ICS Cybersecurity: Security Concerns

Industrial Control Systems (ICS) security represents a significant challenge in today's world. Some months ago I gave a presentation on ICS Cybersecurity in the ISACA's EuroCACS/ISRM Conference in Copenhaguen, and now, I'm going to explain in this post some concepts we were discussing there about security concerns. 

Industrial infrastructure has a very long life cycle (over 20 or 25 years) and for this reason, most of the implemented security measures in control systems are outdated and rely upon a sort of “security through obscurity” (if an attacker doesn't know what to attack, we are secure) but of course this is wrong, -it has been proven that this is a wrong approach! 

However, the fact that industrial systems adopt IP protocols certainly introduces a new security risk, but we must not forget that other risks already existed before and they had nothing to do with the Internet. 

Let's look at some of these security concerns: 

1) Weak communication protocols

We're working with communication protocols designed in the 70's and in the 80's: (DNP3, Modbus, ProfiNet, etc.) and most of them do not incorporate either authentication or encryption. Without authentication anyone who can access the network could send control signals to a specific device, and -as you know- a “bad guy” can gain access to the network in many different ways.  And without encryption, the data transmitted over the network can easily be obtained using a network sniffer (i.e., Wireshark). 

2) Weak passwords 

On one hand, we have lots of systems working with default usernames and passwords, that are not changed by the user, and they still remain as admin/admin, root/1234 … and so on (or even blank passwords). On the other hand, manufacturers are sometimes using hardcoded usernames and passwords to be used by its own technical service and they cannot be changed. If they’re known (most of them are included in technical documentation available on the Internet) anyone who gets access to the device could log in with a privileged account. In 2013 ICS-CERT published an advisory related to a hardcoded vulnerability found within roughly 300 medical devices, manufactured by some 40 different vendors, which could be exploited to gain access to the devices, including pacemakers, surgical and anesthesia devices, drug infusion pumps, patient monitors, as well as laboratory and analysis equipment.

3) Poor QoS

Quality of Service (QoS) has to do with the overall performance of the network.  Unlike a business network, an ICS network often needs a real-time communication, without latency, without packet loss, or any other “noise” that affects the quality of the communication.  This situation may be exploited to perform a Denial of Service (DoS) attack (i.e., via the insertion of rogue Ethernet frames into the network). And here, this is not about restarting a web server or having a delay in e-mail delivery, a DoS attack could bring very important systems off-line, and could even trigger a shutdown.

4) Internet connected web servers without protection

Many control systems have integrated web servers allowing maintenance and configuration tasks. If these systems are directly connected to the Internet it is possible to find them with specialized search engines like SHODAN. When the system has been discovered, if there are not well implemented security measures, the system becomes vulnerable.

In addition, when using an IDS/IPS as a countermeasure, common IDS/IPS do not take into account specific payloads and port numbers related to ICS protocols, such as Modbus or DNP3, leaving the system unprotected.

5) Difficult or nonexistent patching

Patching is the main countermeasure against known vulnerabilities that have been corrected by the vendor but, in critical systems, depolyment of patches must be scheduled with some weeks or months in advance, because there are many other tasks that must be executed before the process may be interrupted. That creates a “window of exposure” in which systems are vulnerable.

Furthermore, there are many old systems operating continuously and there is a reluctance to touch them all. If a patch (or a software update) is not tested it can also be a risk, as it might change the behavior of a component in a way that endangers the process stability.  

As an example: the Japanese company who owns the Fukushima nuclear power plant is still running about 48,000 computers on Windows XP (an outdated operating system without support nor upgrades).

48,000 PCs running on WIndows XP in nuclear plants

Principios de seguridad. Visión desde IT y desde OT.

En el ámbito de la Seguridad de la Información se definen fundamentalmente tres principios básicos: Confidencialidad, Integridad y Disponibilidad.  Aunque es cierto que también podemos considerar otras propiedades como "no repudio", "autenticación", "trazabilidad", etc., vamos a centrarnos en estos tres principios fundamentales, conocidos en inglés como "CIA triad" (tríada CIA, por Confidentiality, Integrity, Availability).

• La Confidencialidad permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.

• La Integridad garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.

• La Disponibilidad asegura que la información está accesible en un momento preciso y para las personas que la necesitan.

En los sistemas IT corporativos -los que se ocupan de los sistemas y el software de "negocio" (ERP, Base de datos de clientes, CRM, ...)- la puesta en práctica de los principios de la tríada CIA viene cumpliéndose en ese mismo orden de importancia: Confidencialidad, Integridad, Disponibilidad. Cuando hablamos de protección de la información, es habitual -por ejemplo- que una de las primeras medidas a implementar sea el cifrado de datos (medida directamente relacionada con la Confidencialidad).

Ahora bien, cuando nos adentramos en el área de seguridad de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) la perspectiva puede ser diferente.  Los sistemas ICS están formados por dispositivos y redes que controlan los procesos industriales, y entiéndase aquí el término "industrial" en su sentido más amplio.  En concreto, para el caso que nos ocupa, podemos pensar en cualquier Infraestructura Crítica como Energía o Transportes, o en los dispositivos relacionados con "Internet of Things" (IoT) o en todo lo relativo a Smart Cities, por ejemplo.

Al área que se encarga de los ICS la denominamos OT (Operational Technology) y comprende los dispositivos, las redes y el software relacionados con la monitorización y el control de los procesos industriales.

