Continuando con la anterior entrada sobre Echelon, aparte de esa archiconocida red ha habido, y continúa habiendo, otras instituciones y países que se han unido a la utilización de estas prácticas creando sus propias “redes espía”. El FBI, sin ir más lejos, tenía su propio software llamado Carnivore, el cual nació en octubre de 1997 como sucesor de Omnivore y fue reemplazada en 2005 por el software comercial NarusInsight, que explicaremos en el siguiente post de la serie.

Carnivore funcionaba básicamente como un sniffer más que era utilizado bajo el sistema operativo Microsoft Windows. Su tecnología era bastante sencilla y común, pero lo que marcaba la diferencia y la efectividad era que podía ser instalado en los proveedores de Internet o en cualquier otro punto en el que se tuviera un acceso preferente a los datos que se intercambiaban en las comunicaciones. Además de este factor tan importante, como es la posición donde se situaba, su funcionalidad clave era el gran poder de filtrado del que se disponía, siendo éste su elemento diferencial. En la imagen podemos ver una captura de su interfaz de configuración.

A raíz de la entrada del correo electrónico donde se enlazaba a un troyano bancario, comencé a desarrollar un programita que tenía en mente desde hacía tiempo. Se trata de un recolector de Malware de correos electrónicos, encargado de acceder a distintas cuentas de correo, obtener el correo electrónico, almacenarlos en base de datos, y en caso de poseer adjuntos, ser analizados con la API de Virus total.

Veámoslo con más detenimiento. Primero será necesario disponer de una serie de sondas, correspondientes a cuentas de correo electrónico perteneciente en distintos servidores públicos como son Gmail, Yahoo o Hotmail, así como una serie de correos privados como por ejemplo el corporativo. Dichas cuentas de correo solo se usarán para recoger el correo que llegue a la bandeja de entrada y Spam. Para ello en ocasiones será necesario hacer filtros para trasladar el correo de la carpeta Spam a bandeja de entrada. Por ejemplo para Gmail sería necesario crearse un filtro de tipo texto con la siguiente entrada “is:spam” e indicar que debe enviarse como correo no leído a la bandeja de entrada. Con esto dispondremos de varias cuentas de correo distribuidas sobre distintos servidores de correo cuyo único objetivo es almacenar los correos de entrada.

Hace ya años que quiero publicar, por estas fechas, un post (quizás algo offtopic, ustedes dirán ;) que hable de la seguridad -de las personas en este caso- a la hora de disfrutar de una afición que muchos compartimos: el estudio de las setas y hongos, el interés por su identificación y recolección y, por supuesto, su valor gastronómico. Por estas fechas por un motivo obvio: estamos ahora en la temporada de setas por excelencia, ya que aunque setas hay todo el año es en primavera, y sobre todo en otoño, cuando más ejemplares y de más especies podemos encontrar en nuestros bosques, y por tanto cuando nos lanzamos, cesta en mano, a su recolección…

Este año no ha sido especialmente bueno en -creo- ningún punto de España para los aficionados a la micología; un verano demasiado seco y caluroso, y las lluvias otoñales que se han hecho esperar más de lo debido, han motivado que en la mayor parte del país podamos disfrutar más bien poco de una jornada en el campo buscando setas… y contando con que el invierno -y por tanto el hielo y la nieve- están al caer, la temporada podemos decir que está siendo más bien inexistente. Pero aún así, ayer ya aparecía en los medios el primer caso de muerte esta temporada por ingesta de setas en Mataró (Barcelona). Todos los años fallecen varias personas por este motivo: la ingesta de setas tóxicas. Muy pocas setas son mortales, pero si tenemos la desgracia de consumir alguna de ellas, las consecuencias son claras…

Los sistemas de monitorización social comúnmente conocidos como redes de espionaje, son mecanismos, normalmente gubernamentales, que se encargan de interceptar y analizar todo el tráfico que se transmite por las comunicaciones electrónicas, para así, como “ellos” lo definen, poder detectar y anticiparse a ataques terroristas, planes de narcotráfico y conspiraciones políticas entre otras funciones.

Existen diversos sistemas que cumplen estas características y con esta serie de posts me gustaría hacer una pequeña introducción a algunos de ellos.

