El discurso universal

4 de marzo de 2013 Por

Hay gente que tiene la envidiable capacidad de hablar horas y horas durante un tema -del que quizás no tengan ni idea- diciendo cosas coherentes, con una forma perfecta pero sin ningún tipo de fondo: (algunos) políticos, (algunos) speakers, (algunos) periodistas… Voy a intentar imitarles con un post sobre seguridad, que para algo estamos en Security Art Work…

Hoy en día nadie discute que la seguridad es vital para lograr con éxito los objetivos de cualquier organización, y dicha seguridad debe aplicarse mediante una aproximación holística, que facilite una garantía global desde el punto de vista operativo, pero también desde los puntos de vista táctico y estratégico, por supuesto siempre alineada con el negocio, la legalidad y la ética de la propia organización y de las personas que la componen.

Sin duda los avances de nuestra sociedad ponen en jaque este modelo de seguridad al que hacemos referencia; tendencias como el cloud computing o el BYOD, normativas como la Ley de Protección de Infraestructuras Críticas o aspectos de privacidad o reputación digital, por citar sólo unos cuantos ejemplos, amenazan al modelo tradicional de seguridad global al que estamos acostumbrados.

Ante esta situación los profesionales individuales, las asociaciones, empresas, Administraciones Públicas, grupos de interés… en definitiva, cualquier actor involucrado actualmente en el ámbito de la seguridad debe reaccionar adecuadamente para adaptarse a la nueva situación sin degradar los niveles mínimos aceptables en su ecosistema profesional. Y para ello sólo cabe una posibilidad: el buen gobierno. Un gobierno alineado con la legalidad vigente, la ética personal y profesional y las buenas prácticas en materias de seguridad internacionalmente reconocidas, verificado de forma independiente y periódica mediante un esquema correcto de aditoría.

Sin este buen gobierno al que hacemos referencia jamás podremos hablar de una seguridad adecuada a los requisitos que nuestros clientes y usuarios, y en definitiva la sociedad en su conjunto, demandan; es necesario que todos trabajemos en la misma dirección, aunando esfuerzos, colaborando, intercambiando información y construyendo los cimientos de una seguridad empotrada en las bases de cualquier iniciativa: lo que se ha venido a denominar la cultura de seguridad. Solo así podremos hacer frente, de manera correcta y completa, a las nuevas situaciones o tendencias de las que hablábamos al principio; si no abordamos el problema mediante esta aproximación no tendremos más que iniciativas aisladas sin un marco de trabajo adecuado, que mejorarán la seguridad en ámbitos de trabajo concretos pero no en su conjunto.

Bien, ¿no? Todo lo expuesto parece coherente, correctamente expresado y seguramente alguno que otro, si no lo hubiera puesto en cursiva, lo habría considerado un post aceptable… es más, habría votado el “Me gusta” :) Hasta aquí todo normal…

Sustituyamos ahora la palabra seguridad con un término que nosotros podamos considerar cercano:

sed s/seguridad/tecnología/g

Ummm… tampoco tiene mala pinta, ¿no? Intentémoslo con otras palabras “cercanas”:

sed s/seguridad/informática/g
sed s/seguridad/defensa/g
sed s/seguridad/inteligencia/g

Sigue siendo bastante coherente, ¿no? A fin de cuentas, estamos diciendo tantas obviedades y generalidades que las mismas se podrían aplicar a cualquier cosa “cercana”… Sigamos entonces con cosas menos “cercanas”:

sed s/seguridad/justicia/g

¡Vaya! ¡Sigue sin quedar mal del todo! A ver…

sed s/seguridad/economía/g
sed s/seguridad/marca/g
sed s/seguridad/imagen/g
sed s/seguridad/"responsabilidad corporativa"/g
sed s/seguridad/...

Acabamos de generar un discurso universal; una serie de vaguedades e indefiniciones tan obvias, tan obvias, que todo el mundo está de acuerdo con ellas y se pueden aplicar a cualquier rama. Vamos, lo que muchas charlas de algunos congresillos esconden, ¿verdad? :) Y eso que es un discurso semi-hilado… Si lo intentamos con frases sueltas, la cosa es aún más sencilla (ojo, a veces hay que cambiar también el artículo):

“El paradigma del cloud computing introduce nuevos riesgos en la seguridad corporativa que es necesario tratar de forma adecuada.”

sed s/"cloud computing"/BYOD/g
sed s/"cloud computing"/movilidad/g
sed s/"cloud computing"/convergencia/g
sed s/"cloud computing"/...

“Si no gestionamos la seguridad no podremos introducir la mejora continua como factor de éxito.”

sed s/seguridad/finanzas/g
sed s/seguridad/empresa/g
sed s/seguridad/proceso/g
sed s/seguridad/...

Y si encima metemos anglicismos en nuestra presentación, aunque no vengan a cuento, ya el auditorio alucina:

“Un problema habitual en organizaciones grandes es el time to market de los nuevos servicios.”
“El desarrollo de non lethal weapons es un área de investigación crucial para la seguridad.”
“Como Chief Security Officer debes velar por la protección global del negocio, incluyendo aspectos de compliance y policy.”

