lunes, 24 de noviembre de 2014

El derecho al olvido, un aliado para la reputación online

La privacidad en Internet y la reputación online cuentan desde el pasado mes de Mayo con un nuevo aliado en una normativa europea que se ha acordado en llamar como derecho al olvido (conoce todos los detalles en www.derechoolvido.es).

El Tribunal de Justicia de la Unión Europea (TJUE) publicó el 13 de Mayo de 2014 (ver nota informativa de la Agencia Española de Protección de datos sobre esta sentencia) una sentencia donde se reconoce a los ciudadanos europeos su derecho a pedir a los buscadores de Internet (Google, Bing, Yahoo!...) la retirada de determinados enlaces a informaciones que consideran perjudiciales para su imagen. Los responsables de los buscadores atienden cada una de estas peticiones de manera individualizada y, si cumplen ciertos requisitos, pueden proceder a la supresión del enlace solicitado.

Siguiendo con esta lógica se puede definir el derecho al olvido como «el derecho de una persona física a bloquear o suprimir cierta información personal que se considera obsoleta, carente de interés o que afecta al libre desarrollo de alguno de sus derechos fundamentales». Es conveniente aclarar que la información propiamente dicha no se elimina, solo se suprime el acceso a la misma a través de los buscadores de Internet eliminando el enlace de la correspondiente página de resultados.


Los buscadores como Google, Bing o Yahoo! disponen de un formulario de solicitud para que los ciudadanos que lo deseen puedan solicitar el bloqueo de los enlaces que estimen perjudiciales para su privacidad y de esta manera proteger su reputación online. Como hemos dicho, no todas las peticiones son aceptadas ni tenidas en cuenta por los buscadores.

Una primera limitación de este derecho al olvido es que solo es aplicable a personas físicas por lo que ni empresas ni organizaciones pueden acogerse al mismo. Google cuenta con un comité de expertos que asesoran a la compañía en este tema (conoce al Comité de expertos de Google) y han establecido algunos motivos para rechazar las solicitudes. De esta manera, el buscador más popular en nuestro país no acepta las solicitudes referentes a personajes públicos, las relacionadas con asuntos de corrupción política o financiera o aquellas peticiones que hagan referencia a una información vigente y actual.

En el caso de que una solicitud sea rechazada por el buscador, el solicitante siempre tiene la opción de recurrir a la Agencia Española de Protección de Datos (AEPD) para que sea este organismo el que decida si procede o no la supresión del enlace solicitado y en el caso de que proceda requerir al buscador que lleve a cabo esta acción.

Este derecho al olvido se ha convertido en una útil herramienta para defender la reputación online de los ciudadanos aunque la sentencia del Tribunal de Justicia de la Unión Europea no es bien vista por todo el mundo. Existe una importante corriente de opinión que considera que este derecho vulnera la libertad de expresión e información y puede utilizarse como un mecanismo de censura.

Realmente aún es demasiado pronto para conocer si el derecho al olvido se utiliza como medio para proteger la imagen en la Red de los ciudadanos o si, como argumentan sus detractores, se hace un uso abusivo de la medida. Para resolver estas dudas, desde la Unión Europea se trabaja en la redacción de un protocolo de actuación ante solicitudes relacionadas con el derecho al olvido pero mientras se publica el mismo, la polémica es la tónica habitual ante esta normativa.

viernes, 10 de octubre de 2014

Hardware Hacking (en #nn4ed)

Del 2 al 4 de octubre he podido asistir al congreso de seguridad "Navaja Negra" (http://navajanegra.com) que se ha celebrado por cuarto año consecutivo en Albacete.  Como novedad de este año, además de las habituales charlas, han incluido en el programa unas sesiones prácticas a modo de talleres.  Asistí a tres de ellos y en esta entrada voy a resumir lo que se trató en el taller titulado "Hardware Hacking (piñas, alfas, estrellas, raspberrys y patos)".

