Recopilación de algunos libros «imprescindibles» para aprender seguridad informática #secbook

img1El pasado fin de semana, desde nuestra cuenta de Twitter @securityartwork os lanzamos una petición que consistía en que, entre todos, forjáramos una lista inicial de libros «imprescindibles» para aprender diferentes materias dentro del ámbito de la seguridad informática tuiteándolos con el hashtag #secbook. Obviamente pretendíamos elaborar una lista inicial genérica ya que, como todos sabemos, dentro de la ciberseguridad hay muchísimos campos en los que especializarse y no podríamos cubrir completamente todos si decidimos abarcarlos todos, además de que entonces sería una lista muy sui géneris.

El resultado de los libros que sugeristeis fue el siguiente:

[Read more…]

Malcom. Ejercicio práctico de análisis de tráfico.

Malcom (Malware Communication Analyzer) es una herramienta que uso desde hace tiempo y que, a pesar de estar muy bien documentada en diferentes sitios, he creído conveniente dedicarle una entrada a raíz de sus últimas actualizaciones ya que ha ganado en estabilidad y consistencia.

Su objetivo es  principalmente analizar las conexiones en el tráfico de red de forma gráfica a la vez que cruza datos con fuentes (feeds) de malware públicas o privadas para identificar rápidamente los nodos maliciosos (por ejemplo servidores de C&C); cómo el malware intenta comunicarse con ellos para analizar posibles patrones de comportamiento, entender redes P2P u observar infraestructuras de tipo DNS Fast-Flux.

image06

[Read more…]

(Cyber) Guerra Fría I: Ataque a TV5Monde

A pesar de que en la prensa española no tuvo mucho eco -para lo grave que fue según mi criterio-, el pasado abril la cadena TV5Monde sufrió un ciberataque sin precedentes en la historia de la televisión por el que, durante 18 horas y de manera sincronizada los atacantes, en nombre del Estado Islámico, se hicieron con 11 canales de televisión, sus perfiles en redes sociales, varios servidores y sitios Web. La ANSSI (Agence nationale de la sécurité des systèmes d’information) concluyó sin demasiados comentarios que los dispositivos de electrónica de red también se habían visto comprometidos, incluyendo decodificadores y multiplexores necesarios para la difusión de los programas.

Además de publicar propaganda ligada al EI, también se publicaron datos supuestamente confidenciales sobre soldados franceses junto con amenazas a sus familias (a posteriori el Ministerio de Defensa francés informó que no se había expuesto ningún dato confidencial).

mm0

[Read more…]

Dispositivos clínicos conectados

(Este post ha sido elaborado por Joan Balbastre y Jesús Galvez con la colaboración de Maite Moreno en su redacción).

En el pasado SummerCon, celebrado este verano, la comunidad se hacía eco de la investigación sobre vulnerabilidades en algunos productos clínicos para la inyección de medicamentos, llevada a cabo por el investigador Billy Rios, y centrada en la línea de productos fabricada por Hospira, la cual tiene mas de 400.000 bombas distribuidas por hospitales de todo el mundo.

Tras sus primeras investigaciones, Ríos descubrió que un atacante de forma remota podría alterar el funcionamiento de estas bombas de inyección, siendo capaz de administrar dosis letales de fármacos. Una de las vulnerabilidades indica que el software encargado de almacenar los umbrales para la administración segura de las dosis (“biblioteca de medicamentos”) podía ser manipulado para cargar nuevos umbrales debido a la inexistencia de autenticación para su acceso. Esto provocaría que, aunque por un error humano en la inserción de valores se sobrepasara el nivel de la dosis suministrada (o se quedara corto), no le saltaría ninguna alerta al personal clínico.

[Read more…]

Actualización de novelas para adictos a la ciberseguridad #novelaseguridad

A finales del año pasado lanzamos a través de la cuenta de Twitter de @securityartwork una iniciativa para recopilar un listado de novelas o relatos relacionados con el mundo de la ciberseguridad. Pedimos a sus seguidores que hiciesen sus recomendaciones literarias tuiteando con el hashtag #novelaseguridad.

Hoy os traemos esta lista actualizada con las recomendaciones que habéis ido enviando. Os damos las gracias por vuestra colaboración y os animamos a seguir enviando vuestros tuits con más recomendaciones. El recopilatorio es de lo más interesante:

[Read more…]

Unidad 8200

img1Nota: Es preciso aclarar que no existen pruebas concluyentes para atribuir la autoría de la mayoría de acciones y hechos descritos en este artículo a personas físicas, Estados, actores no estatales o a determinados servicios de inteligencia. Por ello, se hablará casi siempre de presuntos o supuestos, así como las acciones. Los servicios secretos israelíes son conocidos por su extremo hermetismo y secretismo, así que la mayoría de la información que proviene de ellos es difícil de contrastar; en ocasiones dicha información proviene de una única fuente. Todo lo expuesto a continuación está nutrido de información pública que puede consultarse abiertamente.

La Unidad 8200 (en algunas publicaciones conocida por Central Collection Unit of the Intelligence Corps, o también Israeli SIGINT National) es una unidad que pertenece a los cuerpos de inteligencia de las Fuerzas de Defensa de Israel, cuya misión es la captación de señales de inteligencia y procesado de las mismas (desde llamadas, mails, ondas o satélites). Su función es similar a la NSA o el GCHQ. Hay que recordar que el servicio militar es obligatorio para todo el mundo en Israel, y según se comenta en algunos foros, “cazadores” de talento “peinan” las escuelas del país para incorporar a la Unidad 8200 a los más predispuestos para estas tareas.

La demanda de “productos” TI militares de vanguardia, la gran inversión que realiza Israel en TI y la llegada de casi medio millón de inmigrantes titulados universitarios de la ex Unión Soviética en los 90, han empujado el sector de la alta tecnología hasta el punto de que Tel-Aviv es una de las 10 grandes ciudades de alta tecnología del mundo con su Silicon Wady. Dentro de esta alta tecnología destaca la relacionada con el ámbito de la ciberseguridad, y en parte, culpa de ello la tiene la Unidad 8200.

Empresas del sector conocidas como Palto Alto Networks, Imperva, Check Point, Seculert, Akamai o Radware (entre muchas otras) han sido fundadas por ex-miembros de la unidad 8200 y, un vistazo rápido a LinkedIn, nos muestra la alta cualificación de los mismos.

Otros analistas de la Unidad 8200 podrían formar parte de corporaciones privadas como Hazard Threat Analysis, Ltd (Terrogence), especializadas en recolección de información de inteligencia contraterrorista de fuentes OSINT. Probablemente muchos vendrán de la Unidad Hatzav, que parece ser una unidad subordinada a la 8200, centrada en recopilación de información de fuentes abiertas. Algunas fuentes comentan que son capaces de monitorizar y traducir toda la prensa y medios árabes las 24 horas del día.

Se presupone que hacen uso de la Base de Urim SIGINT, que es una de las instalaciones militares más importantes para la captación de señales de inteligencia del mundo, en las que se que recopilaría información de interés interceptada y útil para AMAN (Dirección de inteligencia militar israelí).

Mencionar que Israel tiene en marcha el programa Ofeq, una serie de satélites de reconocimiento (“satélites espía”), destinados a uso militar e inteligencia con una cobertura optimizada para Oriente Medio. Sin embargo, se desconoce si la Unidad 8200 tiene relación directa con Ofeq para recopilar información, o si existe alguna unidad IMINT para tal fin.

Base de Urim (desierto de Néguev). Fuente: Google Maps

Base de Urim (desierto de Néguev). Fuente: Google Maps

En cuanto a operaciones conocidas, u otras acciones relevantes, no hay demasiada información pública al respecto, tal y como hemos comentado. Insisto en que las atribuciones de las acciones/operaciones son meramente suposiciones, ya que no hay ningún tipo de confirmación oficial al respecto de la participación de esta Unidad. En orden cronológico:

2007. Según diversas fuentes (ver cable de Wikileaks relacionado), participarían en la Operación Orchard, en la que fuerzas aéreas israelíes atacaron Al-Kibar (nombre del objetivo) en Siria, en el que había un supuesto reactor nuclear encubierto. Según la prensa, a través de la Unidad 8200, y con una tecnología similar al Suter estadounidense (desarrollado por la Unidad Secreta de las Fuerzas aéreas norteamericanas, Big Safari), la Fuerza Aérea Israelí fue capaz de atravesar el espacio aéreo sirio sin ser detectados por los radares. Anteriormente Israel había llevado operaciones similares a ésta, como la Operación Ópera en 1981, por la que se atacó un reactor nuclear en construcción en Irak.

2010. Aparece Stuxnet, malware avanzado con capacidad de cibersabotaje industrial, enmarcado dentro de la Operación Olimpic Games, y atribuido, según los medios, a Israel (Unidad 8200) y USA. Duqu llegaría en 2011 y Flame en 2012, ambos con grandes analogías y paralelismos a Stuxnet y por tanto supuestamente procedentes de los mismos autores.

img32013. Snowden filtró el memorando completo por el que se ponía de manifiesto que la NSA compartía información con la Unidad 8200 desde el 2009 generando una gran polémica porque no se filtraba nada.

Ese mismo año el periódico alemán FOCUS, publicaba que Israel acusaba al gobierno de Bashar Al-Assad de usar armas químicas en Siria. Parte de la investigación llevada a cabo para lanzar estas acusaciones la podría haber llevado a cabo la Unidad 8200 a través de la interceptación de comunicaciones en las que se evidenciaba este hecho.

2014. LLegaba la noticia de que Israel frustraba un atentado de Al Qaeda en Tel-Aviv contra la embajada estadounidense. Algunas fuentes indican que la operación de contra-terrorismo fue llevada a cabo por la Unidad 8200 y los servicios de inteligencia.

Este mismo año, un grupo de 43 miembros la Unidad 8200, a través de un carta abierta dirigida al primer ministro Netanyahu y al jefe del estado mayor israelí, Benny Gantz, rechazaban participar en acciones contra los palestinos por cuestiones morales.

2015. Este mismo mes de junio, saltaba a la palestra, Duqu 2.0, malware avanzado para ciberespionaje atribuido presuntamente a Israel, detectado por Kaspersky en sus propias redes internas, y además en varios objetivos relevantes en el marco de las negociaciones internacionales sobre el programa nuclear iraní, y en el evento del 70 aniversario de la liberación de Auschwitz.

Comentar, por último, que las fechas citadas respecto a la aparición de las operaciones/malware son de cuando se hizo pública su existencia, no de cuando se crearon, que, en la mayoría de los casos se desconoce.

Las últimas noticias al respecto del futuro de la Unidad 8200 son que van a formar parte del futuro Cyber Command de ejército israelí que se prevé esté operativo en dos años. En aras de unificar funciones, el nuevo Cyber Command israelí estará dotado de capacidades ofensivas/defensivas – hasta ahora llevadas a cabo por la Unidad 8200- y además por otros grupos relacionados con la inteligencia militar.

Solo sabemos que no sabemos nada.

Cyber Caliphate. Cyber Jihad

“I love you ISIS”; “je suIS IS”; “in the name of Allah, the Most Gracious, the CyberCaliphate continues its CyberJihad”; “ISIS will prevail”

El denominado Cyber Caliphate es uno de los cibergrupos destacados en la escena de Oriente Medio, centrado principalmente en la difusión propagandística. Han comprometido cuentas de redes sociales vinculadas al Pentágono, militares, políticos, cadenas de TV/prensa como BBC News, TV5Monde, Albuquerque Journal… etc. y son muy apoyados por la comunidad pro-ISIS.


Fuente imagen: www.recordedfuture.com

[Read more…]

Exploit Kit Analyzer

En la entrada de hoy quiero dar a conocer una herramienta que he probado recientemente cuyo objetivo es analizar Exploit Kits: Exploit Kit Analyzer – EKAnalyzer, que ha desarrollado Jose Ramón Palanco (fundador de Drainware) y que me parece bastante útil para la gestión de incidentes de seguridad en tiempo real.

EKAnalyzer es una herramienta que realiza las mismas peticiones HTTP registradas en una captura de tráfico (en formato pcap), para comprobar si en el momento de la ejecución se sirven artefactos maliciosos (como Exploit Kits). No es una herramienta para análisis forense, es decir, puede que un pcap en un instante determinado dé como positivo (malicioso) pero por ejemplo, una hora después, si el Exploit Kit ha sido desmantelado, dará como resultado negativo.

Para la identificación de exploits, EKAnalyzer realiza todas las peticiones varias veces, usando diferentes User-Agents en cada iteración y además realiza una copia de todos los ficheros descargados en cada análisis. Actualmente se integra con diferentes herramientas/utilidades como:

  • Filemagic.
  • Virustotal API.
  • Yara.
  • Análisis de ficheros swf.
  • Clamav.

La puesta en marcha es muy sencilla siguiendo los pasos que se indican el fichero de instalación. Tras levantar el servicio llegamos a una interfaz Web muy sencilla (la cual le he prometido a Palanco mejorar y ponerle algo de colorines que está muy sosaina :) a la que poder subir el pcap a analizar:

Para probar un ejemplo de funcionamiento, en el laboratorio dispongo de una serie de pcaps preparados que realizan peticiones contra Exploit Kits que actualmente están activos. A continuación un ejemplo de uno de esos pcaps que como vemos contiene ciertas peticiones hacia algunos recursos de www.drainware.com:

Si subimos uno de estos pcap a EKAnalyzer lo que veremos será lo siguiente de forma secuencial:

Una vez el análisis ha concluido podemos ver los detalles del mismo para cada uno de los User-Agents. Destacar que el User-Agent que aparece en negrita es el original del pcap. Podemos ver unas capturas a continuación:

Como vemos, esta herramienta nos puede ayudar bastante agilizando algunos procesos de comprobación que normalmente se llevan a cabo en la gestión de un incidente de seguridad, reduciendo un trabajo que podría llevarnos horas a unos poco minutos. Nos ahorramos el coste de tener que abrir cada pcap, obtener las URL, mirar las cabeceras, replicar peticiones con diferentes User-Agents, analizar las respuestas, etc., que habitualmente se suele hacer de forma manual.

EKAnalyzer está bajo licencia GNU AGPL y disponible para su descarga y contribución en GitHub.

Mi primer amor. Mi primera vez…

(N.d.E.: Con esta entrada nos despedimos hasta el próximo martes. Pasen ustedes unas muy felices vacaciones, los que las tengan, y un ambiente tranquilo en el trabajo, los que no :)

Mi primer amor fue McGiver. Esa habilidad para escapar de los peligros con chicles, clips y un mechero, ese pelazo de rebelde… Vamos, todo un hacker en potencia… Una pena que fuese como 30 años mayor que yo, pero bueno.

No, ahora en serio. Mi primer amor de verdad fue un Pentium 100 Mhz que por aquella época pesaba más que yo y que era la pera limonera, más que nada porque era solo mío y por fin podía hacer maldades aprender desde casa y no tener que ir a hacerlas aprender al ordenador de la Biblioteca del pueblo, un Amstrad PC1512 si no recuerdo mal, que hacía mucho ruido por cierto.

El caso es que el otro día, desde @securityartwork os propusimos que nos contaseis cual había sido vuestro primer PC con el hashtag #miprimeramor, y nos quedamos gratamente sorprendidos de ver cómo la mayoría lo recordaba con muchísimo detalle y cariño.

@JoanEMarti nos contaba que su primer PC fue un Bondwell 38, CPU 8088@4,7Mhz, 640k RAM, 1 disquetera 5,25″ sin HD, MS-DOS y BASIC. @EnderXenocida recordaba su Fujitsu / Secoinsa FM-7 con monitor de fósforo verde.

@The_Great_Mega confesaba que su primer amor fue un Sinclair ZX Spectrum (como @jestrada1978)+ 48K, y su primer PC un IBM PS/1 – 286 10 MHz – 1 MiB RAM. @jesusgallego69 iba un poco más allá, y nos compartía una foto de su Sinclair ZX Spectrum 48K el cual lleva operativo más de 30 años, y lo que le queda, nos comentaba Jesús:

Alex perdió la cabeza por un Spectrum, con el que “programó una carta de ajuste para un canal de TV que montó en su finca” (que friki) y @lawwait descubrió el amor con un 486 DX33 4MB RAM 250MB HD. Julian Vilas nos contaba lo “bien que se lo pasó“ (y todos sabemos lo que eso significa) con su Amstrad CPC 6128plus. @DarkSh4m4n por su parte nos comentaba que él era de Amstrad CPC 6128, de disco y monitor fósforo verde con el pack de ‘juegacos’ de Dinámics, que aún conserva.

@_stmartin también tenía otro igual y tuiteó:

@ITmorsant confesó su amor por un Amstrad CPC464 64k ,unidad de cassette con monitor de fósforo verde incluyendo el juego Game Over. @daviddelgadogc también nos comentó que era de Amstrad y tuvo un PC1512 para posteriormente dar paso a un Pentium MMX 233MHZ. Otro Pentium MMX pero de 200 MHz, 256 Mb de RAM, 3 Gb de disco duro y por supuesto con Windows 95 tenía como primer amor Nian506.

@LionSwansec también comenzó (después de ahorrar la paga durante más de un año, lo que tiene su mérito) con otro Pentium, éste 90 con 16 Mb de RAM y 850 Mb de HD. @BlackDrgI2P por otro lado nos contaba literalmente : “Amstrand pc 1512 #miprimeramor un pedazo 8086, con solo una disquetera de 5’4”. Siguiendo con los Pentium, @karl0z rememoraba su Pentium 200Mhz MMX con un “increíble” disco de 2GB. Wow. Quién te ha visto y quién te ve :)

@murgiland seguro que se emocionó recordando su IBM 80386 2MB RAM DOS6.22 ISA-SVGA Monochrome Display 40MB HDD Win3.1 WordPerfect5.1 DriveSpace TurboC, ahí es nada. @callerom recordaba su Spectravideo SVI-328, Screen 0. Para @AGrimaltos el primero fue un Spectrum z80, pero el amor surgió realmente con un Amstrad128 con la cinta de casette al lado y el monitor verde…

@freemagnum nos habló de un Hyundai Pc XT con 640 kb de RAM, HD de 30 mb. y disquetera de 5 1/4. Luego le puso un módem de 2400 baudios. @ctomasio nos hablaba de sus comienzos con un PC de 4.5 Mhz con dos disqueteras y 640 de RAM, procesador 8088 y @dsecuma su Ciryx P200 heredado :) (¿de su hermano mayor, quizá?). Por último, Javier nos tuiteaba su Dragon 32, y nuestro amigo @albert0r nos mencionaba su Sony HitBit HB-75P,un bonito MSX 32Kb de RAM.

Cómo veis, el primer amor no se olvida nunca ;) ¿Nos contáis el vuestro?

Pasadlo genial estos días :)

Sh3llCON 2015

Comenzamos 2015 con un nuevo congreso de Seguridad Informática que nace en Santander como el primero en este ámbito en Cantabria, Sh3llCON: Security Hell Conference.

Se definen como un nuevo foro de divulgación sobre seguridad informática que surge con la finalidad de analizar las distintas amenazas y vulnerabilidades que rodean nuestra conexión diaria en las redes.

Sh3llCON se celebrará los días 23 y 24 de enero en el Hotel Santemar y contará con un interesante plantel de ponentes:

[Read more…]