Tradicionalmente, el área de OT ha vivido aislada del área de IT (y viceversa), pero en la actualidad, en la era de lo "Smart", del "IoT", de los sistemas SCADA. etc. se está produciendo una aproximación entre ambas áreas en lo que se denomina "Convergencia IT/OT".  Esta convergencia no es tarea fácil y uno de los retos a superar es la diferente visión de los principios de seguridad según el punto de vista de cada área.  Si para los equipos de IT (de soporte al negocio) prima la Confidencialidad sobre las otros principios de seguridad, para los ingenieros o técnicos de OT (de "planta") el orden de importancia de la tríada CIA es absolutamente opuesto: Disponibilidad, Integridad, Confidencialidad, primando por encima de todo la Disponibilidad.

El gráfico representa la inversión de las prioridades en cuanto a seguridad según se trata del área de Sistemas de IT o de Sistemas de OT.  Para los de Operaciones (OT) lo más importante es mantener el proceso industrial en funcionamiento, ya se trate de una cadena robotizada de producción; una red de suministro de energía, o de agua potable; o del sistema de control de una red de semáforos inteligentes.  La carencia de Disponibilidad podría derivar en una pérdida de control sobre el proceso o que se detuvieran las operaciones, con los consiguientes riesgos que ello implicaría tanto para la seguridad del sistema como para la seguridad física de las personas o los efectos en el medioambiente.

Hardware Hacking (en #nn4ed)

Del 2 al 4 de octubre he podido asistir al congreso de seguridad "Navaja Negra" (http://navajanegra.com) que se ha celebrado por cuarto año consecutivo en Albacete.  Como novedad de este año, además de las habituales charlas, han incluido en el programa unas sesiones prácticas a modo de talleres.  Asistí a tres de ellos y en esta entrada voy a resumir lo que se trató en el taller titulado "Hardware Hacking (piñas, alfas, estrellas, raspberrys y patos)".

El taller (de unas 2 horas de duración) fue impartido por Jaime Álvarez (@kioardetroya) y Telmo Xavier (@t31m0) que llegaron cargados con un arsenal de cacharros -las piñas, alfas, estrellas, raspberrys y patos del título- para las demostraciones.  Lástima que era la primera charla del primer día y aun no habían conseguido disponer de conexión a Internet en el aula para poder realizar las demos.

En la presentación del taller destacaron que el hardware hacking puede ser tanto ofensivo como defensivo y que si bien pueden utilizarse estos dispositivos para realizar ataques, también son extremadamente útiles en la prevención de los mismos (monitorización de redes, creación de honeypots, o incluso instalar un servidor VPN o un firewall en una Rapsberry Pi).

Veamos que nos trajeron:

THROWING STAR LAN TAP (Ah! ya tenemos la "estrella" que aparece en el título):  Es lo que se llama un Network Tap" un sencillo dispositivo que se conecta (físicamente) entre dos puntos de una conexión de red y permite capturar todo el tráfico que pasa por el.  Se trata de un dispositivo pasivo (no alimentado) que puede adquirirse como kit (desmontado, hay que soldar los componentes) por unos 15$, aunque por un poco más ya viene montado.

un "

Un Network Tap requiere interrumpir la conexión unos instantes, ya que es necesario desconectar el cable para conectar el dispositivo.  Por otro lado, sin necesidad de acceder físicamente al sistema podemos hablar de "Wireless Hardware Hacking", dispositivos WiFi normalmente con el firmware OpenWRT, a los que podemos acoplar diferentes tipos de antena según nuestras necesidades (las hay de largo alcance que pueden captar una señal a varios kilómetros de distancia).

BEINI WIFI ROBIN 2:  Un sencillo dispositivo que se maneja con 2 botones y que permite obtener las claves WEP y WPA de un red inalámbrica.  Podemos considerar que está obsoleto ya que no soporta WPA2.

PINEAPPLE MARK IV:  Apareció en 2008 y se anunciaba como herramienta de pentesting.  Basado en OpenWRT, para redes 802.11 b/g/n, dispone de un puerto USB donde podemos conectar una antena, una unidad de almacenamiento externo o un modem 3G/4G.  Sin soporte oficial desde octubre del 2013 al ser reemplazada por la PINEAPPLE MARK V.

Algunos de los ataques que se pueden llevar a cabo con una MARK IV son: Man-in-the-Middle, DNS Spoofing, SSL Strip, tcpdump, desautenticación o Karma.

El ataque Karma: Los móviles o tablets con WiFi activado están constantemente preguntando si las redes "favoritas" están accesibles: -¿Eres "Mi_Casa"?, -¿Eres "Hotel_cool"?, -¿Eres "McDonals"?.  En un ataque Karma, el dispositivo del atacante captura estas solicitudes y responde -Sí, soy yo; suplantando al Access Point legítimo y conectando el smartphone de la víctima al atacante (siempre que se trate de redes abiertas). La solución para prevenir un ataque Karma consiste en tener desactivada la opción de recordar redes abiertas a las que nos hemos conectado anteriormente.

El modelo ALFA NETWORK AP121U es el equivalente del MARK IV (lleva le mismo firmware) y está disponible con la placa HORNET-UB con 8MB de memoria flash y 32MB de RAM.

PINEAPPLE MARK V:  En Hackshop por 99,99$, es la evolución de la MARK IV, con el doble de memoria, ranura para tarjeta MicroSD, 2 conectores de antena SMA, puerto TTL Serial y un interfaz GUI mejorado y muy intuitivo.  Incorpora un conjunto de microinterruptores (DIP switches) que permiten arrancar el dispositivo con diferentes configuraciones, según la utilidad que le vayamos a dar.  También es muy interesante la posibilidad de descargar "infusiones" (https://wifipineapple.com/?infusions), herramientas desarrolladas por los usuarios con un fin específico: evilportal (un portal cautivo), occupineapple (divulga una lista de SSID ficticios), ADS-B Tracker (seguimiento de aviones mediante una antena TDT), etc.