El taller (de unas 2 horas de duración) fue impartido por Jaime Álvarez (@kioardetroya) y Telmo Xavier (@t31m0) que llegaron cargados con un arsenal de cacharros -las piñas, alfas, estrellas, raspberrys y patos del título- para las demostraciones.  Lástima que era la primera charla del primer día y aun no habían conseguido disponer de conexión a Internet en el aula para poder realizar las demos.

En la presentación del taller destacaron que el hardware hacking puede ser tanto ofensivo como defensivo y que si bien pueden utilizarse estos dispositivos para realizar ataques, también son extremadamente útiles en la prevención de los mismos (monitorización de redes, creación de honeypots, o incluso instalar un servidor VPN o un firewall en una Rapsberry Pi).

Veamos que nos trajeron:

THROWING STAR LAN TAP (Ah! ya tenemos la "estrella" que aparece en el título):  Es lo que se llama un Network Tap" un sencillo dispositivo que se conecta (físicamente) entre dos puntos de una conexión de red y permite capturar todo el tráfico que pasa por el.  Se trata de un dispositivo pasivo (no alimentado) que puede adquirirse como kit (desmontado, hay que soldar los componentes) por unos 15$, aunque por un poco más ya viene montado.
un "

Un Network Tap requiere interrumpir la conexión unos instantes, ya que es necesario desconectar el cable para conectar el dispositivo.  Por otro lado, sin necesidad de acceder físicamente al sistema podemos hablar de "Wireless Hardware Hacking", dispositivos WiFi normalmente con el firmware OpenWRT, a los que podemos acoplar diferentes tipos de antena según nuestras necesidades (las hay de largo alcance que pueden captar una señal a varios kilómetros de distancia).

BEINI WIFI ROBIN 2:  Un sencillo dispositivo que se maneja con 2 botones y que permite obtener las claves WEP y WPA de un red inalámbrica.  Podemos considerar que está obsoleto ya que no soporta WPA2.

PINEAPPLE MARK IV:  Apareció en 2008 y se anunciaba como herramienta de pentesting.  Basado en OpenWRT, para redes 802.11 b/g/n, dispone de un puerto USB donde podemos conectar una antena, una unidad de almacenamiento externo o un modem 3G/4G.  Sin soporte oficial desde octubre del 2013 al ser reemplazada por la PINEAPPLE MARK V.

Algunos de los ataques que se pueden llevar a cabo con una MARK IV son: Man-in-the-Middle, DNS Spoofing, SSL Strip, tcpdump, desautenticación o Karma.

El ataque Karma: Los móviles o tablets con WiFi activado están constantemente preguntando si las redes "favoritas" están accesibles: -¿Eres "Mi_Casa"?, -¿Eres "Hotel_cool"?, -¿Eres "McDonals"?.  En un ataque Karma, el dispositivo del atacante captura estas solicitudes y responde -Sí, soy yo; suplantando al Access Point legítimo y conectando el smartphone de la víctima al atacante (siempre que se trate de redes abiertas).

La solución para prevenir un ataque Karma consiste en tener desactivada la opción de recordar redes abiertas a las que nos hemos conectado anteriormente.

El modelo ALFA NETWORK AP121U es el equivalente del MARK IV (lleva le mismo firmware) y está disponible con la placa HORNET-UB con 8MB de memoria flash y 32MB de RAM.

PINEAPPLE MARK V:  En Hackshop por 99,99$, es la evolución de la MARK IV, con el doble de memoria, ranura para tarjeta MicroSD, 2 conectores de antena SMA, puerto TTL Serial y un interfaz GUI mejorado y muy intuitivo.  Incorpora un conjunto de microinterruptores (DIP switches) que permiten arrancar el dispositivo con diferentes configuraciones, según la utilidad que le vayamos a dar.  También es muy interesante la posibilidad de descargar "infusiones" (https://wifipineapple.com/?infusions), herramientas desarrolladas por los usuarios con un fin específico: evilportal (un portal cautivo), occupineapple (divulga una lista de SSID ficticios), ADS-B Tracker (seguimiento de aviones mediante una antena TDT), etc.


