Como todos ustedes sabrán, recientemente tuvimos que trabajar sobre un incidente de seguridad relacionado con un ataque por denegación de servicio distribuido o DDoS. Los atacantes emplearon distintas versiones de la herramienta Low Orbit Ion Cannon, LOIC en adelante, para intentar sobrecargar el tráfico de la web.

Lógicamente tanto en S2Grupo como en el centro de seguridad TIC de la Generalitat Valenciana (CSIRT-cv) preparamos un entorno que nos permitiera disminuir el ataque lo máximo posible para intentar que la web estuviera disponible para los ciudadanos, que al fin y al cabo, son los usuarios de la página web y a los que se les daña con este ataque. Para ello se realizo un estudio de las distintas versiones del LOIC, de su funcionamiento y de los posibles patrones de reconocimiento de los ataques con dos objetivos: frenar e identificar al atacante. Por motivos de seguridad no se suministrarán los patrones empleados.

Fruto de los últimos tests de penetración que hemos realizado me gustaría compartir con nuestros lectores una herramienta que he desarrollado “Quick-and-dirty” en Python para entornos donde un cortafuegos está bloqueando el tráfico de inicio de conexión TCP de salida a Internet, pero no el UDP. El escenario propuesto se trata de un clásico caso de post explotación donde hemos conseguido ejecutar código como root en una máquina Linux del segmento de usuarios o de DMZ. El problema es que no podemos iniciar conexión de un terminal (telnet, ssh, vnc…) hacia nuestra máquina remota, ni tampoco dado que no hay NAT, desde el atacante al servidor comprometido. Pero gracias al “hábil” administrador del Firewall el tráfico UDP está permitido de salida.

Quizá con ese descriptivo título sepan ustedes de qué va esta entrada, a tenor de la popularidad que el dichoso fotomontaje ha adquirido en las últimas horas, pero si no es así, se lo resumo. Al parecer, la web diseñada para la campaña de reelección de Gallardón a la alcaldía de Madrid está encabezada por un fotomontaje, que pueden ver debajo, y que presenta varios problemas, algunos de ellos bastante obvios.

El primero y principal es que es una imagen tomada de un banco de imágenes (fotolia, en este caso) y que se encuentra en la cabecera del portal de impuestos de la Generalitat de Catalunya y en la portada del libro ‘Doing Well And Good: The Human Face of the New Capitalism‘. Aunque elmundo.es se empeñe en llamar a eso plagio e incluso citar una posible violación de la Ley Sinde por violación de derechos de autor, a decir por la ausencia de marcas de agua, todo parece indicar que la imagen fue comprada y por tanto ambas acusaciones carecen de todo fundamento y están más basadas en animadversión política del periódico hacia Gallardón que en una violación real de derechos de autor.

Cuando mis antiguas compañeras de colegio decidieron organizar una reunión (tantos años sin verse hacen olvidar las viejas rencillas) les propuse montar un grupo de Google. Así lo hicimos y llevamos casi dos años con él, conmigo de administradora. En ese tiempo he podido descubrir cuan cándidas son estas mujeres, que, aunque con honrosas excepciones, dan crédito a todo tipo de ofertas y anuncios de soluciones milagrosas, premios inesperados y recompensas sin mayor esfuerzo que el de reenviar un correo a un número determinado de destinatarios. A lo mejor no picarán en el timo de Nigeria, pero sí en bulos como el de Mercadona ofreciendo un vale de 100 euros, o Microsoft un ordenador gratis, o el feng shui diciendo que el mes pasado tenía 5 lunes y por tanto vamos a ser todos más ricos… siempre que reenviemos el correo (dado que el feng shui tiene sus orígenes en la China imperial, no sé yo qué relación tendrá con el correo electrónico, pero en fin… si lo dice la internet)

Claro, estas señoras ya peinan canas y no son ni mucho menos lo que ahora se ha dado en llamar “nativas digitales”, pero hay dos cosas que me parecen aterradoras en todo esto. Por una parte, el pensar que en su mayor parte estas personas tienen hijos, ¿estarán educándolos en la misma credulidad? Por otra, da igual que uno transite por los callejones de la vida o los del ciberespacio, hay ciertas leyes que son universales, como por ejemplo que nadie da los duros a cuatro pesetas (¿o los euros a 20 céntimos?) y esto ellas lo deberían saber.

Tras la entrada introductoria y preparatoria del otro día, hoy vamos a empezar con el reto. Lo primero que suelo hacer una vez obtenido los datos iniciales (vistos en la anterior entrada) es crearme una línea de tiempo a nivel de sistemas de ficheros y luego le sumo los datos obtenidos con la lógica que contiene el sistema de ficheros… Seguramente se estarán preguntando que es eso de la lógica que contiene el sistema de ficheros. Es lo que normalmente se denomina “artifacts“. Por ejemplo un fichero ejecutable cuyo dueño ya no existe en el sistema pero el fichero sigue existiendo, un usuario creado con permisos de administración, shellbags, históricos, logs, etc.

