ontología y para que puede servir. Una ontología es una forma de representar el conocimiento de un determinado dominio con la finalidad de facilitar la comunicación y el intercambio de información entre diferentes sistemas y entidades. Es aplicado sobretodo en Inteligencia Artificial.

Si estáis interesados en la rama de Inteligencia Artificial y Ontologías os recomiendo el paper que presenté junto con unos compañeros el pasado mes de Septiembre en el congreso HetRec con el título Ontology-based web service to recommend spare time activities.

¿Y que tiene que ver la inteligencia artificial y una ontología con la seguridad?. Bien, como os he contado la finalidad primordial de una ontología es representar el conocimiento, para ello ha sido utilizada en numerosos campos de tipos tan dispares como la medicina, la aeronática, la robótica, el turismo y un largo etcétera con la idea de facilitar el acceso a la información en sus respectivos campos. Por ejemplo, hace más de 20 años que se está desarrollando una ontología de medicina que almacena información sobre distintas patologías y problemas que padecen los seres humanos y sus posibles curas, de manera que, en vez de realizar una compleja búsqueda en una enciclopedia médica para buscar información sobre medicamentos que curen la enfermedad que creemos que tiene un paciente por la evaluación que nuestro conocimiento de médico experto determine, podremos acceder a ella desde esta ontología preguntándole simplemente que medicamento curaría
a esta persona si presenta estos problemas de salud, algo más fácil de evaluar por una persona sin muchos conocimientos en medicina (¿veis por donde voy verdad?).

Resumiendo, la idea de la ontología es darle de input, una serie de problemas de salud que nosotros vemos que una persona tiene, y la ontología debería de ser capaz con su base de datos de conocimiento darnos una cura, como si fuese un médico experto. Aclararos que la ontología solo representa el conocimiento y es necesario otro sistema que haga la búsqueda de la información dentro de ese conocimiento, como la herramienta Protégé que más adelante en el post os explico.

Esta idea es la que he querido aplicar a mi proyecto, ya que los sistemas de información son como los seres humanos, tienen una serie de problemas de salud (vulnerabilidades) que pueden ser curadas con la medicación adecuada (parches, actualizaciones, filtros en el código fuente, antivirus, firewall, etc.)

Para una primera aproximación de lo que sería la ontología perfecta he decidido incluir conocimiento sobre vulnerabilidades web, fugas de información, malware y exploits.

La implementación de la ontología la he llevado a cabo con la herramienta Protégé, desarrollada por el Stanford Medical Informatics de la Universidad de Stanford. Ésta herramienta permite construir ontologías fácilmente, crear clases y jerarquías, declarar propiedades para las clases, instancias e introducir valores, todo al estilo .Net, sencillo.

Vamos a ver como funciona, imaginaros que somos auditores y hemos detectado que tenemos una vulnerabilidad web Remote File Inclusion (1er conocimiento), por otro lado sabemos que el error proviene de un servidor Apache que ejecuta código PHP (2º conocimiento), ya tenemos todo lo necesario, ahora iríamos a Protégé e introduciríamos como input nuestros dos conocimientos. En este caso, protégé recorrerá su base de datos de conocimiento (que previamente un experto habrá alimentado) y nos devolverá la solución: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde está alojado el sitio web y sino se deberá rechazar la petición web.

Otro ejemplo, imaginaros que hemos detectado que en el fichero host de un Windows hay una redirección DNS para llevarnos a una web determinada, quizás para un intento de Phising. Si le proporcionamos estos datos, Protégé nos diría que podría tratarse de un malware tipo Pharming y nos recomendaría utilizar la herramienta AntiPharming.

A continuación os dejo una imagen con otro ejemplo:


Toda esta inteligencia es posible, si previamente un grupo de expertos ha alimentado la base de datos de conocimiento de la ontología con información adecuada, actualizada y sobretodo bien escogida. Como veis, conseguir una base de datos así es un proceso largo y complejo pero que al igual que se está realizando en medicina podría aplicarse a nuestro campo, ¿no creéis?