RASPBERRY PI:  Gracias a la herramienta FruityWifi (https://github.com/xtr4nge/FruityWifi) podemos tener las funciones de una PINEAPPLE en una R-PI.  Con el módulo "WhastApp discover" incluido en FruityWiFi demostraron como capturar los números de teléfono que mandan mensajes desde esta aplicación.

USB RUBBER DUCKY:  Para finalizar, y un poco ajustados de tiempo, mostraron este dispositivo -el "pato"- con apariencia de pendrive pero que en realidad esconde un teclado USB en su interior.  No tiene teclas, pero lo podemos programar de forma que al conectarlo en un PC comience a escribir comandos en el equipo.

Al "pincharlo" el equipo lo reconocerá como un teclado y lo aceptará directamente, a diferencia de si se tratara de un dispositivo de almacenamiento (pendrive) ya que saltaría el antivirus o, en un sistema bien configurado, no se permitiría la ejecución automática de código.  Así, de forma automatizada se ejecutarán los programas, herramientas o scripts que hayamos incluido en el USB RUBBER DUCKY.

¡Así quedó la mesa de trabajo al finalizar el taller!
No me queda más que felicitar a los ponentes, Kio y Telmo, por haber preparado un taller tan interesante y ameno, y a la organización de Navaja Negra por hacerlo posible.  ¡Saludos a todos!

jueves, 18 de septiembre de 2014

Hackstory: La historia nunca contada del underground hacker en la península ibérica

La periodista Mercè Molist acaba de publicar "Hackstory.es: La historia nunca contada del underground hacker en la península ibérica". Este libro es la materialización de un intenso trabajo de investigación iniciado por la autora hace ya unos cuantos años cuando creó el proyecto Hackstory en formato wiki (http://hackstory.net/).

En el libro cuenta la historia del hacking en España, que es también la historia de la informática en nuestro país, con información de gran valor que abarca desde los primeros hackers, las blueboxes, las BBS, el nacimiento de la comunidad, hasta llegar a lo que Mercè denomina "el fin de la vieja escena". El libro viene plagado de enlaces que complementan toda la información que nos va proporcionando, además cuenta con entrevistas a sus protagonistas y fotografías de gran valor documental.

Mercè, que ha elaborado artículos para diversas publicaciones y prensa, trabajó más de 10 años en la sección de tecnología de El País (Ciberpaís) desde donde tuvo la oportunidad de profundizar en sus investigaciones y (intentar) acercarse a los protagonistas cubriendo muy de cerca operaciones como el "caso Hispahack" o la "operación Millenium".  Ella misma lo deja claro en las primeras páginas de presentación del libro: en este libro no está todo lo que fue sino lo que nos han dejado saber.

Este intenso trabajo está organizado en ocho capítulos y comprende 282 páginas (la versión en PDF).  El índice de cada capítulo es sistemático y muy claro de forma que permite identificar un tema de nuestro interés para acceder directamente a él, aunque la lectura completa de principio a fin es muy amena y entretenida (con numerosas anécdotas, curiosidades, citas, etc.) y recomendable incluso para aquellas personas ajenas al mundo de los hackers (para quienes hay incluso un breve glosario al inicio del texto).

El libro, en edición electrónica, puede obtenerse en formato Kindle por un precio simbólico, o gratuitamente por descarga directa en formato EPUB, PDF o MOBI desde la web http://hackstory.es/


Acceso a Hackstory.es
Página de inicio del wiki Hackstory.net, origen del libro.




lunes, 7 de julio de 2014

Dictamen europeo sobre técnicas de anonimización

El 10 de abril de 2014, el Grupo de Trabajo sobre Protección de Datos del Artículo 29 (WP29) de la Comisión Europea publicó el documento "Anonymisation Techniques onto the web" que fue adoptado como "Opinion 05/2014 on Anonymisation Techniques".  Ahora tenemos disponible la versión es español de este documento.