RASPBERRY PI:  Gracias a la herramienta FruityWifi (https://github.com/xtr4nge/FruityWifi) podemos tener las funciones de una PINEAPPLE en una R-PI.  Con el módulo "WhastApp discover" incluido en FruityWiFi demostraron como capturar los números de teléfono que mandan mensajes desde esta aplicación.

USB RUBBER DUCKY:  Para finalizar, y un poco ajustados de tiempo, mostraron este dispositivo -el "pato"- con apariencia de pendrive pero que en realidad esconde un teclado USB en su interior.  No tiene teclas, pero lo podemos programar de forma que al conectarlo en un PC comience a escribir comandos en el equipo.

Al "pincharlo" el equipo lo reconocerá como un teclado y lo aceptará directamente, a diferencia de si se tratara de un dispositivo de almacenamiento (pendrive) ya que saltaría el antivirus o, en un sistema bien configurado, no se permitiría la ejecución automática de código.  Así, de forma automatizada se ejecutarán los programas, herramientas o scripts que hayamos incluido en el USB RUBBER DUCKY.

¡Así quedó la mesa de trabajo al finalizar el taller!

No me queda más que felicitar a los ponentes, Kio y Telmo, por haber preparado un taller tan interesante y ameno, y a la organización de Navaja Negra por hacerlo posible.  ¡Saludos a todos!

Dictamen europeo sobre técnicas de anonimización

El 10 de abril de 2014, el Grupo de Trabajo sobre Protección de Datos del Artículo 29 (WP29) de la Comisión Europea publicó el documento "Anonymisation Techniques onto the web" que fue adoptado como "Opinion 05/2014 on Anonymisation Techniques".  Ahora tenemos disponible la versión es español de este documento.

Dictamen 05/2014 - Español

La justificación de este informe es muy interesante (y acertada, desde mi punto de vista), ya que parte del concepto de «datos abiertos» y de los beneficios que la liberación y reutilización de datos pueden aportar a los ciudadanos y a la sociedad, para reconocer la importancia de aplicar las técnicas de anonimización adecuadas que garanticen un tratamiento correcto de los datos de carácter personal.

Segun la normativa europea de protección de datos, la anonimización "es el resultado de un tratamiento de los datos personales realizado para evitar de forma irreversible su identificación".  La cuestión principal es, aquí, que el proceso debe ser «irreversible», es decir que para cualquier fichero o tratamiento de datos sea imposible determinar la identidad del interesado.

Acceso diercto al documento [PDF, 42 pags] en la web de la Comisión Europea

Aunque la legislación europea en ningún momento establece cuáles son las técnicas de anonimización que deben emplearse, el dictamen del WP29 propone algunas técnicas y métodos teniendo en cuenta los tres riesgos clave de la anonimización:

• Singularización: posibilidad de extraer registros que identifiquen a personas.
• Vinculabilidad: capacidad de vincular dos registros distintos que están asignados a la misma persona /grupo de personas (correlación).
• Inferencia: posibilidad de deducir el valor de un atributo a partir de otros.

El Grupo de Trabajo advierte que no hay ninguna técnica infalible, aunque "una estrategia que prevenga estos tres riesgos tendrá la solidez necesaria para impedir la reidentificación de los datos mediante los medios más probables y razonables".  En el informe se describen las ventajas e inconvenientes de cada una de las técnicas, enumerando al final una serie de «buenas prácticas» para su implementación.  La clasificación de técnicas de anonimización realizada es la siguiente:

• Basadas en Aleatorización:
• Adición de ruído
• Permutación
• Privacidad diferencial
• Basadas en generalización:
• Agregación y anonimato k
• Diversidad l, proximidad t

Finalmente, dedica un apartado a analizar las técnicas de seudoanonimización, mostrando sus vulnerabilidades y concluyendo que, si bien puede tratarse de una medida de seguridad útil (cifrado de clave secreta, hash, etc.), no puede considerarse un método de anonimización válido.

El dictamen incluye un Anexo técnico de 12 páginas titulado "Manual de técnicas de anonimización" donde se describe con más detalle cada una de las técnicas citadas, con interesantes ejemplos y casos prácticos.  Muy útil para quienes no tienen un conocimiento previo en esta materia.

El WP29 insiste es que "han de definirse con claridad los requisitos previos (el contexto) y los objetivos del proceso para obtener la anonimización deseada al mismo tiempo que se generan datos útiles" al tiempo que aclara que "la solución óptima debe decidirse caso por caso y puede conllevar la combinación de diversas técnicas".

Retomando el enfoque práctico desde una perspectiva de la protección de datos personales, podemos concluir que un fichero resultante de un adecuado proceso de anonimización (con las garantías suficientes de que no se pueda identificar a los interesados) quedaría excluido del ámbito de aplicación de la Directiva 95/46/CE sobre protección de datos de carácter personal, sin embargo "aunque los datos anonimizados se encuentren fuera del alcance de la legislación sobre protección de datos, es posible que los interesados tengan derecho a protección en virtud de otras disposiciones legales (como las que protegen la confidencialidad de las comunicaciones)"

Contenido completo del "Dictamen sobre Anonimización" descargable aquí [PDF, 42 págs.]: 

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_es.pdf

VIII OWASP Spain Chapter Meeting (Barcelona, 13/06/2014)

En junio de 2006 asistí al primer encuentro del recién fundado capítulo español de OWASP (Open Web Application Security Project) que se celebró en el CESCA (Centre de Supercomputació de Catalunya).  Vicente Aguilera (@VAguileraDiaz), su fundador, nos presentó aquel proyecto que nacía con la filosofía de "todo abierto y gratuito" con el objetivo de asegurar e incrementar el nivel de seguridad de las aplicaciones web.

