Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

15 diciembre 2013

Crónica de las VII Jornadas STIC CCN-CERT (y II)

 
El segundo día de las jornadas estuvo compuesto de dos módulos.

El primero versó sobre la Implantación del ENS (Esquema Nacional de Seguridad) y arrancó con una ponencia de Miguel Ángel Amutio, del SEAP-MINHAP, sobre la Modificación RD 3/2010. Vamos con retraso en la implantación del ENS. Y, además, se debería tratar de extenderlo a todos los sistemas de información de las AA.PP. Para ello, dos instrumentos: las Normas Técnicas de Seguridad y las Guías CCN-STIC. Se hace necesario un intercambio de información entre el CCN y las administraciones, a fin de reforzar la capacidad de respuesta de éstas.

En la misma línea estuvo la exposición de Mañas y Candau sobre la Evolución de la implantación del ENS. Se presentó, además, una nueva herramienta para la elaboración de informes del artículo 35: Inés (Informe Nacional del Estado de la Seguridad).

Siguió una explicación por parte de Oscar Pastor, del Isdefe, de la propuesta de Esquema de Certificación de Personas. Dada la escasez de profesionales de seguridad, se hace necesario establecer un mecanismo que acredite la idoneidad de los trabajadores del sector, tal como han hecho en EE.UU. y Reino Unido (con el CESG, por ejemplo). En el caso español, quedaría como sigue:


Después, escuchamos a Jorge Dávila hablando de los Problemas del almacenamiento seguro (u otros usos) en nubes públicas y privadas. Pues son los que ya conocemos: transferencias de datos, cumplimiento LOPD, qué pasa si quiero borrarlos (¿realmente se borran?), en la comunicación entre dos entidades ¿dónde se cifran los datos? Salió a colación el tema de la Computación en la Nube (distinto del almacenamiento en la nube), consistente en la realización de cálculos en la propia nube. Es algo que está aún muy verde, ya que requiere el cifrado de dichos cálculos, por cuestiones de seguridad y todavía no está bien definido.

El segundo módulo trató sobre la Estrategia de Ciberseguridad, comenzando por la Estrategia de Ciberseguridad Nacional, a cargo de Joaquín Castellón, director del DSN, quien dio un repaso al articulado que regula el organismo.

Luego, el Cte. Salvador Llopis, del Mando Conjunto de CiberDefensa, hizo un punto de situación de este organismo, creado por la Orden Ministerial 10/2013 y explicó el significado de su emblema: con los símbolos de los tres ejércitos y los códigos binarios.

Siguió una mesa redonda sobre Ciberseguridad Pública y Privada: Colaboración, Solapamiento y Competencia. Dicha mesa estuvo moderada por José de la Peña, de la revista SIC. Y contó con la intervención de los anteriormente mencionados Cte. Salvador Llopis y Joaquín Castellón, más Fernándo Sánchez (MINT-CNPIC), Luis Jiménez (CCN), personal de Telefónica, S21sec, INTECO y Juan Corro, del Ministerio de Industria, que se incorporó más tarde. 

Contó con la participación del público, desde donde se alabó el trabajo del INTECO y se pidió que el CCN-CERT hiciera públicas todas sus Guías. La verdad es que muchas sí lo están y os las podéis descargar desde aquí, pero algunas quedan reservadas a usuarios registrados. También se comentó si el ENS se aplicaría a los hospitales. Pues a los públicos está claro que sí les aplica.

Terminamos con dos ponencias tecnológicas. La primera, una demo de Jaime Sánchez y Pablo San Emeterio sobre Plataforma de mensajería y riesgos asociados: caso WhatsApp. Mostraron cómo se podía aprovechar los problemas del cifrado RC4 para hacer un script que, por pruebas sucesivas, fuera descifrando un mensaje. Este script no lo van a publicar, para que no haga daño, pero lo hemos visto funcionando. Whatsapp utiliza el mismo keystream en ambos sentidos y esto es tan peligroso como correr cerca de una piscina con unas tijeras en las manos. Así es que Jaime y Pablo decidieron hacer algo para evitar que te puedan leer los mensajes: añadirle un cifrado adicional. La noticia y la explicación más completa las podéis ver aquí.

And last, but not less, otro de los habituales en las Jornadas del CCN: Raul Siles nos habló de las Vulnerabilidades Wi-Fi de dispositivos móviles en redes empresariales 802.1x/EAP. Me habían dicho que a Siles se le aplaude nada más salir y me quedé yo sola aplaudiendo (menos mal que aplaudí flojito).

Comenzó su presentación con una pequeña encuesta que nos sirvió para saber que, aunque solo dos en todo el auditorio consideraban que el WiFi sea seguro, todos nos conectamos. Tras lo cual, explicó los peligros del CYOD (Connect Your Own Device), ya que un atacante puede forzar a que nuestro dispositivo se conecte a su Fake Radius y robarnos las contraseñas. Esta presentación es la misma que hizo en la pasada RootedCON y que solo uno de los asistentes dijo haber visto en directo (yo vi el vídeo).

