(Ciber) Inteligencia (IV): OSINT

Como indicábamos en la anterior entrega de esta serie de posts sobre Inteligencia, la disciplina OSINT (Open Source Intelligence) es aquella encargada de obtener información a partir de fuentes abiertas.

Actualmente su utilización se encuentra muy extendida (de forma consciente o no) gracias a la amplia difusión de internet, con la cantidad de información que allí se encuentra, su facilidad de acceso e inmediatez en su obtención.

Sin embargo, OSINT se aplica para cualquier fuente pública y no es algo moderno, pues la televisión, la radio (siempre que no hablemos de interceptar una radio enemiga) e incluso los periódicos o libros se categorizan como fuentes públicas. Es importante tener en cuenta este aspecto a la hora de comprender una disciplina que se atribuye de forma popular casi exclusivamente a Internet.

Comentábamos también en la primera entrega cómo el OSINT resulta ser una disciplina transversal a cualquier persona que quiera obtener información, siendo utilizada tanto por el analista de seguridad que busca IOC publicados, como por el auditor de hacking ético realizando un Information Gathering previo a un test de intrusión, el analista de inteligencia militar que busca información sobre una zona de conflicto o el estudiante que busca en webs de apuntes los resúmenes para el examen que no se ha estudiado.

[Read more…]

(Ciber) Inteligencia (III): HUMINT

En la anterior entrada hablábamos a modo introductorio sobre algunas de las principales fuentes de información de la fase de Obtención. De ellas, HUMINT tiene de por sí una trayectoria independiente que requiere un estudio más en profundidad y que vamos a ver a continuación.

HUMINT es definida como la inteligencia de obtención de información a través de fuentes humanas (NATO Glossary of terms and definitions). Es importante destacar que las actividades llevadas a cabo por esta disciplina van más allá de las operaciones encubiertas, en contra de la creencia popular.

Entre los rasgos a destacar, las actividades HUMINT son críticas, puesto que permiten obtener información que no se pueden obtener por otros medios, además de utilizarse para corroborar información de otras disciplinas. Destacar que estas actividades siempre se llevarán a cabo dentro de los límites legales.

[Read more…]

(Ciber) Inteligencia (II)

En el primer artículo de esta serie de Inteligencia, establecíamos una introducción a la disciplina y veíamos algunos detalles de la primera fase del ciclo de inteligencia: la Planificación. Sin embargo, necesitamos ahora contestar a la pregunta:

Cómo identificar la mejor disciplina de obtención de información para cada una de las acciones establecidas durante la planificación

Para ello hemos de hablar primero de las fuentes de obtención de Inteligencia. Veamos algunas de ellas.

Fuentes de obtención de Inteligencia

[Read more…]

(Ciber) Inteligencia (I)

A nadie sorprende ya que el concepto «Ciberinteligencia» esté en boca de todos los profesionales de nuestro sector. Sin embargo, conviene detenerse un momento y plantearse de dónde proviene dicha disciplina (a todos nos encanta añadir el prefijo «ciber» para hacer las cosas más interesantes), y a eso vamos a dedicar los próximos artículos: a hablar sobre la Inteligencia, y en concreto, de sus diferentes aplicaciones en el ámbito corporativo, para entender así la importancia de incorporarla a nuestro día a día profesional.

Para empezar, tomemos por un momento la definición de inteligencia de la Real Academia Española. Entre sus múltiples acepciones, tenemos las siguientes:

  • Capacidad de entender o comprender
  • Capacidad de resolver problemas

Dichas capacidades son intrísecas a cualquier actividad que requiera de evaluar una situación, analizarla y alcanzar una determinada conclusión.

Este hecho podría aplicarse a todo el espectro de profesionales, que en su día a día requieren de tomar decisiones de diferente calibre. Más allá, son aplicables en nuestro día a día en el momento en el que el semáforo se torna ámbar y evaluamos la situación en décimas de segundo para determinar si aceleraremos o frenaremos.

[Read more…]

New sonar contact: possible APT on Bearing 028

La entrada de hoy viene de la mano de Gabriel Sánchez-Román Urrutia, Teniente de navío de la Armada y Analista de Ciberseguridad del MCCD. Disfruten con su lectura.