Por diversos motivos (de agenda, principalmente) después de ese primer encuentro en 2006 no había podido volver a asistir a ninguna jornada de OWASP, hasta hoy.  El pasado viernes 13 de junio se celebró el VIII OWASP Spain Chapter Meeting (#OWASPSpain8) en el Auditorio del Campus La Salle en Barcelona.

En primer lugar Josep Mª Ribas, director de la Escuela de Ingeniería La Salle Campus Barcelona nos dio la bienvenida a sus instalaciones y aprovechó para anunciar que el próximo curso volverán a poner en marcha el Master en Ciberseguridad.  A continuación, Vicente Aguilera, presidente de OWASP Spain y socio de Internet Security Auditors realizó la presentación de la jornada que, de 10 de la mañana a 6 de la tarde acogió un total de ocho presentaciones.

** (01) - ON BREAKING PHP-based CROSS SITE SCRIPTING PROTECTION **

Ashar Javed (@soaj1664ashar), investigador alemán que está realizando su tesis sobre XSS, ofreció una clase magistral sobre metodologías de ataque para lo que el llama "contextos" en XSS. Se trata de buscar la manera de introducir, dentro del código de una página web, una cadena de texto tecleada por el usuario.  Para ello determina 5 "contextos": HTML, Atributos, Script, URL y Estilos, para cada uno de los cuales mostró tanto ejemplos de vulnerabilidades como soluciones a los desarrolladores para evitar esas inyecciones.

Durante la charla planteó un reto, ofreciendo 250$ a quien fuera capaz de saltarse el filtro XSS que ha implementado en http://demo.chm-software.com/7fc785c6bd26b49d7a7698a7518a73ed/

(A día de hoy, tras más de 37.000 intentos, parece qie nadie lo ha conseguido y ha aumentado la recompensa a 550$).

** (02) - REVERSING AND PROTECTING ANDROID APPLICATIONS **

Pau Oliva (@pof), co-autor de "Android Hacker's Handbook" ofreció una interesante charla sobre reversing en Android, comentando diversas herramientas.  Planteó 3 escenarios para "reversear" [sic] los ficheros APK de Android:

• Pasar de DEX (bytecode) a Smali, desensamblando, por ejemplo con ApkTool,
• Pasar de DEX a JAR y luego utilizar cualquier compilador de Java (por ejemplo Procyon),
• Utilizar un decompilador de Dalvik puro y pasar directamente de DEX a Java (p.ej: DAD, Jadx).

Acabó la charla con algunos consejos sobre como securizar una aplicación y sobre la aplicación de técnicas de ofuscación con herramientas como Proguard.

Forensic Readiness

Las empresas de hoy en día, que confían en los sistemas de información para el desarrollo de sus actividades, quedan expuestas a sufrir algún incidente - ya sea accidental o intencionado - que afecte a estos sistemas.  Cuando se produce un incidente o desastre, una de las principales preocupaciones por parte de los responsables es que el negocio debe continuar.

Para ello se dispone de diferentes estrategias tales como planes de continuidad de negocio (BCP), procedimientos de recuperación ante desastres (DR), respuesta ante incidentes, etc. orientadas a restaurar los elementos de información afectados de modo que se pueda continuar con la operativa del negocio tras el incidente.

No obstante, como consecuencia de este incidente, la organización puede verse involucrada en una situación de incumplimiento normativo, reclamaciones de aseguradoras, responsabilidades legales, etc. las cuales podrían derivar en actuaciones judiciales frente a empleados, clientes, usuarios, proveedores, etc.

Es en este punto cuando las evidencias digitales adquieren una gran importancia (aun cuando se trate de empresas que no dependan excesivamente de las TI) y se hace necesario el uso de herramientas y técnicas de análisis forense digital para obtener las evidencias de lo que ha sucedido.

Hablaremos de un concepto clave: "Forensic readiness".  Readiness, en inglés, se refiere al estado de estar bien preparado para algo, incluso tiene una connotación de inmediatez, estar bien preparado en el instante preciso.  Puesto que no he encontrado ninguna traducción que me satisfaga, lo traduciré aquí como "Preparación Forense" o "Preparación Forense Digital".

Definición:

En un artículo publicado en 2004 por Robert Rowlingson en "International Journal of Digital Evidence" se proponía la siguiente definición:

"la capacidad de una organización para obtener el máximo de evidencias digitales,

reduciendo al mínimo los costes de una investigación"

Así pues, se trata de ganar en efectividad, de forma que la recuperación de evidencias se haga en el mínimo tiempo posible y con un coste reducido, lo que nos debería llevar, en definitiva, a disponer de las evidencias digitales antes de que ocurra la incidencia, y sin necesidad de interrumpir las operaciones.

Windows XP ¿un Zero-Day permanente?

Aunque algunos expertos aún dudan sobre ello, parece que Microsoft cumplirá con la fecha fijada para el fin de soporte de Windows XP: 8 de abril de 2014.  Ese día se publicará la última actualización de seguridad para el sistema operativo que vio la luz el 24 de agosto de 2001.

http://www.microsoft.com/es-es/windows/endofsupport.aspx

Estos últimos meses hemos visto como Microsoft ha reforzado su campaña de concienciación a clientes y usuarios que aún no se han planteado la migración a Windows 7 y Windows 8, dedicando un espacio en su web corporativa para dar explicaciones, ofrecer recursos, resolver dudas, etc. sobre el por qué del fin de soporte y como enfocar el proceso de migración.  Un resumen de todo ello se encuentra en la guía "Windows XP - Fin de soporte el 08.04.2014.  Los componentes de un Entorno Seguro - Como resistir frente a los ciberataques actuales".

