Nukin’ Zaragoza: a cyberwar exercise (III). Silencio sepulcral.

8 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Madrid, 20 de Marzo de 2017 – 18:52h

De forma paralela, Defensa está intentando contactar por todos los medios con los acuartelamientos militares de Zaragoza y alrededores: la Academia Militar de San Gregorio, la BRILOG (Brigada Logística) o la Academia de Logística de Calatayud no responden ni por telefonía, ni por radio, ni por satélite. El Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) se ve incapaz de contactar con ninguna unidad militar de Zaragoza.

Los esfuerzos se amplían a Huesca con el Regimiento de Cazadores de Montaña y la Escuela Militar de Montaña y Operaciones Especiales de Jaca, pero tampoco logran establecer comunicación, lo que extraña a los militares: sus sistemas de comunicaciones están en teoría protegidos contra EMP, por lo que deberían poder responder a las llamadas. No queda nada claro el porqué de este silencio.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (II). Esto no puede estar pasando.

5 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Fotografía: Unidad Militar de Emergencias por Oscar en el medio

Madrid, 20 de Marzo de 2017 – 18:20h

Una emergencia de estas características requiere de la formación del CES (Comité Especializado de Situación), un conjunto de expertos y altos cargos tanto de ministerios como del DSN y el CNI (Centro Nacional de Inteligencia). Afortunadamente (si así podemos decirlo), el CES está ya reunido, tratando la crisis internacional con Marruelia.

A pesar de la gravedad de la crisis, un fallo simultáneo tanto de telecomunicaciones como de suministro eléctrico no es baladí: el área metropolitana de Zaragoza engloba a más de 800.000 personas, lo que puede causar una emergencia nacional de carácter grave.

El CES decide encargar la respuesta inicial a la UME (Unidad Militar de Emergencias), cuyo cuarto BIEM (Batallón de Intervención de Emergencias) se encuentra ubicado en la base aérea de Zaragoza.  A los pocos minutos el mando de la UME informa de que no ha sido posible contactar vía SIMGE (Sistema Integrado Militar de Gestión de Emergencias) con el BIEM IV. Tampoco han funcionado las alternativas convencionales (telefonía fija, móvil y radio).

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (I). Apagón

4 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Notas  previas

Esta historia se basa en el género literario de la ucronía, una reconstrucción de la historia basada en datos y hechos hipotéticos. Es por tanto una ficción, y debe ser considerada como tal en todos los aspectos excepto en aquellos relacionados con la ciberseguridad. Toda la información empleada para realizar este ensayo ha sido obtenida a través de fuentes abiertas, e interpretada por el (mejor o peor) criterio del autor. Esta anotación debe aplicarse especialmente a todos los protocolos de respuesta a situaciones de crisis,  que pueden diferir sensiblemente de la realidad.

Aunque quede claro que es una ficción, se estima necesario recordar que en ningún caso se pretende desmerecer la innegable labor de todos los actores (FFCCSE, fuerzas armadas, servicios de inteligencias, servicios de emergencia, etc…) que velan por la seguridad de los españoles. Nuestro objetivo es claro y común: la seguridad de todos.

Un mundo (casi) como el nuestro

Madrid, 16 de Marzo de 2017.

Todos los telediarios tienen como noticia de primera plana la escalada de tensiones entre España y Marruelia (país formado por la fusión de Marruecos y Argelia después de la primavera árabe de ambos países en 2011) debido a las disputas por la explotación española de los caladeros de pesca. Marruelia continúa exigiendo la retirada de los pesqueros españoles, indicando que el acuerdo firmado con España carece de validez al ser Marruelia un nuevo país.

[Read more…]

Forensic CTF Writeup: Baud, James Baud (IV)

12 de enero de 2017 Por

Como ya vimos en el artículo anterior, habíamos encontrado un .hta que ejecutaba un script en Powershell que a todas luces parecía malicioso. Nos quedamos con la mosca detrás de la oreja, así que aunque estemos fuera del alcance del CTF, vamos a intentar tirar del hilo para ver si somos capaces de saber qué ha sucedido en el equipo.

[Nota: Como esta parte es un bonus, no vamos a intentar hacerla por duplicado en Windows y Linux, que bastante trabajo llevaron algunas cosas.]