¿Cómo enfrentarse a un APT? Esa es la gran pregunta que nos hacemos los que nos dedicamos a la ciberseguridad, bien sean de empresas o de diferentes organizaciones. Recientemente, escribí un artículo en el Instituto Español de Estudios Estratégicos sobre el posible uso de las APT cómo un método de disuasión por parte de los estados, en el que comparo las APT con algo que conozco muy bien: los submarinos.

Básicamente, sus similitudes emanan de las características principales de una APT: resiliencia, anonimato e invisibilidad frente a los principios fundamentales submarinistas: seguridad, discreción y conservación de la iniciativa.

Un aspecto a tener en cuenta previamente, de forma breve, es el concepto de acústica submarina. A grandes rasgos, la velocidad del sonido en el agua depende de la temperatura, la profundidad y, en menos medida, de la salinidad y aumenta hasta un punto conocido como profundidad de capa. A partir de ahí, la velocidad del sonido (y la detección) comienza a disminuir de forma drástica y más tarde a aumentar. Es muy importante para el submarino conocer el valor de la profundidad de capa, la cual se puede conocer de forma teórica o ser medida a través de un baticelerímetro. Por lo tanto, por encima de la profundidad de capa el submarino y el buque tendrán mejor detección el uno del otro, mientras que si el submarino está por debajo de esa profundidad estará en una zona de sombra, siendo indetectable por el buque salvo que utilice sonares de profundidad variable. Aquí está el juego del ratón y el gato entre buque y submarino, algo parecido a lo que ocurre en el ciberespacio con las APT.

Imagen que contiene texto, mapa

Descripción generada automáticamente
Rayos sonoros (FUENTE: naukas.com)
[Read more…]

Conservar la privacidad como medida de seguridad

Hoy traemos una colaboración de Luis Amigo. Él se define de la siguiente manera: «Con raíces sólidamente enterradas en el mundo Unix, me gusta definirme como estudiante en tránsito, gestor de proyectos, programador, devops… aún faltan muchas cosas por aprender. Cuando no estoy trabajando o estudiando disfruto leyendo, escribiendo o compartiendo artículos.»
Desde estas líneas agradecemos a Luis su participación.

Muchas compañías son conscientes de que la información es uno de sus principales activos y por ello invierten cada vez más en protocolos y medidas de seguridad. Los expertos en seguridad saben que el propio usuario es uno de los principales vectores de riesgo y por eso establecen medidas para evitar estos problemas en el entorno controlado de una oficina. Estas políticas entran en colisión directa con paradigmas cambiantes como el trabajo remoto o la posibilidad de llevar dispositivos personales a la oficina (BYOD). Aunque los expertos en seguridad establecen medidas de control para este tipo de casos, es importante que se fijen en otro problema que pasa desapercibido: la cantidad de datos personales que esos trabajadores van dejando en Internet y que pueden ser utilizados para generar vectores de ataque sobre sus compañías.

La ausencia de privacidad es un problema de seguridad

Durante años se ha ignorado el problema de seguridad que viene de la mano de la falta de privacidad. Los usuarios han ido realizando registros en multitud de emplazamientos, dejando respuestas a preguntas secretas, dejando información sobre sus hábitos, sobre su vida, sobre su infancia… sin ser conscientes de los problemas de seguridad derivados de esos problemas. [Read more…]

La importancia del bastionado de servidores – Parte 3. El incidente

Hoy publicamos el tercero, y último, de los artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

Con la tienda ya publicada y en servicio, llega el momento de poner en práctica todas las cosas que hemos mencionado arriba: mantener una correcta vigilancia, mantener la aplicación y sistemas actualizados, etc.

Personalmente reviso casi todas las mañanas las alertas de Suricata de todos los servicios que tengo publicados. Filtro aquellas que no considero relevantes y me centro en las que sí que lo son. Normalmente se tratan de intentos de intrusión que han sido bloqueados o intentos de explotar una tecnología que no está desplegada en el servidor. Esto ocurre a menudo cuando, por ejemplo, se publica una vulnerabilidad de WordPress y los atacantes intentan explotarla en cualquier CMS accesible desde Internet, aunque no disponga de la versión vulnerable o ni siquiera sea del mismo fabricante del que se haya publicado la vulnerabilidad. [Read more…]

La importancia del bastionado de servidores – Parte 2. Bastionando el servidor

Hoy publicamos el segundo de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Aquí tenéis todos los artículos de la serie [1] [2] [3]

De acuerdo, tenemos la misión de hospedar una aplicación web de comercio online y ofrecerla al mundo en un servidor que tenemos en propiedad. Nuestro objetivo es que sea lo más inexpugnable posible a todos los niveles. Dado que se trata de una aplicación web, es previsible que el principal vector de entrada de ataques sea a través de vulnerabilidades de la propia aplicación. A ver, no nos engañemos, todos los CMS son firmes candidatos a tener vulnerabilidades severas. El esquema de cómo estará organizada la plataforma es el habitual en un servidor virtual:

Por lo tanto, la cuestión es elegir un CMS con estas premisas:

  1. Que se desarrolle activamente y esté respaldado por una comunidad numerosa de desarrolladores o por una gran empresa. Esto nos garantiza que cuando se publique una vulnerabilidad, ésta sea rápidamente corregida.
  2. Que el CMS instalado sea la última versión disponible de una rama que tenga soporte, y que se prevea que siga teniéndolo durante bastante tiempo. No hay que olvidar que, dado que no disponemos de entorno de desarrollo en casa, las actualizaciones o migraciones implican pérdida de servicio que a su vez implica potencial pérdida de dinero.
  3. Que sea compatible con el sistema operativo del servidor que disponemos. Una consideración que es obvia pero importante.
  4. Que el historial de vulnerabilidades críticas sea lo más bajo posible. Un CMS que se desarrolla activamente y tiene buen soporte pero que de media se descubre una vulnerabilidad crítica cada semana no es viable de mantener ni seguro de utilizar.

[Read more…]

La importancia del bastionado de servidores – Parte 1. Introducción y tipos de infraestructura

Hoy publicamos el primero de tres artículos cortesía de Jorge García sobre la importancia del bastionado de servidores. Jorge se presenta de la siguiente forma: «Aunque oficialmente soy administrador de sistemas y responsable de seguridad en la empresa donde trabajo, lo cierto es que mi trabajo también es mi hobby. Soy un gran aficionado a la informática geek, a la seguridad defensiva, a desplegarme mis propios servidores y a todo proceso DIY (‘do it yourself’) que me plantee nuevos retos de aprendizaje mientras me busco la vida para solucionar los problemas. La evolución es mi pasión.«

Todas las empresas, sin importar el ámbito en el que se desarrollan, disponen en mayor o menor medida de una infraestructura informática de servidores que almacenan y procesan información corporativa de vital importancia para el negocio. La duda que siempre me asalta es: si tan importante es esta información, ¿por qué la experiencia nos dice que es tan frecuente que las empresas no mantengan sus servidores, aplicaciones y equipos actualizados y debidamente bastionados?

Bien es sabido que una gran parte de las empresas no toman en serio la seguridad informática. Sin ir más lejos este informe publicado hace tres meses indica que 7 de las 10 vulnerabilidades más explotadas durante 2018 tenían entre 1 y 6 años de antigüedad; o este otro informe que indica que una gran cantidad de empresas no parchean sus sistemas de forma rápida. Esto es debido a que, las empresas piensan que no son objetivo escudándose en el el típico pensamiento de «mi empresa es pequeña y no tiene nada atractivo para los hackers», o bien porque no tienen o no consideran necesario disponer de recursos de personal y herramientas para mantener la plataforma actualizada. O al menos no lo hacen hasta que ya es demasiado tarde, y de eso mismo voy a hablaros en el post de hoy. It’s a true story. Vamos con un poco de background. [Read more…]

Unaaldía organiza su primer evento de ciberseguridad UAD360

Unaaldía organiza su primer evento de ciberseguridad en la ciudad de Málaga los próximos días 7 y 8 de junio. El evento ha sido bautizado como UAD360 y contará con talleres, conferencias y un CTF presencial. Además la organización dará regalos a los asistentes y se encargará del almuerzo y desayuno del sábado así como de una consumición de la fiesta del sábado.

La iniciativa ha sido promovida por Una al día y cuenta con la colaboración de la Universidad de Málaga e Hispasec, además del patrocinio de la empresa Buguroo y el apoyo de Extenda e Incibe.

Aquí os compartimos la agenda del evento y la descripción de las charlas y talleres:

Charlas

Sergio de los Santos – Macro problemas / Micro soluciones

Ingeniero Informático de Sistemas por la Universidad de Málaga, donde también ha cursado un Máster en Ingeniería del Software e Inteligencia Artificial. Ha sido galardonado, desde 2013 a 2017, con el premio Microsoft MVP Consumer Security, e imparte clases del máster de Seguridad TIC en la Universidad de Sevilla. Director del Máster en ciberseguridad de la UCAM.

Actualmente Sergio es Director del área de Innovación y Laboratorio de ElevenPaths, la unidad de ciberseguridad en Telefónica Digital. Desde 2000, ha trabajado como auditor y coordinador técnico, ha escrito un libro sobre la historia de la seguridad y tres libros más técnicos sobre hacking y seguridad Windows.

La charla propuesta versará sobre cómo el malware de macro se ha vuelto el vector de ataque estándar y qué micro-soluciones podrían mitigarlo

Durante los 45 minutos que durará la charla se dará un repaso técnico a diferentes ejemplos reales de malware que han utilizado macros en los últimos tiempos como método de infección. Nos centraremos en el “por qué”,  “cómo” y “qué” herramientas disponemos para mitigar este problema.

Fernando Diaz – Dead or Alive 6: Core Unlocks

Ingeniero de software en VirusTotal. Dedicado a desarrollo de tecnología de Sandboxing distribuido para análisis dinámico de binarios en entornos Windows y Android. Investigación dedicada a analisis de malware, kernel drivers y gamehacking.

DOA6 es un videojuego de reciente lanzamiento en Marzo de 2019, dentro del género de lucha. Para aquellos jugadores que no quieran comprar el juego completo, Koei Tecmo da acceso al juego completo pero capado: podremos jugar a todos los modos, pero solo podremos seleccionar 4 personajes de los disponibles.

En esta charla, veremos cómo encontrar la manera de modificar el juego durante ejecución para tener acceso a estos personajes bloqueados y modificar su set de movimientos, pudiendo jugar sin tener el personaje comprado. Para automatizarlo, utilizaremos Frida, un framework de instrumentación de binarios.

David Santos – TOR DIY isolated or not

Investigador de seguridad con más de 10 años de experiencia en el sector público, principalmente enfocado en el estudio e investigación de nuevas amenazas y su explotación.

La charla comenzará con una explicación sobre el funcionamiento interno de Tor, mostrará cómo se ha llevado a cabo la posibilidad de montar una red Tor aislada de Tor Network y las vicisitudes encontradas. Finalmente se mostrará cómo se ha empleado Tor como entorno de laboratorio para realizar ataques y pruebas en nodos de salida, además de resultados reales obtenidos. Se publicará la documentación relacionada con parte de la charla al finalizar la misma.

Soledad Antelada – Protegiendo la red más rápida del mundo

Ingeniera en Ciberseguridad en el Lawrence Berkeley National Lab, perteneciente al Departamento de energía de EEUU y la líder de seguridad de Scinet/SC, la conferencia Internacional de computación de alto rendimiento. Fundadora de GirlsCanHack, una organización dedicada a involucrar a las mujeres en la ciberseguridad y Presidenta del Consejo de Mujeres Científicas e Ingenieras en Berkeley Lab, WSEC. Su experiencia abarca penetration testing, reconocimiento de amenazas, análisis de tráfico de red, respuesta a incidentes, análisis forense, resolución de incidentes de seguridad, arquitectura de red y promoción de una sólida cultura de seguridad a través de consultoría técnica.

SCinet es la infraestructura de red de alto rendimiento dedicada de la Conferencia de Supercomputación (SC), diseñada y construida por expertos voluntarios de la industria, la academia y el gobierno de EEUU y diversas Universidades Europeas. SC es la conferencia internacional para redes, almacenamiento y análisis de computación de alto rendimiento esponsorizada por ACM (Asociación para Maquinaria de Computación) y la asociación de computación IEEE. SC18 en Dallas, superó los 4Tbps. La planificación comienza más de un año antes de cada conferencia SC y culmina en una instalación de alto rendimiento que, durante la conferencia, es la red más rápida y potente del mundo. SCinet es compatible con las aplicaciones y experimentos revolucionarios que son un sello distintivo de la Conferencia SC permite a los expositores demostrar las capacidades informáticas avanzadas de sus soluciones y servicios. El equipo de seguridad de red se encarga de proteger los recursos de SCinet, proveedores, expositores y asistentes durante la conferencia además de proporcionar una solución de seguridad de vanguardia en cada edición de SC. Las actividades del equipo de seguridad incluyen participar en la construcción de la arquitectura de red, diseñar el security stack, filtrar el tráfico dañino de la red, prevenir la aparición de sistemas comprometidos, la gestión de incidentes y también proteger Internet de la potencia de la red SCinet.

Bernardo Quintero

Fundador de Hispasec y VirusTotal. Manager at Chronicle (Google).

Charla por confirmar

Talleres

Luis Vacas – Taller de Pentesting

Capitán del primer equipo español en la plataforma online “Hack The Box”. Ha impartido charlas de evasión de antivirus y es un gran conocedor de pentesting sobre sistemas Windows.

El taller explicará conceptos básicos sobre pentesting guiados por pruebas reales de explotación sobre una infraestructura de 5 máquinas. El nivel irá subiendo y abordará mañana y tarde del viernes.

Eduardo Matallanas – Taller de Inteligencia Artificial

Ph.D. en las áreas de Informática y Gestión de la Energía por la Universidad Politécnica de Madrid (UPM). Doctorado en «Redes neuronales artificiales recurrentes para el control distribuido de redes eléctricas con electricidad fotovoltaica». Autor y coautor de 11 artículos en revistas internacionales y 7 artículos de conferencias internacionales que se centran en las áreas de energía y control. Actualmente trabaja como ingeniero de datos en Plain Concepts.

Hoy en día el uso de la IA se ha hecho extensivo gracias a la democratización de estos servicios y la aparición de nuevos frameworks. Pero el concepto de IA no es nuevo, es más antiguo de lo que creemos. En el taller se hará una revisión histórica de los diferentes hitos dentro de la IA. Se comentará cómo han evolucionado las técnicas de IA y cuáles son los paradigmas de aprendizaje. También se resumirá cuál es el flujo de vida de un proyecto de IA y cómo se dividen cada una de sus fases. Por último, se comentarán diferentes ejemplos de aplicación de la IA. En cuanto a la parte más práctica del taller se verán diversos ejemplos de aplicación sobre el dataset de MNIST y cómo aplicar diferentes aproximaciones para empezar con un ejemplo clásico de clasificación, además de familiarizarse con el framework de TensorFlow desarrollado por Google.

Alberto Segura – Taller de Introducción al Exploiting

Ingeniero Informático por la Universidad de Granada, posee un máster profesional y está cursando el doctorado. Actualmente trabaja como analista de malware en Hispasec.

En el taller se dará una introducción a la explotación de binarios en Linux. Se realizará una breve introducción al lenguaje ensamblador (x86 y x86_64) y a la disposición de memoria, centrándose especialmente en la base necesaria para el desarrollo de exploits (como las convenciones de llamada y retorno de funciones). De modo que, con estos conocimientos básicos, se introduzcan herramientas (GDB, radare2, pwntools) y técnicas habituales (ret2libc, ROP) para la explotación de binarios. Además, se dará un repaso de las medidas de seguridad (ASLR, NX, Stack Canary, PIE) que se han ido añadiendo para dificultar la explotación de vulnerabilidades en binarios, incluyendo escenarios en los que dichas medidas de seguridad no imposibilitan una explotación satisfactoria.

Esperamos que el evento os resulte de interés, y esperamos las crónicas de los que asistáis.