Descarga PDF: 

http://download.microsoft.com/download/1/3/4/134607EA-F9E6-4237-AF55-BAB35CCE594F/FINAL_XP_EoS_Whitepaper_withPremier_espanol_31_10_14.pdf

En esta guía ponen de manifiesto el riesgo que supone el fin de soporte ante las amenazas de ataques informáticos.  Tim Rains, director de Trustworthy Computing en Microsoft, ya publicó en su blog (15/08/2013) un artículo (ir al enlace) en el que avisa de los riesgos de seguir utilizando Windows XP más allá del 8 de abril: "el riesgo es que los atacantes tendrán más información sobre las vulnerabilidades de Windows XP".  Cierto, cuando se publique un parche de seguridad para las versiones soportadas de Windows, los cibercriminales podrán verificar si esas vulnerabilidades afectan a Windows XP y elaborar los exploits correspondientes a sabiendas de que nunca se publicará un parche que las corrija.  Estaremos pues, ante un Zero-Day permanente.

Navaja Negra Conference (2 de 2)

Este es la segunda parte del resumen de las conferencias "Navaja Negra" realizadas en Albacete entre los días 3 y 5 de octubre de 2013.

(Pulsad en este enlace para acceder a la  primera parte)

 

[Continuo el resumen donde lo dejé, en la primera sesión de la tarde del segundo día.]

========== Día 2 ==========

"Economías criptográficas" (Sergi Álvarez "Pancake")

Sergi Álvarez (@trufae) trató el tema de los Bitcoins, la moneda digital creada en 2009 por Satoshi Nakamoto. Tras una interesante introducción sobre los orígenes de Bitcoin (BTC) y el enigmático personaje (o grupo) que se esconde tras "Satoshi Nakamoto" (algunas teorías aseguran que es la NSA quien está detras ese seudónimo), la charla abarcó los cuatro aspectos imprescindibles para entender el funcionamiento de Bitcoin: Economía, Criptografía, Redes P2P y Hacking. Detalló el funcionamiento de las transacciones con Bitcoin, destacando la importancia del "blockchain" (la cadena de bloques donde se guardan todas las transacciones).

Pancake también se refirió a otras criptomonedas como FreiCoin, LiteCoin, PPcoin, etc. En www.coinchoose.com puede verse una extensa lista y su relación con BTC. También existen sitios como www.bitstamp.net que permiten "tradear" con Bitcoin (comprar, vender o intercambiar BTC con moneda corriente (USD, EUR, ...)). A día de hoy, el cambio de BTC está a unos 120$.

"Trash Robotic Router Platform (TRRP)" (David Meléndez)

David Meléndez (@taiksonTexas) nos presentó su nuevo Cuadricóptero ATROPOS (algunos ya lo habíamos visto en la Rooted 2013, pero a Albacete vino con un algoritmo mejorado). Se trata de un drone de 4 hélices construido a partir de material reciclado. Para ello ha aprovechado una Fonera reconfigurando el servidor web para el control de vuelo del aparato via WiFi, o el giroscopio y el acelerómetro de los mandos de la Wii para estabilizar el cuadricóptero. Más información en la web del proyceto: http://taiksonprojects.blogspot.com.es/

Aunque asegura que no sabe manejar el drone (las pruebas las realiza un amigo suyo aficionado a los vehículos de radiocontrol) en esta ocasión, y con algunos nervios, se atrevió a realizar un vuelo del aparato en directo sobre el escenario, que fue todo un éxito.

"How I met your botnet" (Manu Quintans & Frank Ruiz)

Manu Quintans (@groove) y Frank Ruiz (@francruar) dieron un repaso a la situación actual del cibercrimen poniendo de manifiesto que, dado que los foros underground donde se reunen los cibercriminales son muy cerrados, la información sobre las amenazas es muy especulativa. Ambos realizaron un buen análisis comparativo sobre las diferencias entre los troyanos que operan en diversas partes del mundo: Asia, Latinoamérica, Rusia, o Estados Unidos y Europa. Por otro lado comentaron como funcionan los "Affiliatte Programs" para la distribución de malware.

Tras citar distintos tipos de malware como RAT, Ransomware, distintos troyanos bancarios (SpyEye, Citadel, Kasper) concluyeron con una demo del funcionamiento de una botnet.

"LIOS: A tool for IOS Forensics" (Lorenzo Martínez)

Lorenzo Martínez (@lawwait) presentó su herramienta LIOS#FF para el análisis forense de dispositivos iOS (Lorenzo aclaró que se refiere al sistema operativo de los iPhone , no al IOS de Cisco!). La herramienta permite extraer la información de los datos de usuario y apps (agenda, contactos , llamadas, fotos, notas, historial de navegación, etc.) y, lo que es más interesante, permite clasificarlo todo en una especie de timeline o linea temporal para analizar la actividad completa del usuario en el intervalo de tiempo que se desea investigar.

========== Día 3 ==========

"El lado oscuro de TOR: La Deep Web" (José Luis Verdeguer)

TOR fue creado en 2002 a partir del proyecto "Onion Routing" del Laboratorio de Investigación Naval de los Estados Unidos (NRL en sus siglas en inglés) y actualmente esta siendo mantenido por "Tor project" (www.torproject.org). José Luis Verdeguer (@pepeluxx) aclaró que TOR no es la Deep Web sino una forma de acceder a ella. En su presentación destacó que "se puede utilizar TOR de dos formas: para acceder anónimamente a la red, o para acceder a la red formada por dominios .onion que ofrecen acceso a servicios ocultos."