El problema reside en que los fabricantes de dispositivos móviles no fuerzan a que el usuario configure bien su conexión a la red empresarial y ésta puede ser rebajada de nivel de seguridad por un atacante. Siles es como un pobre hombrecito que empuja al luchador de sumo que es el fabricante y que no consigue nada. Así es que, es probable que en otra CON vuelva a contarnos algo parecido.

Tras los sonoros aplausos (ahora sí) que recibió el último de los ponentes al concluir su charla, los miembros del CCN clausuraron las Jornadas.

Y hasta aquí mi resumen de las ponencias. Pero las Jornadas son más: son unos momentos en los que personas con conocimientos técnicos no tan avanzados tenemos la oportunidad de codearnos con hackers de renombre, miembros de las FCSE y personal del CNI, entre otros. Todo ello acompañado de unos riquísimos canapés y regado con un buen vino. Y además, gratis. ¿Se puede pedir más? Sí: se puede pedir que se repita el próximo año. :)

Solo me queda dar las gracias a todos los que lo hicieron posible: desde el SED del CNI hasta los amables camareros que servían los cafés, pasando por cada uno de los ponentes y de los miembros de CCN-CERT.

Y a vosotros, desearos unas felices vacaciones y nos veremos en el 2014 en alguna CON.

14 diciembre 2013

Crónica de las VII Jornadas STIC CCN-CERT (I)


Los días 12 y 13 de diciembre tuvo lugar la séptima edición de las Jornadas STIC del CCN-CERT. Es ya la segunda vez que asisto y en esta ocasión he decido hacer una crónica de las mismas.

El evento, del cual se ha hecho eco la prensa, ya es familiarmente conocido como CCNcon. Y reune, bajo el paraguas del CERT, a profesionales de la seguridad, que habitualmente colaboran en otras conferencias de renombre, junto con personal de las Administraciones Públicas y de empresas de sectores estratégicos.

Como novedad, este año ofrecía la posibilidad de inscribirse a uno de los tres talleres disponibles, que tendrían lugar la tarde del primer día: Destripando un troyano con objetivo "El IOC", Análisis forense: ejemplos prácticos para responder ante incidentes en su organización y Desconectando el malware ¿Es posible trabajar en una red aislada? Yo asistí al de Análisis forense, donde tuve el placer de "desvirtualizar" a Juan Antonio Calles, de Flu Project.

La sesión de la mañana, tras la inauguración oficial de Félix Sanz Roldan, estuvo formada por dos módulos, separados por el correspondiente desayuno.

El primer módulo, Gestión de incidentes APT, arrancó con la presentación de las novedades del CCN-CERT: la segunda versión de Carmen (para la detección de APTs) y las nuevas Marta (Motor de Análisis Remoto de Troyanos Avanzados) y Lucía (Listado Unificado de Coordinación de Incidentes en la Administración).

La siguiente ponencia (Ataques dirigidos contra la Administración) comentó el concepto de APT y qué ataques pueden considerarse como tales (no siempre es evidente porque hay ataques avanzados que no lo son).

Después, Josechu de Innotec explicó cómo Francisco Oca y él "reversearon" un bichito localizado en una APT. Era un bicho que simulaba ser un driver para la tarjeta NVIDIA, y me sorprendió que simplemente al darle con el botón derecho ya se veía que la firma era falsa. El bicho estaba muy bien diseñado y utilizaba varios trucos para aparentar ser inofensivo ante los analizadores automáticos: DLL no cifrada, sleep al principio, nombre del C2 parseado, post retardados en bloques pequeños... Había además un fichero-despertador que le indicaba el momento exacto en que debía empezar el ataque. En fin, un ataque verdaderamente avanzado.

Posteriormente, Vicente Díaz nos habló de algunas campañas APT: Nettraveler, MiniDuke e Icefog. En Corea del Sur se sirvieron de un documento HWP (procesador utilizado en sus administraciones), que mostraba una mujer asiática de buen ver, para lanzar un ataque.

Ya en el segundo módulo (Ponencias tecnológicas), pudimos ver a Javier Rascón, de Hispasec, explicándonos los procedimientos que utiliza el malware para evadir al vigilante: crypters, rootkits, dsplit, AVFuck, infección de otros procesos, sobreescritura del MBR, técnicas de detección de máquina virtual, etc.

Tras él, llegó Daniel Martínez, de Deloitte, con su demo: montó un Fake Access Point con tan solo una Raspberry con Debian, una antena WiFi Alfa y una batería de viaje que se podían fácilmente esconder en una bolsa. Casi se la tumban porque empezó la gente a conectarse (que es lo que todos sabemos que se debe hacer en cuanto ves una WiFi abierta). Ya sabéis: si veis una mochila abandonada cerca de vuestra oficina, tened cuidado, porque puede ser Dan1t0 ;-)

"¿Estamos protegidos en Windows?", fue la pregunta que lanzó Ricardo Rodríguez, de la UPM, antes de empezar sus explicaciones y su demo sobre BOF. A pesar de que la materia era muy densa y de que solo le querían dejar cinco minutos, al terminar, a todos nos quedó clara una cosa: la calculadora es un malware. XD

Después, Antonio Villalón, del S2Grupo, nos habló de las Anomalías HTTP: cómo definir lo que podemos considerar una anomalía en los logs de conexión, en función de los patrones de comportamiento de nuestro organismo, y cómo tratarlas.

