Archivo de autor

, 11 diciembre 2012 | Imprime |  Also available in English

Hace ya algún tiempo tuve la oportunidad de gestionar un incidente de seguridad utilizando una técnica de estafa basada en el clásico Man in the Middle, pero lo curioso es que el ataque no estaba ejecutado en capas de enlace, red o transporte sino en la de aplicación, más concretamente por correo electrónico. El caso fue el siguiente…

La empresa “A” solía realizar compras importantes de materia prima a proveedores residentes en otros países; para que éstos pudieran comenzar el proceso de producción, se les solicitaba a la compañía “A” un % inicial como adelanto. Cuando el pedido llegaba a la península, antes de su entrega, se procedía al pago de la cantidad restante.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 8 votes)
Loading ... Loading ...






, 10 julio 2012 | Imprime

Aprovechando una maqueta que tenía montada para un proyecto y esos buenos ratitos en la T4 de Barajas esperando ese enlace que nunca llega, me dispuse a realizar un pequeño experimento del nivel de concienciación que hay en cuanto al uso de puntos de acceso WiFi públicos. La infraestructura era simple: un portátil, un pincho 3G y una tarjeta Wifi RT2500 USB (vieja ya, pero va de lujo). No daré muchos más detalles técnicos porque tampoco es el caso, pero por si tenéis curiosidad: Debian, con hostapd para la parte del punto de acceso, iptables para enmascarar, dnsmasq como DHCP y PPTP para la parte del 3G.

La idea era levantar un punto de acceso WiFi sin ningún tipo de control de acceso, es decir sin autenticación ni cifrado, ofreciendo conexión a Internet gratis. La verdad es que el entorno era bastante favorable ya que en la T4 existen un par de zonas Wifi pero de pago, por lo que eso hizo incrementar notablemente el efecto llamada. Al utilizar una tarjeta WiFi USB con antena integrada, la potencia de la señal hacía que la gente tuviera que acercarse bastante para obtener cobertura. Me hubiera gustado hacer una foto aérea del entorno, pero imaginar cual bombilla en la noche cortejada por un enjambre de polillas, a gente variopinta con variopintos dispositivos, todos a la caza de la señal inalámbrica. Resultaba todo bastante gracioso.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 25 mayo 2012 | Imprime

Ayer S2 Grupo entregó los premios al primer concurso de criptografía organizado por la ETSINF de la Universidad Politécnica de Valencia y patrocinado por esta casa, en el marco de las actividades propuestas para el Año Turing.

La amplia participación y el interés del alumnado fue muy alto, llegando a presentar resultados más de 50 estudiantes. Los criptogramas de Vigenère divididos en cuatro bloques de dificultad con cuatro retos cada uno propuestos por el profesorado de la ETSINF, fueron resueltos en menos de un día, demostrando el alto nivel de los participantes.

S2 Grupo, de la mano de nuestro director de seguridad Antonio Villalón y un servidor entregaron a los ganadores su bien merecido premio, un iPad para el primer clasificado, Salvador Arnal Julián y sendos iPods para el segundo clasificado, Rafael Boix Carpi y terceros, Vicent Selfa Oliver y Eduardo Pablo Novella Lorente.

Agradecer por último el interés mostrado por los participantes y el esfuerzo de la ETSINF en todas las actividades que están realizando para conmemorar el centenario de este Año Turing 2012. Para el año siguiente ya se está barajando la posibilidad de organizar un reto hacking que ponga a prueba las habilidades de los alumnos de esta escuela, por el momento enhorabuena a los premiados por su esfuerzo.

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 16 mayo 2012 | Imprime

Recopilando nuevas tendencias e investigaciones sobre detección de intrusos, existe lo que se denomina ABAIS o Sistemas Inmunes Basados en Agentes Artificiales. Este tipo de sistemas tratan de emular las defensas del cuerpo humano para ofrecer una solución técnica que permita no solo identificar posibles intrusos en un sistema sino incluso acabar con ellos. Existe numerosa bibliografía detrás de este concepto, que comenzó a principios de la pasada década con Harmer P.K.

Como concepto derivado de un BIS o Sistema Inmune Biológico, los trabajos han sido orientados al seguimiento básicamente de tres paradigmas:

  • La Selección Negativa
  • Clonación Selectiva
  • La teoría de la señal de riesgo

No me gusta esta entradaMe gusta esta entrada (+4 rating, 4 votes)
Loading ... Loading ...