Nos gustaría responder a estas preguntas:

  • ¿Qué malware se ha desplegado en el equipo?
  • ¿Qué acciones maliciosas se han realizado en el sistema?
  • ¿Cuál ha sido el vector de entrada de esta infección?

[Read more…]

Forensic CTF Writeup: Baud, James Baud (III)

9 de enero de 2017 Por

Ya llevamos una buena parte del reto forense desgranado en los artículos anteriores. Ahora viene la parte buena…

11. What IP address was used by the attacker for C2?

Linux way

Entramos en harina de otro costal. Al parecer se ha producido un ataque contra el equipo, así que por fin nos podemos poner en modo investigador/cazador. Tenemos varias vías de investigación, siendo la más sencilla examinar las conexiones que se puedan observar en la memoria vía el comando netscan de Volatility. [Read more…]

Forensic CTF Writeup: Baud, James Baud (II)

21 de diciembre de 2016 Por

En el primer artículo abrimos boca con algunas cuestiones del forense, así que ahora toca continuar con el primer plato.

4. What makes this email service difficult to analyze?

ProtonMail es un servicio de correo web diseñado teniendo en cuenta la seguridad. Cuando un usuario se crea una cuenta, debe generar a su vez unas claves que cifran todos sus correos. De esta forma ProtonMail (si nos fiamos de ellos, por supuesto) nunca va a tener acceso a los datos del usuario al estar cifrados de forma segura.
[Read more…]

Forensic CTF Writeup: Baud, James Baud (I)

19 de diciembre de 2016 Por

La informática forense es una disciplina amplia y compleja, que requiere de conocimientos profundos y en muchos casos casi milimétricos de algunas áreas. Afortunadamente, de un tiempo a esta parte los retos forenses para afinar nuestras habilidades han aumentado, y a día de hoy tenemos una buena cantidad disponible de ellos para aprender, practicar y mejorar.
Aquí tenéis los últimos que han llegado a mis manos:

Con un día libre por delante, he decidido jugar un poco con el último. ¿Por qué? Porque simple y llanamente, Bond es mucho Bond y me ha picado la curiosidad :D
[Read more…]

Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (III)

15 de noviembre de 2016 Por

En el artículo anterior se vieron las medidas de seguridad aplicables a nivel de servidor. Una vez el correo es entregado y llega al buzón, es como cuando un delantero se planta solo delante del portero: la única línea de defensa que nos queda es el usuario.

Afortunadamente no estamos jugando al fútbol, así que podemos aplicar una serie de medidas de seguridad para que el atacante falle el tiro (nadie dijo que no podamos hacer la portería más pequeña, o directamente que la portería no exista).

Se da por supuesto que el equipo del usuario tiene un antivirus actualizado y que está actualizado de forma correcta hasta la última versión no vulnerable, y que el usuario tiene una formación básica sobre cómo reconocer y actuar frente a posibles correos maliciosos. Llegados a este punto, podemos desplegar dos barreras de seguridad adicionales.

[Read more…]

Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (II)

7 de noviembre de 2016 Por

En el artículo anterior se planteaban una serie de medidas a aplicar en el servidor de correo para protegernos de correos maliciosos. Continuamos con más medidas aplicables.

DKIM (DomainKeys Identified Mail)

DKIM es otra medida de seguridad que se puede aplicar de forma totalmente transparente en nuestros correos electrónicos (es decir, que podemos activarla y si el destinatario de los correos elige no verificarla no afecta en absoluto a su entrega).

El funcionamiento de DKIM es a grandes rasgos el siguiente: [Read more…]

Evitando anzuelos: Cómo luchar contra los ataques de spear-phishing (I)

31 de octubre de 2016 Por

Aunque gurús varios llevan años vaticinando su muerte, el correo electrónico sigue manteniendo a día de hoy una salud de hierro, siendo parte fundamental de la operativa de muchas empresas. Y dado el uso omnipresente del mismo, es prácticamente imposible imponer cambio global alguno al funcionamiento del protocolo SMTP (diseñado hace décadas para que fuera robusto, no seguro).

Es por ello por lo que los atacantes siguen viendo el correo electrónico como un camino perfecto para penetrar en una empresa, ya que es un vector de ataque sencillo, dirigido y muy efectivo. En muchas empresas existen unos controles de seguridad básicos con respecto al servidor de correo electrónico, pero a día de hoy esos controles son insuficientes para detener ataques sofisticados.
[Read more…]