Para terminar la jornada del primer día, pudimos ver a David Barroso, de Eleven Paths, compartiendo con nosotros un estudio que habían hecho sobre Malware en GooglePlay. No solo hay fake apps que permanecen un tiempo en el mercado legítimo de Google, sino que, además, hay un entero mercado falso, que es un clon del verdadero, repleto de aplicaciones maliciosas. De momento, su objetivo son los países de Europa del Este y está en ruso. Pero ya lo van traduciendo al inglés, y lo normal es que no tarden en hacerlo al español. Por si eso fuera poco, se recordó que, incluso las apps legítimas del GPlay legítimo a veces usan librerías de publicidad (la famosa "vulna") que pueden ser una puerta de enlace al software malicioso. (Es que tengo YA que subirme a Premium o cambiarme al iPhone). En fin, que menudo panorama.

Y hasta aquí la sesión del primer día. Después, nos agasajaron con un ágape de vino español y varias cosas ricas de comer. Tras lo cual, algunos nos dirigimos a nuestros respectivos talleres.

En una futura entrada os contaré cómo fue el segundo día.

Actualizado (28/01/2014):
Sobre la parte del reversing de Innotec: el bicho no simulaba ser un driver de NVIDIA. En las "diapos" dice: "Buscando información sobre 'persistence  igfxpers.exe 6.14.10.4980'  se ve que está asociado a las tarjetas gráficas Nvidia de Intel". Pues bien, si hacemos dicha búsqueda, tenemos una página de VirusTotal donde el ejecutable aparece asociado a Intel. También en las "diapos" se menciona que "que el ejecutable parece firmado por Intel Corporation"; como, efectivamente, se puede comprobar al ver las propiedades.

Sí que se dio un caso con un bicho que se hacía pasar por una tarjeta de NVIDIA y que investigaron en su día AlienVault y Sysmantec. Y del cual yo he tenido conocimiento por la entrevista que le hacen a Alberto Ortega en SecuritybyDefault. Al leer la pregunta 4 pensé "pero ¿no nos hablaron ya del bicho de NVIDIA en la #CCNcon?" Y ha sido lo que me ha movido a investigarlo. El funcionamiento es distinto en ambos casos y es interesante compararlos. Además, en el caso del bicho de NVIDA sí que explica Alberto cuál fue el origen de la infección.

¡Gracias a todos por compartir vuestra sabiduría! :)

08 diciembre 2013

A penny for your thoughts

Hace aproximadamente un año, me entró la "angustia hacker". ¿Que qué es? Es algo parecido a lo que siente Penny (Big Bang Theory) cuando oye hablar a Sheldon y a sus amigos. Esa sensación mezcla de curiosidad y desconcierto al abrirse a un mundo nuevo. Para entender mejor a Leonard, Penny pide un día a Sheldon que le enseñe un poco de física. ¡Y descubre que tiene que remontarse hasta los griegos! Ella que pensaba que iban a ser cuatro cosas...

Yo había olvidado mucha de la informática que aprendí en la uni, y sobrevivía haciendo consultas SQL, cuando las circunstancias me metieron en esto de la seguridad informática, de la cual, sabía más bien poco. Creo que todo empezó con los cursos y eventos del CCN-CERT: empecé a recordar cosas que creía olvidadas y a buscar en Google otras que desconocía. Y me di cuenta de todo lo que tenía por delante...

Afortunadamente, los griegos, que inventaron tantas cosas, no inventaron la informática (que se sepa); por lo que no necesitaba remontarme tan atrás en el tiempo como la pobre Penny. (Aunque, en este campo, más práctico que remontarse en el tiempo, sería viajar en él hacia el futuro, para que el Sr. Spoke nos dijera cómo van a ser las cosas en un mañana que ya es ayer).

Leyendo blogs, siguiendo listas y tweets, buscando en Google y preguntando a todo el que se deja, he ido aumentando mis conocimientos de día en día. Y, un año después, he pensado que quizá yo también tenga algo que contar: Jornadas de Seguridad a las que quizá no todos puedan asistir; mis pequeñas batallas y victorias con el hard y el soft; o esas anécdotas curiosas, como descubrir que la compañía telefonica tiene almacenada la antigua contraseña de mi red y me la cambia cuando quiere. 

Con este blog, los que sepan menos quizá aprendan algo. Y los que sepan más, tal vez se rían un poco de las cosas que me pasan. Si podéis, hacedme una visita de vez en cuando y dejad en él vuestras impresiones. La invitación está abierta: a penny for your thoughts.