, 7 mayo 2012 | Imprime

Hoy comienza el reto de criptografía organizado por la Escuela Técnica Superior de Ingeniería Informática de la Universidad Politécnica de Valencia y patrocinado por S2 Grupo.

La prueba en la que participan alumnos de Ingeniería Informática de esta Universidad, está enmarcada dentro de las actividades propuestas para del Año Turing. Las bases de la competición las podéis encontrar en el siguiente enlace; los alumnos deberán resolver doce criptogramas dentro de cuatro niveles de dificultad diferentes, donde todos ellos han sido cifrados mediante el algoritmo Vigenèrè. El cifrado de Vigenère es un cifrado de sustitución simple polialfabético, basado en el clásico Cesar y muy amigo de Friedrich Kasiski ;)

Para dar como válida cada solución, se deberá entregar tanto el texto en claro como la cadena de cifrado. Para aquellos crackeadores de códigos que aporten la solución en el menor tiempo posible, S2 Grupo como patrocinador, aportará los siguientes premios:

1º: iPad 2, WIFI 16GB
2º: iPod nano 8GB
3º: iPod shuffle

Los sufridos regalos serán entregados a finales de este mismo mes en las instalaciones de la ETSINF.

No me gusta esta entradaMe gusta esta entrada (+4 rating, 4 votes)
Loading ... Loading ...






, 19 abril 2012 | Imprime

Si eres un administrador de seguridad o de sistemas y estás interesado en identificar que usuarios de tu red están utilizando el servicio de LogMeIn para conectarse a equipos de tu trabajo, no busques más: este es tu post. La única premisa es que necesitaras Snort para ello.

Vamos pues al tema. El esquema básico de comunicación de LogMeIn está formado por 3 elementos: un servidor propiedad de esta compañía, el equipo al que queremos conectarnos (un PC por ejemplo) y el equipo desde el que queremos conectar (PC, servidor, Smartphone, etc). Inicialmente y tras instalar el agente en la máquina Host, esta iniciará una conexión a los servidores de LogMeIn para enviar un Heartbeat TCP cada 30 segundos, manteniendo así una conexión abierta SSL capaz de remitir comandos al Host. En este punto podríamos crear una firma de Snort para identificar qué equipo tiene el agente instalado, pero perderíamos en este caso la dirección del cliente desde donde se intentan conectar, dado que la IP destino sería la de los servidores de LogMeIn (212.118.234.0/24, 64.74.103.0/24). Al margen de esto el NAT puede también jugarnos alguna mala pasada enmascarándonos la dirección origen.

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 21 diciembre 2011 | Imprime

Antes de que mi jefe me pegue una patada en el culo a lo “Tio Phil”, me corte en pedazos y se haga una hamburguesa por revelar el Plan Estratégico Corporativo os voy a enseñar, para los que no la conocéis, la Web prezi.com. Este site permite realizar presentaciones muy atractivas visualmente mediante el uso desmesurado y frenético del zoom. Hasta ahí todo perfecto y bonito. El problema reside cuando un directivo de una super corporación quiere impresionar al consejo y realiza una presentación con información confidencial, de por ejemplo… el Plan Estratégico de la empresa 2012-2015. Tras terminar el diseño, el descuidado “encorbatado” no sabe que todas las presentaciones realizadas en la plataforma quedan expuestas al público si no se indica lo contrario, es decir se paga por el servicio Premium. A esto hay que sumarle la posibilidad de saber mediante el nombre y apellidos la persona que ha realizado el trabajo. Nuevamente el problema de seguridad no reside en una vulnerabilidad de la plataforma sino en el uso que los usuarios hacen de ella.

Esta Web puede ser un buen recurso a la hora de realizar la fase de “Information Gathering” dentro de un test de intrusión, ya que nos permite obtener nombres de usuarios e información de todo tipo, simplemente poniendo en su buscador el nombre de la entidad bajo análisis.

Os invito a realizar algunas búsquedas y cotillear un poco con cadenas como: “plan estratégico”, “resultados auditoría interna”, “consejo asesor”, “ministerio” y lo que la vuestra imaginación quiera.