And so on…

Malas ideas: la competencia

23 de enero de 2013 Por

De nuevo, esta historia es completamente ficticia y, como se suele decir, cualquier parecido con la realidad es pura coincidencia… Por supuesto, SAW no se hace responsable de nada ;)

Imaginemos que una empresa, competencia directa nuestra, busca un perfil como los que nosotros tenemos: sin ir más lejos, y sólo por poner un ejemplo, gente de seguridad; y sigamos imaginando que un compañero se ve tentado por una fabulosa oferta de esa empresa. Nada extraño, ¿no? A fin de cuentas, algo bastante habitual: si alguien de seguridad busca cambiar de empleo rara vez se va a ir a programar páginas web… seguirá en el mismo campo pero en otro sitio y ese otro sitio será, casi seguro, competencia del actual.

Pero pensemos ahora malas ideas… Por ejemplo en una persona que realmente no quiere cambiar de empresa, sino pasar un tiempo en la competencia. ¿Para qué? Muy sencillo: para tener acceso a su información importante (espionaje industrial le llaman). ¿Qué precios hora y qué perfiles maneja para un proyecto? ¿Qué líneas de negocio está intentando desarrollar y cómo y dónde lo está haciendo? Desde luego, a cualquiera de nosotros nos interesaría información como ésta u otra parecida… A fin de cuentas, nos posicionaría más que bien con respecto a esa competencia…

¿De cuánto tiempo estaríamos hablando para que nuestro topo llegara a su información objetivo en el nuevo destino? Depende mucho del topo, de su nuevo rol y de la organización objetivo. Si se trata de una empresa no vinculada al ámbito de la seguridad o no especialmente concienciada con este tema seguramente el acceso será muy rápido para una persona que haya conseguido el rol adecuado (por ejemplo, administrador de sistemas); no obstante, como hemos dicho, este tipo de empresas no serán las habituales, salvo excepciones, en las que nos interese meter un topo: nos gustarán más las empresas de seguridad o las que manejen información con grandes requisitos de protección (¿como las infraestructuras críticas?). De éstas se pueden sacar datos más sensibles, pero claro, a cambio de un mayor esfuerzo y de un plazo más largo (tampoco pasa nada, no solemos tener prisa… es más, seguro que hay topos que llevan toda la vida metidos en algún sitio ;). ¿Un mes? ¿Dos meses? ¿Seis? ¿Un añito? Dependeremos, ahora que tenemos claro el tipo de organización objetivo, de dos factores: de la habilidad del infiltrado y de su rol en la organización.

El tema del rol es determinante; los roles que seguramente muchos de nosotros solemos tener son siempre interesantes: técnicos con accesos privilegiados al entorno corporativo (servidores documentales, correo electrónico, elementos de comunicaciones…) o a información sensible de seguridad (logs, volcados de tráfico, entornos de monitorización…), gestores o consultores con acceso legítimo a datos sensibles (comerciales, tecnológicos, personales…) o incluso determinados perfiles con acceso a datos ya críticos para cualquier organización, como los nuevos negocios o mercados o las estrategias de aproximación a grandes clientes… En fin, en cualquier caso, información jugosa ;)

Y ya para acabar nos queda el tercer gran factor que determinará la eficacia (o la eficiencia) de esta mala idea: la habilidad del topo. Con independencia del puesto obtenido, tener acceso a la información que nos interesa será más fácil para alguien que tenemos ya dentro de la organización objetivo que para alguien que tenemos fuera. Por supuesto, si el rol que ha conseguido le da acceso directo a los datos que nos interesan la cosa será fácil a priori; si no disponemos de ese acceso nuestro trabajo se complicará y necesitaremos más paciencia: un poco de ingeniería social, algo de basureo, una oreja atenta en la máquina del café o un buen shoulder surfing ;) En cualquier caso, y en términos generales, nada que parezca muy complicado, ¿verdad?

Vale, ya tenemos la información… ¿Qué hacemos ahora con nuestro colaborador? Traerlo a casa de nuevo será contraproducente, sobre todo si lo hacemos de forma rápida y directa: la gente pensará mal (y con razón) de nosotros y eso, en un mundo como es el de la seguridad en el que trabajamos muchas veces con relaciones de confianza muy estrechas, no beneficia a nadie, ni a la persona ni a la empresa… Incluso haciéndolo indirectamente, es decir, dejando pasar un tiempo prudencial, saltando a otra organización y de ahí retornando a la nuestra es posible que quememos a la persona y que no podamos repetir un ataque de este tipo de nuevo con ella (es más, si somos tan malos que nos acostumbramos a este tipo de cosas acabaremos quemados, por lo que estas malas ideas hay que dosificarlas muy mucho). Así, parece obvio que recuperar a esta persona en nuestra organización será complicado; además, seguramente nos resultará más útil, mientras no se queme, en su nuevo destino (así nos podrá seguir pasando datos interesantes) o, por qué no, en otros destinos a los que acceda desde la nueva organización donde tenemos al topo. En este último caso será más difícil para el atacado detectarlo y asociarlo con nosotros, por lo que el trabajo será excelente y, seguramente, también lo será el resultado…