Dictamen 05/2014 - Español
La justificación de este informe es muy interesante (y acertada, desde mi punto de vista), ya que parte del concepto de «datos abiertos» y de los beneficios que la liberación y reutilización de datos pueden aportar a los ciudadanos y a la sociedad, para reconocer la importancia de aplicar las técnicas de anonimización adecuadas que garanticen un tratamiento correcto de los datos de carácter personal.

Segun la normativa europea de protección de datos, la anonimización "es el resultado de un tratamiento de los datos personales realizado para evitar de forma irreversible su identificación".  La cuestión principal es, aquí, que el proceso debe ser «irreversible», es decir que para cualquier fichero o tratamiento de datos sea imposible determinar la identidad del interesado.


Aunque la legislación europea en ningún momento establece cuáles son las técnicas de anonimización que deben emplearse, el dictamen del WP29 propone algunas técnicas y métodos teniendo en cuenta los tres riesgos clave de la anonimización:
  • Singularización: posibilidad de extraer registros que identifiquen a personas.
  • Vinculabilidad: capacidad de vincular dos registros distintos que están asignados a la misma persona /grupo de personas (correlación).
  • Inferencia: posibilidad de deducir el valor de un atributo a partir de otros.
El Grupo de Trabajo advierte que no hay ninguna técnica infalible, aunque "una estrategia que prevenga estos tres riesgos tendrá la solidez necesaria para impedir la reidentificación de los datos mediante los medios más probables y razonables".  En el informe se describen las ventajas e inconvenientes de cada una de las técnicas, enumerando al final una serie de «buenas prácticas» para su implementación.  La clasificación de técnicas de anonimización realizada es la siguiente:
  • Basadas en Aleatorización:
    • Adición de ruído
    • Permutación
    • Privacidad diferencial
  • Basadas en generalización:
    • Agregación y anonimato k
    • Diversidad l, proximidad t
Finalmente, dedica un apartado a analizar las técnicas de seudoanonimización, mostrando sus vulnerabilidades y concluyendo que, si bien puede tratarse de una medida de seguridad útil (cifrado de clave secreta, hash, etc.), no puede considerarse un método de anonimización válido.


El dictamen incluye un Anexo técnico de 12 páginas titulado "Manual de técnicas de anonimización" donde se describe con más detalle cada una de las técnicas citadas, con interesantes ejemplos y casos prácticos.  Muy útil para quienes no tienen un conocimiento previo en esta materia.

El WP29 insiste es que "han de definirse con claridad los requisitos previos (el contexto) y los objetivos del proceso para obtener la anonimización deseada al mismo tiempo que se generan datos útiles" al tiempo que aclara que "la solución óptima debe decidirse caso por caso y puede conllevar la combinación de diversas técnicas".

Retomando el enfoque práctico desde una perspectiva de la protección de datos personales, podemos concluir que un fichero resultante de un adecuado proceso de anonimización (con las garantías suficientes de que no se pueda identificar a los interesados) quedaría excluido del ámbito de aplicación de la Directiva 95/46/CE sobre protección de datos de carácter personal, sin embargo "aunque los datos anonimizados se encuentren fuera del alcance de la legislación sobre protección de datos, es posible que los interesados tengan derecho a protección en virtud de otras disposiciones legales (como las que protegen la confidencialidad de las comunicaciones)"

Contenido completo del "Dictamen sobre Anonimización" descargable aquí [PDF, 42 págs.]: 

viernes, 20 de junio de 2014

VIII OWASP Spain Chapter Meeting (Barcelona, 13/06/2014)

En junio de 2006 asistí al primer encuentro del recién fundado capítulo español de OWASP (Open Web Application Security Project) que se celebró en el CESCA (Centre de Supercomputació de Catalunya).  Vicente Aguilera (@VAguileraDiaz), su fundador, nos presentó aquel proyecto que nacía con la filosofía de "todo abierto y gratuito" con el objetivo de asegurar e incrementar el nivel de seguridad de las aplicaciones web.