(N.d.E. Aprovechando que mañana es el sorteo de Navidad y que el Pisuerga pasa por Valladolid, mañana publicaremos el Informe de Seguridad en Juegos Online 2011. Permanezcan en línea)

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 26 septiembre 2011 | Imprime

Pegando un vistazo a las presentaciones de la última Black Hat me sorprendió bastante la última de Mark Russinovich sobre “Zero Day Malware Cleaning with the Sysinternals Tools”. Mark ha incorporado mejoras notables en esta suite de herramientas gratuitas, para contribuir a la causa y profundizar un poco más en ellas, me animé a comprar el libro. En tan solo 23 páginas ya había amortizado los 31$ con cositas tan interesantes sobre estas tools y el sistema operativo de Microsoft, como las que paso a comentar.

En primer lugar Mark pasa a comentar aspectos generales del funcionamiento interno de Windows Vista, 7 y 2008 en cuanto al control de la autorización de seguridad. Cuando por ejemplo un usuario administrador se loguea en estos sistemas mencionados, se crean 2 tokens de sesión (creados por el LSA, Local Security Authority), uno con todos los privilegios y otro con los privilegios acotados. Este último se utiliza para crear los procesos iniciales userinit.exe y explorer.exe, así como los hijos de los mismos. Para ejecutar un proceso con el full token se requiere de una elevación UAC (User Account control), realizada por el servicio Aplication Information (Appinfo). Por lo tanto si queremos ejecutar por ejemplo un runas.exe con las credenciales de un administrador, deberemos tener en cuenta que se ejecutará con los privilegios de usuario estándar de esa cuenta. Solo hay una excepción y es el usuario administrador por defecto (que viene deshabilitado inicialmente). Por lo tanto se ha de especificar que se quiere ejecutar con permisos elevados, si queremos hacer algo que requiera privilegios más allá de un usuario normal. El modo de trabajo en UAC se puede deshabilitar y por lo tanto se vuelve al modelo de Windows XP (peligroso ya que incluso el Internet Explorer corre con máximos privilegios).

No me gusta esta entradaMe gusta esta entrada (+10 rating, 10 votes)
Loading ... Loading ...






, 25 julio 2011 | Imprime

(You can find the English version of this post clicking here, or scrolling down some paragraphs)

Desde hace algún tiempo hemos estado trabajando en el desarrollo de un preprocesador para la sonda de detección de intrusos de Snort capaz de aprender de una red el conjunto de activos que la conforman, así como los servicios que estos ofrecen, de una forma totalmente pasiva. Esta aproximación nos otorga la ventaja de poder obtener un mapeo de puertos sin interactuar con las máquinas del entorno. A su vez y dependiendo de la topología de red, esto nos permite obtener información de hosts sobre los que posiblemente no tengamos visión directa sobre ellos, bien porque estén desconectados o bien porque existen reglas de filtrado que no nos permitan llegar a ellos. Este puede ser el caso de una gran red donde gestionamos un Sistema de Detección de Intrusos basado en Snort, capaz de observar todo el tráfico de red, pero donde el segmento del equipo del administrador de seguridad carece de visibilidad sobre ciertas subredes de la organización. Otra de las capacidades es la de observar de forma rápida el conjunto de activos y servicios de nuestra red con tan solo consultar su base de conocimiento. Un ejemplo de la misma se muestra a continuación:

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 25 febrero 2011 | Imprime

Fruto de los últimos tests de penetración que hemos realizado me gustaría compartir con nuestros lectores una herramienta que he desarrollado “Quick-and-dirty” en Python para entornos donde un cortafuegos está bloqueando el tráfico de inicio de conexión TCP de salida a Internet, pero no el UDP. El escenario propuesto se trata de un clásico caso de post explotación donde hemos conseguido ejecutar código como root en una máquina Linux del segmento de usuarios o de DMZ. El problema es que no podemos iniciar conexión de un terminal (telnet, ssh, vnc…) hacia nuestra máquina remota, ni tampoco dado que no hay NAT, desde el atacante al servidor comprometido. Pero gracias al “hábil” administrador del Firewall el tráfico UDP está permitido de salida.

No me gusta esta entradaMe gusta esta entrada (+9 rating, 9 votes)
Loading ... Loading ...