Poniéndonos ahora en el lado del atacado… ¿cómo podemos evitar que alguien con malas ideas nos haga justamente lo que nosotros estamos elucubrando en esta entrada? Con salvaguardas antes de contratar a una persona (como CV Screening, entrevistas…), durante la prestación de sus servicios (acuerdos de confidencialidad, controles de acceso físicos y lógicos, detección de robos de información, investigaciones…) y una vez finaliza la relación con la organización (monitorización, etc.). Vamos, nada nuevo, lo que dice cualquier norma de seguridad y cualquier cabeza… Sí, es fácil escribirlo en un post y difícil hacerlo… Efectivamente, de eso se trata :)

Por cierto, aprovechando esta entrada y que el Pisuerga pasa por Valladolid, os proponemos una nueva encuesta en el blog:

[poll id=”27″]

/join #espana

11 de enero de 2013 Por

/join #espana
<aaaa> BBBB, eres BBBB el de siempre?
<bbbb> AAAA?
<aaaa> El mismo :) Qué tal tío???
<bbbb> Coño, cuánto tiempo… Me alegro de que sigas vivo ;)
<aaaa> Aquí ando, de vuelta a Internet… por fin me he podido conectar…
<bbbb> Y eso?
<aaaa> Ya ves, lo he intentado con Infovía y con varios 900, pero o el modem no negocia bien o los 900 los han cortado…. así que he tenido que pasarme por la uni y me he enganchado un rato desde el aula, a leer el mail atrasado de la bugtraq y a ver quién estaba por el canal… Todo ok??
<bbbb> Vamos tirando ;) Tú qué tal?? Hacía que no te dejabas caer por EFNet… Has estado por Undernet??
<aaaa> Sí, mucho tiempo… No, no, nada de conexiones… Unos amigos a los que no les caía bien y he tenido que chapar una temporada… Quince años y un día para ser exactos… No me han dejao ni leer la Phrack impresa que me traía un colega, con eso te lo digo todo… tendré que ponerme al día desde ahora… Cosas que pasan ;)
<bbbb> Joder cómo está el patio…
<aaaa> Pero bueno cuéntame… Cómo va todo?? Y la peña?? Imagino que sigue igual, no?
<bbbb> Hombre, la verdad es que todo esto ha cambiado un poco… Has entrado en #hack?
<aaaa> Me he pasado pero no me sonaba nadie… No estaban los de siempre… Raro, no?
<bbbb> Ya te digo… Se han casado, tienen hijos y ahora trabajan ;)
<aaaa> No jodas!!! Jajajaja, yo que pensaba que estaban con otra campaña para Timor Oriental o algo de eso, o peor, que los había trincao Anselmo…
<bbbb> Qué va… Ahora todos tienen nombre y apellidos… Te acuerdas de ****?? De Director de Seguridad Informática en un banco… Y **** acabó la carrera y ahora va dando charlas por ahí, y **** con Linkedin y Facebook y todos así… Alucinarías…
<aaaa> Linkedin y Facebook? Yesoqués???
<bbbb> Pues… Redes sociales les llaman… Sirven para… Bueno, más o menos para que todo el mundo sepa lo que haces en cada momento, cambiar mensajes, decir chorradas, criticar…
<aaaa> Como las news?? Cuánto tiempo :) Voy a lanzar el screen para abrir el tin en otra terminal y ver como va alt.2600, alt.hackers y todo eso…
<bbbb> Ufffffff puedes ahorrarte el trabajo… Está muerto, ahora lo que se lleva es el Twitter…
<aaaa> El qué???
<bbbb> Na, una red de esas sociales que te decía, en la que te haces seguidor de gente que te interesa y lees lo que van escribiendo… Está curioso, la verdad…
<aaaa> Un RSS??
<bbbb> Pues… Más o menos, es una forma de verlo :) Ahora nos hemos puesto todos uno para decir tonterías sobre la nube…
<aaaa> Qué nube?
