Continuando con el post de ayer, vamos a seguir hablando de los permisos que requieren las diferentes juegos de Android. Si ayer se habló de las aplicaciones del Market, hoy le toca el turno a las descargadas de sitios no oficiales.

Como hemos indicado, Google realiza un control sobre las aplicaciones que se exponen en el Market, pero debido a lo fácil que resulta para los desarrolladores de malware modificar las aplicaciones de Android, han aparecido “Markets” alternativos con aplicaciones modificadas para no tener que pagar por ellas.

Al igual que ocurre con los cracks para los PCs, no tenemos la certeza de que las aplicaciones descargadas no cometan acciones ilícitas aparte de las que son visibles por el usuario. Ha sido nuestra voluntad establecer si existen diferencias notables entre los permisos que requieren las aplicaciones del Market y los permisos que requieren las aplicaciones descargadas de Internet. Para ello, se ha realizado una descarga masiva de aplicaciones de una web de descargas y se ha realizado un análisis similar al mostrado anteriormente con las aplicaciones del Market.

Android ha implementado diversos mecanismos para garantizar la seguridad de su sistema operativo. Por ejemplo, Android obliga a que las aplicaciones deban estar firmadas digitalmente y que los desarrolladores compartan el certificado con Google para que puedan publicar la aplicación en el Market. También incorpora un mecanismo para aislar las diferentes aplicaciones entre ellas, evitando así que una aplicación pueda obtener datos de otra. Esto ocurre gracias al sistema de permisos por el cual, solo se puede acceder a los recursos que explícitamente se requieran.

Aunque el modelo de seguridad de Android es una gran mejora respecto a los sistemas operativos tradicionales de escritorio, este tiene dos grandes inconvenientes:

• El sistema que utiliza Android para obtener el origen de una aplicación podría permitir a un usuario malintencionado crear y distribuir malware anónimamente.
• El sistema de permisos que utiliza, aunque extremadamente potente, deja en último lugar las decisiones de seguridad al usuario. Desafortunadamente, la mayoría de los usuarios no son técnicamente capaces de tomar esas decisiones, provocando que se instalen aplicaciones que requieren más permisos de los necesarios.

El pasado 7 de diciembre, ENISA publicó un informe con los resultados de una encuesta realizada a diferentes CERTs y otros organismos de ámbito europeo —y alguno extra-comunitario— traducido al castellano como “Detección proactiva de Incidentes de Seguridad”. Esta entrada viene a resumir las conclusiones más importantes que he extraído de este informe según mi valoración.

Dicho informe tiene como finalidad recoger e identificar los distintos métodos que utilizan los CERTs de ámbito europeo para la detección de incidentes de seguridad en las redes de las que son responsables y cómo, a partir de esta información, mejorar los métodos utilizados por otros CERTs para detectar estos incidentes de forma proactiva; se trata una manera de aunar esfuerzos. La definición del término proactivo, en contraposición a reactivo, se refiere en este caso al descubrimiento de actividades maliciosas a través de procesos internos antes de que sean detectados por los propios afectados. Esto último sería en el caso de un incidente notificado a través de un formulario por parte de los afectados o terceros.

Siguiendo con los filtros de acción en .NET, y partiendo de la base de lo que se hizo en el post anterior, esta vez voy a mostrar cómo crear un filtro de acción propio. No es el motivo de este post explicar cómo gestiona Visual Studio las clases y la base de datos de autenticación, así que se usará el sistema que viene por defecto para la demostración.

Si recordáis el estado del programa al finalizar el pasado post, añadimos el filtro [Authorize] en el controlador de la página principal, en la función de About, de manera que al tratar de ver esta página, la aplicación nos redirigía a la página de LogOn. El siguiente paso sería crear dos usuarios distintos en la aplicación. Al primero le voy a llamar ‘pedro’ y al segundo ‘juan’. El filtro va a permitir únicamente a ‘juan’ ver la sección “About”. Así pues, manos a la obra.

El Informe sobre Seguridad en Juegos Online 2011 elaborado por S2 Grupo y cuyo autor es David Lladró está disponible para su descarga [PDF, 1.2MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Antes de que mi jefe me pegue una patada en el culo a lo “Tio Phil”, me corte en pedazos y se haga una hamburguesa por revelar el Plan Estratégico Corporativo os voy a enseñar, para los que no la conocéis, la Web prezi.com. Este site permite realizar presentaciones muy atractivas visualmente mediante el uso desmesurado y frenético del zoom. Hasta ahí todo perfecto y bonito. El problema reside cuando un directivo de una super corporación quiere impresionar al consejo y realiza una presentación con información confidencial, de por ejemplo… el Plan Estratégico de la empresa 2012-2015. Tras terminar el diseño, el descuidado “encorbatado” no sabe que todas las presentaciones realizadas en la plataforma quedan expuestas al público si no se indica lo contrario, es decir se paga por el servicio Premium. A esto hay que sumarle la posibilidad de saber mediante el nombre y apellidos la persona que ha realizado el trabajo. Nuevamente el problema de seguridad no reside en una vulnerabilidad de la plataforma sino en el uso que los usuarios hacen de ella.

Esta Web puede ser un buen recurso a la hora de realizar la fase de “Information Gathering” dentro de un test de intrusión, ya que nos permite obtener nombres de usuarios e información de todo tipo, simplemente poniendo en su buscador el nombre de la entidad bajo análisis.

Os invito a realizar algunas búsquedas y cotillear un poco con cadenas como: “plan estratégico”, “resultados auditoría interna”, “consejo asesor”, “ministerio” y lo que la vuestra imaginación quiera.

(N.d.E. Aprovechando que mañana es el sorteo de Navidad y que el Pisuerga pasa por Valladolid, mañana publicaremos el Informe de Seguridad en Juegos Online 2011. Permanezcan en línea)

Llega la Navidad, y con ella los reencuentros familiares, las comidas, las cenas, los excesos, el cuñado “gracioso”, las abuelas que no paran de llenarte el plato, los niños y como no, los regalos.

Como se puede ver en las noticias estos últimos días, parece que el regalo que más están demandando los niños y niñas españoles a los Reyes Magos y Papá Noel son los dispositivos tipo tablet (con el permiso de las muñecas High Monster).

Pero no solo los más pequeños de la casa están interesados en las nuevas tecnologías, sino que los más mayorcitos también esperan ver junto al árbol o el belén un tablet con su nombre escrito en un papelito.

La mayoría de estos dispositivos, especialmente los destinados a los más pequeños, serán utilizados no como herramientas ofimáticas sino como dispositivos de entretenimiento, donde los juegos ocuparán la mayoría de ciclos de CPU y prácticamente todo el disco.

Esta es mi historia, de quien fui, de donde llegué pero no de quien soy. Tal vez les resulte inverosímil, irreal o aburrida. Yo solo relato los hechos. Son libres de ponerlos en duda.

1999. Primer año de carrera. Elegí informática por un simple y llano motivo: me gustan los ordenadores. A mis tempranos 10 años había estado programando en Basic (¿recuerdan HOME, PRINT…?). Ese año fue realmente interesante; no disponía de ordenador en casa de mis amados progenitores, así que pasaba la mayoría del tiempo en la sala de ordenadores de una Facultad de Informática. Había pocos ordenadores y traían un sistema operativo, digamos que ya viejo, el Windows 3.11 (gran sistema). Éste nos permitia, a un par de amigos y a mí controlar bien la ocupación de la sala ya que enviábamos archivos por red que producían un overflow y la famosa pantalla azul de Windows. Tras unas tres pantallas azules el usuario se iba y nos dejaba el ordenador ya para todo el día. No, no iba mucho a clase, pero bueno, eso es otra historia.

Uno de los operadores que más me gusta a la hora de definir filtros con Wireshark es “matches“. Con este operador podremos extender las limitaciones que nos ofrece el resto de filtros a la hora de localizar determinados patrones en nuestros ficheros pcap. De forma parecida a “contains”, el operador “matches” nos permite buscar por determinadas cadenas de texto así como bytes con la ventaja adicional de soportar PCRE (Perl-compatible regular expression). Este operador será realmente útil a la hora de buscar gran variedad de ataques como DDOS, fuzzing, opcodes que coincidan con ciertos patrones de malware conocido, o, como veremos a continuación, exploits que se aprovechan de un stack/heap overflow.

Pues va a ser verdad eso de que en cualquier lugar o en cualquier momento, nos encontramos con un agujero de seguridad… Yo les pregunto, ¿cuál creen que es lugar más seguro para recoger información de clientes? ¿Qué utilizarían? Verán porqué les planteo esto.

Hace unas semanas iba yo tranquilamente por un conocido centro comercial cuando me ofrecieron un folleto por ser socio en un determinado establecimiento. El objetivo de dicho papel era recoger, de nuevo, los datos de los clientes habituales y ya registrados como tal en su sistema pero para una actualización de los mismos.