El pasado fin de semana, desde nuestra cuenta de Twitter @securityartwork os lanzamos una petición que consistía en que, entre todos, forjáramos una lista inicial de libros “imprescindibles” para aprender diferentes materias dentro del ámbito de la seguridad informática tuiteándolos con el hashtag #secbook. Obviamente pretendíamos elaborar una lista inicial genérica ya que, como todos sabemos, dentro de la ciberseguridad hay muchísimos campos en los que especializarse y no podríamos cubrir completamente todos si decidimos abarcarlos todos, además de que entonces sería una lista muy sui géneris.

El resultado de los libros que sugeristeis fue el siguiente:

[Read more…]

Malcom (Malware Communication Analyzer) es una herramienta que uso desde hace tiempo y que, a pesar de estar muy bien documentada en diferentes sitios, he creído conveniente dedicarle una entrada a raíz de sus últimas actualizaciones ya que ha ganado en estabilidad y consistencia.

Su objetivo es  principalmente analizar las conexiones en el tráfico de red de forma gráfica a la vez que cruza datos con fuentes (feeds) de malware públicas o privadas para identificar rápidamente los nodos maliciosos (por ejemplo servidores de C&C); cómo el malware intenta comunicarse con ellos para analizar posibles patrones de comportamiento, entender redes P2P u observar infraestructuras de tipo DNS Fast-Flux.

[Read more…]

(Este post ha sido elaborado por Joan Balbastre y Jesús Galvez con la colaboración de Maite Moreno en su redacción).

En el pasado SummerCon, celebrado este verano, la comunidad se hacía eco de la investigación sobre vulnerabilidades en algunos productos clínicos para la inyección de medicamentos, llevada a cabo por el investigador Billy Rios, y centrada en la línea de productos fabricada por Hospira, la cual tiene mas de 400.000 bombas distribuidas por hospitales de todo el mundo.

Tras sus primeras investigaciones, Ríos descubrió que un atacante de forma remota podría alterar el funcionamiento de estas bombas de inyección, siendo capaz de administrar dosis letales de fármacos. Una de las vulnerabilidades indica que el software encargado de almacenar los umbrales para la administración segura de las dosis (“biblioteca de medicamentos”) podía ser manipulado para cargar nuevos umbrales debido a la inexistencia de autenticación para su acceso. Esto provocaría que, aunque por un error humano en la inserción de valores se sobrepasara el nivel de la dosis suministrada (o se quedara corto), no le saltaría ninguna alerta al personal clínico.

[Read more…]

A finales del año pasado lanzamos a través de la cuenta de Twitter de @securityartwork una iniciativa para recopilar un listado de novelas o relatos relacionados con el mundo de la ciberseguridad. Pedimos a sus seguidores que hiciesen sus recomendaciones literarias tuiteando con el hashtag #novelaseguridad.

Hoy os traemos esta lista actualizada con las recomendaciones que habéis ido enviando. Os damos las gracias por vuestra colaboración y os animamos a seguir enviando vuestros tuits con más recomendaciones. El recopilatorio es de lo más interesante:

[Read more…]

En la entrada de hoy quiero dar a conocer una herramienta que he probado recientemente cuyo objetivo es analizar Exploit Kits: Exploit Kit Analyzer – EKAnalyzer, que ha desarrollado Jose Ramón Palanco (fundador de Drainware) y que me parece bastante útil para la gestión de incidentes de seguridad en tiempo real.

EKAnalyzer es una herramienta que realiza las mismas peticiones HTTP registradas en una captura de tráfico (en formato pcap), para comprobar si en el momento de la ejecución se sirven artefactos maliciosos (como Exploit Kits). No es una herramienta para análisis forense, es decir, puede que un pcap en un instante determinado dé como positivo (malicioso) pero por ejemplo, una hora después, si el Exploit Kit ha sido desmantelado, dará como resultado negativo.

Para la identificación de exploits, EKAnalyzer realiza todas las peticiones varias veces, usando diferentes User-Agents en cada iteración y además realiza una copia de todos los ficheros descargados en cada análisis. Actualmente se integra con diferentes herramientas/utilidades como:

• Filemagic.
• Virustotal API.
• Yara.
• Análisis de ficheros swf.
• Clamav.

La puesta en marcha es muy sencilla siguiendo los pasos que se indican el fichero de instalación. Tras levantar el servicio llegamos a una interfaz Web muy sencilla (la cual le he prometido a Palanco mejorar y ponerle algo de colorines que está muy sosaina :) a la que poder subir el pcap a analizar:

Para probar un ejemplo de funcionamiento, en el laboratorio dispongo de una serie de pcaps preparados que realizan peticiones contra Exploit Kits que actualmente están activos. A continuación un ejemplo de uno de esos pcaps que como vemos contiene ciertas peticiones hacia algunos recursos de www.drainware.com:

Si subimos uno de estos pcap a EKAnalyzer lo que veremos será lo siguiente de forma secuencial:

Una vez el análisis ha concluido podemos ver los detalles del mismo para cada uno de los User-Agents. Destacar que el User-Agent que aparece en negrita es el original del pcap. Podemos ver unas capturas a continuación:

Como vemos, esta herramienta nos puede ayudar bastante agilizando algunos procesos de comprobación que normalmente se llevan a cabo en la gestión de un incidente de seguridad, reduciendo un trabajo que podría llevarnos horas a unos poco minutos. Nos ahorramos el coste de tener que abrir cada pcap, obtener las URL, mirar las cabeceras, replicar peticiones con diferentes User-Agents, analizar las respuestas, etc., que habitualmente se suele hacer de forma manual.

EKAnalyzer está bajo licencia GNU AGPL y disponible para su descarga y contribución en GitHub.

(N.d.E.: Con esta entrada nos despedimos hasta el próximo martes. Pasen ustedes unas muy felices vacaciones, los que las tengan, y un ambiente tranquilo en el trabajo, los que no :)

Mi primer amor fue McGiver. Esa habilidad para escapar de los peligros con chicles, clips y un mechero, ese pelazo de rebelde… Vamos, todo un hacker en potencia… Una pena que fuese como 30 años mayor que yo, pero bueno.

No, ahora en serio. Mi primer amor de verdad fue un Pentium 100 Mhz que por aquella época pesaba más que yo y que era la pera limonera, más que nada porque era solo mío y por fin podía hacer maldades aprender desde casa y no tener que ir a hacerlas aprender al ordenador de la Biblioteca del pueblo, un Amstrad PC1512 si no recuerdo mal, que hacía mucho ruido por cierto.

El caso es que el otro día, desde @securityartwork os propusimos que nos contaseis cual había sido vuestro primer PC con el hashtag #miprimeramor, y nos quedamos gratamente sorprendidos de ver cómo la mayoría lo recordaba con muchísimo detalle y cariño.

@JoanEMarti nos contaba que su primer PC fue un Bondwell 38, CPU 8088@4,7Mhz, 640k RAM, 1 disquetera 5,25″ sin HD, MS-DOS y BASIC. @EnderXenocida recordaba su Fujitsu / Secoinsa FM-7 con monitor de fósforo verde.

@The_Great_Mega confesaba que su primer amor fue un Sinclair ZX Spectrum (como @jestrada1978)+ 48K, y su primer PC un IBM PS/1 – 286 10 MHz – 1 MiB RAM. @jesusgallego69 iba un poco más allá, y nos compartía una foto de su Sinclair ZX Spectrum 48K el cual lleva operativo más de 30 años, y lo que le queda, nos comentaba Jesús:

Alex perdió la cabeza por un Spectrum, con el que “programó una carta de ajuste para un canal de TV que montó en su finca” (que friki) y @lawwait descubrió el amor con un 486 DX33 4MB RAM 250MB HD. Julian Vilas nos contaba lo “bien que se lo pasó“ (y todos sabemos lo que eso significa) con su Amstrad CPC 6128plus. @DarkSh4m4n por su parte nos comentaba que él era de Amstrad CPC 6128, de disco y monitor fósforo verde con el pack de ‘juegacos’ de Dinámics, que aún conserva.

@_stmartin también tenía otro igual y tuiteó:

@ITmorsant confesó su amor por un Amstrad CPC464 64k ,unidad de cassette con monitor de fósforo verde incluyendo el juego Game Over. @daviddelgadogc también nos comentó que era de Amstrad y tuvo un PC1512 para posteriormente dar paso a un Pentium MMX 233MHZ. Otro Pentium MMX pero de 200 MHz, 256 Mb de RAM, 3 Gb de disco duro y por supuesto con Windows 95 tenía como primer amor Nian506.

@LionSwansec también comenzó (después de ahorrar la paga durante más de un año, lo que tiene su mérito) con otro Pentium, éste 90 con 16 Mb de RAM y 850 Mb de HD. @BlackDrgI2P por otro lado nos contaba literalmente : “Amstrand pc 1512 #miprimeramor un pedazo 8086, con solo una disquetera de 5’4”. Siguiendo con los Pentium, @karl0z rememoraba su Pentium 200Mhz MMX con un “increíble” disco de 2GB. Wow. Quién te ha visto y quién te ve :)

@murgiland seguro que se emocionó recordando su IBM 80386 2MB RAM DOS6.22 ISA-SVGA Monochrome Display 40MB HDD Win3.1 WordPerfect5.1 DriveSpace TurboC, ahí es nada. @callerom recordaba su Spectravideo SVI-328, Screen 0. Para @AGrimaltos el primero fue un Spectrum z80, pero el amor surgió realmente con un Amstrad128 con la cinta de casette al lado y el monitor verde…

@freemagnum nos habló de un Hyundai Pc XT con 640 kb de RAM, HD de 30 mb. y disquetera de 5 1/4. Luego le puso un módem de 2400 baudios. @ctomasio nos hablaba de sus comienzos con un PC de 4.5 Mhz con dos disqueteras y 640 de RAM, procesador 8088 y @dsecuma su Ciryx P200 heredado :) (¿de su hermano mayor, quizá?). Por último, Javier nos tuiteaba su Dragon 32, y nuestro amigo @albert0r nos mencionaba su Sony HitBit HB-75P,un bonito MSX 32Kb de RAM.

Cómo veis, el primer amor no se olvida nunca ;) ¿Nos contáis el vuestro?

Pasadlo genial estos días :)

Comenzamos 2015 con un nuevo congreso de Seguridad Informática que nace en Santander como el primero en este ámbito en Cantabria, Sh3llCON: Security Hell Conference.

Se definen como un nuevo foro de divulgación sobre seguridad informática que surge con la finalidad de analizar las distintas amenazas y vulnerabilidades que rodean nuestra conexión diaria en las redes.

Sh3llCON se celebrará los días 23 y 24 de enero en el Hotel Santemar y contará con un interesante plantel de ponentes:

[Read more…]