<bbbb> A ver cómo te cuento esto… Antes cifrabas con PGP todo por si te trincaban el disco… Ahora para ahorrar desplazamientos tú das toda la información en claro, bien clasificadita y organizadita, en lo que llamamos Dropbox, y así evitas sustos por la noche porque nadie tiene que ir allí para pillar los datos…
<aaaa> No jodas que hacéis eso… Madre mía, suena mal… **** no, verdad??? No me lo imagino…
<bbbb> Si lo vieras… Ayer justo dio una charla que se llamaba “Cloud privacy and Data Protection: a risk appetite approach” en la que la principal conclusión fue que “en la nube hay que gestionar los riesgos de forma alineada con la estrategia corporativa de seguridad”…
<aaaa> Pero no me jodas, no sé lo que es esa nube… pero esa conclusión es lo mismo que decir que el agua es transparente…
<bbbb> Sí, sí, como casi todas en este tema… pero bueno, el caso es que la gente puesta en pie aplaudiendo y todo dios encantado… lo quieren nombrar ahora International Chief Risk Enterprise Manager de su compañía…
<aaaa> Flipo con lo que me cuentas… Entonces quién queda del mundillo??
<bbbb> Todos muertos o jubilados ;)
<aaaa> Ni de phreaking?? Ni de virii? Alguien quedará… coño, estarán los de 29A, que eran unos cracks, no???
<bbbb> Qué va, chaparon el garito!! Eso ahora lo llevan las mafias, muy buenas algunas… Trabajan por dinero, no por placer, y tienen monopolizada la scene…
<aaaa> Por dinero? Quién les paga??
<bbbb> Nadie, lo roban haciendo phishing o vendiendo datos
<aaaa> Haciendo qué???
<bbbb> Phishing. Engañan a los usuarios haciéndose pasar por el banco para sacar las claves de acceso…
<aaaa> Carding, para el cajero o para comercio?
<bbbb> Nop. Para la banca online…
<aaaa> No jodas que la gente conecta al banco por INet así en general…
<bbbb> Ya te digo ;) Es lo más normal…
<aaaa> No lo entiendo… Para qué??
<bbbb> Cómo que para qué??
<aaaa> Joer, comprar en los USA lo entiendo, no te vas a ir allí para pillar un libro, pero pal banco… quitando de cuatro que tenemos modem, los demás tendrán que ir a la uni para conectarse a hacer transferencias en lugar de al banco a hacer esas mismas transferencias, no le veo las ventajas…
<bbbb> Qué va… Todo dios tiene conexión ADSL en casa… De cuatro megas, de cincuenta megas, de cien megas…
<aaaa> De cien megas?!?!?! Mbps???
<bbbb> Xasto. Mbps ;)
<aaaa> Joer la gente, qué ancho de banda, ni que fueran la NASA… Yo que pensaba que con mi módem de 56K y el dialup de siempre iba a flipar…
<bbbb> Jejejejeje… Te veo algo desactualizado… Ves a una tienda, pide un teléfono móvil con datos y verás lo que te cabe en el bolsillo…
<aaaa> Desactualizado yo??? Pues cuando salga el ****, que era punto de fidonet, va a flipar ;)
<bbbb> Ufffffff, el ****… qué es de su vida??
<aaaa> Allí anda, convenciendo a la gente que donde se ponga Veronica que se quite Archie y todo eso ;) En tres añitos sale…
<bbbb> Jajajajajaja… A tope!!!!
<aaaa> Como siempre ;) Bueno tío, voy a chapar esto que el operador del aula me mira mal y un par de chavales ya me han llamado señor y me han preguntado por qué la pantalla está tan negra… Dicen que tienen prácticas de nosequé, algo de diseño multimedia o parecido…
<bbbb> Está todo fatal ;)
<aaaa> Tenías razón, esto ha cambiado…ya no es lo que era… Cualquier día hasta sueltan al Kevin para que monte una empresa ;)
<bbbb> Estooooo… Sí, cualquier día ;)
<aaaa> Ale, nos vemos… A ver si engancho un dialup y hablamos con calma…
<bbbb> O por Facebook ;)
<aaaa> Sí, o por eso…
<bbbb> Cuídate
<aaaa> Lo mismo digo. Recuerdos a la peña
<bbbb> Se los daré si conectan ;)
<aaaa> Muacs :*
<bbbb> Chaito :)

