Seguridad de contratos inteligentes basados en Blockchain II – Vulnerabilidades y riesgos

En la parte anterior de esta serie sobre la seguridad de blockchain vimos los riesgos asociados con la implementación autónoma y la ejecución de contratos inteligentes en un blockchain público. También presentamos algunos ejemplos de alto perfil de ataques a contratos inteligentes que han causado la pérdida de grandes sumas de dinero y han cambiado la forma en que vemos las interacciones comerciales en la cadena de bloques.

En este episodio, repasaremos algunos problemas conocidos y vulnerabilidades.

Fuga de clave privada

El uso de claves privadas no seguras es realmente un error del usuario, en lugar de una vulnerabilidad. Sin embargo, lo mencionamos, como sucede sorprendentemente a menudo, y ciertos actores se han especializado en robar fondos de direcciones inseguras.

Lo que generalmente ocurre es que las direcciones de desarrollo (como las utilizadas por las herramientas de prueba, como Ganache/TestPRC) se utilizan en producción. Estas son direcciones generadas a partir de claves privadas conocidas públicamente. Algunos usuarios incluso han importado estas claves sin saberlo en el software de cartera virtual, al usar las palabras de semilla originales usadas en la generación de la clave privada.

Los atacantes están monitorizando estas direcciones y cualquier cantidad transferida a dicha dirección en la red principal de Ethereum tiende a desaparecer inmediatamente (dentro de 2 bloques).
[Read more…]

Informe del proyecto de investigación iHoney

El pasado día 14 de septiembre, S2 Grupo presentó en sus oficinas de Madrid ante la prensa el informe del proyecto de investigación iHoney.

Este proyecto, que comenzó en 2014, está orientado al desarrollo de herramientas específicas para la protección de sistemas de control industrial financiado por el Ministerio de Industria, Energía y Turismo, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2013-2016. En el desarrollo del iHoney ha trabajado un equipo multidisciplinar formado por ingenieros industriales, de telecomunicaciones e informáticos.

Uno de los elementos esenciales del proyecto ha sido la creación de un honeypot que simula una planta de tratamiento de aguas, con todos los procesos que se llevarían a cabo en una infraestructura real. De este modo se consigue una fuente de información fiable sobre la tipología de ataques que cabría esperar en una infraestructura industrial, de forma que, junto al conocimiento procedente de la experiencia del equipo de S2 Grupo, se disponga de información valiosa para el diseño de herramientas de seguridad específicas para los entornos industriales, así como la creación de estrategias de defensa de estos entornos.

Otro aspecto importante de este proyecto ha sido conocer la tipología de ataques que cabría esperar en un entorno industrial, descubrir qué individuos están interesados en realizar ataques a infraestructuras industriales, de qué conocimientos disponen y cuáles son sus objetivos.
[Read more…]

Personal Countersurveillance: Evasión de drones (II)

Ahora que ya se conoce al adversario, se ahondará en tácticas de evasión.

Gracias a los avances en la guerra electrónica, con el tiempo, se han desarrollado mejores técnicas de protección en la obtención, manejo y transmisión de la información. No obstante, estos sistemas siguen siendo vulnerables.

Los UCAV dependen de distintos sistemas para poder ser controlados:

  • Cuando se encuentran cerca de la estación de control de tierra, se puede establecer la comunicación mediante sistemas basados en la línea de visión directa.
  • Si no se dispone de una línea de visión directa debido, por ejemplo, a la orografía del terreno, se utiliza un enlace por satélite. Una antena de comunicaciones por satélite, situada junto a la estación de control, intercambia las señales con un satélite de comunicaciones que a su vez se comunica con la antena satelital del drone. Esto posibilita el control a gran distancia independientemente del terreno que haya entre la estación y el UCAV.
  • Por último, el drone utiliza tecnologías GPS para ubicarse.

[Read more…]

Personal Countersurveillance: Evasión de drones (I)

En este artículo expondré algunas técnicas de evasión de drones, recogiendo casos conocidos de intercepción y métodos para confundir sus sistemas y evitar ser identificado por uno de estos aparatos.

Como diría Sun Tzu en su “Arte de la guerra”, primero “conoce a tu enemigo”. Un UAV (Unmanned Aerial Vehicle), VANT (Vehículo Aéreo No Tripulado) o dron es una aeronave que vuela sin tripulación y en palabras del geoestratega Thomas Barnett “los drones están aquí para quedarse”.
[Read more…]

Monitorización mediante tatuajes

Una reciente noticia en Wired informa de un sistema que permite monitorizar, mediante el uso de tatuajes con nanosensores , parámetros médicos como, por ejemplo, la concentración de sodio o el nivel de glucosa en sangre de una persona, sin necesidad de hacer una extracción.

Curiosamente, el dispositivo utilizado para realizar la medición es un iPhone o, lo que es lo mismo, un ordenador de mano multipropósito con interface táctil. Con la cada vez mayor ubicuidad del acceso a Internet (¿alguien duda de que, en poco tiempo, estaremos siempre conectados?), el dato se puede llevar a cualquier otro sitio de la red para su procesamiento, almacenamiento y, en su caso, actuación.

El método se ha probado en ratones de laboratorio que, por cierto, muestran una imagen curiosa a través del iPhone.

Las tecnologías convergen para permitirnos aplicaciones que, desde luego, cambiarán nuestras vidas. Por un lado, los nanoreceptores, basados en principios como la afinidad molecular, permiten la detección de pequeñas concentraciones de cualquier sustancia, en tiempo real, sin necesidad de realizar los clásicos análisis basados en concentración de la muestra y reacciones químicas que requieren intervención manual y tiempo.

La interacción de los receptores con las moléculas detectadas producen cambios en alguna propiedad (acidez, color) que son detectados por un transductor que las transforma en corrientes eléctricas y, a partir de ahí, estamos en el campo de la electrónica y el resto es amplificación de la señal.

El conjunto de los tres elementos (receptor, transductor y amplificador) constituye un biosensor. En el caso de los tatuajes, el receptor cambia de color y emite fosforescencia, mientras que el iPhone actúa como transductor.

Con sensores de tan reducido tamaño, capaces de medir parámetros biológicos en tiempo real y manifestar propiedades detectables a escala macro, la Internet of Things está realmente cerca. Sólo que será Internet of Things and People… desde luego, vamos hacia un mundo interesante y, a veces, inquietante. A mí esto me deja un cierto regusto a Gattaca (por cierto, si no la han visto, háganlo, es muy recomendable).

Otra pieza más en el puzzle de la monitorización universal.

Conferencias sobre ingeniería de software avanzada

logoFastFixRecientemente, S2 Grupo, ha conseguido un proyecto del 7º Programa Marco, sección TIC, de la Comisión Europea. La primera reunión de trabajo del consorcio va a tener lugar esta misma semana en Valencia.

El viernes, día 25 de junio, se va a celebrar una sesión abierta del proyecto, en el que se impartirán tres conferencias sobre tres temas muy interesantes en el ámbito de la ingeniería de software:

“Intention-Based Integration of Software Engineering Tools”
Prof. Walid Maalej, Technische Universität München

INTI, a novel, intention-based integration approach. An intention is a mental state that underpins the user’s actions during the work. Intentions “sessionize”the work and facilitate the management and switching of context. Intentions also group and describe related changes that are made in different tools. We introduce a reference framework for the realization of such intention-based integration. The framework automatically links related pieces of information by observing the user’s interactions with the tools. It handles the heterogeneity of the tools and information by using Semantic Web technologies

[Read more…]