¿Y si no podemos usar herramientas?

A muchos nos ha pasado que estando en el desarrollo de una auditoria, nos damos cuenta de que el cliente posee métodos de protección como Firewall, Waf, IDS, IPS, etc. O que por el contrario, su sistema es tan inestable que cualquier exceso de peticiones o escaneo activo le puede ocasionar una denegación de servicios, afectando la disponibilidad de su activo, y de paso ocasionándonos como auditores un problema mayor.

Personalmente,  además del uso de algunas herramientas como apoyo, me gusta hacer un análisis manual del sitio a auditar, pues viendo cómo se comporta ante peticiones bien formadas (esperadas) o peticiones mal formadas (inesperadas), es cómo se logra entender el funcionamiento del sitio web y cuáles fueron las posibles fallas que el desarrollador pudo tener al momento de codificarlo.

[Read more…]

Corea del Norte: la Unidad 121

Corea del Norte ha sido, desde 1953, un país conocido por su hermetismo. Se ha sabido que ni los ciudadanos que pueden acceder a la electricidad tienen acceso a Internet. Podemos suponer bastante acertadamente el porqué de esta prohibición. En el país norteño de la península se dispone de una intranet llamada “Kwangmyong”, que, obviamente, es monitorizada por el gobierno. Hace no mucho, incluso, se supo por una filtración del DNS del dominio .kp que éste sólo disponía de 28 sitios web. Se supone, además, que sólo 3 millones de los 25 que hay de habitantes usan smartphones.

Sin embargo, a pesar del aparente “retraso tecnológico” que se percibe, se conoce que el gobierno invierte una tercera parte de sus presupuestos en el ejército, y de esa cantidad, un 10-20% va a la unidad de informática.

El gobierno hace una buena tarea de “ojeador”, atrayendo a los mejores informáticos de la universidad de Pyeongyang y añadiéndolos entre sus filas. Es un trabajo privilegiado cargado de honor que, además, les asegura una vida de comodidad a cambio.

[Read more…]

Hackeando tu intimidad

Existen multitud de comodidades relacionadas con el uso de Internet en nuestro día a día, pero también debemos ir asimilando que cuando algo se puede conectar a la red, es susceptible de ser hackeado.

Y un ejemplo de eso son los juguetes sexuales. Efectivamente, los nuevos juguetes sexuales inteligentes que funcionan asociados a apps y permiten comunicar con otros a través de la red, pueden ser vulnerables al ataque de piratas informáticos.

El problema no es que alguien vaya a hackear tu dildo en pleno uso (¡que también!), teniendo el control de las velocidades e intensidades durante esos momentos de placer, sino el potencial acceso a la esfera privada de la persona, espiando sus prácticas o recavando información sobre su persona.

[Read more…]

¡Cumplimos diez años!

No hay blog que se precie que no publique cada cierto tiempo una entrada conmemorando el aniversario de su nacimiento, con el único propósito (no carente de narcisismo) de mirarse el ombligo y decir aquello de “Cómo hemos cambiado”, que cantaban Presuntos Implicados en 1991.

Por lo general, se trata del primer aniversario, el segundo, quizá incluso el tercero, y luego ya se pasa al quinto, el décimo, el decimoquinto, el vigésimo, y ya saben cómo sigue la serie. Resulta curioso que a partir de cierto momento, limitemos los aniversarios a los múltiplos de cinco. No es habitual, que yo sepa, celebrar el séptimo o undécimo o vigésimo tercer aniversario de un acontecimiento. En fin, cavilaciones mías.

[Read more…]

¿Está tu NAS expuesta a Internet?

El uso generalizado de dispositivos conectados a la red, como carros (automóviles), equipos médicos, controladores industriales (PLC), electrodomésticos, etc., ha traído consigo un panorama nuevo y extremadamente vulnerable.

Si bien se ha avanzado a pasos agigantados en temas de conectividad (¡Twitter hasta en el horno!), también se ha dejado de lado el tema de seguridad. Esto se debe principalmente a que para la mayoría de usuarios y organizaciones, la seguridad en Internet no es un factor fundamental, razón por la cual han sucedido casos como el de Mirai, uno de los ataques de denegación de servicio distribuido más grandes de los que se tiene registro hasta ahora, que no es más que uno de los primeros casos a los que nos tenemos que enfrentar en este nuevo escenario.

