Resumen de la Rooted Con V: Analizando la ciberguerra

Desde el jueves 6 al sábado 8 de marzo se celebró en el hotel Auditorium de Madrid el evento de seguridad informática más importante de España. Estamos hablando, cómo no, de Rooted Con, que celebró este año su quinta edición con récord de asistentes y trayendo, por primera vez, a ponentes internacionales no hispanohablantes.

ESET España no podía faltar y, como cada año, asistimos de nuevo a conocer de primera mano las investigaciones realizadas por algunos de los mejores expertos en seguridad de renombre internacional. Este año, además, patrocinamos la Rooted Warfare, que por primera vez se incluyó dentro de Rooted Con y supuso un espacio donde presentar herramientas e intercambiar conocimiento entre los miembros de la comunidad de seguridad hispanohablante. Esta sección estaba organizada además por nuestro buen amigo Jaime Sánchez, así que el éxito estaba prácticamente asegurado.

warfarte

Ya desde la presentación del evento supimos que este tenía algo de especial y que Rooted Con había crecido hasta límites impensables hace pocos años. No solo el lugar elegido, con capacidad para más de mil personas (y que estuvo casi completo la mayor parte del tiempo) eran un síntoma de la importancia alcanzada por el evento. La calidad de los ponentes y los temas a tratar eran motivo más que suficiente para que, una vez más, se colgara el cartel de “No hay entradas disponibles”.

Charlas hubo muchas y muy variadas, pero hubo un tema que destacó sobre los demás: la ciberguerra y las ciberarmas. Rooted Con siempre se ha caracterizado por ser un punto de encuentro entre investigadores y fuerzas de seguridad del estado y, precisamente en esta edición, esto se hizo más patente que nunca.

rooted1

Entre los ponentes que trataron este tema destacamos a los chicos de Flu Project, Juan Antonio Calles y Pablo González, quienes contaron con una puesta en escena especial que incluyó su propia banda sonora a cargo del joven rapero David Insonusvita. Una vez en el escenario, esta pareja de investigadores hicieron un repaso a las ciberarmas usadas en los últimos años, pero también presentaron su propia herramienta.

Esta herramienta permitiría a los gobiernos contar con un ejército de cibersoldados (de forma voluntaria, o no) tomando prestada la capacidad y funcionalidades de los dispositivos de sus ciudadanos. A partir de este punto, un país podría aumentar exponencialmente sus capacidades de ciberataque sin tener que invertir grandes recursos para ello. Sin duda, algo que da que pensar, sobre todo por el uso que se le puede dar.

cyberwar

Además de esta charla, hubo otras dos ofrecidas por miembros del Grupo de Delitos Telemáticos de la Guardia Civil y por el Centro de Operaciones de Seguridad de la Información del Ministerio de Defensa. Estas aportaron un interesante punto de vista por parte de las Fuerzas de Seguridad del Estado, dejando entrever que no solo se utilizan mecanismos de defensa, sino también de ataque.

Relacionado con este tema aunque más enfocado al ciberespionaje y a la seguridad de las comunicaciones, los investigadores Jose Luis Verdeguer y Víctor Seva hicieron un repaso a los sistemas de comunicación de telefonía móvil, incluyendo aquellos supuestamente seguros y presentaron su propio sistema con capas de seguridad adicionales.

Sitel

Entre tanta investigación y herramienta de alto nivel también hubo un espacio para acordarse de la gran mayoría de usuarios que utilizan la tecnología, aquellos a que este tipo de eventos les viene grande o incluso desconocen de su existencia. Reconozcámoslo, la mayoría de nosotros tan solo quiere disfrutar de la tecnología son preocupaciones, aunque, de no andar con ojo, este uso despreocupado puede tener malas consecuencias.

Por eso, es de agradecer el detalle de la organización de Rooted Con, quien regaló un ejemplar del libro X1Red+Segura de nuestro buen amigo Angelucho. Puede que a la mayoría de los asistentes ya les suenen y apliquen los consejos e información que se da en ese libro, pero seguro que a más de un familiar le puede servir de mucha ayuda. Desde aquí nuestra más sincera enhorabuena por esta iniciativa.

angelucho

Hubo multitud de charlas interesantes (de hecho, lo difícil era encontrar una que no lo fuera) y se trataron multitud de temas que iban desde la seguridad en vehículos no tripulados, aviones comerciales (con Hugo Teso volviendo a dar una charla magistral sobre los sistemas que gobiernan los aviones y sus fallos), seguridad en redes Wi-Fi, vulnerabilidades en sistemas de mensajería móvil e incluso una charla con temática  legal que estuvo maravillosamente impartida por Jorge Bermúdez, miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado.

Como vemos, el contenido de la Rooted Con de este año no dejó indiferente a nadie y volvió a poner el listón muy alto para el año que viene. Y esto sin hablar de las fiestas post-Rooted de las que todo el mundo habla pero pocos se atreven a mostrar fotos…

merchan

Por nuestra parte, esperaremos pacientemente a la edición del año que viene, que volveremos a cubrir en directo y de la que nos llevamos de recuerdo algo de merchandising para hacer más amena la espera.

¡Hasta el año que viene Rooted Con!

Josep ALbors



¡Colega, han hackeado mi coche!

Categorias: Hacking,Vulnerabilidades | | Sin comentarios » |

Hace ya muchos años que se dijo que la informática iba a estar presente en nuestras vidas. Y, por supuesto, así es. Pero mucho más allá de lo que podemos imaginar. No es solo que tengamos un ordenador en cada puesto de trabajo o en casi cada casa. O que estemos conectados a unas velocidades inimaginables hace un par de años. Es que no creo que quede un solo campo de nuestra vida sin que un ordenador tenga algo que ver.

Esta inmersión conlleva muchos problemas añadidos. La informática, así considerada “a lo bestia”, tiene dos componentes muy importantes: el hardware y el software. El hardware, como alguien dijo, es la parte que podemos golpear cuando falla. Y el software es la parte a la que únicamente podemos insultar si falla. El ordenador y los programas, la parte física y la parte volátil. Yo añadiría otra parte, y es la comunicación: nuestra conexión con el resto del mundo informático, con ese Matrix que tenemos alrededor y que nos rodea (tranquilos, aquí no os haré elegir entre pastillas rojas o azules).

Los pilares de la seguridad

La seguridad hoy en día envuelve a las tres partes. Aunque nos olvidemos del hardware, es muy importante también. Que un sistema falle por un componente defectuoso o mal empleado no suele preocupar a nadie, pero es tan importante como los demás. ¿Sabíais que hay ordenadores que no pueden utilizarse a determinadas altitudes? Sí, algo tan sencillo como un transistor puede estar diseñado para trabajar con unos rangos de presión atmosférica, y si se sobrepasan, podría fallar. No es broma, muchos fabricantes hacen versiones especiales de productos para mercados como el boliviano, en el que, por ejemplo, la ciudad de La Paz se encuentra rondando los 4000 metros de altitud.

Y qué vamos a contar del software, cuando cada diez minutos aparece una nueva vulnerabilidad que afecta a un montón de equipos. Desde este blog siempre hemos insistido en la necesidad de actualizar todos los componentes de software de nuestros equipos, desde los sistemas a las aplicaciones pasando por los drivers y “plug-in”, ya que ellos suelen ser los causantes de los problemas de seguridad más frecuentes.

coches

Seguridad en automóviles

Esta semana hemos recibido noticias de un interesante caso que mezcla la seguridad del hardware con la del software, que además incluye un componente que en un ordenador personal no suele darse con frecuencia. Toyota ha anunciado que se ha detectado un error en un componente del software que gobierna sus modelos Prius. Hasta aquí, nada extraño, pero es que ese error, además de afectar al rendimiento del vehículo, puede llegar a dañar componentes del hardware del sistema, con lo que la avería se vuelve aún más complicada. Ese hardware que se puede dañar es un componente electrónico, tranquilos, no es que se vaya a estropear el cárter o una biela.

La solución es muy sencilla: basta con llevar el coche al taller, se hace un “update” del software (vamos, algo así como aplicar un Service Pack) y el problema se soluciona. Aunque, digo yo, un coche tan evolucionado como el Prius, que haya que llevarlo al taller como cuando había que ajustar los platinos en los SEAT 124… Falta ese tercer componente en el sistema informático disfrazado de coche: la comunicación.

No creo que tarde mucho en aparecer un modelo (si no lo ha hecho ya) en el que cualquier elemento de software que tenga que ser modificado se haga mediante una conexión remota. Y en ese caso estaríamos ante un nuevo elemento en el que establecer un cierto nivel de seguridad igual que en un ordenador doméstico: las comunicaciones.

Y nos veríamos enfrentados a una serie de problemas de base, como la intimidad, la protección de nuestros derechos… Menuda se montó cuando una empresa  de sistemas GPS reconoció que estaba enviando información sobre la manera de conducir de sus usuarios a la central de datos. Afortunadamente, reconocieron que se empleaban esos datos para cálculos de rutas, no para multas por exceso de velocidad.

No, no es una distopía. Ya se está hablando de la obligatoriedad de sistemas de detención remota de coches cuando la policía lo necesite. ¿Solo la policía? Poco tardará en reventarse ese sistema, en dejarlo inutilizado y en que ciertos desalmados quieran parar nuestro coche simplemente por diversión.

Trasteando con los coches

¿Exagero? No, ni de broma. Hace ya mucho tiempo que los “tuneros” modifican las centralitas electrónicas de sus “bugas” para conseguir mayor rendimiento, y aquí sí a costa de dañar otros componentes. Algunos investigadores, no obstante, han ido “un poco más allá” con las modificaciones en los coches, tal y como pudimos comprobar en directo en la pasada edición de Defcon.

Ahora no se trata solo de ganar unos cuantos caballos de potencia o suministrar más gasolina al motor. El acceso a los sistemas de control de los automóviles implica muchas más cosas que, dependiendo de cómo se usen, pueden suponer un gran avance en la seguridad o en una peligrosa amenaza.

defcon61

No hay más que ver el revuelo que se ha armado cuando los investigadores españoles Alberto García Illera y Javier Vázquez-Vidal presentaron recientemente un dispositivo de bajo coste que permitía tomar el control de un automóvil en poco tiempo. Esto no nos pilló por sorpresa, ya que tuvimos la oportunidad de entrevistarlos durante la celebración de la Defcon, donde ya anunciaron que estaban desarrollando este dispositivo para presentarlo en los próximos meses, como así ha sido finalmente.

Aprovechar los sistemas electrónicos y centralitas que gobiernan un coche moderno en nuestro beneficio no es algo nuevo precisamente. No son pocos los casos de robos de automóviles de alta gama aprovechándose de errores en el cifrado de las llaves. Pero, a pesar de que muchos han entendido esta noticia únicamente como un riesgo para la seguridad y una especie de “barra libre” para los ladrones de coches, este tipo de investigaciones ayudan también a solucionar las vulnerabilidades que alguien pudiera explotar con malas intenciones.

Es precisamente gracias a estos hackers que las empresas conocen sus propios fallos y aprenden que deben mejorar. Incluso se puede aplicar lo descubierto para que, por ejemplo, agentes de tráfico analicen los restos de un vehículo siniestrado y, gracias a la información recuperada de las distintas unidades de control, averiguar si el accidente se debió a un exceso de velocidad o a un mal funcionamiento de alguno de los sistemas del vehículo.

La seguridad ya no es solo un ordenador. Son muchas más cosas en las que está la informática presente en nuestra vida, y estamos perdiendo de vista que cualquiera de los tres componentes (hard, soft y comunicaciones) son vulnerables y debemos asegurarlos. Existen riesgos para todo el conjunto, y lo mejor de todo es que existen soluciones también. Y la primera, actualización constante de cada elemento. ¿Tienes un Prius? Actualízalo. ¿Tienes una SmartTv? Actualízala. Porque el PC lo actualizas…, ¿o no?

Fernando de la Cuadra

Josep Albors

Enlaces relacionados

Hackeo de automóviles al estilo español

Crónica desde la Defcon: Día 1

Seguridad informática en automóviles



Dispositivos de todo tipo conectados a Internet utilizados para enviar spam

En los últimos meses hemos hablado largo y tendido de lo que actualmente se conoce como el “Internet de las cosas” y de cómo la tendencia actual de conectar todo tipo de dispositivos a la red no hace más que aumentar. El problema viene cuando todos estos dispositivos carecen de los mecanismos de seguridad adecuados, algo que los puede convertir en presas fáciles de los ciberdelincuentes, que los aprovecharían en su propio beneficio.

¿De qué tipo de dispositivos estamos hablando? Actualmente casi de cualquier tipo, incluyendo videoconsolas, routers y todo tipo de centros multimedia, pero también de toda una amplia variedad de electrodomésticos como neveras o incluso muñecas con la capacidad de hacer fotos y subirlas a Internet.

nevera

Una posibilidad ya anunciada

Hasta ahora siempre habíamos comentado la posibilidad de que se utilizaran estos dispositivos de forma maliciosa, ya que una gran mayoría de ellos se encuentran conectados a Internet con configuraciones inseguras.

Al parecer, esta posibilidad ya se ha hecho realidad, al menos si hacemos caso de la información proporcionada por la empresa Proofpoint, desde la que se afirma que alrededor de 100.000 dispositivos de todo tipo (entre los que se encuentran Smart TV, neveras inteligentes y otros electrodomésticos) fueron utilizados para enviar 750.000 mensajes de spam.

Un elevado porcentaje

Esto supone el 25% del total de mensajes no deseados enviados por esta particular red de dispositivos infectados, siendo el resto enviados por dispositivos más convencionales como ordenadores de sobremesa o portátiles.

Según la nota de prensa lanzada por esta empresa, este ataque se produjo en las pasadas fechas navideñas, entre el 23 de diciembre y el 6 de enero. De las 450.000 direcciones IP identificadas como participantes en esta campaña de envío de spam, se calcula que 100.000 pertenecen a dispositivos que podríamos catalogar como “no habituales” en este tipo de ataques.

Si bien sorprende la cantidad de dispositivos utilizados, acabado de empezar 2014 no debería extrañarnos este tipo de noticias. El “Internet de las cosas” forma parte de nuestra vida desde hace tiempo y las previsiones no hacen sino aumentar el número de dispositivos de todo tipo conectados a la red.

smarttv

Por eso, ahora que ya se ha demostrado el potencial que tienen para los ciberdelincuentes este tipo de dispositivos, deberíamos empezar a preocuparnos por la seguridad de estos aparatos.

Medidas a adoptar

El problema que nos encontramos como usuarios es que, a diferencia de los ordenadores, tabletas o móviles, donde podemos tener un control bastante elevado de la seguridad del dispositivo, en el “Internet de las cosas” muchas veces los fabricantes no dejan definir los parámetros de seguridad deseados, poniendo en riesgo nuestra privacidad y permitiendo que estos electrodomésticos puedan ser utilizados para realizar ciberdelitos.

Algunos de nuestros lectores seguramente se estarán preguntando si debemos empezar a plantearnos instalar un antivirus también en nuestra flamante Smart TV o nevera inteligente. Podría parecer la solución más obvia, pero hemos de recordar que el antivirus es solo una capa de seguridad y que hay otras que se deben tener en cuenta, empezando por las medidas de seguridad que implementan los fabricantes.

De momento, como usuarios podemos mitigar posibles ataques de este tipo evitando instalar aplicaciones de dudosa procedencia en aquellos dispositivos que las admitan (principalmente Smart TV). Asimismo, estar atentos ante cualquier posible actualización del firmware de todos los dispositivos que tenemos conectados a Internet no deja de ser otra buena medida de seguridad.

Lo que queda claro es que  este tipo de ataques van  a dejar de ser anecdóticos para pasar a convertirse en algo desgraciadamente habitual. No obstante, nosotros estaremos aquí para informar y ofrecer consejos de seguridad para mitigar el alcance de estos ataques.

Josep Albors

Entradas relacionadas:

Cafeteras y planchas modificadas para infectar dispositivos conectados a redes vulnerables

Smart TV, ¿el nuevo objetivo de los ciberdelincuentes?

¿Tenemos controlados todos los dispositivos con acceso a Internet?

[Podcast] hacking de dispositivos tecnológicos



Una cuenta de Twitter de Microsoft, hackeada

Según diversas referencias, una cuenta de Twitter de Microsoft, empleada para comunicar diversas noticias (@MSFTnews), fue usada ilícitamente por el “Ejército electrónico sirio” (SEA en sus siglas en inglés) para lanzar mensajes propagandísticos.

Este hecho, confirmado por Microsoft, fue aprovechado por ese grupo sirio para decir que Microsoft está monitorizando las cuentas de Outlook y Hotmail para luego vender los datos personales a los gobiernos.

sea

Por su parte, Microsoft confirmó a www.mashable.com que las cuentas de Twitter de Microsoft News y de Xbox Support habían sido comprometidas, pero que fueron rápidamente reiniciadas y no se habían visto en peligro los datos de ningún cliente.

Además de esta intrusión, las acciones del SEA fueron un poco más allá, llegando a publicar correos internos de Microsoft sobre este ataque, lo que parece indicar que este grupo consiguió algo más que un simple ataque a las cuentas de Twitter.

Este grupo sirio parece también el responsible de otros ataques llevados a cabo en 2013, como los de las páginas web de Huffington Post, NY Times, BBC, Thomson Reuters, Telegraph, Associate Press, FT, The Onion y otras.

Como vemos, los conflictos en el mundo real no se limitan a la barbarie de los asesinatos de inocentes y la emigración de la población, sino que tienen un espejo claro en Internet. Y lo que es peor, no debemos pensar que solamente van a ser atacados “los poderosos”, como lo ha sido ahora Microsoft y lo fueron (y serán) otras grandes y conocidas páginas web. Todos podemos ser el objetivo de un ataque y debemos estar siempre alerta ante cualquier posible intrusión.

Fernando de la Cuadra

 

 



Investigadores exponen los secretos de las tarjetas de memoria SD

Categorias: Hacking,seguridad,Vulnerabilidades | | Sin comentarios » |

Las tarjetas SD se han convertido en algo cotidiano que utilizamos en una gran cantidad de dispositivos, desde cámaras digitales a móviles, pasando por videoconsolas. Para la mayoría de nosotros, la mayor preocupación que tenemos con respecto a estas tarjetas es encontrar el precio más barato para la tarjeta con la mayor cantidad de memoria posible. Pero también hay gente inquieta, como los investigadores Sean “xobs” Cross y Andrew “Bunnie” Huang, quienes demostraron recientemente en el veterano congreso (30 ediciones) de seguridad Chaos Communication Congress en Hamburgo que las tarjetas SD albergan más secretos de los que nos podríamos imaginar.

Por una parte, esta pareja de investigadores demostraron como algunos modelos de tarjetas SD contienen vulnerabilidades que permitirían la ejecución de código arbitrario en la propia memoria. Esto permitiría a un atacante realizar un ataque man-in-the-middle (hombre en el medio) donde  la tarjeta aparentaría comportarse de una forma pero en realidad estuviera realizando algo completamente diferente. En la parte positiva, la investigación realizada por estos investigadores también permitirá que todos aquellos entusiastas del hardware tengan acceso a una fuente barata de microcontroladores con múltiples posibilidades.

30c3-collage

El motivo que lleva a los fabricantes de este tipo de tarjetas a insertar microcontroladores en sus tarjetas se encuentra, según estos investigadores, en la guerra de precios que hace que estos dispositivos sean cada vez más asequibles y con mayor capacidad de memoria. Todas estas tarjetas están plagadas de errores en la memoria que se encarga de almacenar los datos y es por ello que se necesitan complejos algoritmos para asegurar la consistencia de los datos que guardamos en ellas.

Estos algoritmos son demasiado complicados y demasiado específicos de cada dispositivos como para dejar que el sistema operativo se encargue, por lo que todas y cada una de estas tarjetas incorporan un microcontrolador razonablemente potente para entenderlos y procesarlos. La calidad de estos microcontroladores varía dependiendo del fabricante aunque suelen ser CPU ARM o 8051 altamente modificados. El coste de los mismos es sorpredéntemente bajo, oscilando su precio entre 0.15$ y 0.30$, siendo alguno de ellos reutilizado de tarjetas recicladas.

Los microcontroladores están gobernados por un firmware que, para nuestra desgracia, casi ningún fabricante protege, lo que permite a cualquiera con malas intenciones inyectar código malicioso y ejecutarlo desde la tarjeta. El propio investigador comenta que se ha encontrado con tarjetas de algunos fabricantes chinos que falsifican la cantidad de memoria disponible modificando este firmware con lo que se consigue que tarjetas de menor capacidad aparenten disponer de mayor cantidad de memoria.

30c3-controller

Esto supone un nuevo reto desde el punto de vista de la seguridad puesto que, a pesar de que ya hace años de que se avisa del riesgo de que este tipo de tarjetas pueden utilizarse para propagar malware, esta investigación demuestra que pueden modificarse internamente para realizar ataques MITM que serían difíciles de detectar con los medios actuales. También significa asumir que la eliminación de los datos almacenados no sería posible ni utilizando un borrado seguro de la tarjeta y que el único método para que no sea posible acceder a la información almacenada pase por destruir físicamente la tarjeta.

No obstante, el potencial que suponen estos relativamente potentes microcontoladores para la comunidad de investigadores y apasionados por el hardware es elevado. Si comparamos el precio de la popular placa Arduino (20$) con el de una tarjeta de memoria con varios gigas de capacidad pero con un micro controlador varias veces más potente no hace falta ser muy inteligene para ver que estas tarjetas de memoria cuentan con un futuro prometedor por parte de aquellos que estén dispuesto a darles un uso alternativo.