Saludos!

miércoles, 1 de diciembre de 2010

Resumen del DISI 2010


Buenas a todos, ayer estuve por el DISI 2010 disfrutando en el día Internacional de la Seguridad de unas cuantas ponencias muy interesantes.

Empezó el día con una charla del Dr. Taher Elgamal, sí, el creador del algoritmo criptográfico "Elgamal", uno de los creadores de SSL y de la norma SET y un largo etcétera, que impartió una charla de más de una hora sobre la historia del eCommerce en los últimos 15 años y su futuro en los próximos 15 años, que derivó en interesantes preguntas sobre temas como la computación cuántica. Comentaron los organizadores que colgarían el vídeo de la exposición de Taher en el canal de youtube de la UPM, así que estad atentos ;)

Tras la charla de Elgamal prosiguieron "los CERT", Chelo Malagón, de IRIS CERT, Eduardo Carozo, de CSIRT ANTEL, Javier Candau, de CCN CERT y Marcos Gómez Hidalgo, de CERT INTECO para hablar sobre el ENS.

Las charlas de los Cert fueron encaminadas a aclarar ciertas dudas sobre el ENS que todavía quedan encima de la mesa de muchas organizaciones, como la aclaración de Chelo sobre la aplicación del ENS a todas las universidades públicas. También trataron temas durante el posterior debate como la posibilidad de en un futuro extrapolar el ENS a organizaciones privadas (recordemos que el ENS solo afecta a organizaciones del estado), por ejemplo, obligando a obtener la certificación ISO 27001 (salvando las distancias), lo que podría suponer un gran problema para muchas organizaciones debido a la poca preocupación que tienen muchas de nuestras PYMES por estos quehaceres, además de la repercusión que esto tendría en materia económica, ya que con la crisis actual muchas de estas empresas ya se las ven bastante mal para sobrevivir tal como están las cosas, como para ponerle mas trabas y obligarles a invertir más en seguridad. Éste tema generó un gran debate, que continuó en la siguiente charla.

Eduardo Carozo, ponente de Uruguay invitado, aprovechó su intervención para hablarnos del Proyecto Amparo, un interesante manual diseñado para aumentar la capacidad de prevención y de respuesta a incidentes de seguridad informática, que podéis descargar desde aquí.

A continuación, tras el cocktail, donde tuve la oportunidad de charlar con algunos de los ponentes, prosiguió el DISI con las charlas de Rubén Santamarta (Wintercore), El padre Parada (Microsoft) y Juan Luis Rambla (Informática 64). Faltó David Barroso por enfermedad.

En ésta charla Juan Luis nos estuvo contando sus experiencias como auditor de infraestructuras críticas y se centró también en aclarar algunas dudas sobre el ENS que habían quedado tras la anterior charla. Tras Juan Luis, continuó Rubén hablando de la seguridad en los sistemas SCADA, y que tanto miedo están produciendo en la sociedad en los últimos meses por el poder que entrega a los hackers al permitir a través de estos sistemas controlar sensores, válvulas, etc. de centrales nucleares, plataformas petrolíferas y cualquier sistema de producción y control prácticamente. Al hilo de la charla de Rubén, continuó Parada hablando sobre Stuxnet, un gusano diseñado para atacar a estos sistemas y que descubrieron hace apenas 5 meses, aunque se cree que puede llevar en funcionamiento desde hace un año. El objetivo de este gusano, aunque todavía no ha sido esclarecido, se piensa que es atacar sistemas industriales como las plantas eléctricas y los reactores nucleares de Irán. Miedo da pensar que se pueda lograr acceso a estos sistemas, porque la cosa ya no es que logren vulnerar un sistema para hacer un deface en una web, aquí corren riesgo vidas humanas y se hizo mucho hincapié en los esfuerzos por paliar las vulnerabilidades en estos sistemas.

Para que veáis un ejemplo del poder de Stuxnet, en Agosto de este año ya llevaba infectadas según Symantec los siguientes equipos:



Tras el intenso debate producido tras esta charla, volvió Taher para concluir el acto y despedir el evento hasta el próximo DISI 2011.

Saludos!