Por diversos motivos (de agenda, principalmente) después de ese primer encuentro en 2006 no había podido volver a asistir a ninguna jornada de OWASP, hasta hoy.  El pasado viernes 13 de junio se celebró el VIII OWASP Spain Chapter Meeting (#OWASPSpain8) en el Auditorio del Campus La Salle en Barcelona.

En primer lugar Josep Mª Ribas, director de la Escuela de Ingeniería La Salle Campus Barcelona nos dio la bienvenida a sus instalaciones y aprovechó para anunciar que el próximo curso volverán a poner en marcha el Master en Ciberseguridad.  A continuación, Vicente Aguilera, presidente de OWASP Spain y socio de Internet Security Auditors realizó la presentación de la jornada que, de 10 de la mañana a 6 de la tarde acogió un total de ocho presentaciones.

** (01) - ON BREAKING PHP-based CROSS SITE SCRIPTING PROTECTION **

Ashar Javed (@soaj1664ashar), investigador alemán que está realizando su tesis sobre XSS, ofreció una clase magistral sobre metodologías de ataque para lo que el llama "contextos" en XSS. Se trata de buscar la manera de introducir, dentro del código de una página web, una cadena de texto tecleada por el usuario.  Para ello determina 5 "contextos": HTML, Atributos, Script, URL y Estilos, para cada uno de los cuales mostró tanto ejemplos de vulnerabilidades como soluciones a los desarrolladores para evitar esas inyecciones.

Durante la charla planteó un reto, ofreciendo 250$ a quien fuera capaz de saltarse el filtro XSS que ha implementado en http://demo.chm-software.com/7fc785c6bd26b49d7a7698a7518a73ed/
(A día de hoy, tras más de 37.000 intentos, parece qie nadie lo ha conseguido y ha aumentado la recompensa a 550$).


** (02) - REVERSING AND PROTECTING ANDROID APPLICATIONS **

Pau Oliva (@pof), co-autor de "Android Hacker's Handbook" ofreció una interesante charla sobre reversing en Android, comentando diversas herramientas.  Planteó 3 escenarios para "reversear" [sic] los ficheros APK de Android:

  • Pasar de DEX (bytecode) a Smali, desensamblando, por ejemplo con ApkTool,
  • Pasar de DEX a JAR y luego utilizar cualquier compilador de Java (por ejemplo Procyon),
  • Utilizar un decompilador de Dalvik puro y pasar directamente de DEX a Java (p.ej: DAD, Jadx).

Acabó la charla con algunos consejos sobre como securizar una aplicación y sobre la aplicación de técnicas de ofuscación con herramientas como Proguard.

martes, 27 de mayo de 2014

Octubre, mes de congresos

Hace unos días los amigos de BrandCare (Ciclo de Congresos sobre Reputación Digital, Privacidad, Ciber Seguridad, Legalidad en TIC - http://brandcare.es) me comunicaron que han aplazado la 2ª edición de su congreso, previsto para mediados de junio en Madrid, al mes de octubre.
Aun no sé la fecha definitiva, pero viendo la agenda de eventos de seguridad a los que me gustaría asistir en el segundo semestre, observo que casi todos se concentran en el mes de octubre, ¿que tiene el mes de octubre que concentra tantos eventos?

He marcado en un calendario los eventos relacionados con la seguridad informática(*) y estoy seguro que veremos a varios ponentes dar sus charlas en varios de ellos.
(*) bueno, SIMO Network no entraría en esta categoría, pero seguro que alguno os pasáis un momento por allí a echar un vistazo.



En la imagen no están todos los eventos, sólo aquellos a los que -a proiri- tenía intención de asistir y de los que me ha llegado la invitación o información sobre la convocatoria.  Aparte de BrandCare, puede que en octubre también se celebre el III Congreso de APEP (Asociación Profesional Española de Privacidad); tampoco tengo confirmación pero puede que también sea en octubre GsickMinds, el evento de seguridad en A Coruña; a principios de noviembre suele celebrarse la Jornada Internacional de ISMS Forum Spain que celebra cada año en Barcelona; y a nivel internacional tenemos la BlackHat Europe, del 14 al 17 de octubre, en Amsterdam.

Información sobre estos eventos (por orden cronológico):

jueves, 22 de mayo de 2014

Forensic Readiness

Las empresas de hoy en día, que confían en los sistemas de información para el desarrollo de sus actividades, quedan expuestas a sufrir algún incidente - ya sea accidental o intencionado - que afecte a estos sistemas.  Cuando se produce un incidente o desastre, una de las principales preocupaciones por parte de los responsables es que el negocio debe continuar.

Para ello se dispone de diferentes estrategias tales como planes de continuidad de negocio (BCP), procedimientos de recuperación ante desastres (DR), respuesta ante incidentes, etc. orientadas a restaurar los elementos de información afectados de modo que se pueda continuar con la operativa del negocio tras el incidente.

No obstante, como consecuencia de este incidente, la organización puede verse involucrada en una situación de incumplimiento normativo, reclamaciones de aseguradoras, responsabilidades legales, etc. las cuales podrían derivar en actuaciones judiciales frente a empleados, clientes, usuarios, proveedores, etc.

Es en este punto cuando las evidencias digitales adquieren una gran importancia (aun cuando se trate de empresas que no dependan excesivamente de las TI) y se hace necesario el uso de herramientas y técnicas de análisis forense digital para obtener las evidencias de lo que ha sucedido.

Hablaremos de un concepto clave: "Forensic readiness".  Readiness, en inglés, se refiere al estado de estar bien preparado para algo, incluso tiene una connotación de inmediatez, estar bien preparado en el instante preciso.  Puesto que no he encontrado ninguna traducción que me satisfaga, lo traduciré aquí como "Preparación Forense" o "Preparación Forense Digital".

Definición:

En un artículo publicado en 2004 por Robert Rowlingson en "International Journal of Digital Evidence" se proponía la siguiente definición:
"la capacidad de una organización para obtener el máximo de evidencias digitales,
reduciendo al mínimo los costes de una investigación"

Así pues, se trata de ganar en efectividad, de forma que la recuperación de evidencias se haga en el mínimo tiempo posible y con un coste reducido, lo que nos debería llevar, en definitiva, a disponer de las evidencias digitales antes de que ocurra la incidencia, y sin necesidad de interrumpir las operaciones.

lunes, 27 de enero de 2014

Windows XP ¿un Zero-Day permanente?


Aunque algunos expertos aún dudan sobre ello, parece que Microsoft cumplirá con la fecha fijada para el fin de soporte de Windows XP: 8 de abril de 2014.  Ese día se publicará la última actualización de seguridad para el sistema operativo que vio la luz el 24 de agosto de 2001.

http://www.microsoft.com/es-es/windows/endofsupport.aspx
Estos últimos meses hemos visto como Microsoft ha reforzado su campaña de concienciación a clientes y usuarios que aún no se han planteado la migración a Windows 7 y Windows 8, dedicando un espacio en su web corporativa para dar explicaciones, ofrecer recursos, resolver dudas, etc. sobre el por qué del fin de soporte y como enfocar el proceso de migración.  Un resumen de todo ello se encuentra en la guía "Windows XP - Fin de soporte el 08.04.2014.  Los componentes de un Entorno Seguro - Como resistir frente a los ciberataques actuales".

Descarga PDF: 

En esta guía ponen de manifiesto el riesgo que supone el fin de soporte ante las amenazas de ataques informáticos.  Tim Rains, director de Trustworthy Computing en Microsoft, ya publicó en su blog (15/08/2013) un artículo (ir al enlace) en el que avisa de los riesgos de seguir utilizando Windows XP más allá del 8 de abril: "el riesgo es que los atacantes tendrán más información sobre las vulnerabilidades de Windows XP".  Cierto, cuando se publique un parche de seguridad para las versiones soportadas de Windows, los cibercriminales podrán verificar si esas vulnerabilidades afectan a Windows XP y elaborar los exploits correspondientes a sabiendas de que nunca se publicará un parche que las corrija.  Estaremos pues, ante un Zero-Day permanente.