Josep Albors



Crónica de las III Conferencias de Seguridad Navaja Negra (2 de 2)

Categorias: Eventos,Hacking,seguridad | | Sin comentarios » |

Tras la primera jornada, había ganas de comprobar quien había forzado demasiado la noche anterior y, cómo pudimos comprobar por el pequeño retraso a la hora de empezar el evento, fue más gente de la esperada. No obstante, nuestro amigo Marc Rivero se encargó de despertar a los asistentes que llenaban el auditorio con una charla sobre la evolución del fraude en Internet.

Tras una introducción en la que nos incluyó entre los agradecidos (no hay de qué, Marc), pasamos a repasar las técnicas utilizadas por los ciberdelincuentes a la hora de cometer fraudes y delitos en Internet. Se comentó también la evolución sufrida y como se distingue entre simples aficionados y mafias perfectamente organizadas, algo que también comentamos a menudo en nuestro blog.

marc

Siguiendo con este tema, Santiago Vicente de S21Sec nos habló largo y tendido de Zeus, el conocido troyano que ha ido evolucionando a lo largo del tiempo hasta convertirse en una de las botnets más representativas. Aunque últimamente esté de capa caída, la filtración de su código a principios de 2011 provocó que aparecieran nuevas variantes como Citadel que han seguido su estela.

A continuación, una de las charlas que más nos impresionó fue la ofrecida por Pedro Candel, quien, con todo lujo de detalles y realizando una demostración en vivo, nos demostró cómo era posible obtener datos de la memoria RAM aunque el ordenador se encontrase apagado. Con solo la ayuda de una memoria USB con un software específico y un poco de spray refrigerante fue capaz de recuperar prácticamente todos los datos almacenados en la RAM de un portátil en el momento en el que fue apagado. Una herramienta que seguro que será del agrado de muchos técnicos forenses en más de un caso.

coolboot

Otra de las charlas que despertó gran interés fue la ofrecida por Dani ‘The Doctor’ Kachakil, todo un experto en criptografía que nos fue desgranando paso por paso como había resuelto más de un reto criptográfico (habituales en las pruebas de CTF), e incluso alguno de reversing, aplicando técnicas de resolución de cifrado. Hemos de decir que, nos quedamos impresionados por la naturalidad con la que resolvía todos los retos, haciendo que pareciera fácil resolver problemas en horas que nadie había resuelto en un mes.

José Selvi, también de S21Sec, nos dio una charla sobre ataques Man-in-the-Middle, repasando las técnicas más utilizadas para obtener información como el ARP Spoofing. A continuación nos mostró una serie de herramientas utilizadas para estos menesteres como The Middler o Burp Suite, tratando también temas como alguna técnica utilizada para saltarse protocolos supuestamente seguros como HTTPS.

offensivemitm

Otro de los ponentes más célebres en conferencias de seguridad españolas y extranjeras es Sergi Alvarez “Pancake”. En esta ocasión pudimos verle hablándonos de las economías criptográficas, tan populares hoy en día gracias a Bitcoin y otras monedas similares. Sergi nos hizo un repaso a su funcionamiento, explicando a la audiencia los términos básicos y como se realizan las transacciones en este tipo de monedas criptográficas y cuál puede ser su futuro inmediato.

Seguidamente, David Melendez, nos ofreció una interesante charla sobre cómo construirnos nuestro propio drone partiendo de componentes informáticos que solemos tener tirados y sin darles uso. Partiendo desde cero y usando materiales que, de no haberlos utilizados con este propósito seguramente hubieran terminado en algún vertedero, nos explicó cómo construir nuestro propio cuadricoptero, usando para su control y buen funcionamiento software libre. Para rematar la faena nos hizo unas demostraciones donde demostró que el drone funcionaba perfectamente.

drone

El último bloque del día lo abrieron Fran Ruiz y Manu Quintans, quienes hicieron un repaso a la situación del malware actual y a como se habla en los medios, especializados o no,  de ellos. Dentro de las diversas categorías de malware que comentaron se encontraban troyanos, RATs, programas de afiliados, ransomware, troyanos bancarios y por supuesto, las botnets, de las cuales hablaron largo y tendido describiendo todas las variantes existentes en la actualidad.

Para cerrar el día nos esperaba un plato fuerte como fue la charla de Lorenzo Martinez donde presentó LIOS, una herramienta de análisis forense de dispositivos con sistema operativo iOS como el iPhone. Esta herramienta permite hacer un completo análisis del dispositivo, recuperando todo tipo de datos, entre los que encontramos datos de la agenda, contactos, cámara, sms, mensajes de whatsapp, notas, correos electrónicos o grabaciones de voz, entre otros. Permite además crear un informe completo que de fácil análisis, algo que gustará especialmente a todos aquellos que tengan que realizar este tipo de tareas frecuentemente.

lios

Tras terminar las charlas del segundo día nos fuimos a cenar con parte de los ponentes y de la organización, sin forzar demasiado la máquina ya que había que estar bien despiertos al día siguiente para atender todas las charlas interesantes que se iban a dar

Así pues, el encargado de despertarnos el sábado con su presentación fue José Luis Verdeguer, que nos hizo un repaso al lado oscuro de Tor, la conocida red que tan de moda está últimamente. Tras un breve repaso a su historia y funcionamiento, entramos en materia a analizar que puede encontrarse realmente en esta red y comprobar si su mala fama está realmente justificada. Resultó curioso comprobar como muchas de las webs truculentas que hay en esta red tiene los mismos problemas de seguridad que las páginas que son indexadas por los buscadores, pudiendo obtener datos tan sensibles como los usuarios registrados de un foro en concreto.

tor

Y ya que estábamos hablando de temas especialmente delicados, quien mejor que Cesar Lorenzana y Javier Rodriguer del Grupo de Delitos Telemáticos de la U.C.O. de la Guardia Civil para hablarnos de ellos. Tras repasar la historia de la unidad y sus funciones, entraron a hablar en detalle del polémico Anteproyecto del Código Procesal Penal. Ya nos adelantaron que, por varios motivos, no se iba a poder aplicar y sería rechazado pero se dedicaron a analizarlo desde un punto de vista técnico en el hipotético caso de que siguiera adelante, algo que muchos de los asistentes agradecimos.

guardiacivil

Siguiendo con las Fuerzas y Cuerpos de Seguridad del Estado, le tocaba ahora el turno a la Brigada de Investigación Tecnológica. David Perez nos habló de esta unidad, sus funciones, sus exitosas operaciones contra la delincuencia (que incluyen la detención de uno de los grupos encargados de lucrarse a costa del conocido como “Virus de la Policía”) y sobre todo, como colaborar con ellos.