"Anteproyecto del código procesal penal: Análisis Técnico" (GDT)

César Lorenzana, del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil se refirió al anteproyecto de reforma de la Ley de Enjuiciamiento Criminal (LECrim). Señaló que esta Ley es del año 1882 y aunque, en su momento, regulaba perfectamente el control de las comunicaciones postales, con la aparación de nuevos medios (telégrafo, teléfono, móviles, Internet, comunicaciones cifradas) se ha intentado asimilar su aplicación aunque en algunos caso se ve claramente ineficiente.

Por su parte, Javier Rodríguez (@javiover) explicó algunos de los métodos de protección que han implantado en su "Herramienta de Inspección Remota" (él lo definió como "buenware").

"Divulgación del trabajo de la Brigada de Investigación Tecnológica" (BIT)

David Pérez, de la BIT (que ahora pasará a llamarse UIT - Unidad de Investigación Tecnológica) de la Policía Nacional nos puso al corriente del nuevo plan estratégico llamado "Policía 3.0" al mismo tiempo que describía la estructura y el funcionamiento de la unidad (fueron los encargados de realizar la investigación sobre Ransomware que finalizó con 11 detenidos por el caso del llamado "virus de la policía"). Para finalizar lanzó a la sala una solicitud de colaboración, por parte de los asistentes, en la lucha contra el cibercrimen.

Mesa redonda: "CFSE, Troyaos, hackers y demás fauna"

Los tres días de jornadas concluyeron con un interesante debate moderado por Daniel García "cr0hn" que contó con la presencia de todos los ponentes de la mañana a los que se sumó el abogado experto en Derecho Tecnológico Pablo Fdez. Burgueño (@pablofb). El público participó activamente con un gran número de preguntas que abordaron temas como PRISM, SITEL, el caso Snowden, la responsabilidad penal en determinadas acciones, o donde está el límite legal para un investigador o auditor de seguridad. También se debatió a fondo sobre la necesidad de unificar las normativas internaciones o que herramientas de colaboración están a disposición de las policías de distintos países, en este sentido, César Lorenzana concluyó que "estamos haciendo frente a un fenomeno global con normativa local".

Al finalizar el evento, disfrutamos de una estupenda comida en la que pudimos intercambiar impresiones con la práctica totalidad de los ponentes de esta edición de "Navaja Negra" y en la que todos coincidimos en agradecer a los organizadores, colaboradores y voluntarios su dedicación para sacar adelante estas jornadas y la excelente acogida que nos brindaron.

Privacy and Body Scanners at EU Airports

¿Escáneres que nos muestran desnudos?

El año pasado, en el número 217 (mayo-junio) de la revista Novática se publicó un artículo mío titulado "Privacidad en los escáneres corporales en los aeropuertos de la U.E." [consulta el artículo].

Ahora, se acaba de publicar un número especial de Novática en inglés que lleva por título "Privacy and New Technologies" que incluye mi artículo (revisado y  actualizado).  Esta edición, realizada en colaboración con Privacy International, es de acceso es libre y gratuito.



En el artículo repaso aspectos como:

• análisis de las diferentes tecnologías de escaneo existentes,
• marco normativo europeo,
• nivel de adopción de estos dispositivos en los distintos países de la UE, 
• impacto de estas medidas de seguridad sobre la privacidad de los usuarios.

Puesto que había transcurriso casi un año desde la publicación del artículo original (y un año y medio desde la investigación que dió lugar al artículo) mientras realizaba la traducción aproveché para actualizar el contenido del mismo ya que en este periodo ha habido algunos cambios en relación a la implantación de los escáneres corporales en los aeropuertos europeos.

A continuación copio el abstract del artículo y los enlaces al contenido completo del mismo en la web de ATI (Asociación de Técnicos de Informática).

 
Acceso al número especial de Novática: http://www.ati.es/novatica/2013/ASA/nvS2013sum.html
Acceso al artículo (PDF, 6pág., 280 KB, Inglés): http://www.ati.es/novatica/2013/ASA/NvS2013-49.pdf 
Acceso al artículo original, en español: http://blog.joanfi.net/2012/09/privacidad-en-los-escaneres-corporales.html 
  

At the beginning of 2010, with the aim of improving aviation security controls, some airports started to use full-body security scanners, also known as body scanners or  security scanners. Body scanners make a full body screening of passengers, producing detailed images of the screened person’s body in order to detect both metallic and non metallic  objects that might be concealed under the clothes.   
  

Deployment of such scanners may entail an invasion of people’s privacy since they produce a detailed display of the passenger’s  body with no clothing, revealing anatomical details and private parts, including medical prostheses.   
 

This article will analyse the currently existing screening technologies (millimetre wave systems -active or passive- and X-ray backscatter systems) as well as their level of deployment at EU airports, focusing on the impact they may have on passengers’ privacy. In order to  harmonize the various national regulations, the European Commission has passed a proposal on the use of body scanners at European airports, scanners which shall only be used under  specific conditions.

Navaja Negra Conference (1 de 2)

[Nota: Debido a su extensión, he divido el post en 2 entradas.  En breve publicaré la 2ª parte]
 

[>>>>>>>>>> Actualizado: 11/10/2013: Enlace a la 2ª parte <<<<<<<<<<]

La semana pasada tuve ocasión de asistir a las conferencias "Navaja Negra" que tuvieron lugar en Albacete. En tres días (del 3 al 5 de octubre) pudimos disfrutar de hasta 21 charlas sobre seguridad informática, a cual más interesante (ver programa).

Esta 3ª edición congregó a casi 200 profesionales, expertos, estudiantes, interesados, amantes etc. de la seguridad informática en un espacio donde compartir conocimiento y experiencias, siempre fieles a los 3 principios con los que se creó Navaja Negra según declaran sus organizadores "Humildad, Compartir y Aprender".