Comencemos obteniendo la línea de tiempos del sistema de ficheros. Para ello nos crearemos un directorio, volcaremos la línea de tiempo a un fichero con la herramienta “fls”, unificaremos los datos con un “cat” puesto que el reto presenta distintas imágenes, para finalizar traduciendo y ordenando con “mactime”. Es importante recordar que se nos indicó que la hora del sistema era GMT+6 y este dato deberá ser introducido a la herramienta mactime. Por ello debemos obtener el timezone correspondiente a GMT+6, por ejemplo de esta web. Con el timezone ya podemos ejecutar las ordenes necesarias para obtener la línea de tiempo:

Durante el pasado viernes 18 de febrero se organizó, principalmente a través de Twitter, un ataque DDoS contra la página web principal de la Generalitat Valenciana, debido al cese de las emisiones de TV3 en la Comunidad Valenciana. Creo necesario un post dedicado a este ataque, primero porque se ha materializado en nuestra Comunidad y segundo porque es un buen ejemplo (más) del uso de redes sociales -o Internet en general- para organizar este tipo de acciones de forma rápida, sin ningún tipo de coste y sin un respaldo considerable detrás; vamos, que se demuestra una vez más que con una conexión a Internet, un pequeño grupo -o grande, quién sabe- pone en jaque, o al menos en alerta, a todo un gobierno autonómico…

El ataque en cuestión consistía en utilizar la herramienta LOIC (y Mobile LOIC, desde páginas de PasteHTML) para generar tráfico masivo contra la web de GVA, proporcionando instrucciones detalladas de cómo utilizar el programa. Todo esto a una hora concreta: las 19:30 del viernes, aunque finalmente hubo algo de jaleo con la hora y parece ser que el ataque se adelantó -al menos parcialmente- a las 18:30… Además de Twitter, se utilizaron canales de IRC web para coordinar el ataque, así como grupos de Facebook y otras redes sociales. Los organizadores de la convocatoria utilizaron el nombre y la imagen de Anonymous, aunque posteriormente este grupo se desmarcó de la acción contra GVA en un comunicado en su propio blog.

Hace un rato leía que el primer ministro canadiense, Stephen Harper, reconocía ayer públicamente que el gobierno canadiense está sufriendo en estos momentos ataques desde equipos ubicados en China, que hasta el momento han proporcionado a los atacantes información confidencial sobre ministerios clave. Según indica el artículo, los atacantes habían accedido a equipos de altos cargos y desde ahí, utilizando el correo electrónico y algo de ingeniería social, han distribuido troyanos y obtenido claves de otros sistemas y departamentos. Me atrevo a decir que el gobierno canadiense todavía no conoce la profundidad de la intrusión.

Al parecer, una auditoría realizada en 2002 ya advertía de este tipo de problemas, sin que se hayan tomado medidas hasta hace poco (aunque según los críticos poco significativas, de acuerdo al tamaño e importancia del gobierno canadiense, ya que se habla de 90m. $ a lo largo de 5 años). Me temo que esta es la tónica general en la mayor parte de los casos, ya sean grandes empresas privadas o entidades gubernamentales; hace tiempo que se viene hablando y advirtiendo de este tipo de amenazas, por activa y por pasiva, pero pocos parecen dispuestos a valorarla en su adecuada magnitud, ya sea por falta de recursos, de voluntad o simple escepticismo.

“Su tasa de alcoholemia supera los límites permitidos, el vehículo queda temporalmente inhabilitado”. ¡Cuánto ha cambiado el panorama en las últimas semanas! Si recordamos la entrada anterior, nuestro vehículo se mostraba en predisposición de llevarnos a casa o a donde nosotros consideráramos oportuno, ahora en cambio, nos impide conducir.

¡Hola de nuevo! Tras un pequeño descanso volvemos con la serie “Abróchense los cinturones”. En nuestra primera entrega hablamos de los sistemas de seguridad disponibles en los vehículos terrestres y los clasificamos en dos grandes grupos. Por una parte tenemos los sistemas de seguridad activa (ABS, EBV/EBD, ESP, etc. ¡uff!, cuántas siglas) y por otra los elementos de seguridad terciaria (cinturones de seguridad, airbag, etc.). A su vez, agrupábamos todos estos sistemas dentro de lo que llamábamos paradigma clásico y planteamos cómo los nuevos sistemas de seguridad propician un cambio de paradigma en el que, para aumentar la seguridad, se delega la conducción en los sistemas.

En esta y la siguiente entrada trataré el reto de análisis forense de la honeynet (proyecto Honeynet). Aunque antiguo, es la base de un análisis forense en un entorno Linux y creo que se pueden aprender muchas cosas. Existe una infinidad de soluciones tanto en blogs como en libros sobre la resolución del reto. En mi caso voy a seguir los pasos que seguí para la resolución de éste. Les advierto que tanto este como el siguiente artículo de la serie son algo largos, así que tómenselos con calma.

Comenzaremos montando una máquina virtual Linux. Primero instalaremos en el equipo anfitrión VirtualBox en su versión 4. A su vez nos descargaremos una imagen ISO de una distribución Linux. En mi caso he usado la Ubuntu 10.04. puesto que ya la tenia descargada. Una vez tengamos creada la máquina virtual instalaremos las LinuxAdditions.

Los fans del dibujante Quino quizás recordaréis una tira de Mafalda en la que está ella mirando un documental en la tele donde una voz en off dice “Desde el arco y la flecha hasta los cohetes teledirigidos, es sorprendente lo mucho que ha evolucionado la técnica”, a lo que Mafalda replica “Y deprimente lo poco que han cambiado las intenciones”.

¿Qué intenciones tiene un hacker? Llevamos meses hablando del gusano Stuxnet, sin que se sepa realmente cuales eran las de sus creadores (hay incluso quien propone que se les conceda el Nobel de la Paz). En cualquier caso, a pesar de que todo indica que la mayor parte de piratas informáticos se mueven actualmente por motivos económicos, delictivos o como les queramos llamar, aún parece existir un importante grupo de hackers (a veces llamados free spirits) para los cuales las intenciones han variado poco en 25 años de historia del hackeo: éstas suelen consistir en colgarse una medalla virtual. Los motivos económicos no parecen formar parte de este particular negocio, más allá de oscuras teorías conspirativas.