Conservar la privacidad como medida de seguridad

Hoy traemos una colaboración de Luis Amigo. Él se define de la siguiente manera: «Con raíces sólidamente enterradas en el mundo Unix, me gusta definirme como estudiante en tránsito, gestor de proyectos, programador, devops… aún faltan muchas cosas por aprender. Cuando no estoy trabajando o estudiando disfruto leyendo, escribiendo o compartiendo artículos.»
Desde estas líneas agradecemos a Luis su participación.

Muchas compañías son conscientes de que la información es uno de sus principales activos y por ello invierten cada vez más en protocolos y medidas de seguridad. Los expertos en seguridad saben que el propio usuario es uno de los principales vectores de riesgo y por eso establecen medidas para evitar estos problemas en el entorno controlado de una oficina. Estas políticas entran en colisión directa con paradigmas cambiantes como el trabajo remoto o la posibilidad de llevar dispositivos personales a la oficina (BYOD). Aunque los expertos en seguridad establecen medidas de control para este tipo de casos, es importante que se fijen en otro problema que pasa desapercibido: la cantidad de datos personales que esos trabajadores van dejando en Internet y que pueden ser utilizados para generar vectores de ataque sobre sus compañías.

La ausencia de privacidad es un problema de seguridad

Durante años se ha ignorado el problema de seguridad que viene de la mano de la falta de privacidad. Los usuarios han ido realizando registros en multitud de emplazamientos, dejando respuestas a preguntas secretas, dejando información sobre sus hábitos, sobre su vida, sobre su infancia… sin ser conscientes de los problemas de seguridad derivados de esos problemas. [Read more…]

La importancia del bastionado de servidores – Parte 3. El incidente

Hoy publicamos el tercero, y último, de los artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

Con la tienda ya publicada y en servicio, llega el momento de poner en práctica todas las cosas que hemos mencionado arriba: mantener una correcta vigilancia, mantener la aplicación y sistemas actualizados, etc.

Personalmente reviso casi todas las mañanas las alertas de Suricata de todos los servicios que tengo publicados. Filtro aquellas que no considero relevantes y me centro en las que sí que lo son. Normalmente se tratan de intentos de intrusión que han sido bloqueados o intentos de explotar una tecnología que no está desplegada en el servidor. Esto ocurre a menudo cuando, por ejemplo, se publica una vulnerabilidad de WordPress y los atacantes intentan explotarla en cualquier CMS accesible desde Internet, aunque no disponga de la versión vulnerable o ni siquiera sea del mismo fabricante del que se haya publicado la vulnerabilidad. [Read more…]

La importancia del bastionado de servidores – Parte 2. Bastionando el servidor

Hoy publicamos el segundo de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

De acuerdo, tenemos la misión de hospedar una aplicación web de comercio online y ofrecerla al mundo en un servidor que tenemos en propiedad. Nuestro objetivo es que sea lo más inexpugnable posible a todos los niveles. Dado que se trata de una aplicación web, es previsible que el principal vector de entrada de ataques sea a través de vulnerabilidades de la propia aplicación. A ver, no nos engañemos, todos los CMS son firmes candidatos a tener vulnerabilidades severas. El esquema de cómo estará organizada la plataforma es el habitual en un servidor virtual:

Por lo tanto, la cuestión es elegir un CMS con estas premisas:

  1. Que se desarrolle activamente y esté respaldado por una comunidad numerosa de desarrolladores o por una gran empresa. Esto nos garantiza que cuando se publique una vulnerabilidad, ésta sea rápidamente corregida.
  2. Que el CMS instalado sea la última versión disponible de una rama que tenga soporte, y que se prevea que siga teniéndolo durante bastante tiempo. No hay que olvidar que, dado que no disponemos de entorno de desarrollo en casa, las actualizaciones o migraciones implican pérdida de servicio que a su vez implica potencial pérdida de dinero.
  3. Que sea compatible con el sistema operativo del servidor que disponemos. Una consideración que es obvia pero importante.
  4. Que el historial de vulnerabilidades críticas sea lo más bajo posible. Un CMS que se desarrolla activamente y tiene buen soporte pero que de media se descubre una vulnerabilidad crítica cada semana no es viable de mantener ni seguro de utilizar.

[Read more…]

La importancia del bastionado de servidores – Parte 1. Introducción y tipos de infraestructura

Hoy publicamos el primero de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Jorge se presenta de la siguiente forma: «Aunque oficialmente soy administrador de sistemas y responsable de seguridad en la empresa donde trabajo, lo cierto es que mi trabajo también es mi hobby. Soy un gran aficionado a la informática geek, a la seguridad defensiva, a desplegarme mis propios servidores y a todo proceso DIY (‘do it yourself’) que me plantee nuevos retos de aprendizaje mientras me busco la vida para solucionar los problemas. La evolución es mi pasión.«

Todas las empresas, sin importar el ámbito en el que se desarrollan, disponen en mayor o menor medida de una infraestructura informática de servidores que almacenan y procesan información corporativa de vital importancia para el negocio. La duda que siempre me asalta es: si tan importante es esta información, ¿por qué la experiencia nos dice que es tan frecuente que las empresas no mantengan sus servidores, aplicaciones y equipos actualizados y debidamente bastionados?