Trasladarse de Barcelona a Albacete, desde un punto de vista logístico, no es tarea fácil (motivo por el cual no asistí al evento del año pasado), así que para este año me propuse realizar el trayecto en coche. Nunca podré agradecer lo suficiente al que tuvo la feliz idea de incluir en la web del congreso el enlace "comparte coche", gracias al cual encontré a otros 3 compañeros de viaje que también iban al Navaja Negra. La buena experiencia del congreso, para mí, empezó ya a unos 550 kilómetros de Albacete cuando los cuatro nos montamos en el coche dispuestos a aprovechar al máximo estas jornadas.

 

 A continuación os dejo un breve resumen de las diferentes ponencias (a causa del viaje nos perdimos las sesiones de la mañana del primer día) pero sé que la organización grabó todas las charlas en vídeo y próximamente las publicará, así como las presentaciones que realizaron los ponentes.

========== Día 1 ==========

Las charlas que me perdí fueron las 4 primeras: "Telepathy: Harness the code" (Juan Carlos Montes @jcmontes_tec), "De pacharanes por Racoon City: Cómo sobrevivir al día a día real de un pentester" (J. Daniel Martínez @dan1t0), "Fuzzing browsers by generating malformed HTML/HTML5" (Florencio Cano @florenciocano) y "SDR: Lowcost receiving in radio communications" (Alfonso Moratalla @alfonso_ng & Ricardo Monsalve @cenobita8bits).

"¿Nadie piensa en las DLL?" (Adrián Pulido)

 Adrián Pulido (@winsock) presentó una interesante ponencia sobre los peligros de las librerías (DLL) como puntos de entrada de código malicioso. Con ejemplos, demostró como la capacidad de las DLL para ejecutar código puede ser utilizada para atacar un equipo y como pueden ocultarse para no ser detectadas por los antivirus o no despertar sospechas en los usuarios.

"Automated and unified opensource web application testing" (Daniel García "cr0hn")

Daniel García (@ggdaniel, uno de los organizadores de las jornadas) nos presentó la herramienta "GoLismero" que ha creado junto a otros 2 compañeros. Se trata de una interesante herramienta para auditores de seguridad: un framework que permite unificar herramientas open source de pruebas de seguridad web. Según su autor, "El punto fuerte de esta herramienta es que los resultados son capaces de realimentarse entre todos".

Más información y descarga de GoLismero en: www.golismero-project.com

"1100101001001110" (Jaime Peñalba)

Jaime Peñalba (@nighterman) realizó una exposición detallada sobre lo que se necesita saber para realizar exploiting: entender como funciona un procesador, cuales son los registros principales, como funciona la memoria o como ésta pasa los registros a la pila (stack). Lástima que calculara mal el tiempo de su presentación y no pudiera entrar en profundidad en las técnicas de exploiting y las contramedidas que pueden aplicarse.

Jaime utilizó IDA para la parte práctica (mostrando en directo el comportamiento de la pila y del direccionamiento de memoria), y contó con la colaboración de Sergi Alvarez "Pancake" (@trufae) quien le echó una mano con la herramienta Radare.

"Adivina quien viene a CDNear esta noche" (Alejandro Nolla)

Alejandro Nolla (@z0mbiehunt3r) y Felipe Martín (@fmartingr) nos hablaron de las redes CDN (Content Delivery Network), cuyo uso es cada vez más habitual. En estas redes, todo el contenido se replica en varios puntos de presencia y el cliente recibe la copia más cercana a su ubicación. En la charla se puso de relieve la sensación de falsa seguridad que presentan estas redes, ya que - aparentemente - el servidor de origen no está accesible y no puede recibir, por ejemplo, ataques DDoS. Sin embargo demostraron como conectándose a los routers puede obtenerse mucha información de la red (con un traceroute, por ejemplo) a partir de la cual y mediante procesos de "trilateración " pueden llegar a descubrirse los servidores de origen. Alejandro está desarrollando una herramienta que automatiza estas tareas (Felipe es quien se encarga de interfaz gráfico).

========== Día 2 ==========

"Where is my money? The evolution of Internet fraud" (Marc Rivero)

Marc Rivero (@seifreed) presentó una ponencia sobre "e-Crime", sobre el alcance de mismo y como prevenirse. Empezó hablando de métodos de autenticación, de troyanos bancarios (sinowal, carberp, ...), de Ransomware (el llamado "virus de la policía"), de los troyanos "Man-in-the-browser" y de los denominados "Kits de Phising". Como contramedida a estos últimos citó la herramienta "Social Engineering Toolkit" (herramienta de test de penetración usando ingeniería social) o el proyecto www.social-engineer.com.

Se refirió a determinados proyectos de SandBox, aunque también advirtió que los "malos" también tienen los suyos para verificar que un virus no será detectado por los antivirus.

"ZeuS'R'Us" (Santiago Vicente)

Santiago Vicente (@smvicente) presentó su estudio sobre el troyano "ZeuS". Este troyano, que fue descubierto en octubre de 2006, ha ido evolucionando y ha visto incrementadas sus funcionalidades. Poco después de la aparición de SpyEye, se publicó el código fuente de ZeuS (2011) y aunque algunos expertos auguraban el abandono de ZeuS, lo cierto es que ha continuado evolucionando y sigue muy activo, propiciando también la aparación de nuevas variantes (como Licat).

Parte de lo expuesto por Santiago, puede encontrarse en el último artículo de su blog http://invisson.blogspot.com.es/

"Cool Boot: It's cool" (Pedro Candel)

La persistencia de la memoria RAM oscila entre 25 segundos y 2 minutos en condiciones normales. Pedro Candel "Saur0n" (@nn2ed_s4ur0n, otro de los organizadores del evento) partiendo de un paper de la Universidad de Princeton (https://citp.princeton.edu/research/memory) ha investigado este tema, corroborando que, mediante la aplicación de sprays enfriadores para circuitos electricos, la memoria RAM puede congelarse hasta alcanzar unos -50ºC. En este estado, el contenido de la memoria se mantiene hasta unos 30 minutos después de desconectar el equipo. Nos presentó una herramienta propia que consiste en un USB de arranque con un "RAM Dumper" que permite acceder al contenido de la memoria RAM congelada. La demostración en vivo y en directo fue todo un éxito.

"Cryptography: The mathematics of secret code is a game" (Daniel Kachakil)

Daniel Kachakil (@kachakil) nos ofreció una amena charla sobre retos criptográficos en los CTF (Capture the Flag). A partir de ejemplos prácticos mostró los diferentes tipos de cifrado, centrándose en los monoalfabéticos (cifrado César, cifrado por sustitución genérica) y citando algunos polialfabéticos como Vigènere.

Desde su experiencia como participante en diferentes retos CTF internacionales desveló las técnicas más usuales de descifrado con herramientas de software libre como Cryptool v1 o Cryptool v2 (http://www.cryptool.org): fuerza bruta, análisis de frecuencias, reconocimeinto de patrones, etc. Todo ello ilustrado con interesantes anécdotas que ha vivido en primera persona en estos retos.

"Offensive MitM" (José Selvi)

José Selvi (@JoseSelvi) ofreció una charla sobre una de las técnicas que se pueden usar en un pentesting: "Man-in-the-Middle". Mediante procedimientos de ARP spoofing, DHCP spoofing o ICMP redirect (entre otros) se consigue desviar el flujo natural de tráfico de datos para conseguir que pase por el equipo que controlamos. A partir de ahí, con diferentes herramientas puede analizarse el tráfico o su contenido. Estas herramientas van desde un Wireshark (más genérico) a Xplico o NetworkMiner, o a otras de propósito más concreto como Cain o Ettercap.

 

[>>>>>>>>>> Segunda parte en: "Navaja Negra Conference (2 de 2)" <<<<<<<<<<]

 

InfoSecurity Europe 2013

La semana pasada tuvo lugar el evento InfoSecurity Europe 2013, al cual, este año tuve ocasión de asistir. Se celebró del 23 al 25 de abril en el recinto ferial de Earl's Court, en Londres.

 

Según los organizadores, se trata del "mayor evento de seguridad de la información de Europa" contando -en esta edición- con más de 350 expositores y un total de 15.000 visitantes acreditados.

 

La parte más "visible" del evento es la feria comercial que ocupa por completo los casi 25.000 m2 de la planta principal del recinto ferial, pero el otro gran aliciente es lo que llaman el "educational programme", un conjunto de actos en diversos formatos (mesas redonas, presentaciones, workshops, sesiones técnicas, etc.) en las que reconocidos expertos comparten experiencias y conocimientos con los asistentes.

 

Bajo el nombre de "Keynote Theatre" se organizaban las mesas redondas donde los CISO de grandes compañías debatieron sobre temas como estrategias de ciberseguridad, alineación de la seguridad IT con el negocio, Big Data o protección de infraestructuras críticas entre otros. (Todos les detalles de la agenda en http://www.infosec.co.uk/keynote)

 

Muy interesante era el programa del "Technical Theatre", sesiones técnicas de 25 minutos donde conocer las últimas novedades en materia de seguridad. Entre las que me llamaron la atención:

• Anatomy of the Eurograbber attack against Internet Banking
• Incident response and forensics best practice using Big Data security analitics
• Attack path analysis: Find systems exposed to exploitation and their trusted connections
• SSL and browsers: The Pillars of broken security
• Hacking the big four databases: Exploiting top vulnerabilities and misconfigurations

(Toda la información en: http://www.infosec.co.uk/technical)

 

Previo registro, los asistentes también podíamos participar en los "Security Workshops", sesiones eminentemente prácticas, en grupo reducido y de 2 horas de duración.

(http://www.infosec.co.uk/workshops)

 

La apretada agenda se completaba con los "Technology Showcase" (http://www.infosec.co.uk/techshowcase), "Business Strategy Theatre" dirigido a directivos (http://www.infosec.co.uk/business) y los "Information Security Exchange" donde el cliente final puede tratar directamente con el fabricante o el proveedor (http://www.infosec.co.uk/ise)

 

En fin, unas jornadas muy completas en las que conviene realizar una planificación previa de la visita para no verse abrumado por tantas actividades intesantes. Finalmente, dando una vuelta por los stands de la feria, y a la vista de los productos presentados, pude constatar que la industria de la seguridad TI confirma las tendencias apuntadas por los profesionales del sector:

• Seguridad y privacidad en entornos cloud
• MDM y securización de dispositivos móviles (incluyendo BYOD)
• Governance Risk & Compliance
• Lucha contra el cibercrimen
• Gestión de la seguridad en el Big Data

Por el número de expositores y productos, llamaba la atención la gran cantidad de compañías presentando sus dispositivos UTM o IPS y los appliances para la prevención de ataques DDoS.  También destacaba una numerosa presencia de empresas que ofrecían herramientas y servicios de Pentesting.  Por supuesto, entre los 350 expositores, estaban la mayor parte de las 'grandes' compañías del sector: AhnLab, Acuity, AlienVault, BSI, Check Point, Cisco, Comodo, Dell, ESET, Fortinet, Fox-IT, G Data, IBM, Imation, ISC2, Juniper Networks, Kaspersky, Palo Alto, Qualys, SafeNet, Sophos, Spam Titan, Symantec, Trend Micro, WatchGuard, Websense, etc, etc, ...

 

En la web del evento encontrareis amplia información:

http://www.infosec.co.uk/en/