La CCI rusa (XI): el ecosistema de inteligencia. Empresas

Cuando hablamos de la relación de los servicios rusos con las empresas del país, es necesario destacar que a dichos servicios no les interesa cualquier tipo de organización, sólo las que puedan dar una cobertura al servicio o aquellas que les permita controlar, en mayor o menor medida, una parcela de interés para los intereses nacionales de Rusia –generalmente empresas estratégicas para la nación-: recursos naturales (gas y petróleo sobre todo), medios de comunicación, monopolios estatales creados tras el desmembramiento de la URSS… Como dato curioso en relación al control estatal en algunos ámbitos, en la legislación rusa se identifican sectores o empresas estratégicas y es la propia Ley rusa quien define cómo invertir en ellas, incluyendo la inversión extranjera en estas empresas: las empresas extranjeras tienen prohibido ser dueñas de una empresa estratégica rusa, salvo aprobación explícita del Presidente.... Leer Más

Libro recomendado: “El pequeño libro rojo del activista en la red”

portada_el_pequeno_libro_rojoEn esta entrada he decidido hacer una revisión del libro “El pequeño libro rojo del activista en la red”, escrito por Marta Peirano, periodista fundadora de Cryptoparty Berlin, co-directora de COPYFIGHT y adjunta al director del diario.es, entre otras cosas.

Así que el pequeño libro rojo del… ¿activista en la red? ¿Pero quiénes son los activistas? Marta Peirano ha seleccionado de forma muy acertada esa palabra para el título. Como bien recalca: “Cuando nuestros representantes no pelean por defender nuestros derechos sino contra nuestro derecho a ejercerlos, la única respuesta es la desobediencia. Puede que no tengamos nada que ocultar, pero sí tenemos mucho que temer. En una sociedad ultravigilada, todo el mundo es antisistema”. Dicho de otra forma, nos convertimos en activistas en la red en el momento que somos conscientes de los mecanismos de control y vigilancia y queremos escapar de ese sistema establecido.
[Read more…]

Evolucionando nuestro VPMS II

Hace algo más de dos años que vimos como evolucionar nuestro VPMS inicial para el control de acceso a red, a un sistema basado en una asignación dinámica de VLANs en función del usuario. No obstante, no siempre es posible este tipo de autenticación ya que, por ejemplo, podemos encontrar dispositivos conectados a nuestra red como controles de acceso, teléfonos o impresoras que no dispongan de funcionalidad para su autenticación mediante 802.1x y, por lo tanto, debemos garantizar otro tipo de autenticación, siendo lo más habitual usar la autenticación MAB (MAC Authentication Bypass).

Al igual que vimos en la configuración inicial de nuestro VPMS, mediante la autenticación MAB nos volvemos a basar en la dirección MAC del cliente para proporcionar el acceso a la red (no en el usuario final) aunque, al estar integrado en un servidor Radius, nos da más potencia que la versión inicial de VPMS. No obstante, como todo, tiene sus ventajas e inconvenientes. [Read more…]

Camuflaje en la capa de cifrado: domain fronting

En la entrada de hoy hablaremos sobre una técnica relativamente vieja (aunque programas como Signal la han empezado a utilizar hace relativamente poco) y que siempre me ha parecido un hack muy “astuto”: el domain fronting.

Por ejemplo, tomemos la dirección IP del frontal que nos sirve www.google.es:

$ host www.google.es
www.google.es has address 216.58.210.227

Vamos a fijarnos en el campo Common Name (CN) del certificado TLS que nos devuelve el servidor: [Read more…]

Ejecutando un binario mediante la técnica RunPE

La técnica conocida como RunPE la podemos encontrar descrita con varios nombres diferentes como: RunPE, Dynamic Forking, process replacement o process hollowing. También he visto que se refieren a ella como “process zombie”, pero después en otras fuentes mencionan diferencias que podéis leer aquí [5].

Durante los últimos meses hemos observado desde el laboratorio de malware que algunos “bichos”conocidos la implementan, por ejemplo como hancitor[1].

En esta entrada no vamos a explicar la técnica en detalle, ya que con un simple búsqueda en Google por los términos RunPE, Dynamic Forking o Process Hollowing, encontraréis información muy buena sobre la técnica [2][4].

Por tanto, el objetivo de la entrada es ver como un analista cuando se encuentra con un malware que utiliza esta técnica puede obtener el código del malware para analizarlo posteriormente (el código inyectado). Para probarlo, durante esta entrada hemos utilizado el código que podéis encontrar aquí [3]. Como podréis ver está sacado de una entrada del foro “www.rohitab.com” que se referencia como comentario en el mismo código fuente. [Read more…]

La CCI rusa (X): el ecosistema de inteligencia

coat_of_arms_of_the_russian_federation-svgNo podemos concebir la comunidad de inteligencia rusa, descrita en esta serie, como un conjunto de servicios dependientes del poder político o militar; el grado de penetración de estos servicios en toda la sociedad rusa es muy elevado, tanto oficial como extraoficialmente. No es ningún secreto que antiguos oficiales del KGB o del FSB ocupan puestos de responsabilidad en la política o las grandes empresas del país; como curiosidad, en 2006 se publicó que el 78% de los mil políticos más importantes del país habían trabajado para los servicios secretos rusos ([1]). Tanto es así que estos perfiles tienen un nombre propio: siloviki, término que viene a significar personas en el poder. Y no es ningún secreto quién es el siloviki más conocido: Vladimir Putin, Presidente de la Federación Rusa, quien fue agente del KGB en la época soviética y posteriormente Director del FSB.... Leer Más

1984 – La ficción de Orwell en la actualidad

img1Imagino que los lectores conocerán esta gran obra de George Orwell, y que trágicamente vemos día a día como se entrelazan en nuestra vida los tejemanejes del Partido que Orwell expone de un modo premonitorio en su obra. ¡Al que no conozca esta obra maestra, que deje todo lo que está haciendo y consiga un ejemplar para su lectura y asimilación inmediatamente!

Cada día tenemos más ojos pegados a nuestra nuca, y a pesar de que todos somos conscientes, todos necesitamos un kick a lo inception para despertarnos de nuestro letargo, pasotismo, indiferencia o como queramos denominar el que no actuemos en contra de esta situación. En mi caso, soy una persona bastante consciente de esto, y no suelo dejar demasiado rastro por el mundo, pero soy usuario de Google, uno de los ministerios de nuestro 1984 personal… uno de los más ávidos de información.
[Read more…]

La Seguridad en el nuevo reglamento de protección de datos

Las amenazas evolucionan, se profesionalizan, se multiplican. Los ciberataques se complejizan e intensifican. ¿Qué plantea el nuevo reglamento de protección de datos al respecto?

Nuestra sociedad es digital. No se trata solo de proteger datos personales, sino que el desafío consiste en defender un modo de vida en donde todo está interconectado y donde dependemos de la seguridad de los sistemas para el sostenimiento de nuestras actividades cotidianas más elementales.

Nuevos peligros, nuevos retos, nuevas leyes

El nuevo reglamento de protección de datos recoge el guante y propone un marco regulador en donde la seguridad adquiere un enorme protagonismo y un enfoque más realista y práctico.
[Read more…]

Aunque la mona se vista de seda… ¿Mona se queda?

Solemos asociar que el llevar a cabo ataques contra entidades que consideramos seguras sólo puede ser realizado por atacantes altamente especializados y con profundos conocimientos sobre la temática. Aunque suele ser la norma, esto no siempre es así, y para ejemplo, la noticia que saltaba este verano de dos chicos que, movidos por el famoso juego ‘Pokemon Go’, llegaron a introducirse en una zona de seguridad de un cuartel de la Guardia Civil de Las rozas en Madrid. Muchas veces no son necesarios unos amplios conocimientos técnicos, sino más bien dar en el clavo con ciertas técnicas o ideas medianamente diferentes que se nos ocurran.

En esta entrada vamos a comprobar cómo se comportan diferentes motores “antivirus” (AV) ante amenazas ya conocidas por ellos mismos pero que se encuentran empaquetadas por un software que creen conocer. No se busca hacer una comparativa de antivirus, sino analizar cómo se comportan y concienciar sobre la fe ciega que muchas veces se pone en ellos.

Para la creación del packer, en lugar de construir uno propio desde 0, lo que nos daría bastante ventaja pero complicaría su creación, se ha utilizado uno de los más famosos no por su poder de ocultación, sino por lo extendido de su uso y porque su código es libre, UPX. Los motores antivirus deberían ser capaces casi de ver ‘a través’ del empaquetamiento. Para las pruebas y modificaciones que presentamos se ha utilizado versión 3.91 de UPX.
[Read more…]

ImageGate: Ransomware en Facebook y Linkedin

Los investigadores de la empresa de seguridad Check Point han hecho un descubrimiento que puede hacer temblar los cimientos de las comunicaciones de hoy en día. En un mundo gobernado por las redes sociales y con Facebook como máximo exponente de las mismas, parece que los ciberdelincuentes han encontrado la vía de infección más extensa y de mayor repercusión. Y es que, como la firma de seguridad ha notificado a las compañías Facebook y Linkedin, usuarios malintencionados pueden usar sus respectivas plataformas para expandir el ransomware Locky (malware del que se ha hablado recientemente en este mismo blog).... Leer Más