Malas ideas: CHANCHULLASA

10 de enero de 2013 Por

Nota: como siempre, Security Art Work no se hace responsable de nada, no intenten esto en sus casas y todos esos disclaimers que se suelen decir… Aquí evitaremos aquél de “cualquier parecido con la realidad es pura coincidencia”, porque esto, que de momento solo es una mala idea -y esperemos que no pase de ahí- es desde hace años una realidad en algunos países que todos conocemos…

Imaginemos que la crisis no cesa y las cosas no sólo no mejoran, sino que van a peor: paro, descontento, revueltas… E imaginemos que ante este escenario a muchos españolitos de a pie nos toca buscarnos la vida fuera de nuestro país, física o virtualmente… Sí, ya sé que en la realidad esto no puede suceder y demás, pero el caso es imaginar ;)

Y puestos a imaginar, imaginemos que un grupo de compañeros de nuestro sector decide montar una empresa de lo que mejor saben hacer: de seguridad. Pero ojo, ya cansados de las dificultades de hacer las cosas como toca, esta empresa trabajaría en el lado oscuro: parafraseando a Krahe, podríamos dedicarnos a temas legales, pero para qué vamos a hacerlo pudiendo dedicarnos a temas ilegales… Llamémosla CHANCHULLASA.

CHANCHULLASA sería una empresa de referencia, modelo a seguir por su gama de servicios sectoriales y su enfoque, plenamente convergente… Para empezar, tendríamos un departamento dedicado a la Inseguridad Física, que ejecutaría la parte de safety de nuestros servicios: inseguridad de las personas y patrimonial, incendios, accidentes… En fin, lo habitual. Otro departamento estrella sería el de Incumplimiento, dedicado a todas las tareas asociadas al incumplimiento normativo y legal: generación de falsos certificados ISO-lo-que-sea, LOPD a coste cero…

El departamento de Inseguridad ICT tendría obviamente mucho peso específico en CHANCHULLASA, ya que el presente y el futuro (y por tanto la supervivencia de la empresa) pasa de forma inevitable por todo lo relacionado con la inseguridad de las nuevas tecnologías; también tendría ese mismo peso el departamento de Fraude, focalizado tanto en el análisis y puesta en marcha de nuevas técnicas de engaño (sobre todo económico, con un Time to Market espectacular) como en el control interno de la organización, para evitar ovejas descarriadas en CHANCHULLASA que intenten volver al otro lado o, peor aún, engañarnos…

CHANCHULLASA, como buena empresa de seguridad, aunque desde el lado oscuro, valoraría muy mucho la continuidad de su negocio, por lo que tendríamos también nuestro departamento de Riesgos, encargado de todo lo relativo con la gestión del riesgo operativo, gestión de crisis e incidentes y, por supuesto, BCM. Y para acabar, un departamento que toda empresa de seguridad (o todo área de un Departamento de Seguridad) debería tener: el de formación, que en este caso llamaríamos de Desinformación, dedicado cómo no a tareas de desinformación (información negativa, confusión…) en el ámbito de la seguridad, especialmente hacia futuros “clientes” de CHANCHULLASA. Desde luego, su documento estrella sería uno que llamaríamos “Hacia una cultura de inseguridad”, donde detallaríamos las recomendaciones habituales: comparte claves, da todos los detalles posibles de tu vida en redes sociales, haz ostentación de tu dinero en cualquier momento y lugar… Vamos, que hay que labrarse el futuro de CHANCHULLASA y por tanto el nuestro…

Los departamentos anteriores trabajarían de forma conjunta para ofrecer diferentes líneas de negocio sectoriales, conformando así una estructura matricial -como ahora nos gusta organizarnos en las empresas- perfecta que estaría en disposición de prestar servicios de alto valor añadido en sectores clave para nosotros y nuestros clientes (clientes voluntarios o involuntarios, dicho sea de paso), como el aeroespacial (interceptación de satélites, robo de tecnología…), el bancario (phishing, skimming…), el industrial (alteración de contadores, control y destrucción de sistemas SCADA…) o el tecnológico (generación y mantenimiento de claves, robo y venta de 0-days…). Por supuesto, el producto estrella de CHANCHULLASA estaría muy claro: las APT, con unos precios muy asequibles y la posibilidad de configuraciones a medida (ya estamos pensando en un interfaz web que incluya pago online).

Hablando de esto último, de la venta de APT vía web, obviamente la actividad comercial de CHANCHULLASA estaría muy limitada; no podemos ir a congresos para hacer contactos, ni poner fácilmente esa web de la que hablábamos, con nuestros servicios y un correo de contacto… Bueno, qué narices, esto último sí que podemos hacerlo (y si no, fijaos en los de Gwapo). A fin de cuentas, ¿quién va a investigar un servidor dedicado, alquilado mediante un ingreso en efectivo, en un país sin legislación donde además el contacto es un correo de hotmail que cambiará una vez al mes y al que entraremos desde WiFis abiertas? Tampoco es complicado, ¿Verdad? ;)

En fin, que esperemos que todo vaya a mejor, que CHANCHULLASA no cuaje y que esta mala idea se borre de alguna que otra mente… Bromas aparte, algún conocido ya ha insinuado cosas parecidas si la cosa no mejora, y eso no puede ser…

0-day en mod_reno

28 de diciembre de 2012 Por

Hoy ha salido a la luz que un grupo de hackers bastante activo por estas fechas, autodenominado The Three Kings (T3K) ha descubierto una grave vulnerabilidad en el módulo de Apache mod_reno, ampliamente utilizado en los servidores web que conforman la red SANTANet. Este bug permite la ejecución remota de código en el servidor, vulnerabilidad que no tiene exploit publicado aún y que ha sido aprovechada por T3K en los últimos días para atacar a las máquinas de esta red.

El problema está aparentemente en la función rudolf(), encargada de insertar en el sistema las peticiones que los niños realizan a través de los webservices que SANTANet exporta a Internet; dicha función no comprueba la longitud de la petición antes de insertarla, por lo que las peticiones muy grandes pueden causar un desbordamiento de buffer:

    void rudolf (char *wish){
    char toy[4096];
    ...
    strcpy(toy,wish);
    insert(toy);
    ...
    }

Al parecer, el grupo T3K ha aprovechado esta vulnerabilidad para robar la base de datos que hospedaba el servidor y que contenía las peticiones de todos los niños junto a sus nombres y direcciones; además, han dejado un mensaje en la web principal de SANTANet en el que se podía leer “Si en Texas no corren delante de los toros con un pañuelo rojo en el cuello y en Nueva York no hay verbenas el 15 de agosto…¿qué narices pinta Papá Noel en Cuenca?”.