La proliferación de dispositivos interconectados ha traído para los usuarios (hogares, organizaciones) muchas ventajas: flexibilidad, movilidad, automatización, eficiencia etc., pero ¿qué pasa cuando no tomamos las medidas de seguridad apropiadas y estamos desprotegidos por defecto?

A continuación, se verá cómo una serie de pequeñas debilidades pueden ocasionar una gran fuga de información, comprometiendo datos personales, financieros y confidenciales, tanto de usuarios particulares como de organizaciones.

[Read more…]

Shadow Brokers: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(N.d.E.: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits, y a aquellos incautos scriptkiddies a los que se les ocurra jugar a ciberdelincuentes, en fin, mucha suerte en los juzgados).

[Read more…]

C&C y exfiltración a través del webmail corporativo

Supongamos una organización que cuenta con unas medidas de seguridad básicas: las estaciones de trabajo no pueden realizar conexiones directas a Internet, tan sólo pudiendo llevar a cabo peticiones web a través de un servidor proxy, que además es el único que puede realizar peticiones DNS externas.

Tanto el tráfico HTTP como el tráfico DNS generado por este servidor proxy son debidamente monitorizados, y además el proxy “rompe” HTTPS, por lo que también serían detectables técnicas como domain fronting. Sólo son accesibles unos pocos sitios web incluidos en la lista blanca. [Read more…]

Yara Rules Strings: estudio estadístico

Como todos los usuarios de Yara saben, las firmas de esta herramienta están basadas en “strings”; que son básicamente descripciones de familias de malware basadas en patrones. Es posible encontrarnos con firmas sencillas como por ejemplo:

rule LIGHTDART_APT1
{
    meta:
        author = "AlienVault Labs"
        info = "CommentCrew-threat-apt1"
        
    strings:
        $s1 = "ret.log" wide ascii
        $s2 = "Microsoft Internet Explorer 6.0" wide ascii
        $s3 = "szURL Fail" wide ascii
        $s4 = "szURL Successfully" wide ascii
        $s5 = "%s&sdate=%04ld-%02ld-%02ld" wide ascii

    condition:
        all of them
}

O firmas más complejas en las que se usan wild-cards, expresiones regulares, operadores especiales o cualquier otra de las funcionalidades que se pueden usar en Yara y que se pueden consultar en la documentación.
[Read more…]

Nuevos requisitos informativos: qué, quién, cuándo, dónde y cómo informar según el RGPD

Ya hemos visto que en nuevo reglamento de protección de datos conlleva nuevos retos para empresas y organizaciones en la gestión de información de carácter personal.

Pues bien, entre estos retos, se encuentran las nuevas exigencias informativas que es necesario abordar puesto que estos nuevos requisitos amplían y no contradicen la obligación de informar establecida en la LOPD.

Estos nuevos requisitos tienen como objetivo intensificar la transparencia, la claridad y la accesibilidad relativa a la información que debe suministrarse al interesado respecto al tratamiento de la información personal que le concierne.

[Read more…]

Docker aplicado al Incident Handling

Docker ya lleva entre nosotros algún tiempo. En esta entrada se va a hablar de cómo es posible sacar partido de Docker y su uso en DFIR para un análisis rápido en los equipos de los analistas.

En primer lugar hay que conocer Docker. No hace falta sacarnos un máster, pero al menos conocer los conceptos básicos de la tecnología Docker. Voy a explicar muy brevemente los conceptos de imagen y contenedor, y cómo Docker trabaja con ellos.

  • Una imagen Docker es un sistema “congelado”, un sistema pausado o en estado de hibernación, el cual se encuentra en un modo de solo lectura.
  • Un contenedor no es más que una imagen en ejecución. Docker “le da al play” y añade una capa sobre la imagen en un modo de lectura-escritura.

Cuando el contenedor se detiene o se borra, Docker automáticamente elimina la capa de lectura-escritura dejando la imagen en su estado original. Esto permite reutilizar un sistema base en varios entornos, o partir siempre del mismo sistema base.
[Read more…]