Echelon

La red Echelon es considerada como la mayor red de espionaje creada para la interceptación de comunicaciones electrónicas de toda la historia y es el sistema de espionaje más conocido de todos sin lugar a dudas. Se han escrito multitud de libros e incluso se ha hecho alguna película (“Echelon conspiracy”) donde tenemos a Echelon como principal “protagonista”.

La semana pasada se publicó en El Mundo una noticia en la que se hablaba de que la privacidad que Facebook aplica a las fotos que subimos a la red social, de la que @mkpositivo se hizo eco a través del twitter.

En la noticia se indica que, cualquier usuario, sin necesidad de estar registrado en Facebook, puede acceder a cualquier foto hospedada en la red social, previo conocimiento de su URL.

Veámoslo mejor con un ejemplo. A continuación se puede ver una foto subida por mí a Facebook. Se puede ver como en la configuración de visibilidad aparece compartida únicamente con mis amigos.

Si pulsamos con el botón derecho encima de la foto y seleccionamos la opción “Propiedades” en Internet Explorer, “Ver información de la imagen” en Firefox, o “Copiar URL de imagen” en Chrome, podemos obtener la URL de la foto. Luego solo es necesario pegarla en otro navegador distinto, o acceder tras hacer cerrado la sesión.

El 7 de noviembre pasado el Tribunal Constitucional (TC) hizo pública una sentencia mediante la que rechazaba conceder amparo a un pedófilo condenado a 4 años de cárcel por la Audiencia de Sevilla que alegaba que se había atentado contra su derecho a la intimidad (ver sentencia).

Les resumo el caso. Un “caballero” lleva a una tienda de informática su portátil para que le cambien el DVD. El técnico que repara el equipo detecta contenidos pornográficos con menores en el equipo, y lo pone en conocimiento de la Policía Nacional, que interviene el portátil, confirma los hechos y lo pone en manos del juzgado.

Mi primera reacción al leer el titular de la noticia es de satisfacción. Otro mal nacido sobre el que cae el peso de la justicia. Pero al leer con un poco más de detalle la noticia y hacer una lectura rápida de la sentencia empiezo a preocuparme y aun a riesgo de no ser comprendido por tratarse del caso de que se trata, me gustaría compartir con ustedes una serie de reflexiones.

La semana pasada Justo Zambrana, Secretario de Estado de Seguridad, alertaba de la debilidad de las infraestructuras críticas en lo que a tecnologías de la información se refiere y hablaba del riesgo de ciberataques contra éstas; unos días más tarde, este mismo fin de semana, ha saltado a los medios ([1], [2], [3]…) el supuesto ataque telemático contra una planta de tratamiento de agua en Springfield (Illinois) -no, no es el Springfield en el que estais pensando…-. Unos piratas rusos -presuntamente- han conseguido romper la seguridad de los sistemas SCADA de la planta y quemar una bomba de agua; aunque no parece haber habido problemas de abastecimiento para la población, se trata del primer ciberataque contra una infraestructura crítica estadounidense según Joe Weiss, reconocido experto en la materia, y el problema no parece ser lo que los piratas hayan hecho, sino (a) lo que han podido hacer y (b) el tiempo que los responsables de la planta han tardado en detectar y reaccionar…

Sea o no cierto que el ataque se ha producido, sea o no cierto que se ha producido desde Rusia contra los Estados Unidos -en recuerdo de épocas pasadas-, sea o no cierto que no ha habido riesgo de desabastecimiento -o de algo peor- para la población, el caso es que esta noticia, este hecho, viene a poner de nuevo en el punto de mira -y ya van muchas veces- la seguridad de nuestras infraestructuras críticas no sólo desde el punto de vista tradicional sino también desde el punto de vista “cibernético”. A los componentes de seguridad “clásicos”, como la protección mediante personas frente a ataques físicos del enemigo, se han añadido estos años componentes de seguridad menos habituales, fruto de la convergencia de la seguridad de la que tanto se ha venido a hablar durante la primera década del siglo. Dicho de otra forma, si hace dos mil años la única manera de atacar una infraestructura crítica era mediante el uso de ejércitos a pie o caballo, o si hace cincuenta años la única forma de hacerlo era mediante ejércitos con tanques, barcos y aviación, hoy en día a estas tres armas se une un punto de vista adicional: el de la ciberguerra. O el del ciberterrorismo. O simplemente, el del cibervandalismo. Acciones clásicas con el prefijo “ciber”, que viene a decir que se desarrollan a través de redes de computadores. Sin un despliegue de miles de hombres y sin un nivel de riesgo considerable para el atacante, estas acciones pueden llegar a sustituir a –o al menos, convivir con- las anteriores, constituyendo un nuevo escenario de seguridad y defensa que preocupa a todos los estados del mundo: el de la ciberseguridad y ciberdefensa, en especial en lo relativo a protección de infraestructuras críticas.

Recientemente el CSIRT-cv y el INTECO-CERT han publicado una guía denominada “Pentest: Information Gathering” (140 págs), del que son autores Borja Merino Febrero (@BorjaMerino), habitual colaborador de este blog (y magnífica persona, por lo que pude comprobar en mi visita a León) y José Miguel Holguin (@J0SM1, y que también es otra magnífica persona :), y cuya lectura es totalmente recomendable.

El objetivo principal de la misma es informar sobre algunas de las técnicas que los ciberdelincuentes utilizan para obtener información sobre empresas y organizaciones. Uno de los aspectos más significativos y destacables de esta guía es su enfoque real a la hora de detallar muchas de estas técnicas mediante ejemplos prácticos (utilizando herramientas como Metasploit, Maltego, Nmap, la Foca, etc.).

Lejos de detallar aspectos relacionados con la gestión de la seguridad de la información, el informe ofrece una visión más práctica orientada a responsables de seguridad con un perfil más técnico que administrativo. La guía puede servir de gran apoyo técnico a la hora de implementar contramedidas contra algunos ataques que posiblemente ni siquiera se habían valorado a la hora de crear políticas de seguridad. El enfoque utilizado para explicar muchos de estos ataques (utilizando ejemplos explícitos) puede ayudar a concienciar de manera más eficaz a responsables de seguridad que mediante recomendaciones puramente conceptuales, que en la práctica son difíciles de implementar.

Nmap es una archiconocida herramienta de escaneo de red. Seguramente todos los que estéis leyendo esto la habréis utilizado alguna vez. Permite de forma muy sencilla hacer una enumeración de los equipos que hay conectados a una red, o descubrir los servicios disponibles en una máquina. Cuando hacemos esto de forma ocasional, y para un escaneo de una red pequeña, o para un solo equipo, no nos paramos a pensar en afinar la configuración, y escribimos la ristra de parámetros que nos sabemos de memoria. En mi caso suelo usar:

# nmap -T4 -A ip-host

Esta configuración hace un escaneo TCP de tipo SYN scan, que es el tipo por defecto si no le especificas de otro tipo. Utiliza una plantilla de tiempo bastante agresiva (-T4), y además ejecuta detección de sistema operativo, de versión de servicios, uso de scripts, y traceroute (-A) Todo esto, como ya hemos comentado, puede ser adecuado si el escaneo se lo realizamos a una única máquina. Pero cuando estamos hablando por ejemplo de hacer un escaneo a una clase B entera, se hace imprescindible optimizar el máximo posible la configuración del escaneo, ajustar al máximo los tiempos y lanzar únicamente las sondas que sean necesarias. Veamos como ajustar los rtt con valores personalizados.

Como ya adelantamos en la entrada anterior, el proceso de aprendizaje y demostración de Spring Security lo llevaremos a cabo construyendo una aplicación web. Para ser más precisos, se trata de una aplicación web colaborativa que permitirá a los usuarios organizar, crear y compartir sus colecciones musicales (álbumes, discos, artistas). Además, podrán planificar y tener noticias actualizadas de los últimos eventos musicales, crear anuncios de trabajo relacionados con la música, listas de reproducción, etc. Actualmente, solo una pequeña parte de la funcionalidad anteriormente dicha está implementada, pero que iremos completando en las próximas entradas. En la siguiente imagen se aprecia la página principal de nuestra aplicación.

Se pueden diferenciar claramente tres zonas: