, 19 diciembre 2014 | Imprime

Hace unos días el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV) publicó un informe de “Seguridad en Internet de las cosas”, en el que podemos encontrar una guía sobre el estado del arte de seguridad sobre este tipo de dispositivos cada vez más extendidos en la red.

Básicamente, el término IoT (Internet of Things) se atribuye a un conjunto muy grande de dispositivos conectados a Internet y no son ordenadores convencionales. Pero, ¿por qué llamarlo Internet de las Cosas? Éste término se acuñó cuando el número de dispositivos superó al número personas conectadas a Internet, por lo que ya no se podía asumir que Internet estaba formado por personas interconectadas a través de sus dispositivos, sino que realmente existen dispositivos “autónomos” conectados a la red. No nos alertemos; no estamos ante una rebelión de las máquinas (todo se andará), sino de dispositivos desatendidos que se conectan a Internet con alguna finalidad como puede ser compartir información, o facilitar acceso remoto al dispositivo.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 18 diciembre 2014 | Imprime

Antonio Sanz en sus artículos “PDF deconstruído al aroma de shellcode”, hace un análisis empleando la utilidad peepdf de un PDF que explota la vulnerabilidad “CVE 2013-2729”.

A partir de estos artículos, se me ocurrió la idea de generar una regla de YARA para detectar estos PDF maliciosos.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 17 diciembre 2014 | Imprime

Comenzamos 2015 con un nuevo congreso de Seguridad Informática que nace en Santander como el primero en este ámbito en Cantabria, Sh3llCON: Security Hell Conference.

Se definen como un nuevo foro de divulgación sobre seguridad informática que surge con la finalidad de analizar las distintas amenazas y vulnerabilidades que rodean nuestra conexión diaria en las redes.

Sh3llCON se celebrará los días 24 y 25 de enero en el Hotel Santemar y contará con un interesante plantel de ponentes:

No me gusta esta entradaMe gusta esta entrada (+1 rating, 1 votes)
Loading ... Loading ...






, 15 diciembre 2014 | Imprime

Volvemos a la carga con la cuarta parte de nuestra serie sobre pfSense. En el anterior capítulo explicamos cómo configurar las opciones avanzadas del sistema (ver también la primera entrada y la segunda, para los despistados). En esta cuarta parte vamos a explicar cómo configurar “el corazón del firewall”, es decir las reglas de pfSense.

Lo primero, para facilitar la creación de reglas, es importante saber lo que son los “alias” y qué posibilidades brindan. Vamos a la pestaña superior, Firewall → Aliases.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 10 diciembre 2014 | Imprime |  Also available in English

Nota del editor: mañana por la mañana, nuestro compañero Antonio Sanz estará hablando sobre el malware del que trata el presente post, y la gestión del incidente asociado a la detección del mismo, en las VIII Jornadas STIC del CCN-CERT.

El pasado mes de agosto, varios empleados (bastante bien escogidos) de uno de nuestros clientes (una empresa estratégica), recibieron una serie de mensajes un tanto “sospechosos”, que referían el entonces relativamente reciente accidente del avión de Malaysia Airlines, sobre cuya investigación no paraban de llegar noticias.

No me gusta esta entradaMe gusta esta entrada (+11 rating, 11 votes)
Loading ... Loading ...






, 10 diciembre 2014 | Imprime
Para hoy tenemos una entrada de un nuevo colaborador, Alex Casanova, administrador de Sistemas Windows, Linux y Sistemas virtualizados con VMware con más de 10 años de experiencia. Adicto a las nuevas tecnologías y las telecomunicaciones dedica gran parte de su tiempo a la investigacion de sistemas radio, OSINT y redes de comunicaciones. Actualmente está involucrado en el despliegue de una red digital de comunicaciones DMR para radioaficionados.

Se le puede encontrar en su twitter @hflistener y en su blog Digimodes.

Habitualmente todas las noticias sobre seguridad están centradas en el mundo de Internet y sus amenazas; pero no siempre somos conscientes de los posibles riesgos existentes en las comunicaciones fuera del plano IP. Analizar y comprender el riesgo que suponen los sistemas de radiocomunicaciones en las organizaciones debe jugar también un papel fundamental dentro de la seguridad, cuya interrupción o destrucción podría tener un gran impacto sobre la organización.

Recientemente ha sido publicado en “Communications Support Forums” una vulnerabilidad en el sistema de comunicaciones DMR (MotoTRBO) de Motorola que permitiría a un atacante, usando un terminal de radio, transmitir en la frecuencia de salida de un repetidor DMR protegido con el sistema RAS (Restricted Access to System) sin conocer la clave.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 9 diciembre 2014 | Imprime

La seguridad informática es casi siempre compleja, abarcando muchas áreas distintas y haciendo muy fácil caer en el equivalente técnico de la “letra de médico”.

Quién no ha tenido algún momento del estilo de tener a dos técnicos de seguridad y que comiencen a hablar de la “APT que explotaba un CVE del kernel de XP y que exfiltraba por HTTP usando 404 modificados, y que menos mal que el IDS lo pilló y le pusimos un deny en el firewall antes de que dropeara una nueva versión de malware del C2 ”.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 5 diciembre 2014 | Imprime

Dicen que los perros viejos no aprenden trucos nuevos. Pues parece que los malos sí que son capaces de hacerlo. Desde primera hora del día de hoy nos hemos encontrado con una campaña masiva de correos maliciosos enviados desde múltiples orígenes, pero todos con un patrón común:

  • Asunto con el texto “Remittance Advice for 918.97 GBP” (la cantidad varía según el correo).
  • Un adjunto con el nombre BAC_XXXXXXY.xls (5-6 números y una letra).

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 26 noviembre 2014 | Imprime

Hace ya demasiado tiempo pasé cerca de un año en el Georgia Institute of Technology de Atlanta, continuando con mis estudios universitarios. Al poco tiempo de llegar, el que debía ser el responsable de seguridad nos dio una charla en la que se congratulaba por el hecho de que Atlanta ya no fuese la ciudad más peligrosa de EEUU, sino la segunda (hablamos aproximadamente de 1999). Además advertía, haciendo énfasis en los más jóvenes, que tuviesen cuidado con las ilusiones de inmortalidad propias de la adolescencia, evitasen riesgos innecesarios y adoptasen ciertas medidas de seguridad.

Tengo la sensación de que ese tipo de fantasía se aplica de manera muy adecuada a la mayoría de empresas. En general, el pensamiento que todavía impera en muchas organizaciones es el que ya conocemos: eso no nos puede pasar a nosotros. El equivalente es el que se sube al coche pensando que los accidentes le pasan a todo el mundo menos a él y prescinde del cinturón de seguridad y de cualquier límite de velocidad “razonable”.

No me gusta esta entradaMe gusta esta entrada (+3 rating, 3 votes)
Loading ... Loading ...






, 20 noviembre 2014 | Imprime

Hace unos meses, nuestro compañero Jose Vila ya nos habló de Logstash como alternativa a Splunk para análisis de logs, poniendo como ejemplo como se podía analizar un conjunto de logs de Apache y contándonos cómo personalizar un dashboard de Kibana para analizar alertas procedentes de Snort [1] [2]. En esta ocasión vamos a continuar hablando de Logstash, poniendo como ejemplo como buscar algunas anomalías en un fichero de log de un proxy de navegación de un Squid.

Lo primero a tener en cuenta sería definir el fichero de configuración que le pasaremos a Logstash para que nos interprete, de la manera adecuada, el log del Squid. Este fichero es el que yo me he definido (se puede descargar del siguiente repositorio: https://github.com/mmorenog/Kibana):

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...