Precisamente, tanto los miembros de la Guardia Civil como de la Policía Nacional junto con el abogado Pablo Fernandez Burgueño y otros miembros de la organización, fueron parte de la mesa redonda que empezó a continuación y que contó con temas tan delicados como la responsabilidad de ciertos individuos ante la ley, las dificultades para colaborar a la hora de denunciar un cibercrimen y la posible imputación del informante en la realización de un delito o de todo el revuelo montado ante las filtraciones de la NSA realizadas por Edward Snowden.

mesaredonda

Sin duda, han sido estas unas jornadas que guardaremos con muy buen recuerdo, tanto por la calidad de las mismas y de las charlas presentadas por los ponentes como por la buena organización y el excelente trato recibido de parte de los organizadores. Nos despedimos con la ilusión de poder asistir a las del año que viene, llevándonos un montón de buenos recuerdos y experiencias compartidas con buenos amigos.

Próxima parada, No Con Name a finales de este mes en Barcelona.

Josep Albors



Fallo de seguridad en Adobe (y esta vez, no en los productos de Adobe)

Categorias: Cibercrimen,exploit,Filtraciones,Hacking | | Sin comentarios » |

La empresa Adobe, desarrolladora entre otros productos de Adobe Photoshop y Adobe Acrobat, ha sufrido un ataque informático que ha expuesto millones de datos privados de usuarios.

Entre otros, estos datos incluyen identificadores de usuario, contraseñas (cifradas, eso sí) y lo que es peor, números de tarjetas de crédito y de débito. El ataque se produjo recientemente según informó ayer un responsable de la compañía, cuando los atacantes lograron entrar en la red interna de Adobe y consiguieron esos datos de casi tres millones de usuarios.

adobe

Además de los datos de los usuarios (cuando un ciberdelincuente se pone a robar, no se suele quedar a medias), gracias al ataque se ha podido robar código fuente de varios programas, entre otros los de Adobe Acrobat, Cold Fusion y Cold Fusion Builder. Cabe destacar la importancia del robo de este código fuente, no ya solamente por el posible impacto económico que pueda sufrir Adobe, si no también porque puede ser utilizado para buscar nuevas vulnerabilidades de forma más rápida. Esto puede provocar una oleada de ataques en poco tiempo sobre los productos que se han visto afectados por este robo y hacer mucho daño a la ya tocada imagen de la empresa.

Este ataque no es el primero que sale a la luz, ya que hace casi un año se robaron también datos de la empresa mediante un ataque informático. En ese caso fueron 150.000 correos electrónicos y hashes de contraseñas de empleados de Adobe y clientes, como el ejército estadounidense, Google, la NASA y otros muchos.

El investigador Bryan Krebs ha publicado información muy interesante sobre este tema, ya que él mismo fue capaz de detectar la filtración de este código fuente hace varios días y avisar a Adobe de este hecho. Las siguiente captura de pantalla obtenidas en su investigación demuestran que la filtración es real y que contiene cerca de 40 gigas de datos.

adobeCFsourceimage

Imagen obtenida del blog de de Bryan Krebs

Por su parte, Adobe ha declarado que ya están trabajando con las autoridades para esclarecer el ataque. Mientras, no les consta que con el código robado se estén descubriendo vulnerabilidades que implicaran exploits, y ya se están encargando de cambiar las contraseñas robadas, aunque es altamente recomendable que los usuarios cambien sus contraseñas tal y como recomienda la propia empresa.

Sin embargo, el robo de datos de tarjetas es harina de otro costal, y tanto desde Adobe como desde nuestro Blog queremos recordar a los clientes de Adobe que vigilen con minuciosidad los movimientos de las tarjetas, no vaya a producirse alguna transacción no deseada. Además, la empresa ya ha anunciado la publicación de un parche de emergencia para el próximo martes 8 de octubre y que afectará a Adobe Reader XI y Adobe Acrobat XI, por lo que también recomendamos actualizar estos programas tan pronto como este parche se encuentre disponible.

Fernando de la Cuadra

Josep Albors



Crónica de las III conferencias de seguridad Navaja Negra (1 de 2)

Categorias: Eventos,Hacking,seguridad | | Sin comentarios » |

Durante estos días se están celebrando en Albacete las III Conferencias de Seguridad Navaja Negra, unas jornadas con mucha solera y que logra reunir a algunos de los investigadores españoles de más renombre, así como también a miembros de las Fuerzas y Cuerpos de seguridad del Estado.

Como colaboradores en este evento no podíamos faltar a la cita y, a primera hora de la mañana ya estábamos recogiendo las acreditaciones en la Universidad Popular de Albacete y tomando asiento dispuestos a pasar una jornada con interesantes charlas.

inauguracion

Tras la inauguración y bienvenida por parte de los organizadores y otras personas que han hecho posible la celebración de este evento, entramos en materia con la primera de las charlas “Telepathy: Harness the code”. En ella, el investigador Juan Carlos Montes del Inteco habló de una herramienta desarrollada para utilizar las funciones de otro proceso.