En declaraciones a Security Art Work, los responsables técnicos de SANTANet han negado el robo de datos, a pesar de que la relación de peticiones registradas ya ha sido publicada en Pastebin y según han confirmado muchos niños en Tuenti, parece real. “No tenemos ningún problema de seguridad identificado. Ejecutamos SANTA contra nuestros servidores regularmente, estamos suscritos a los principales grupos de seguridad en las news y nuestras webs están hospedadas en GeoCities. Además, para evitar problemas tenemos también colgado el banner de Free Kevin…”. Al preguntarles sobre los datos pastebineados, sólo han podido exclamar “Goatse!!”.

Uno de los miembros de T3K, G4sp4r, ha emitido a través de Twitter un comunicado en nombre del grupo en el que reconoce la autoría del ataque y asegura que acciones similares van a seguir produciéndose en estas fechas. Según indica, “no podemos quedarnos cruzados de brazos ante un caso de intrusismo profesional tan claro como este. Santa go home!“; el grupo no descarta además actuaciones adicionales de protesta –“a muchos trineos les fallan los frenos sin ningún motivo” ha indicado Melch0r, otro de los miembros de T3K-.

T3K está recibiendo un amplio apoyo de otros grupos de la scene nacional, como The Krist0s The Borja (TKTB), especializado en defacements y que está lanzando un ataque masivo a las páginas web de SANTANet para sustituir las imágenes de Papá Noel por fotos del alcalde de Marinaleda, o HispaLeaks, grupo que asegura haber obtenido los datos personales de todos los renos y una copia de los mensajes de correo electrónico de SANTANet y amenaza con publicarlos antes de fin de año si Santa no cesa sus actividades.

Por su parte, la Agencia de Protección de Datos ha abierto un expediente con el objeto de analizar el posible robo de información y determinar si las medidas de seguridad de SANTANet eran adecuadas. Según uno de sus responsables, estos datos son de nivel alto y SANTANet puede ser sancionada si se demuestra que no han protegido correctamente esta información; además, el hecho de que los datos sean en su mayor parte de menores agrava aún más el problema, por lo que en caso de existir sanción esta sería máxima.

Si alguno de nuestros lectores encuentra su lista de regalos en Pastebin, por favor, que nos lo comunique; estamos elaborando unas estadísticas para nuestro próximo informe de Protección de Infraestructuras Críticas que no tienen nada que ver con esto, pero así cotilleamos un rato y vemos qué regalos queréis para estas fechas :)

¡Mucho cuidado este 28 de diciembre!

¡Felices fiestas!

24 de diciembre de 2012 Por

Como cada año por estas fechas, desde Security Art Work queremos desearos unas felices fiestas y un próspero 2013. Cuidado con los excesos navideños (¡los polvorones los carga el diablo!), cuidado en la carretera, cuidado con esas felicitaciones en PPT que nos llegan de desconocidos (o de conocidos) y todo eso que solemos decir. No nos vamos a poner más pesados de lo necesario ;)

Que estos días nos sirvan para estar con los nuestros y pasar algún que otro buen rato; el que pueda, a descansar un poco y, los que no, a cerrar temas que tienen que estar antes de fin de año (EOQ4 2012, que dicen los auditores). Ale, a disfrutar…

Y ahora, como siempre, la cutre-felicitación navideña de Security Art Work (realmente, de Seguridad, pero sirve igual ;). No nos ha dado tiempo a construir un PDF malicioso que infecte cosas, así que este año hemos “plagiado” una imagen de WhyWeProtest y la hemos retocado con GIMP… Perdón por nuestra capacidad gráfica, pero no damos pa más :)

Segundo informe sobre Protección de Infraestructuras Críticas

7 de noviembre de 2012 Por

Esta semana hacemos público el segundo informe relativo a la Protección de Infraestructuras Críticas, en este caso focalizado en los aspectos prácticos de dicha protección en España. El planteamiento es sencillo: tras la publicación, hace un tiempo, del primer informe —en el que se analizaban los aspectos normativos de la PIC, especialmente en nuestro país—, decidimos comprobar de forma aproximada cual era el estado real de seguridad de las infraestructuras críticas españolas. Para ello nos planteamos un análisis generalista —en ningún momento dirigido— mediante pruebas no hostiles (obvio) y el uso de herramientas no avanzadas; de otra forma, queríamos saber dónde podría llegar un atacante sin un objetivo específico ni conocimientos o herramientas avanzadas, sencillamente con algo de tiempo y una conexión a internet.

Para ello, identificamos una serie de firmas asociadas a sistemas de control —fabricantes, modelos concretos…— a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.

[Read more…]

Malas ideas: el taxista

18 de octubre de 2012 Por

Antes de empezar este post es necesario advertir que se trata de una situación ficticia fruto de la imaginación, que cualquier parecido con la realidad es pura coincidencia, que no intenten esto en sus casas y que Security Art Work no se hace responsable de nada… Vamos, lo habitual ;)

Imaginemos por un instante una de esas reuniones de trabajo en nuestra oficina en las que negociamos con proveedores, clientes, partners… sobre tal o cual proyecto o, simplemente, en las que tratamos información que debe ser restringida. Imaginemos que al acabar esta reunión nuestros interlocutores deben volver a su lugar de trabajo y para ello -situación muy habitual- les pedimos un taxi o, mejor aún, se lo piden desde nuestra recepción (más convincente ;).

Imaginemos que ese taxista es un buen amigo nuestro y, además, trabaja para nosotros. ¿Cómo? Muy sencillo: haciendo lo que hacen los taxistas, que es llevar a pasajeros de un sitio a otro. ¿Para una empresa de seguridad? Claro, ¿por qué no? Y de paso que los lleva… ¿Por qué no regalarle a nuestro amigo una pequeña grabadora, de esas tan discretas que caben en cualquier sitio y que además pueden recoger nítidamente una conversación mantenida, por ejemplo, en un taxi? Así, cuando reciba la llamada para realizar un servicio desde nuestras oficinas, puede pulsar la tecla REC antes de acudir a por los clientes… Total, nadie se va a poner a buscar algo así en el vehículo, ¿verdad?

Imaginemos lo suculenta que puede ser la conversación mantenida tras una reunión. ¿Qué dirán de nosotros? ¿Y del proyecto? ¿Tratarán de engañarnos? ¿Nos estarán tratando bien? Y lo que es más importante… ¿Cuánto vale esa grabación (y no me refiero sólo al dinero)? Si todos hemos respondido “mucho”, ¿verdad que alguien se habrá planteado al menos conseguirla, cuando no algo más…? Pensemos una cosa: no estamos hablando de situaciones extrañas, sino todo lo contrario, en las que además el beneficio es o puede ser muy alto y el riesgo para el atacante es casi nulo. Tentador, ¿a que sí? Y si a nuestra oficina no se llega fácilmente en transporte público, mejor aún: muchos vendrán a vernos en un taxi… y tendrán luego que volver en otro, el de nuestro amigo :)

De esta forma, la próxima vez que salgan de una reunión de trabajo y se suban a un taxi -pedido desde la empresa o no, que las casualidades también existen- recuerden que no conocen de nada al conductor, ese extraño que va sentado delante conduciendo, aparentemente ajeno a nosotros. Todo lo que digamos puede ser grabado o, sencillamente, escuchado y luego retransmitido; vamos, que como se suele decir, puede ser utilizado en nuestra contra. Y recuerden también aquello de que si tenemos dos ojos, dos orejas y sólo una boca, será por algo…¿no?

Ojo, no sólo podemos tener amigos taxistas. Los camareros de las zonas de negocios también tienen cumpleaños en los que regalarles cosas y al personal de limpieza o mantenimiento le encantan las cámaras digitales. Ah, y todos ellos tienen dos ojos y dos oídos, casi se me olvidaba… ;)

El defacement del año

11 de octubre de 2012 Por

Sin duda a estas alturas casi todos sabemos cual ha sido el defacement más sonado del año 2012: el del Cristo de Borja. A finales del pasado mes de agosto, cuando muchos estaban aún disfrutando de sus vacaciones y el resto acababan de volver al trabajo, saltó a los medios el caso de Cecilia Giménez, una intrépida hacker que, desafiando a una de las mayores organizaciones del mundo, decidió restaurar la imagen del eccehomo de la iglesia del Santuario de Misericordia de Borja (Zaragoza), una obra de arte -por cierto, bastante desconocida hasta ese momento- de Elías García Martínez.

Se trató de un incidente que podríamos clasificar como un acceso no autorizado con modificación y/o corrupción de datos, que no implicó fugas de información y con un origen plenamente identificado; la fase de contención se ejecutó de forma inmediata y la de recuperación, si es que se ejecuta, aún llevará su tiempo. Algunas reflexiones (¿esto es la fase de lecciones aprendidas?) sobre el incidente:

  • Un incidente no tiene por qué estar motivado por una acción malintencionada: en ocasiones es causado por alguien que realmente no quiere causar ningún daño. Doña Cecilia no ha pretendido en ningún momento dañar la imagen, todo lo contrario: la restauró ella misma porque nadie prestaba atención al deterioro del Cristo de Borja.
  • Personal interno a la organización (un insider) fue colaborador necesario para la materialización del incidente, de nuevo sin mala intención: el trabajo de Doña Cecilia era conocido por el párroco y contaba presuntamente con su aprobación. Es necesario definir quién puede autorizar qué en cada caso, ya que el defacement era en principio una acción autorizada aunque, seguramente, por alguien sin la autoridad necesaria dentro de la organización.
  • Un incidente a priori de criticidad baja desde un punto de vista técnico puede convertirse en algo crítico desde el punto de vista reputacional, en especial cuando se difunde a la opinión pública: poca gente conocía el Cristo de Borja antes de la restauración y desde luego, si no hubiera tenido tal repercusión mediática, este incidente no habría pasado de una simple anécdota en el pueblo… Por este motivo, la relación con los medios de comunicación en los incidentes que saltan al público debe estar contemplada en los procedimientos corporativos de gestión de incidentes; en estos casos debe establecerse un interlocutor válido con los medios por parte de la organización afectada, que canalice de forma adecuada la información remitida a éstos.
  • Si tan importante -artísticamente hablando- es ese Cristo… ¿se habían desplegado salvaguardas adecuadas para su protección? ¿Se habían analizado los riesgos a los que estaba expuesto el Cristo de Borja? ¿Las salvaguardas han fallado porque es muy compleja la protección de estos bienes o porque realmente en este caso se decidió no invertir más de lo estrictamente necesario?
  • Si realmente la pintura no es tan importante, ¿por qué ahora se va a dedicar tiempo y dinero a su restauración (cosa que no se hizo antes)? ¿No estaremos invirtiendo más en protección que el valor de lo protegido? ¿Por qué no nos planteamos dejar al Cristo como está?
  • Al hilo de lo anterior, una situación negativa pero convenientemente tratada se convierte en una ventaja. A partir de la restauración han surgido iniciativas que, bien gestionadas, seguramente repercutirán de forma positiva en el pueblo (mucho más de lo que habría repercutido la integridad del activo atacado).
  • Ya para acabar, sería interesante analizar las diferencias entre el defacement físico y el virtual (modo convergencia ON), en especial en lo referente a la restauración de los datos alterados :)

Para acabar, quiero expresar mi total apoyo a la restauradora, Cecilia Giménez; ella solita ha conseguido para su pueblo lo que, seguramente, ninguna campaña turística de ese ayuntamiento (que incluso analizó emprender acciones legales contra su vecina) habría conseguido jamás. Y eso que no pudo acabar su obra porque, según ella misma explicó, le salió un viaje a Albarracín :)

FOTO: Centro de Estudios Borjanos

Real Cloud Security

2 de octubre de 2012 Por

(Please note this post was originally published in the Spanish version of Security Art Work last 2th Oct 2012)

Acto I: La nube

(En una pequeña sala están reunidos el Director General, el Director de Seguridad y el Director de Marketing. Éste viene con la PC Actual debajo del brazo)

CMO: Blablablabla Cloud blablabla costes blablabla disponibilidad blablablabla Google.
CSO: Blablabla SLA blablabla, blablabla LOPD, deslocalización, blablabla blablabla privacidad, blablabla.
CEO: Blablablabla euros, blablabla personal, IT blablabla servidores. ¿Seguridad? Blablablabla.
CSO: Blablabla, blablabla LOPD, sanciones, blablabla robo de datos, blablabla prensa. Blablabla impacto y riesgo.
CMO: ¿Inseguro? Jajajajaja, blablabla, blablabla y blablabla. CSO blablabla, desconfianza. Blabla, blabla, Gartner, ¿blablabla? Blablablabla. Eso no pasa.
CEO: Blablablabla CIO, blablabla IT blablabla presupuesto.
CSO: Alea jacta est.

Acto II: Miel sobre hojuelas

(Mientras el Director General observa el tablet del Director de Marketing ven pasar al Director de Seguridad, quien acelera el paso pero es interceptado en pleno pasillo)

CMO: Blablabla acceso, blablabla iPad, iPhone. ¿Blablabla? ¿CSO? Blablabla, estos de seguridad blablabla. Acceso, blablabla, password blablabla, blablabla SSL.
CEO: Blablabla cómodo, blabla, blablabla acierto. Blablablabla razón, costes blabla, blablabla empresa 2.0.
CSO: Pater Noster qui es in caelis, sanctificétur nomen Tuum

Acto III: Un pequeño problema

(Ha pasado algo en las Islas Marshall que ha inutilizado la conexión con el proveedor de cloud y, no se sabe aún, puede haber ocasionado pérdida de datos)

CEO: Blablabla corte, blabla borrado, blablabla acceso. ¡¡Blablablabla datos, blablabla nube!!
CMO: Blablablabla probabilidad, blabla Gartner blablablabla CIO, blabla CSO.
CSO: Blablabla riesgo, blablabla impacto, blabla calidad de servicio, blablabla Google.
CEO: Blablabla reputación, blablabla negocio, ¡blablabla Google!
CMO: …
CSO: …

Acto IV: Elige tu propia aventura

(¿Os acordáis de estos libros? Pues en este post lo mismo ;)

Opción #1

CSO: Blablabla backup, blabla ignífuga, blablablabla recuperación, sistema blablabla.
CEO: Muacs.

Opción #2

10 CEO: …
20 CMO: …
30 CSO: …
goto 10

Opción #3

CSO: Blablablabla ¿CIO?
CIO: Blablabla, Terms of Service, blablablabla denuncia, blablabla compensación, blablablabla.
CEO: Blablabla datos, blablabla disponibles blablabla por mis #@!*& blablabla diez euros.

¿Qué, cómo ha acabado la aventura en la nube?

Por cierto, si has sido capaz de seguir esta conversación, quizás te interese este vídeo que ha localizado nuestro compañero Adrián: