(Publicamos hoy un informe sobre detección de APTs elaborado por el CSIRT-CV e INTECO-CERT cuyos autores son dos de nuestros compañeros: Jose Miguel Holguín y Maite Moreno (S2 Grupo) por parte de CSIRT-CV y Borja Merino por parte de INTECO-CERT. Todos ellos son coautores habituales de este blog).

Cuando se habla de ataques de APT se habla de organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están lo suficientemente bien financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

Las posibilidades que ofrece Meterpreter a la hora de desarrollar módulos de post-explotación son prácticamente ilimitadas. Véanse a modo de ejemplo los módulos NBDServer.rb y Imager.rb desarrollados por R. Wesley McGrew y presentados en la Defcon 19 bajo el título “Covert Post-Exploitation Forensics With Metasploit“.

Dicho módulos permiten hacer una copia byte a byte de volúmenes físicos y unidades lógicas del equipo comprometido a través de la red; o bien montar el sistema de ficheros de dichas unidades en el equipo del atacante como si fuera un simple dispositivo más. No hace falta mencionar las posibilidades desde el punto de vista forense que ofrecen este tipo de módulos.

Hoy 17 de mayo celebramos el Día de Internet. Esta festividad relativamente joven, tiene como objetivos dar a conocer las posibilidades que ofrecen las nuevas tecnologías para mejorar el nivel de vida de los pueblos y de sus ciudadanos.

Desde S2 Grupo, queremos aportar nuestro granito de arena a este Día de Internet ofreciendo una serie de consejos de seguridad, pero haciéndolo de una forma un poco especial. Nos vamos a trasladar a un futuro próximo donde las nuevas tecnologías que están apareciendo en estos días y que se fomentan en eventos como el Día de Internet se han vuelto de uso común. En este futuro cercano, por desgracia, la tecnología todavía no está exenta de riesgos de seguridad y aparecen problemas nuevos que pueden afectar a los usuarios:

Mucho se está hablando últimamente de VPN anónimas, y en este post no pretendo descubrir las américas a nadie, pero aún así espero que le pueda ser de utilidad a alguien.

Para ponernos en situación, tengo un servidor contratado en un proveedor extranjero que me ofrece varios servicios, entre ellos una VPN (openVPN) que me permite navegar con una IP extranjera. Hasta aquí ningún misterio, para redirigir todo el tráfico basta con añadir las siguientes opciones a la configuración del servicio:

Son muchos casos en los que la videovigilancia puede vulnerar la privacidad de las personas. Estos casos pueden generar una cierta controversia. Uno es el caso que me sucedió hace unos pocos días.

Al entrar en un taxi en Madrid me llamó la atención encontrarme con una cámara delante de mis narices. Fue algo que nunca me había ocurrido y no me esperaba. Era una cámara que me enfocaba directamente y la verdad bastante intimidatoria. No me había fijado al entrar pero en las ventanillas del taxi se indicaba mediante unas pegatinas que el taxi estaba videovigilado. A raíz de este hecho me estuve preguntando sobre la regulación de este tipo de cámaras y los requisitos legales que deben cumplir. ¿Qué medidas debe tomar el taxista en este caso? ¿Qué derechos tiene el cliente?
Otra situación similar puede ocurrir con los gimnasios donde las cámaras controlan la seguridad del mismo en las salas generales donde la gente se encuentra realizando ejercicios físicos. ¿Está permitido realizar grabaciones en los gimnasios? ¿Quién lo regula?

Hace unos meses se escribió un primer artículo en securyartwork sobre la detección de proxys con NSE de nmap. Se llamaba “Detectando proxies anónimos”.

En esta segunda entrega vamos a aportar algunos matices prácticos sobre la ejecución de este sistema de descubrimiento de proxys. Maticemos algunos puntos ya mencionados.

Como ya leímos en aquella entrada, los NSE necesitan una declaración que haga una asignación del script a unos puertos concretos, es decir, el script SÓLO aplica a los puertos establecidos por código (en el script NSE) y no a los puertos detectados desde nmap. Esto es importante cuando se trata de proxys fuera de los servicios habituales. La línea era:

portrule = shortport.port_or_service({8123,3128,8000,8080},{'polipo','squid-http','http-proxy'})

Durante mi vida profesional he tenido la oportunidad de trabajar con distintas Autoridades de Certificación, así como a hacer consultoría de seguridad respecto al uso, gestión y generación de certificados digitales; como primera aportación a este blog, me gustaría poder aportaros algo de mi experiencia en este campo, así como poder introduciros en la materia.

En el mundo actual, en el que el mercado a través de Internet está en pleno apogeo, se vuelve tremendamente complicado mantener la seguridad de las transferencias de datos por la red. Dado que Internet es una red abierta y completamente heterogénea, es complicado mantener la confidencialidad e integridad de las comunicaciones, así como asegurar que el remitente o destinatario de cualquier comunicación en la red es quien dice ser.

¿Tenemos controlada nuestra privacidad en la red? ¿Somos completamente libres cuando actuamos en ella? ¿Estamos seguros de a dónde va a parar la información que proporcionamos en el ciberespacio?

Internet se ha convertido ya en una parte imprescindible de nuestras vidas. Para un gran porcentaje de la población, es impensable no estar conectado todo el tiempo que pasamos despiertos. Ya sea mediante el email, con las redes sociales o simplemente leyendo el periódico online, no concebimos estar desconectados.

Pero en muchas ocasiones, no somos plenamente conscientes del flujo completo de información que se genera cada vez que hacemos una búsqueda en Google o subimos una foto a Facebook en la que etiquetamos a nuestros amigos. Creemos que somos meros receptores de información, como cuando cogemos un libro en la intimidad de nuestra casa. Pero todas nuestras acciones van dejando su rastro.

Hace unos días, leyendo un artículo de Communications of the ACM titulado “Privacidad y Seguridad. La enmarañada web que hemos tejido”, se me plantearon algunos interrogantes que en alguna ocasión han sido objeto de conversación de sobremesa y cuyas respuestas son muy diferentes según los integrantes del debate.

En el post de hoy me gustaría compartir algunos de los trucos que he ido aprendiendo con el tiempo a base de escribir muchos informes de auditoría y pasar muchas horas con el Word abierto. Para ponernos en situación, imaginemos que acabamos de realizar un test de intrusión sobre la red de servidores de una organización con aproximadamente 100 servidores dentro del alcance. Como resultado de este test, hemos conseguido acceder a la gran mayoría de los servidores, hemos recopilado las evidencias e incluso hemos descubierto alguna nueva vulnerabilidad.

Ahora solo nos queda escribir el informe de la auditoría y podremos dar por terminado nuestro trabajo. Damos un repaso rápido a las evidencias tomadas (capturas de Metasploit, capturas de bases de datos, etc.) y nos damos cuenta que tenemos que editar cerca de 50 imágenes para incluirlas en el informe. Ahora me gustaría hacer la siguiente pregunta: Si cuidamos al máximo nuestra ortografía, redacción y claridad, ¿por qué no hacer lo mismo con las imágenes?

Hace ya tiempo presentábamos desde aquí qué era HoneySpider 2.0 y comentábamos por encima sus funcionalidades. Ahora vamos a ver una de las piezas fundamentales de esta nueva versión, como son los flujos de trabajo (workflow). Se asume por tanto que ya está instalado nuestro HoneySpider 2.0 o estamos usando la máquina virtual que han puesto desde el proyecto.

Partiendo de que ya tenemos la aplicación instalada debemos primero de todo tener a mano la documentación imprescindible para definir un workflow, que la podemos encontrar aquí y aquí.