Con esta utilidad se puede llamar a todo tipo de función de cualquier proceso, indicarle el tipo de datos que se envía y los que nos devuelven, pudiendo utilizar todo tipo de funciones de un proceso remoto y sin la necesidad de inyectar DLL en el mismo. Esta herramienta podría, por ejemplo, descifrar todas las peticiones desde un centro de mando y control a un código malicioso instalado en un sistema, por lo que habrá que seguirle la pista.

Tras tomarnos un copioso almuerzo a base de los típicos miguelitos tan famosos por estos lares, hemos proseguido con las charlas. Ahora le tocaba el turno a Daniel Martínez con su entretenida charla “De pacharanes por Racoon City: cómo sobrevivir al día a día real de un pentester” donde nos explicaba todos los escollos a los que debe enfrentarse un auditor de seguridad.

pacharan

Si bien es cierto que esta profesión está en auge, también es verdad que no todo es tan bonito como lo pintan, al menos en España, y estos profesionales deben lidiar con superiores que no valoran su esfuerzo, comerciales que no saben lo que venden y plazos de entrega o requisitos imposibles. También hemos podido dar un repaso a las herramientas más utilizadas para estos menesteres, algo que siempre viene bien.

Continuamos la mañana con Florencio Cano y su charla “Fuzzing Browsers by generating malformed HTML/HTML5”. En ella hemos podido comprobar cómo generando código malformado y enviándolo de forma adecuada a los navegadores, podemos conseguir que estos no lo interpreten adecuadamente y conseguir llegar a realizar operaciones maliciosas en el sistema objetivo.

Antes de parar a comer aún hemos tenido tiempo para una charla más. Esta fue “SDR: Lowcost receiving in radio communications”, realizada por Alfonso Moratalla y Ricardo Monsalve y donde hemos podido comprobar cómo utilizando un equipo muy barato y combinándolo con varias herramientas por software se puede llegar a escuchar frecuencias de radio muy interesantes. Esto incluye algunas frecuencias reservadas para transmisiones entre embarcaciones, aviones e incluso satélites.

Tras el merecido parón a mediodía que hemos aprovechado para disfrutar de la excelente cocina manchega, retomamos las charlas con la titulada “¿Nadie piensa en las DLL?” del también investigador del Inteco Adrián Pulido. Este investigador nos ha explicado como aún existe la falsa creencia de que el malware tan solo utiliza ficheros ejecutables para propagarse.

Adrián ha propuesto la utilización de DLL como mecanismo de infección en sistemas operativos Windows, ya que modificándolas adecuadamente pueden evadir muchas de las medidas de seguridad actuales y conseguir ejecutar código malicioso en el sistema.

Uno de los organizadores del evento, Daniel García también ha tenido la oportunidad de presentar una útil herramienta que será de mucha ayuda a todos los pentesters que quieran ahorrarse trabajo manual y presentar informes que sean comprensibles para la mayoría.

En su charla “Automated and unified opensource web application testing”, Daniel nos ha mostrado Golismero 2.0, un framework open source que permite crear herramientas y que puede ser empleada en test de seguridad para facilitar mucho el trabajo de los investigadores. Esta herramienta divide todo el proceso en cinco fases que se retroalimentan con la información obtenida en las fases anteriores y lo mismo sirve para las herramientas más comunes utilizadas en tareas de pentesting que también pueden integrarse. Una herramienta a la que habrá que seguirle la pista por lo prometedor de su futuro.

golismero

A continuación hemos tenido el lujo de contar con dos de los investigadores de más renombre en España como son Jaime Peñalba Nighterman y Sergi Alvarez Pancake. En esta ocasión han unido fuerzas para explicarnos a los asistentes todo el proceso de creación de un exploit, desde cómo se identifican los posibles fallos a aprovechar a el desarrollo del exploit en sí.

Ha sido una charla eminentemente técnica pero que ha merecido la pena por la cantidad de información útil mostrada y que resulta especialmente interesante a quienes nos dedicamos a detectar estas amenazas y evitar que causen daños en los sistemas.

nighter

Y para cerrar la jornada de hoy, Alejandro Nolla nos ha impresionado con su charla “Adivina quién viene a CDNear esta noche”, en la que nos ha descrito el funcionamiento de las redes CDN de distribución de contenido estático, ampliamente usadas y que aseguran el correcto funcionamiento de Internet.

cdn

No obstante, tal y como nos ha explicado Alejandro, también es posible realizar ataques a este tipo de redes aprovechando varios fallos, demostrando que solo con tumbar unos pocos nodos de esta red se podría causar un grave desbarajuste. La charla ha dado mucho de sí y por eso queremos dedicarle el espacio que se merece en un futuro post que publicaremos en este blog.

Y eso ha sido todo por hoy. Aún nos quedan dos jornadas repletas de charlas interesantes que resumiremos en otro post la semana que viene para que no os perdáis detalles de todo lo que se comentará durante estos días en Albacete.

Josep Albors



Hacking de vehículos no tripulados. ¿Ficción o realidad?

