(Ciber) GRU (I): Introducción

Como ya adelantamos en el post donde se hablaba de él, dentro de la serie sobre la Comunidad de Ciberinteligencia rusa, el GRU (GU) es el más opaco de los servicios rusos, manteniendo casi intacta su herencia soviética frente a los “occidentalizados” FSB o SVR: de hecho, la estructura y funcionamiento del Servicio no ha sido especialmente conocida, siendo la principal referencia [1] hasta hace más bien poco. Más allá de datos puntuales de operaciones sin una atribución clara, o de las identidades de su Director y Directores Adjuntos -nada secreto-, poco o nada se sabía del Servicio. Sin embargo, y seguramente muy a pesar del GRU, en 2018 hay -hasta ahora- tres hechos que dan un giro radical a esta opacidad: [Read more…]

¿Continuidad de negocio en un SGSI?

En este artículo se analiza qué cambió en la saga de estándares ISO 27002 respecto de la continuidad de negocio.

Introducción

En este artículo se aborda el posible solape entre 2 disciplinas bastante relacionadas entre sí, aunque cada una con su área específica: la seguridad de la información y la continuidad de negocio. En particular, se analiza el grado en que los 2 estándares de referencia (ISO 27001 e ISO 22301) están, o no, solapados.

En un artículo aparte trataré las áreas de confluencia de ambos mundos y cómo puede llevarse a cabo la implantación de ambos estándares sin caer en redundancias innecesarias.

La razón de escribir este artículo se debe a que, en no pocas ocasiones, me han manifestado cosas como:

  • “Si tengo un SGSI certificado, entonces ya tengo continuidad de negocio”
  • “Para que una organización cumpla con los controles del capítulo 17 de la ISO 27002, basta con que tenga hecho un BIA y disponga de un DRP”

[Read more…]

Las 5 claves de un Plan de Seguridad del Operador para un servicio de salud

(Esta entrada ha sido elaborada por Juan Carlos Muria y Samuel Segarra.)

Y finalmente llegó: El Plan Estratégico Sectorial (PES) para el sector de la salud fue publicado a finales de octubre, y ahora llega el momento, para los operadores elegidos, de redactar el Plan de Seguridad del Operador (PSO) en menos de seis meses, sin olvidar que a continuación sólo habrá cuatro meses para detallar los Planes de Protección Específicos (PPE) para cada una de las infraestructuras críticas, y finalmente los Planes de Apoyo Operativo (PAO).

Esto es lo mínimo requerido por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), como respuesta a las reuniones mantenidas y los correos intercambiados con los distintos operadores.

La estructura de estos planes viene definida por el propio CNPIC, con lo que hemos preferido poner el foco en las cosas que un operador del ámbito sanitario debe tener en cuenta, y ya que estamos en un blog y el contenido debe ser breve y concreto, hemos decidido destacar las 5 cosas más importantes, las que no deben faltar en un PSO ¿Comenzamos?
[Read more…]

¿Quién asume las responsabilidades ante errores cometidos por robots inteligentes?

Como bien sabemos todos los que tenemos cierto interés en este sector, la robótica representa uno de los grandes progresos tecnológicos del S.XXI. No obstante, para que este avance se realice con garantías debe ir acompañado de un marco normativo transparente y dinámico que unifique y clarifique todas aquellas incertidumbres que la robótica genera. Sin embargo, nos encontramos con que hoy día no existe un marco normativo de estas características ni a nivel nacional,  ni europeo o internacional.

No obstante, sí hay dos referencias que vale la pena tener en cuenta.

En primer lugar, la recomendación del Parlamento Europeo [1] para el establecimiento de una serie de normas en materia de responsabilidad.  Al encontrarnos ante una posible “nueva revolución industrial” en la que la sociedad se ve abocada a una era de robots, bots, androides y otras formas de IA más avanzadas, resulta imprescindible que el legislador tenga en consideración las consecuencias que pueden originar el uso e implantación de dichos aparatos en nuestra vida cotidiana.

También, partiendo de la base de que no existe regulación alguna para este nicho de mercado, hemos de mencionar la norma ISO 13482, restringida al ámbito de los robots de cuidado personal. No obstante, este estándar no regula ningún tipo de responsabilidad, ni plantea cuestiones sobre el impacto que puede implicar en los derechos fundamentales el uso de los robots de cuidado personal. [Read more…]

Win7, 8, 10, 2008, 2012 32/64bits exploit programador de tareas vía ALPC (CVE-2018–8440)

Hace ya un par de meses, el 27 de agosto de 2018, la investigadora de seguridad “SandboxEscaper” liberó un exploit de escalda de privilegios a SYSTEM para entornos Windows 10 64bits y que fue catalogada como CVE-2018-8440, con su consecuente parche en septiembre. Desde entonces sentía curiosidad por darle un vistazo al exploit y probarlo en otras versiones de Windows. Inicialmente, como es normal, no funcionó. Busqué por la red si existía alguna PoC modificada que lo hiciera, pero salvo algunos tweets con alguna pista, no encontré nada realmente funcional, así que me decidí a ver que se podía hacer. Después de echarle algunas horas y de varias broncas con la parienta, a continuación os muestro mi aproximación para portar el exploit a Win7, 8, 10, 2012 32/64bits, haciéndolo más generalista y estable que la versión original.

