Hace unos días se publicaba en The Honeynet Project una entrada que hablaba sobre una serie de nuevos plugins para Wireshark desarrollados en el Google Summer of Code (GSoC) de este año.

Uno de esos plugins, WireShnork, permite aplicar las reglas de Snort al tráfico de red capturado por Wireshark y añade un nuevo filtro para que se pueda seleccionar aquellos paquetes que hacen saltar una regla que tengamos definida en Snort. Parece muy interesante, sobre todo a la hora de hacer un análisis forense ya que cuando el tamaño de la captura a analizar contiene miles de paquetes se hace inmanejable y es necesario filtrar por lo más relevante.

Recientemente comentábamos entre los compañeros cómo han disminuido, en general, los ataques dirigidos a servidores, aumentando especialmente, por contra, los ataques al usuario. Dichos ataques están siendo cada vez más sofisticados ya que intentan explotar vulnerabilidades muy avanzadas a nivel de cliente, sobretodo a la hora de procesar ficheros “complejos”, como DOC o PDF.

Con ello, nos encontramos ante la dificultad de realizar una detección en tiempo real de ataques dirigidos a usuarios, ya que los sistemas inline deberían simular diversos escritorios para poder detectarlos, con diferentes navegadores y sistemas operativos; por ejemplo, añadiendo el hecho de que una inspección en profundidad de cada uno de los ficheros consume mucho tiempo de proceso.

Una de las características que ofrece la versión ProfessionalFeed (la de pago, vamos: $1200 al año cada licencia) de Nessus —entre otras— es la posibilidad de realizar auditorías de cumplimiento a sistemas Unix y Windows, aplicaciones o bases de datos SQL basadas en estándares ya predefinidos.

Así pues, podremos realizar auditorías de cumplimiento basándonos en las recomendaciones CERT, guías de buenas prácticas CIS o NSA, requerimientos de configuración PCI , e incluso Bandolier (proyecto de Digital Bond) proporciona políticas de cumplimiento (a través de ficheros .audit de los cuales hablaremos a continuación) para auditar sistemas SCADA, DCS y otras aplicaciones de sistemas de control industrial, entre otros.

(Continuamos hoy con la entrevista realizada a Lourdes Herrero, cuya primera parte publicamos ayer)

7. Sobre la concienciación y el aprendizaje en el tema de la seguridad, además de los mencionados cursos formativos ¿CSIRT-cv desarrolla alguna otra labor en éste ámbito?

Si, desde octubre de 2010 CSIRT-cv se une a la red social Twitter (http://twitter.com/csirtcv) en la que diariamente informamos sobre algunas de las noticias y avisos más relevantes en cuanto a seguridad. También estamos en Facebook a través de http://www.facebook.com/csirtcv donde además de lanzar mensajes informativos o alertas apostamos por realizar campañas de concienciación en las que durante un periodo corto de tiempo, diariamente aconsejamos sobre algún tema en concreto. Así, nuestra primera campaña de concienciación “Seguridad en Dispositivos móviles” versó sobre recomendaciones y buenas prácticas a seguir en el uso de dispositivos móviles. En Navidad lanzamos otra que trataba de alertar sobre los peligros más comunes en la red en esas fechas. Y la última que se ha lanzado recomienda diversas herramientas básicas para prevenir ataques o infecciones, reparar daños o simplemente facilitar una navegación más segura en Internet.

Con ello, pretendemos llegar a un público más amplio y que no tiene porqué contar con demasiados conocimientos técnicos. No queremos llegar sólo a profesionales del mundo de la seguridad de la información sino a cualquier internauta. Nuestro objetivo es ayudar a que la Seguridad de la Información forme parte de la cultura del ciudadano, de la misma forma que el concepto de Seguridad Vial o Seguridad Física.

Para hoy miércoles tenemos la primera parte de la entrevista a Lourdes Herrero, Directora del Centro de Seguridad TIC de la Comunitat Valenciana, CSIRT-cv, que se ha prestado amablemente a responder algunas preguntas relacionadas con el centro.

Lourdes Herrero es Ingeniero Informático, por la Universidad Politécnica de Valencia. Tras sus inicios laborales en varias empresas del sector TIC, el grueso de su actividad profesional se ha desarrollado en la Generalitat, donde ha dirigido diversos proyectos de implantación de las Tecnologías de la información en los Ayuntamientos de la Comunidad Valenciana. Actualmente es Directora del CSIRT-cv, desde su inauguración en Junio de 2007.

Este centro depende de la Consellería de Justicia y Administraciones Públicas y fue el primer centro de respuesta a incidentes de seguridad de ámbito autonómico en España.

1. Lourdes, para ponernos en antecedentes, ¿podrías explicarnos brevemente qué es un CSIRT?

Un CSIRT, (o un CERT) es el acrónimo de Equipo de Respuesta ante Incidentes de Seguridad Informática (Computer Security Incident Response Team).

El objetivo que persigue todo Centro de Respuesta es la prevención, detección, asesoramiento, seguimiento y coordinación necesarios para hacer frente a incidentes de seguridad informática que ocurran en su ámbito, y que pueden ser muy diversos. Desde la detección de virus, gusanos, troyanos, phishing, spam… pasando por la aparición de intrusiones y actos malintencionados, hasta la detección de actividades realizadas por colectivos organizados de ciberdelincuentes.

Recientemente charlando con un investigador del Centro de Tecnología Nanofotónica de Valencia (NTC) me comentó que uno de los proyectos que estaban llevando a cabo versaba sobre un sistema de nanoetiquetas de seguridad óptica utilizando metamateriales fotónicos, con la finalidad de que éstas fuesen insertadas en cualquier tipo de objeto para garantizar su autenticidad y con el respaldo de que prácticamente sería imposible falsificar el susodicho objeto. El caso es que el asunto me llamó la atención y decidí concertar una cita en el NTC con el grupo de investigadores que formaban parte de este proyecto para que me contaran con más detalle en que consistía y en que punto estaba éste sistema de etiquetado óptico.

La inserción de hologramas o de hilos de seguridad son algunas de las técnicas que se suelen usar para autenticar documentos, billetes, cheques bancarios, tickets, pasaportes o licencias entre otros tipos de objetos. Sin embargo dichas técnicas, bien sea por el material utilizado, o por su modo de fabricación, no garantizan que no existan falsificaciones. Desde el NTC nos comentan que la incorporación de los metamateriales fotónicos en el proceso de autenticación de un objeto evitaría posibles falsificaciones o al menos estarían muy controladas.

A estas alturas, muchos de ustedes sabrán (y pudieron comprobar en tiempo real) que el pasado martes a eso del mediodía Twitter era colapsado por un bug en su propia página web que permitía, explotando una vulnerabilidad XSS en la gestión del evento “onmouseover”, la ejecución de código javascript a través de tweets diseñados para ese objetivo. El código inyectado en el tweet sería del tipo:

El ataque provocaba desde un pop-up “inofensivo” con un comando javascript tipo “onmouseover=”javascript:alert(’Hola!’);” que generaba una ventana emergente con el mensaje “Hola” a todos los followers en cuyo “timeline” estuviera el tweet manipulado, hasta la aparición de cuadros en negro donde debería estar el texto del tweet, pasando por letras gigantes ocupando toda la pantalla, o la redirección del perfil del usuario a cualquier otra web. Por ejemplo, un tweet del tipo:

Como pudimos observar en la primera parte de esta introducción publicada hace un par de días, la tecnología RFID plantea nuevas oportunidades de mejorar la eficiencia de los sistemas de uso diario además de añadir comodidad. Pero dichas mejoras conllevan nuevos riesgos para la seguridad por ataques o caídas del servicio, riesgos para la privacidad como acceso ilegitimo a información sensible, y otros riesgos derivados de la exposición a las radiaciones. Dichos riesgos se comentarán un poco mas en profundidad a continuación. Todos los participantes de esta tecnología tienen la responsabilidad de prevenir estos riesgos, desde los responsables de desplegar la tecnología hasta los organismos o los propios usuarios.

Los riesgos para la seguridad son los derivados de acciones que pueden deteriorar, interrumpir o sacar provecho de forma maliciosa del servicio. Podemos citar diversos ataques:

La tecnología RFID (Radio Frequency Identification) permite identificar de manera unívoca automáticamente un objeto gracias a una onda emisora incorporada en el mismo, que transmite por radiofrecuencia los datos identificativos del objeto. Actualmente estamos acostumbrados a encontrar esta tecnología en forma de etiquetas adhesivas, de forma que un objeto con una de estas etiquetas puede ser localizado a una distancia que va desde unos pocos centímetros hasta varios kilómetros, dependiendo de la fiabilidad de varias características de estas etiquetas, como pueden ser la frecuencia de la emisión, la antena o el tipo de chip que se use. En la etiqueta se graban los datos identificativos del objeto al que ésta está pegada, y dicha etiqueta genera una señal de radio que un lector físico se encargaría de recibir, transformar en datos y transmitir dicha información a la aplicación informática especifica (middleware).

La tecnología RFID va dirigida principalmente al sector logístico y al sector de la defensa y seguridad, pero sus beneficios son aplicables a otros ámbitos ya que dispone de múltiples ventajas. Entre otras, podemos citar que permite el almacenamiento de un gran volumen de datos mediante un mecanismo de diminutas dimensiones, automatiza los procesos para mantener la trazabilidad y permite incluir una mayor información a la etiqueta reduciendo así los errores humanos, evita su visibilidad en caso de intento de robo y permite mayor facilidad de retirada de un determinado producto del mercado en caso de que se manifieste un peligro para la seguridad.

El pasado día 9 tuvieron lugar en Valencia las conferencias Asegur@IT en su octava edición, evento que contó con la participación de empresas como Microsoft, Wintercore, Informatica64, Taddong e Hispasec, además de representantes del blog Security By Default. Y varios representantes de S2 Grupo estuvimos presentes.

En general, las charlas fueron de un gran interés; desde Chema Alonso presentando La Foquetta hasta Sergio de los Santos hablando de malware, pasando por Rubén Santamarta hablándonos sobre Bindiffing Patches y Alejandro Ramos sobre seguridad en archivos PDF, entre otros. Pero la charla que mas llamó mi atención fue la que impartieron David Pérez y José Picó, de Taddong, sobre “Nuevas amenazas en dispositivos móviles”, en la que nos mostraban a través de pruebas reales que los dispositivos móviles, elementos críticos de acceso a información sensible, cada vez más son acechados por nuevas amenazas, y que si no se protegen adecuadamente dentro de poco serán una de las vías de ataque favoritas por los delincuentes.