Bien es sabido que una gran parte de las empresas no toman en serio la seguridad informática. Sin ir más lejos este informe publicado hace tres meses indica que 7 de las 10 vulnerabilidades más explotadas durante 2018 tenían entre 1 y 6 años de antigüedad; o este otro informe que indica que una gran cantidad de empresas no parchean sus sistemas de forma rápida. Esto es debido a que, las empresas piensan que no son objetivo escudándose en el el típico pensamiento de «mi empresa es pequeña y no tiene nada atractivo para los hackers», o bien porque no tienen o no consideran necesario disponer de recursos de personal y herramientas para mantener la plataforma actualizada. O al menos no lo hacen hasta que ya es demasiado tarde, y de eso mismo voy a hablaros en el post de hoy. It’s a true story. Vamos con un poco de background. [Read more…]

¿Tienes un dron y no sabes si lo que haces con él está permitido?

¿Quién no ha paseado en Madrid por el Retiro y se ha encontrado con un dron sobrevolando su cabeza? Seguro que situaciones como ésta habéis tenido en algún momento, incluso puede que alguno de vosotros haya realizado esta misma actividad con su dron dentro de la ciudad.

Aunque sea una actividad lúdica que realizamos como hobby y no con fines comerciales o profesionales, debemos tener en consideración diversos aspectos.

¿Al tratamiento de datos de carácter personal que realizamos con nuestro dron, le aplica el RGPD y, la Ley 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales?

Hoy en día hasta el dron más básico dispone de una cámara y/o un GPS, por lo que captar la imagen de terceras personas es muy sencillo. No obstante, si nos ceñimos a lo que establece el RGPD en su artículo 2.2 c) éste no será de aplicación a aquel tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, es decir las grabaciones de imágenes que podamos obtener no estarían sometidas a la normativa en materia de protección de datos. [Read more…]

UCAM CTF Forense — Like old school II

En mi post anterior se hablaba de procesos básicos de cualquier análisis forense como son la recolección de información, preanálisis de sesiones de usuario/sistema y de credenciales LSASS. En este post voy a proporcionar una visión muy general de procesos y tácticas del adversario empleadas en las comunicaciones, para ganar persistencia, vectores de entrada y descuidos humanos.... Leer Más

UCAM CTF Forense — Like old school

Hoy, como aficionado al análisis forense digital (la parte puramente IT, sin entrar demasiado en lo legal), analizaré de forma didáctica el caso ficticio «Lionel Hutz papers» planteado en UCAM CTF, incidiendo en los procesos de resolución empleados y las conclusiones sobre la naturaleza del ataque. Espero que os parezca interesante.

En primer lugar, dos handicaps autoimpuestos:

  1. A diferencia de un ejercicio de IR (respuesta rápida ante incidentes), la evidencia la trataré siempre en frío.
  2. Por tanto, se usará exclusivamente el disco, like old school (que da nombre al post), sin tocar la RAM y mucho menos levantar la VM aislada para monitorizar su actividad.

En segundo lugar, al ser un ejercicio enmarcado en el formato CTF, responderemos de forma indirecta a cuestiones que bien pueden ser interesantes, o bien podrían ser irrelevantes o no concluyentes durante la elaboración de las conclusiones y por tanto en según que casos reales no se habría ni siquiera planteado. Dicho esto, ¡vamos al lío! [Read more…]

Unaaldía organiza su primer evento de ciberseguridad UAD360

Unaaldía organiza su primer evento de ciberseguridad en la ciudad de Málaga los próximos días 7 y 8 de junio. El evento ha sido bautizado como UAD360 y contará con talleres, conferencias y un CTF presencial. Además la organización dará regalos a los asistentes y se encargará del almuerzo y desayuno del sábado así como de una consumición de la fiesta del sábado.... Leer Más

Simple & crazy covert channels (II): MATLAB

Desde que empecé a estudiar en la universidad le tengo bastante manía a una herramienta que para muchos es excepcional y vital en sus trabajos. Esa herramienta es MATLAB.

Como a la mayoría de cosas a las que tengo manía, siempre intento utilizarlas para hacer el mal, por ello durante el siguiente artículo vamos a ver unos sencillos trucos para la utilización de esta herramienta para llevar a cabo la ejecución, persistencia, comunicación y exfiltración de información en nuestras auditorias de seguridad.

Durante el artículo, vamos a dar por hecho que la herramienta se encuentra instalada en el equipo de la víctima (cosa no poco probable en caso de que el objeto de nuestra auditoria tenga como objeto el ámbito ingenieril o científico). [Read more…]

MUS CTF DFIR – Desktop (Nivel 4)

1. ¿Cuál es el hash SHA1 de la imagen forense del puesto de escritorio?

Si la captura forense no tiene hashes, no es una captura forense. Revisamos el fichero MUS-CTF-19-DESKTOP-001.E01.txt y encontramos en un periquete el hash:

[Computed Hashes]
MD5 checksum: c0d0eaf2c981cd247bf600b46e6487c3
SHA1 checksum: a20c2f43a80ddcad35b958b701a6cdd4b67e535c

* Respuesta: a20c2f43a80ddcad35b958b701a6cdd4b67e535c

2. ¿Quién adquirió la imagen forense del puesto de escritorio?

El mismo fichero de logs de la adquisición forense del apartado anterior nos da la respuesta.

Examiner: Powers

* Respuesta: M Powers
[Read more…]