En primer lugar, vamos a ver en que consiste la vulnerabilidad y posteriormente el exploit. No voy a profundizar en ello ya que numerosos blogs ya han comentado el problema. Por último detallaremos la investigación realizada hasta llegar a hacer el exploit portable. [Read more…]

5ª edición del programa formativo de S2 Grupo: ENIGMA

El equipo de S2 Grupo quiere compartir con todos los lectores de Security Art Work que el pasado lunes dio comienzo la 5ª edición del programa formativo insignia de S2 Grupo, ENIGMA.

El programa ENIGMA complementa la formación universitaria, focalizándose en la ciberseguridad, desde un punto de vista eminentemente práctico. Con unos cuantos años a sus espaldas, ENIGMA representa uno de los proyectos de referencia para los estudiantes universitarios, que tienen la posibilidad de aprender sobre el terreno, distintas disciplinas de la ciberseguridad.

15 jóvenes talentos que cursan sus últimos años, o recién licenciados, de carreras como Ingeniería Informática, de Telecomunicaciones e Industriales han sido seleccionados de entre los más de 150 inscritos.

El programa ENIGMA pretende formarlos en materia de ciberseguridad e inteligencia con la intención de ofrecerles, a posteriori, la posibilidad de incorporarse a nuestra plantilla como empleados. [Read more…]

YaraRET (I): Carving con Radare2 y Yara

Durante la gestión de casos forenses, hay veces que nos encontramos en un callejón sin salida, donde tras la detección de un indicador de compromiso de carácter crítico, nos toca abordar un análisis con evidencias poco sólidas.

Es por ello, que decidí llevar a cabo el desarrollo de una herramienta de carving que se basara en la detección con reglas Yara. Dicha herramienta también debía de manejar archivos en raw y ser capaz de llevar a cabo una gran variedad de opciones sobre estos datos de manera flexible, por lo que decidí utilizar Radare2.

De esta combinación nació YaraRET, una herramienta de carving de ficheros desarrollada en Go, cuya versión estable está disponible en el repositorio de YaraRules: https://github.com/Yara-Rules/YaraRET

La versión de desarrollo puede ser encontrada en el siguiente repositorio: https://github.com/wolfvan/YaraRET

Así pues, durante el siguiente artículo se va a exponer la resolución de un caso forense ficticio con YaraRET, el cual está basado en la combinación de varios casos que me he ido encontrando desde hace unos cuantos meses. [Read more…]

Mi5terio resuelto

Día típico de otoño, por la ventana solo se aprecia un cielo gris. Es el típico día en el que crees que no va a suceder nada extraño. De repente nuestro sistema de vigilancia alerta de unas conexiones anómalas: un equipo ha intentado conectarse contra unas direcciones IP de origen desconocido. Estas direcciones IP son públicas y, según la configuración establecida en la organización, toda conexión HTTP hacia el exterior debe pasar a través de un proxy.

Las conexiones se buscan en los registros del proxy y no se encuentran, por lo tanto este equipo ha intentado conectarse directamente, haciendo caso omiso a la configuración del sistema. [Read more…]

Laboratorio de hacking III: Nexx WT3020F SWORD

En esta parte de la serie de artículos de creación de herramientas trataremos el montaje de una dropbox que podremos dejar abandonada en una red a la que queramos tener acceso.

SWORD es un portal web instalado en un pequeño dispositivo, normalmente un router, en el que puedes hacer un pivote y hacer ataques desde él mientras el equipo principal se puede dedicar a otras cosas.

Su funcionamiento puede recordar a la herramienta Packet Squirrel de Hak5 en cuanto al tamaño y finalidad, aunque difiere un poco en su forma de trabajar. Mientras que Packet Squirrel  se conecta entre un host y el hub de red y selecciona 1 de entre 3 payloads que tiene precargados vía switch físico, SWORD se conecta de la misma manera pero tiene todo lo necesario precargado de forma que es necesaria una conexión hacia él, ya sea vía red física o por un punto de acceso que creemos desde el dispositivo, aunque si usamos este último, no podremos utilizar algunos ataques Wifi como por ejemplo los destinados a WEP y WPA. [Read more…]

Pasito a pasito: Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Seguimos avanzado en el trámite parlamentario para que el ordenamiento jurídico español tenga su nueva ley en materia de protección de datos. El pasado día 9 de octubre se presentaba el Informe emitido por la Ponencia sobre el proyecto de ley de protección de datos en la Comisión de Justicia del Congreso de los Diputados. Hoy, 17 de octubre, se publica el Dictamen de la Comisión que eleva a la Presidencia de las Cortes el recién rebautizado Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Tras este dictamen de la Comisión de Justicia, el proyecto de ley está muy encarrilado para ser aprobado definitivamente, si todo va bien, en los próximos meses. Poniendo el énfasis en los cambios respecto al texto inicial del proyecto de ley presentado a finales del año pasado, cabe destacar la inclusión del Título X relativo a distintos derechos digitales, que más allá de la controversia suscitada, puede llegar a ser una garantía para la protección de los datos en Internet, la educación respecto a la seguridad de la información en colegios y universidades, y la garantía del cumplimiento del derecho al honor y a la intimidad personal y familiar, tal como se establece en el artículo 18.4 de la Constitución. [Read more…]