Estado de la Seguridad en Organismos Públicos

El 10 de febrero era la fecha de plazo que dio el Centro Criptológico Nacional (CCN) para que los Organismos Públicos den cuenta de sus indicadores en seguridad a través de la herramienta INES.

El Esquema Nacional de Seguridad (ENS) establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas por parte de las Administraciones Públicas. […] Asimismo, el ENS dispone la necesidad de establecer un sistema de medición de la seguridad del sistema estableciendo un conjunto de indicadores que mida el desempeño real del sistema en materia de seguridad, en los siguientes aspectos:

  1. Grado de implantación de las medidas de seguridad.
  2. Eficacia y eficiencia de las medidas de seguridad.
  3. Impacto de los incidentes de seguridad.”

[Read more…]

La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.... Leer Más

Estudio del uso de los TLD en organización

Con la fiebre de los TLD, actualmente ya existen alrededor de 1.530 diferentes según la lista publicada por IANA. Desde el punto de vista de un analista, esto puede suponer un problema a la hora de realizar una investigación. Quizá existan otras ventajas que hayan sido determinantes para que se haya decidido poner en marcha tantos TLD.

¿Cuál es el uso real que se le da a estos dominios? Quizá nos dé por pensar que desde nuestra organización no sale tráfico hasta ciertos TLD. Basta con hacer un par de consultas sobre los registros LOG del proxy y determinar cuáles son los diferentes TLD que se visitan y, en porcentaje, cuáles son los que más se visitan. Al lío.
[Read more…]

Mercure – Facilitando la pesca

El phishing, aunque es uno de los vectores de ataque de los más antiguos, sigue siendo uno de los preferidos y más utilizados hoy en día por los ciberdelincuentes, ya que en la mayoría de los casos ataca directamente al eslabón más débil: el ser humano.

Por suerte, los mecanismos de defensa han avanzado lo suficiente como para ponerlo bastante difícil. Un claro ejemplo son los avanzados filtros antispam que incorporan hoy en día la mayoría de los clientes de correo electrónico. Pero como sabemos, la seguridad total no existe, por lo que los criminales siempre encuentran un medio para que el phishing sea todavía una técnica de ataque eficaz.

En esta entrada vamos a analizar la herramienta Mercure,  utilizada para llevar a cabo ataques de este tipo de una manera sencilla, y que en nuestro caso puede servirnos para poner a prueba el grado de concienciación de los usuarios de nuestra organización (con las autorizaciones correspondientes). Una de sus mayores bondades es que es Open Source y se encuentra escrita en Python, por lo que las modificaciones resultan bastante sencillas de realizar. Podemos descargarla desde su GitHub. Tenemos dos maneras de instalar Mercure, utilizando el típico git clone o desplegando el docker que nos facilita su creador. Cualquiera que elijamos se encuentra perfectamente detallada en su README.

[Read more…]

Personal Countersurveillance (II): Camuflaje antireconocimiento Facial

En el artículo anterior de esta serie se habló sobre el reconocimiento facial y algunas de sus aplicaciones, con la intención de mostrar la cantidad de información que puede contener una imagen y las conclusiones (más o menos fundamentadas) que algunos particulares podrían extraer analizando nuestro rostro.

También se explicó cómo en 2001 aparece el algoritmo Viola-Jones. Un  sistema barato, escalable, preciso y en tiempo real que permite integrar el reconocimiento facial en dispositivos ligeros, suponiendo la democratización de la visión artificial y su llegada al gran público, integrándola en todo tipo de cámaras. Es a día de hoy uno de los sistemas más extendidos en software de procesamiento de imagen como OpenCV.

Figura 1: Adam Harvey, Algoritmo Viola-Jones evaluando una región facial clave durante un reconocimiento facial, Vimeo. CV Dazzle: Collaboration with DIS -> Look #1 (before). Imagen tomada de: https://vimeo.com/34545340 [Accedido el 16/02/2017]

[Read more…]

Personal Countersurveillance (I): Reconocimiento Facial

Aquellos que trabajamos en el sector de la ciberseguridad estamos acostumbrados a oír hablar de amenazas y medidas de defensa, pero casi siempre referidas a un entorno virtual. Sin embargo, existen otras dimensiones, como la seguridad física, que pueden afectarnos de diversas maneras.

Esta serie ha sido inspirada por la ponencia de Adam Harvey del Chaos Communication Congress de 2016: “Retail Surveillance / Retail Countersurveillance”. En ella abordaré algunos conceptos concernientes a sistemas de vigilancia y medidas de contra-vigilancia que pueden ser usadas para evitar el reconocimiento por parte de terceros.

Este primer artículo se centra en el reconocimiento facial, algunas de sus aplicaciones más controvertidas a día de hoy y sus implicaciones.

Figura 1: Anónimo. Imagen tomada de: http://luisjimenez.com/wp-content/uploads/2016/05/faception.jpg [Accedido el 15/05/2017]

[Read more…]

Recuperación de ficheros borrados con Scalpel

Recientemente, me encontraba terminando un script en bash, realizando pruebas para comprobar que estaba funcionando correctamente cuando, tras realizar unas modificaciones al script y volver a lanzarlo, comenzó a ejecutarse un borrado recursivo de los ficheros de la máquina, el temido ‘rm -rf‘. La típica ‘noobada‘ que esperas que nunca te ocurra sucedió.

Afortunadamente, el script se estaba ejecutando en una máquina virtual de pruebas como usuario no privilegiado, por tanto la máquina seguía estando operativa. Gracias a estas medidas de precaución pude comprobar el alcance de la broma y ver que todo el directorio /home del usuario se había borrado. Dicho directorio contenía el script que estaba escribiendo de modo que, se podría decir, que el script se había fagocitado a sí mismo, llevándose con él unas cuantas horas de trabajo.

[Read more…]

MOSH, mas allá del SSH

A día de hoy, no creo que sea necesario mencionar qué es el protocolo SSH (Secure Socket Shell) ya que sería realmente complicado vivir actualmente sin él. Por ello, se considera SSH a nivel global como la “mega” herramienta indispensable para cualquier labor de administración. Entre las ventajas de su uso podemos encontrar: acceso seguro a máquinas remotas, acceso a servicios en otras máquinas mediante la creación de túneles directos o reversos, creación de proxy socks, creación de canales seguros para la encapsulación de trafico de aplicaciones no seguras… etc.

Entre las inumerables ventajas de este protocolo, existe un punto que en ocasiones puede ser un gran inconveniente, el rendimiento de la conexión.

Para intentar dar solución a éste problema y añadir mejoras, surgió Mosh (mobile shell), aplicación que aporta diversas ventajas sobre la conexión SSH tradicional. Fue presentada en el USENIX Annual Technical Conference 2012 por Keith Winstein & Hari Balakrishnan, M.I.T. Computer Science and Artificial Intelligence Laboratory.

[Read more…]

Cómo gestionar las brechas de seguridad según el nuevo reglamento de protección de datos

Una de las novedades más importantes a mi juicio que contiene el Reglamento Europeo de Protección de Datos radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados.

Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.

[Read more…]

Tendencias malware Febrero. Destacados: Chrome EK y RAT Remcos

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.... Leer Más