Categorias: Cyberwar,Eventos,Hacking | | Sin comentarios » |

Como ya hemos comentado en anteriores artículos, uno de los temas más populares durante la pasada Defcon celebrada a principios de agosto en Las Vegas, fue el hacking de vehículos. Con charlas tan esperadas como la de Charlie Miller y Chris Valasek o la de nuestros compatriotas Alberto García Illera y Javier Vázquez Vidal se demostraba que los vehículos estaban en el punto de mira de los investigadores

Sin embargo, hubo otra charla que, si bien entraba en la temática de las anteriores, abarcaba una serie de vehículos poco convencionales pero no por ello menos interesantes. Estamos hablando de los vehículos no tripulados, famosos últimamente por los polémicos drones utilizados en labores de vigilancia o incluso en acciones militares. El investigador conocido como Zoz fue el encargado de introducirnos en el apasionante mundo del hacking de estos vehículos y sus posibles consecuencias, algo que pasamos a trasladaros a continuación.

defcon_zoz

Si bien estos vehículos no cuentan con el principal causante de problemas y accidentes en los vehículos convencionales, es decir, el ser humano, también pueden sufrir ataques que causen accidentes o un comportamiento que no sea el preestablecido. Son precisamente este tipo de ataques los que este investigador se dedicó a revisar y que presentó en su interesante charla.

Para comprender qué tipos de ataques se pueden  realizar sobre estos vehículos, primero hemos de entender qué instrucciones o software incorporan para cumplir la misión que se les ha establecido. Pueden incorporar, por ejemplo, mecanismo de control, de navegación, anti-colisiones o de tareas a realizar. La conjunción de todas estas instrucciones es lo que ayuda a llevar a buen puerto la misión encomendada a estos vehículos.

No obstante, son también su principal punto débil, ya que, una vez conocidos los sistemas de control y manejo de instrucciones, se pueden aprovechar fallos conocidos. Así pues, este investigador ponía como ejemplo lo relativamente fácil que resultaba engañar a los sistemas de navegación. Durante su charla explicó cómo engañar a sistemas tan utilizados como el GPS, las brújulas o el LADAR (Laser Radar), pudiendo hacer que el vehículo saliese de su rumbo establecido y terminase estrellándose, todo ello aprovechando fallos conocidos de estos sistemas.

A partir de este punto, cualquier escenario es posible con los medios adecuados. Recordemos cómo a principios de 2012 el régimen Iraní anunció a bombo y platillo la supuesta captura de un drone del ejército de los Estados Unidos al que habían conseguido engañar para aterrizar en una base iraní, posiblemente usando uno de los métodos descritos por este investigador en su presentación. Hablando de la presentación, quien quiera verla está disponible en el canal de Youtube de Defcon y os la hemos enlazado a continuación para vuestra comodidad:

El hecho de que sea posible interferir en el correcto funcionamiento de estos vehículos nos debe hacer reflexionar, sobre todo ahora que algunos de ellos realizan labores críticas en entornos peligrosos para una tripulación e incluso los hay que están armados con una nada despreciable potencia de fuego (caso de los drones de combate utilizados en algunas operaciones especiales). No es cuestión de ser alarmistas, puesto que aún estamos intentando asimilar todas las tareas que pueden llegar a realizar y una “revolución de las máquinas” parece fuera de lugar, pero mejor prevenir posibles fallos antes de que estos ocurran.

Josep Albors



ESET España patrocina el tercer congreso de seguridad Navaja Negra

Categorias: Eventos,Hacking,seguridad | | Sin comentarios » |

En este blog hemos dejado bastante claro que nos encanta asistir a congresos donde poder aprender sobre temas de seguridad informática, y si además podemos contaros todo lo que experimentamos en ellos, mejor que mejor. En nuestro calendario tenemos marcadas citas ineludibles de eventos tanto nacionales (Rooted Con, No cON Name, GsickMinds) como internacionales (Black Hat, Defcon), a los que esperamos con ansia asistir.

Pero centrándonos en los eventos de seguridad que se celebran en nuestro país (no tantos como nos gustaría) hoy vamos a hablar de uno en particular que, en su corta trayectoria, ha logrado meterse entre los indiscutiblemente recomendables. Se trata de las conferencias de seguridad Navaja Negra, cuya tercera edición se celebrará en Albacete los próximos días 3, 4 y 5 de octubre.

navaja_negra_conference

Tal y como los organizadores comentan en su web, este evento está organizado por una asociación sin ánimo de lucro formada por entusiastas de la seguridad de la información y, como ellos mismos dicen, siguen fiel a los principios de humildad, compartir y aprender con la que nacieron estas conferencias.

Todo el que quiera asistir a este evento puede inscribirse en el formulario preparado para tal fin y, tras pagar una cuota de 30€ por asistir a todo el congreso (con 300 plazas disponibles), quedará registrado. El nivel de las charlas será de lo mejor que podemos encontrar en España (y parte del extranjero), con ponentes de la talla de Jaime Peñalba, Juan Garrido, Lorenzo Martínez, Marc Rivero, David Barroso, Pablo Fernández Burgueño o miembros del Grupo de Delitos Telemáticos de la Guardia Civil y de la Brigada de Investigación Tecnológica de la Policía, entre otros.

Desde ESET España queremos apoyar este tipo de eventos, ya que solo compartiendo información y esfuerzos entre investigadores, empresas de seguridad informática y Fuerzas y Cuerpos de Seguridad del Estado podremos hacer frente a las amenazas informáticas que vemos cada día.  Este es un primer paso necesario para, seguidamente, trasladar esta información a los usuarios de a pie y que estos aprendan a disfrutar de la tecnología de forma segura.

Para los que no puedan asistir, el equipo del laboratorio de ESET España realizará resúmenes diarios del evento, ampliando la información en aquellos temas que sean de especial interés. Si estáis interesados en la seguridad informática no podéis dejar de pasaros por Albacete del 3 al 5 de octubre. ¡Os esperamos!

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje