Personal Countersurveillance (II): Camuflaje antireconocimiento Facial

13 de marzo de 2017 Por

En el artículo anterior de esta serie se habló sobre el reconocimiento facial y algunas de sus aplicaciones, con la intención de mostrar la cantidad de información que puede contener una imagen y las conclusiones (más o menos fundamentadas) que algunos particulares podrían extraer analizando nuestro rostro.

También se explicó cómo en 2001 aparece el algoritmo Viola-Jones. Un  sistema barato, escalable, preciso y en tiempo real que permite integrar el reconocimiento facial en dispositivos ligeros, suponiendo la democratización de la visión artificial y su llegada al gran público, integrándola en todo tipo de cámaras. Es a día de hoy uno de los sistemas más extendidos en software de procesamiento de imagen como OpenCV.

Figura 1: Adam Harvey, Algoritmo Viola-Jones evaluando una región facial clave durante un reconocimiento facial, Vimeo. CV Dazzle: Collaboration with DIS -> Look #1 (before). Imagen tomada de: https://vimeo.com/34545340 [Accedido el 16/02/2017]

[Read more…]

Personal Countersurveillance (I): Reconocimiento Facial

10 de marzo de 2017 Por

Aquellos que trabajamos en el sector de la ciberseguridad estamos acostumbrados a oír hablar de amenazas y medidas de defensa, pero casi siempre referidas a un entorno virtual. Sin embargo, existen otras dimensiones, como la seguridad física, que pueden afectarnos de diversas maneras.

Esta serie ha sido inspirada por la ponencia de Adam Harvey del Chaos Communication Congress de 2016: “Retail Surveillance / Retail Countersurveillance”. En ella abordaré algunos conceptos concernientes a sistemas de vigilancia y medidas de contra-vigilancia que pueden ser usadas para evitar el reconocimiento por parte de terceros.

Este primer artículo se centra en el reconocimiento facial, algunas de sus aplicaciones más controvertidas a día de hoy y sus implicaciones.

Figura 1: Anónimo. Imagen tomada de: http://luisjimenez.com/wp-content/uploads/2016/05/faception.jpg [Accedido el 15/05/2017]

[Read more…]

Recuperación de ficheros borrados con Scalpel

9 de marzo de 2017 Por

Recientemente, me encontraba terminando un script en bash, realizando pruebas para comprobar que estaba funcionando correctamente cuando, tras realizar unas modificaciones al script y volver a lanzarlo, comenzó a ejecutarse un borrado recursivo de los ficheros de la máquina, el temido ‘rm -rf‘. La típica ‘noobada‘ que esperas que nunca te ocurra sucedió.

Afortunadamente, el script se estaba ejecutando en una máquina virtual de pruebas como usuario no privilegiado, por tanto la máquina seguía estando operativa. Gracias a estas medidas de precaución pude comprobar el alcance de la broma y ver que todo el directorio /home del usuario se había borrado. Dicho directorio contenía el script que estaba escribiendo de modo que, se podría decir, que el script se había fagocitado a sí mismo, llevándose con él unas cuantas horas de trabajo.

[Read more…]

MOSH, mas allá del SSH

8 de marzo de 2017 Por

A día de hoy, no creo que sea necesario mencionar qué es el protocolo SSH (Secure Socket Shell) ya que sería realmente complicado vivir actualmente sin él. Por ello, se considera SSH a nivel global como la “mega” herramienta indispensable para cualquier labor de administración. Entre las ventajas de su uso podemos encontrar: acceso seguro a máquinas remotas, acceso a servicios en otras máquinas mediante la creación de túneles directos o reversos, creación de proxy socks, creación de canales seguros para la encapsulación de trafico de aplicaciones no seguras… etc.

Entre las inumerables ventajas de este protocolo, existe un punto que en ocasiones puede ser un gran inconveniente, el rendimiento de la conexión.

Para intentar dar solución a éste problema y añadir mejoras, surgió Mosh (mobile shell), aplicación que aporta diversas ventajas sobre la conexión SSH tradicional. Fue presentada en el USENIX Annual Technical Conference 2012 por Keith Winstein & Hari Balakrishnan, M.I.T. Computer Science and Artificial Intelligence Laboratory.

[Read more…]

Cómo gestionar las brechas de seguridad según el nuevo reglamento de protección de datos

7 de marzo de 2017 Por

Una de las novedades más importantes a mi juicio que contiene el Reglamento Europeo de Protección de Datos radica en la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados.

Esto significa que ante una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente. Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella.

[Read more…]

Tendencias malware Febrero. Destacados: Chrome EK y RAT Remcos

2 de marzo de 2017 Por

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Esta vez queremos repasar una vía de infección que solemos mencionar al final del post más en detalle. Se trata de un exploit kit que, en este caso, ha afectado a muchos sitios españoles.

Su objetivo es Chrome y consiste en un ExploitKit (Rig-EK) que, cuando infecta un servidor web, modifica las cabeceras de todas las webs que contiene para que muestren su texto de forma incorrecta y abran una ventana que informa al usuario de que necesitas una actualización para poder visualizar las fuentes de ese tipo de texto “nuevo”:

Fuente: http://www.malware-traffic-analysis.net/2017/02/22/index2.html

En caso de dar Click en el botón para actualizar, se descarga un ejecutable con el nombre “Chrome Font Vx.xx.exe”.

Fuente: http://www.malware-traffic-analysis.net/2017/02/22/index2.html

Este ejecutable es el ransomware Spora (que ya repasamos en el boletín anterior) y que puede hacer peligrar la información de nuestro equipo y la de aquellos en los que conectemos un USB que antes hayamos utilizado en el nuestro.

Otro caso que hemos observado es el incremento de intentos de infección a través de un RAT bastante nuevo (publicado a finales de 2016, actualmente en la versión 1.7.4.1), que llega en un correo con un documento de Word con macros.

Se trata de Remcos, y guarda mucho parecido con otros RATs que se distribuyen a través de un “Builder” (software que permite crear el ejecutable que infecta a las víctimas), como Posion Ivy o Darkcomet. Lo que destaca en este es que, debido a su constante y reciente desarrollo, cuenta con técnicas relativamente nuevas de escalada de privilegios y de detección de entornos de análisis, que lo hacen realmente interesante en comparación a su competencia más antigua.

Otro detalle que lo diferencia de otros RAT es la capacidad de crear “tareas automáticas”, funcionalidad que al menos nosotros no solemos encontrar en RAT de este tipo. De esta forma, se asegura que los clientes instalados en sus víctimas se actualicen o envíen cualquier tipo de información periódicamente a sus servidores sin necesidad de interacción.

Como siempre, para terminar nos gustaría repasar la actividad reciente de los ExploitKits (EK) con más impacto durante este mes, en este caso RIG EK.

Este EK, a través de técnicas de infección como la descrita arriba para Chrome (y otros navegadores como Internet Explorer o componentes de estos como FlashPlayer), ha estado instalando ransomware como Cryptomix o Spora y troyanos como Dreambot en las víctimas cuyos navegadores cumplen los requisitos de versiones desactualizadas para alguno de sus exploits.

Recordad que una de las mejores medidas para evitar infecciones a través de este vector de ataque consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware esperamos que esta información que compartimos cada mes os sea de utilidad.

Volvamos al Collins

28 de febrero de 2017 Por

En la actualidad, el tráfico http cada vez es menos visible para un analista de seguridad ya que ahora, en muchos casos, los servidores web obligan a usar https y por lo tanto, dejamos de tener mucha visibilidad.

En este aspecto, algunas organizaciones optan, o bien por “romper” el tráfico ssl gracias al uso de un certificado impuesto, o bien solo permiten acceso https para algunos servicios determinados. Algunos de estos servicios, como es el caso de Google, suelen estar permitidos.

Hablemos entonces, por ejemplo, del traductor de Google. Se me ocurrió la idea de hacer bypass a las conexiones a través de un traductor, en este caso de Google. [Read more…]

¿Está Google matando la ficción?

27 de febrero de 2017 Por

Interesante pregunta, ¿verdad? Casi todos reconocemos las enormes posibilidades y oportunidades que  Google nos ofrece. ¿Sus luces? Acceder a información de manera casi inmediata, rápida y ágil. Y también, poco a poco, sus sombras, la dificultad para desaparecer, el derecho al olvido, el impacto en la privacidad del usuario, las búsquedas “personalizadas” o dirigidas que  el buscador de los buscadores ofrece y que algunas veces podremos agradecer y otras detestar, etc.

Pero en este artículo de Público, el escritor Joël Dicker plantea otro enfoque: ¿está Google matando la ficción y la creatividad?
[Read more…]

¿Se acabó el todo vale en la protección de datos?

24 de febrero de 2017 Por

Con el nuevo reglamento de Protección de datos europeo (RGPD) nace una figura que tendrá una enorme relevancia en la gestión de la protección de datos de las empresas: el delegado de protección de datos, que conoceremos como DPD.

Es importante recordar que el rol del delegado de protección de datos no se encuentra recogido en la actual normativa de protección de datos española, si bien es una figura ampliamente desarrollada en otros estados miembros. Esta figura se plantea como fundamental para garantizar el cumplimiento por parte de empresas y entidades de la normativa sobre Protección de Datos.
[Read more…]

¿Para qué me pides permiso?

22 de febrero de 2017 Por

En artículos anteriores comentábamos la importancia que han cobrado los dispositivos móviles en nuestras vidas, hasta el punto de ser casi imprescindibles. Por aquel entonces, se habló de la importancia del desarrollo seguro y de posibles vulnerabilidades en las propias aplicaciones Android (APK).

En este artículo adoptaremos un enfoque algo distinto, en concreto, nos acercaremos al mundo del malware en dispositivos Android y el impacto que ciertas características de un APK tienen directamente sobre nuestra seguridad. Nos centraremos, en una primera aproximación, al estudio de los permisos de las App, declaradas (en el caso de Android, nuestro objeto de estudio), en el fichero AndroidManifest.xml. [Read more…]