sábado, marzo 28, 2015

Como actuar ante un delito informático

En estradas anteriores hemos estado hablando de los posibles ataques que podemos sufrir por amenazas externas a nuestro equipo, hacking, gromming, phishing, bullying, etc. y las formas de defendernos. Pero hay ciertos ataques que no deben quedarse en una simple defensa, ya que pueden ser el primer paso de un acoso físico. Ayer Chema publicaba en su blog una entrada sobre el Cyberbullying que podéis leer aquí:

Figura 1: publicación en www.elladodelmal.com de 27 de marzo de 2015

Pero ¿como actuar en España frente a este tipo de acoso?. El primer paso sería ir a la Guardia Civil y exponer el caso. En la web del Cuerpo de Delitos Telemáticos de la Guardia Civil, puede encontrarse información sobre el proceso a seguir. Lo importante es denunciar tanto si se ha sido testigo como víctima:
Figura 2: fragmento de la web de la Guardia Civil
Desde esta web se puede informar y denunciar un delito. La opción de denunciar, nos permite generar un fichero PDF que deberemos imprimir y llevar personalmente a un centro policial o judicial, tal y como se nos informa:
Figura 3: mensaje informativo en el acceso a la opción denunciar
Figura 4: formulario para generar la denuncia que deberemos imprimir
La otra opción es la de informar de un delito. Pero ¿qué delito podemos nosotros estar viendo para sentirnos en la necesidad de informar? Os pongo unos casos:
  • ejemplo 1: la persona que está sufriendo el acoso puede estar en un estado emocional que no la deja "ver lo que realmente esta pasando". 
  • ejemplo 2:  la persona que está sufriendo el acoso puede estar coaccionada y por eso no da el paso
  • ejemplo 3: estamos usando algún programa P2P para descarga de contenido o alguna página de películas y nos descargamos un material que comprobamos no es lo que se ofrecía y contiene imágenes o vídeos que son ilegales (por ejemplo descargar una película y comprobamos que tiene escenas de pederastia)
  • ejemplo 4: sospechamos que nuestros datos o identidad digital han sido robados o están siendo usados sin nuestro consentimiento
  • ejemplo 5: un caso de cyberbulling que no sea directo, si no que alguien inunde facebook, twitter, foros, con información falsa ofensiva, desprestigiando solo por hacer el daño
  • ejemplo 6: cualquier duda que tengamos de si algo es o no ilegal
La información solicitada para la tramitación de la denuncia es un poco técnica y ha de estar documentada, por lo que sería bueno solicitar información primero, recabar datos después y finalmente realizar la denuncia.

También en esta web tenemos varios apartados muy interesantes:
Se hace hincapié en que no pasa nada por informarnos. Que un robo sea físico o digital, sigue siendo un robo. Que un acosador que te sigue por la calle y un acosador en facebook, son lo mismo: acosadores. Tal vez no estemos aún concienciados de ello, por lo que no se denuncian este tipo de cosas. Existe la campaña YO DENUNCIO, promovida por el Grupo de delitos telemáticos:

La campaña YO DENUNCIO bajo el lema "entre todos haremos una red mas segura" invita a cualquier usuario a poner de manifiesto las irregularidades que haya presenciado en la Red. Para ello solicitamos tu ayuda. Si lo deseas, copia el código HTML y colócalo en tu web. De esta manera, los usuarios podrán denunciar contenidos ilícitos y fraudes de una manera rápida y sencilla

Figura 5: enlace a la web de delitos telemáticos en la campaña YO DENUNCIO
!Descárgate el libro X1Red+Segura Informando y Educando V1.0!
El libro pretende concienciar a todos los usuarios de Internet, especialmente a los que no disponen de conocimientos técnicos, de los riesgos y amenazas que en la Red nos acechan.
Conocer los peligros, y saber que sus consecuencias atraviesan los monitores y pantallas de nuestros dispositivos, permitirán que todos disfrutemos de Internet de forma mucho más segura, aprovechando la infinitas bondades que las nuevas tecnologías nos aportan.
En este libro el lector descubrirá los orígenes de Internet y los servicios que nos ofrece, así como los principales riesgos a los que todo internauta se enfrenta, desde los engaños más burdos a las técnicas más depuradas de Ingeniería Social utilizadas por los ciberdelincuentes. En el mismo se hace especial hincapié en los riesgos sufridos por los menores en la Red.
En definitiva, la lectura de "X1Red+Segura Informando y Educando V1.0", ayudará a la ruptura de las denominadas brechas digitales, acercando a las generaciones que nacieron a la par que las nuevas tecnologías y los que crecieron en un mundo analógico.
Y para terminar, uno vídeo del Gran Chema Alonso sobre este tema:

Vídeo 1: Documental de televisión del programa Crónicas sobre el acoso y los acosadores en la red. Emitido en Junio de 2013 en la 2

Puedes leer y leer, y escuchar y escuchar, buscar y rebuscar, pero un vídeo de Chema y lo entenderás.

Saludos!

jueves, marzo 26, 2015

Análisis de una infección [II de II]

Upss. ¿De que me suena esto?. La página de inicio de Mozilla Firefox también ha sido modificada. Además, el propio Kaspersky me avisa de que la página a la que estoy intentando acceder tiene software malicioso. Todavía me queda Internet Explorer, pero no encuentro el icono por el escritorio. Haré un Inicio -> Buscar programas y archivos y así podré acceder:

Figura 13: búsqueda de Internet Explorer no encuentra el navegador

Nada, que no aparece. De Chrome no me fío, Mozilla tampoco e Internet Explorer no existe. Pues voy a Chrome y me descargo Internet Explorer, lo instalo ya podré seguir buscando información. Abro Chrome para buscar y veo esto:

Figura 14: accesos directos dentro de la página de inicio de Chrome

La página de inicio ahora está bien, pero siguen saliendo restos de las web del buscador My Start Search. De todos modos me deja seguir navegando. Busco Internet Explorer Descarga y encuentro el enlace en la web de Microsoft. 

Figura 15: descarga de Internet Explorer 11 y aviso de actualización de Java

Ya casi lo tengo, pero justo ahora me salta una alerta de que no tengo Java actualizado. A ver si se han colado los bichejos por ahí. Chema Alonso recomienda tener todo actualizado. Va a ser eso. Bueno, actualizo Java y luego instalo Internet Explorer. Pero de repente, Chrome me intenta solucionar todos mis problemas de inseguridad. Un mensaje esperanzador me avisa de que Chrome ha detectado problemas y dispone de una herramienta que lo va a arreglar todo.

Figura 16: herramienta de eliminación de software "beta" de Chrome

Y ¿que hago?. Me pide descargar algo que yo no he solicitado. Esto mismo me suena de la semana pasada y mira ahora como está mi Windows. Pero, si me lo dice Google será bueno. Además, eso de "Herramienta de eliminación de software" me suena de algo, no se, algo de alguna actualización de Windows Update que sale cada dos por tres. Que pesados los de Windows con su actualización todos los meses ahí !!! Pero esta descarga que me recomienda Chrome será mejor por que Chrome es Google y además pone "beta". Si el alfabeto empieza por alfa esto será mejor por que es beta, es como la versión 2.0 de algo.

Figura 17: descargando la aplicación

Vale, ya lo he descargado y ahora lo ejecuto a ver que pasa. Tarda un poquito en hacer un análisis y me dice que ha encontrado una amenaza, pero que la va a eliminar. Vaya, no me dice nada más. ¿Y si la amenaza está dentro de una foto de mi último viaje o dentro de ese fichero excel que llevo toda la tarde preparando? Habrá que fiarse ...

Figura 18: amenazas encontradas

Figura 19: proceso de eliminación del software sospechoso

En la Figura 18 veo que se va a enviar información de mi ordenador a Google. Voy a ver que información se manda haciendo click en el vínculo:

Figura 20: información opcional de mandar a Google

Aparentemente no hay ningún dato personal, pero no lo puedo asegurar. Nos fiaremos del software. De todos modos, si es para que sea mejor la aplicación pues será bueno que lo hagamos. Esperemos que estos datos sean los que se dice. Antes de hacerlo voy a buscar un poco de información sobre esta herramienta a ver de donde viene. En el último paso de la eliminación, hay un link a un fichero de texto inmenso, pero el comienzo del propio fichero es este:

Figura 21: información sobre el envío de información a Google

David M. Gay's floating point routineshttp://www.netlib.org/fp/
/**************************************************************** * * The author of this software is David M. Gay. * * Copyright (c) 1991, 2000, 2001 by Lucent Technologies. * * Permission to use, copy, modify, and distribute this software for any * purpose without fee is hereby granted, provided that this entire notice * is included in all copies of any software which is or includes a copy * or modification of this software and in all copies of the supporting * documentation for such software. * * THIS SOFTWARE IS BEING PROVIDED "AS IS", WITHOUT ANY EXPRESS OR IMPLIED * WARRANTY.  IN PARTICULAR, NEITHER THE AUTHOR NOR LUCENT MAKES ANY * REPRESENTATION OR WARRANTY OF ANY KIND CONCERNING THE MERCHANTABILITY * OF THIS SOFTWARE OR ITS FITNESS FOR ANY PARTICULAR PURPOSE. * ***************************************************************/

¿Será de la empresa desarrolladora? Ni idea, yo no lo se. Ahh, espera que un poco más abajo pone esto:
dynamic annotationshttp://code.google.com/p/data-race-test/wiki/DynamicAnnotations
/* Copyright (c) 2008-2009, Google Inc. * All rights reserved.
Y un poquito más abajo esto:
Paul Hsieh's SuperFastHashhttp://www.azillionmonkeys.com/qed/hash.html
Paul Hsieh OLD BSD license
Copyright (c) 2010, Paul HsiehAll rights reserved.
Y así un sinfín de nombres o empresas. ¿Van a llegar mis datos a todos ellos? Un poco raro todo esto. 

Ya llevo un rato con todas estas tareas. Quiero acabar y continuar con mi trabajo/ocio, no seguir instalando y revisando cosas. Actualizaré Java que era lo que me avisaba antes:

Figura 22: actualización de Java

Listo, a instalar Java. La instalación sale automáticamente al hacer click sobre la notificación emergente que sale abajo a la derecha, sobre el reloj de Windows. El proceso es sencillo y el asistente solo necesita que le hagamos el típico Next -> next -> instalar -> Yes -> si -> si -> que siiii. Todos sería perfecto si no supiera que se va a instalar la versión 7.75 cuando la última disponible es la 8.40 Al final de todo tampoco estaré actualizado. Además al hacer Next -> next -> instalar -> Yes -> si -> si -> que siiii no me he fijado en una ventana intermedia en la que me va a instalar un buscador extra, el ASK:

Figura 23: ventanas de la instalación que debería haber leído

Ya lo he instalado, pero en lugar de un emotivo ¡¡¡ PERFECT !!! final me sale un aviso de que Java no está actualizado. A repetir el proceso:

Figura 24: mensaje desmotivador tras actualizar Java

Ahora si, ya lo tengo actualizado. Actualizaré también Windows mediante Windows Update. Chema recomienda Windows original y tenerlo actualizado. ¿Por que no habré seguido los pasos del tío este del gorro? si al final todo de lo que advierte va a ser verdad !!! Y yo que pensaba que desprestigiaba todo lo que no fuese de Microsoft y que nos vendía la moto y va a resultar que todo es software y puede tener problemas. Si es que todo lo hacen con espagueti code!!!

Figura 25: página principal de Windows Update

Vaya, cuatro actualizaciones que estaban aquí pendientes desde el 13 de enero de este año. Claro, los martes de estos de actualizaciones de Microsoft. ¿Pero a quien se le ocurre sacar actualizaciones en martes y 13? ¿Esos días no era recomendable no encender el ordenador? ¿O eran los viernes 13? Bueno, que son 2 meses y 10 días que he tenido un bug detectado en el ordenador. Voy a ver de que se tratan que igual no son muy importantes los fallos que corrigen estas actualizaciones: 

Figura 26: descripción de fallo de seguridad 3019215

Figura 27: descripción de fallo de seguridad 3022777

Pues si que parecen importantes. Dos de ellas son, una para evitar la elevación de privilegios y otra para evitar la omisión de la característica de seguridad.

Tras todo este trabajo, reinicio, vuelvo a ejecutar Windows Update hasta que ya no salga ninguna actualización pendiente, actualizo los navegadores, vuelvo a analizar con el antivirus y veo que ya no sale nada, ... En fín, parece que ya está. Pero la informática tiene una sorpresa más para mi. Dejo el ordenador encendido un rato y me marcho a realizar otras tareas. Al cabo de media hora regreso y en la pantalla del portátil tengo un regalito en el área de notificación:



Figura 28: regalito final con publicidad

UN POPUP DE ADS !!!! ¡¿ Pero no estaba ya todo limpio ?! 

He intentado recrear esta situación desde la perspectiva de un usuario doméstico al que se le van presentando problemas e intenta ir aplicando soluciones, pero ni las soluciones son fáciles ni muchas veces ofrecen el resultado esperado. Por parte de los desarrolladores pienso que es complicado encontrar el método que sirva para usuarios domésticos, usuarios técnicos y usuarios avanzados, pero al ponerme en la piel del usuario final, veo que la guerra la están ganando los distribuidores de malware. Tendiendo el sistema operativo actualizado, un antivirus original instalado, y todo todo y todo actualizado a la última versión, estás bastante protegido, pero en cuanto se mete cualquier cosa, hay un efecto dominó que va minando el sistema y al final acaba por tomar el control.

Repito las recomendaciones a seguir de forma muy general:
  • Sistema operativo original, actualizado y no discontinuado
  • Programa antivirus original actualizado 
  • Todas la aplicaciones de terceros actualizadas
  • Sospechar de todo lo que nos diga internet


Os pongo de nuevo un vídeo de Chema en el que nos explica aspectos muy interesantes sobre los creadores de malware, su finalidad, como funcionan los zero days, para sirven las actualizaciones, etc.

Vídeo 1: Conferencia: "Thinking about Security" de Chema Alonso presentada el 20 de Diciembre de 2012 dentro del Ciclo de Conferencias de la Escuela Superior de Informática de la Universidad de Castilla-La Mancha



Saludos!

**************************************************************************************
**************************************************************************************

miércoles, marzo 25, 2015

Análisis de una infección [I de II]

Hoy nos han traído a nuestro taller un ordenador portátil que funciona muy lento y salen muchas ventanas de publicidad. He decidido intentar hacer una puesta a punto sin usar "la intuición informática", sin ayuda del sexto sentido, las musas ni el Tao de la programación. Intentando limpiar y optimizar el sistema con las herramientas que pueden estar en mano de cualquier usuario dejando a un lado las técnicas que la experiencia me han llevado a depurar, como eliminación de carpetas concretas, "retoques" manuales del registro y otras cochinadas. El proceso ha sido el siguiente:




Como parece que tengo virus, compro un antivirus, lo instalo y analizo el sistema. Una vez hecho esto veo que Kaspersky ha detectado 23 amenazas y las ha eliminado. Vamos a abrir el informe del antivirus para ver cual era la infección:



Figura 1: amenaza detectada: troyano dentro de un exe con el nombre de la
serie de TV Homeland - Tercera temporada que se descargó hace unos días 

Figura 2: troyano escondido dentro de un enlace a Internet Explorer
Figura 3: troyano escondido dentro de un enlace a Mozilla Firefox
Figura 4: adWare escondido dentro de una aplicación para bloque de publicidad en Youtube

Figura 5: adWare con el complemento RoboSaver, que muestra ofertas, cupones, ...




El propio antivirus me pide reiniciar para terminar de eliminar las amenazas. Vamos a ello. Una vez de vuelta en el escritorio, veo que hay un acceso directo sin icono. Voy a ver a donde apunta:

Figura 6: icono sospechoso en el escritorio


Figura 7: detalles del icono





En el get del destino hay esta información: 

C:\Users\usuario\AppData\Local\Temp\Launcher__6063_i1479283952.exe /ver 1.1.5.26 /u http://www.amoninst.com/index.php /ver 1.1.5.26 /ci 6063 /appimageurl http://s3.amazonaws.com/refresher-bundles/amonetize/icon.png /appname Setup /appsetupurl . /ti1 28785

Veo que es una llamada al ejecutable Launcher__6063_i1479283952.exe que está en la carpeta C:\Users\usuario\AppData\Local\Temp\ y le pasa de argumento el sitio web http://www.amoninst.com/index.php y otros que identifican al icono de la web entre otros.

Huy que turbioooooo!!! . No me fío de hacer doble click, así que para seguir investigando voy a abrir en el navegador la URL para ver a donde me mandaba (http://www.amoninst.com/index.php):


Figura 8: Chrome troyanizado

Nada más abrir Chrome ya detecto que la página de inicio ha sido cambiada por otra. Yo tenía el buscador google y ahora sale el buscador "start my search". En fin, pego la URL en la barra de direcciones y me sale la siguiente ventana en Chrome:


Figura 9: alerta en Chrome


Lo que sospechaba, la URL de la web no es para nada fiable. Me alegro de no haber hecho doble click en el icono. Ahora que me he dado cuenta de que la página de inicio ha sido modificada en Chrome voy a restaurar las opciones por defecto para volver a dejarlo como estaba. Voy a configuración y veo que las extensiones también han sido modificadas, así como los motores de búsqueda de Chrome:


Figura 10: motores de búsqueda de Chrome modificados

Figura 11: extensiones de Chrome modificadas


Pongo todo esto un poco en orden, pero ahora no me fío de Chrome, ya que ha sido tan troyanizado y modificado que puede que no todas las amenazas se hayan corregido. Voy a buscar algo de información en Mozilla Firefox que es un poco más seguro para esto de los virus:


Figura 12: Mozilla Firefox troyanizado


**************************************************************************************
**************************************************************************************

domingo, marzo 22, 2015

Hello Barbie y seguridad informática

Hace unos días en el programa "En el aire" de Buenafuente hicieron un comentario acerca de la nueva muñeca de la empresa Mattel que permitiría mantener conversaciones con los niños. He estado indagando un poquito en diferentes medios de comunicación para comprobar exactamente de que se trataba. Por lo visto, la muñeca saldrá a la venta a mediados de septiembre de este año 2015 en EEUU a un precio de $74,95. Dispone de un software que al pulsar un botoncito de su cinturón permite que reconozca la conversación y responda, adaptándose a la propia conversación. Sus creadores aseguran que con el tiempo y el uso irá aprendiendo, y se ajustará a los temas de conversación que más le interesen al menor, que se supone será quien usará la muñeca.

Podéis ver un vídeo demostrativo de este juguete:

Vídeo 1: demostración Hello Barbie

Ahora os daré mis conclusiones técnicas referentes a la informática y la seguridad:

  1. La conexión
    El envío de datos se hará a través de wifi, pero será la wifi de nuestra casa, por lo que habrá que configurar la muñeca para que pueda conectarse a nuestro router. Supongo que vendrá con algún tipo de software y un cable usb para poder conectarla al ordenador y poderle meter nuestra clave del wifi, igual que lo podemos hacer con nuestro smartphone, tablet, portátil, etc., por lo que la seguridad del envío de datos dependerá de la seguridad de nuestra propia conexión. Si la tenemos configurada con WEP o con WPA/WPA2 sin cambiar la clave por defecto, podremos sufrir robos de información con un Man In The Middle y todo el audio enviado podrá ser capturado. ¿Qué pasará si conectamos la muñeca a la wifi del hotel, del Starbucks, Mcdonalds, del aeropuerto, ...? Otra opción es que sea por medio del WPS, con sus conocidos fallos de seguridad.
  2. El software
    Según las webs que he visitado para informarme, se comenta que lleva instalado un software que permite las conversaciones. Esto puede llevar a pensar que dispone de algún tipo de programa interno de Inteligencia Artificial. ¿Os acordáis del Dr. Herbie? Siempre respondía con contenido trivial que podía parecer que entendía lo que le decías, pero ahora este tipo de programas envían directamente los audios a una web que es la que procesa esa información y va adaptándose a los nuevos entornos. No creo que la muñeca tenga un procesador interno lo suficientemente avanzado como para reconocer la voz y ofrecer respuestas elocuentes. Si no lo hace Siri de Apple en un smartphone de 500 dólares, no creo que lo haga este juguete.

  3. El almacenamiento
    Por lo visto Mattel delega el almacenamiento de los audios a la empresa ToyTalk. En su Política de Privacidad que podéis leer en la web https://www.toytalk.com/legal/, se puede leer que para poder hacer uso de esta característica, habrá que crear una cuenta de "administrador" que harán los padres para los niños menores de 13 años. Y ¿que uso se le dará a estos audios?: lo saco de la propia web:

    ¿Qué controles tienen los padres sobre información de la cuenta y el contenido?
    Los niños menores de 13 años no están autorizados a crear sus propias cuentas, sino que debe utilizar la cuenta de su padre. Por lo tanto, los padres tienen el control total de toda la información de la cuenta y el contenido para niños menores de 13. Los padres pueden revisar y borrar fotos o archivos de audio en su cuenta y también pueden eliminar definitivamente sus cuentas a través de la página de configuración en la página web de ToyTalk. Puede evitar las aplicaciones de tomar y almacenar fotos apagando "Permitir Fotos" a través de la página Configuración de la zona de control parental las aplicaciones.

    ¿Cómo son las grabaciones y fotografías compartidas con terceros?
    Compartimos grabaciones de audio con los proveedores de terceros que nos ayudan con el reconocimiento de voz. Estos vendedores no tienen acceso a su información de cuenta y han acordado no conservar ninguna copia de estos archivos de audio. Los vendedores podrán ser autorizados a utilizar los datos y transcripciones derivadas que no contienen archivos de audio o información personal para sus propios fines de investigación y desarrollo.

    Sólo los titulares de las cuentas pueden compartir grabaciones y fotos creadas a través de su cuenta a través de correo electrónico o en páginas de terceros como Facebook, YouTube y Twitter. Los niños menores de 13 años no están autorizados los titulares de cuentas y por lo tanto no se les permite compartir grabaciones o fotos con terceros, a menos que un padre les acciones en su nombre.

    ¿Cómo son las grabaciones y fotografías compartidas con terceros?
    Podemos usar, almacenar, procesar y transcribir las grabaciones con el fin de proporcionar y mantener el servicio, para realizar, prueba o mejorar la tecnología de reconocimiento de voz y algoritmos de inteligencia artificial, o para otros fines de análisis de datos de la investigación y el desarrollo y. En el caso de que los niños voluntariamente información personal adicional al interactuar con ToyTalk y dicha información es capturada en una grabación, cualquier información personal contenida en el mismo no se utiliza para ponerse en contacto con los niños o para cualquier otro propósito.

    (traducido del inglés con el traductor de Google)
  4. Datos almacenados dentro de la propia muñeca¿y si pierdes las muñeca? toda esa configuración inicial de la wifi, el usuario, los parámetros internos, etc. ¿están cifrados dentro de la memoria interna de la muñeca? no creo que ni el software interno ni el hardware lleguen a este nivel de privacidad.
Conclusión: así de primeras parece que la idea a modo de juguete tecnológico esta muy bien, un juguete al que le hablo y me contesta. Desde el punto de vista de la seguridad informática, tiene varios frentes abiertos:
  • cuando el padre no esté delante no se sabe que es lo que propio niño puede estar diciéndole al juguete
  • el propio juguete irá adaptándose a la conversación. ¿y si le da al juguete por hacer preguntas comprometidas tipo cual es tu teléfono, como te llamas, como se llama tu papá o mamá, ...?
  • ¿y estas respuestas?, aunque no se guarde información personal de los audios que los relacionen con la cuenta de "adulto" desde la que se enviaron, lo niños pueden dar su nombre, dirección, teléfono, etc. y eso no quedaría vinculado al audio, si no que quedará DENTRO DEL PROPIO AUDIO.
  • y respecto al malware, ¿este tipo de juguete tendrá algún software antimalware, firewall, políticas de usuario, ...?
Ya para terminar, os pongo unos enlaces a sitios con información relevante a este tema:

Figura 1: entrada del blog de Chema en la que habla de Siri
El capítulo 235 de los Simpson, es una crítica de hasta donde las empresas de juguetes llegan para estudiar los gustos y atracciones de los niños. Os pongo mas información de wikipedia:

Figura 2: entrada de Wikipedia con información sobre los estudios de mercado
en un capítulo de los Simpson (capítulo 235, emitido en la temporada 11)
Saludos!

Libro Hacking Ético

Ya tengo aquí el libro Ethical Hacking: Teoría y práctica para la realización de un pentesting, de Pablo González Pérez y publicado por 0xWord. Si os interesa podéis comprarlo u obtener más información en la propia web de la editorial:



Figura 1: portada del libro "Ethical Hacking" de Pablo González Pérez

Figura 2: contraportada del libro "Ethical Hacking" de Pablo González Pérez

Una vez que lo he tenido entre manos he podido comprobar que es un libro normal. Leí algún comentario en algún foro en el que se decía que el libro era de una calidad poco menos que inexistente, incluso que las tapas se rompían a los dos días de usar el libro. Cuando me llegó lo toqué con cuidado, pero el libro no se rompió. Tampoco después de abrir y cerrarlo varias veces. Por seguridad lo forré, pero es lo mismo que hago con todos los libros que tengo y que quiero que no se estropeen. Pudiera ser que los mensajes que leí en algunos foros fuesen simplemente por desprestigiar el libro o siguiendo una ínfima corriente que empiezo a sospechar que existe de ideología antiChema (¿envidias?, ¿cinismo?, ¿...? ).

En fin, al grano con lo que interesa, el contenido. Desde la web de 0xWord podéis descargar el índice, el cual os pego aquí el enlace:
En el blog de Chema elladodelmal hay una publicación del 8 de Julio de 2014 donde se da la bienvenida al libro:

El libro no lo he leído entero, pero si que lo he revisado varias veces e incluso releyendo hasta la comprensión ciertos capítulos. No es un libro al uso como otros que he podido ojear. En un completo manual para hacer un pentesting en toda regla, con los pasos para realizar el estudio previo de una red, tipos de deficiencias que se pueden estudiar, distintas herramientas para llevar a buen puerto los análisis, la ley, como está y hasta dónde se puede llegar, etc. Se muestra información también de como presentar el informe oficial de "salud" del entorno, como realizar los informes de protocolos y versiones de rutinas a aplicar. En la parte del propio pentesting no es un manual del tipo: como tumbar un servidor -> 1º abre una consola de comandos con privilegios -> 2º en c:\ escribe netstat -a -> 3º manda un ping de la muerte con  ping -l 65510 servidormalo.com -> 4º ...
Se hace un recorrido por todos los servicios importantes a tener en cuenta, todos los tipos de ataques relevantes, varias herramientas para poder hacerlo y forma de estudiar los posibles fallos para generar un informe y dar a conocer de una forma técnica y "estandar" los modos a seguir.
También trae varias referencias a shodan, información que se puede extraer de google, bing y yahoo, formas de atacar mediante DOS y DDOS, SQL injection, FOCA, Heartbleed, elevación de privilegios, estudios de seguridad de redes wifi, WPA, WPA2, ... ufff, sería muy largo de poneros todo, ya que es muy completo.
Desde mi perspectiva de informático avanzado pero Newbie en el pentesting puedo decir que es de un nivel perfecto, ya que a cada párrafo que leo adquiero nuevos conocimientos y te va llevando de menos a mas. Está ilustrado con las pantallas que te van saliendo si reproduces el proceso y en todo momento te sitúa con datos históricos  y explicaciones paralelas para no saber solo el COMO HACER, sino también el PORQUE. Hace que lo vayas entendiendo, no solo una lista de procesos a seguir para conseguir algo en plan receta de cocina.

El autor es Pablo González Pérez. Pero, ¿quien es en realidad Pablo? Pablo trabaja de Project Manager en 11Paths, empresa perteneciente a Telefónica Digital. Es ingeniero en Informática por la Universidad Rey Juan Carlos. Tiene el Máster en Seguridad Informática por la Universidad Internacional de La Rioja. Fue premiado con el Fin de Carrera por la Universidad Rey Juan Carlos en Ingeniería Técnica en Informática de Sistemas en 2009 y al mejor expediente de su promoción por la Escuela Técnica Superior de Ingeniería Informática de la Universidad Rey Juan Carlos en 2009. Es autor de los siguientes libros: Metasploit para pentesters, Pentesting con Kali y de este que comentamos, Ethical Hacking: Teoría y práctica para la realización de un pentesting. Aquí podéis verlo en acción:


Vídeo 1: Conferencia de Pablo González en Cybercamp 2014 (6 de diciembre de 2014)

Y aquí mano a mano con Chema:

Vídeo 2: SID2014. Nuevas tendencias en ciberataques. Por Chema Alonso y Pablo González (16 de octubre de 2014)

Resumiendo, que voy a disfrutar de cada una de sus páginas y el Kali Linux va a echar humo. Seguiré engordando mi colección de libros de 0xWord.

Desde la editorial, intenté comparar también el libro Máxima Seguridad en Windows: Secretos Técnicos. 2ª Edición revisada y ampliada, pero me comentaron que se estaba modificando para sacar a la venta una nueva versión actualizada y que me avisarían con un correo cuando estuviese disponible. Gracias. Seguid así.

Saludos!

jueves, marzo 19, 2015

El peor malware de la historia

Hoy he sufrido un ataque. 

Desde que me introduje en el mundo de la informática he intentado mantener el nivel seguridad-usabilidad aceptable. Escuchando las charlas de Chema he podido seguir unas directrices para evitar problemas.

Las medidas a tener en cuenta han sido estas:

  • Uso windows 7 original, con todas las actualizaciones disponibles. Windows Update está activado y en modo de descarga e instalación automático.
  • Uso un antimalware original, comprado y actualizado a la última versión y las bases de datos de definiciones de virus también actualizadas.
  • Mi Java está actualizado
  • Mi Flash Player está actualizado.
  • Uso Microsoft Office 2007 original y está actualizado.
  • Adobe Reader, WinRar, Skype, ... todo actualizado.
  • Los canales de actualización de todo este software son los canales oficiales de cada empresa.
  • La red interna de mi empresa está separada en dos subredes que no tienen conexión entre ellas.
  • La wifi está configurada con seguridad WPA2 y AES, con tiempo para DHCP limitado a 2 horas y WPS desactivado.
  • El firmware de mi router está actualizado.
  • Todas las contraseñas son distintas, no uso métodos y las cambio regularmente.
  • Los pendrive que uso solo son usado dentro de mi empresa. No uso ninguno traído de fuera y mis pendrives no salen fuera de mi departamento de TI.
  • Mis smartphones no se conectan a mi wifi.
Aún así, desde este martes 17 de marzo de 2015 a las 22:25, mi red no funciona bien. No hay acceso a según que servicios y no puedo realizar mi trabajo con normalidad. Mi empresa está incomunicada. Mi jornada laboral extra que he conseguido llevar a cabo de 23:00 a 03:00 cada día desde hace 8 años, para poder avanzar tareas sin que suene el teléfono, ni el whatsapp, ni correos, ni comerciales ha sido vulnerada. Al día siguiente miércoles 18 es el mismo. No puedo buscar información en internet, ni puedo acceder a las tarifas de los proveedores, ni puedo mandar ni recibir mails, no puedo hacer pedidos en las plataformas b2b de mis proveedores, ..., ufff, nada de nada. Mis tareas de taller se han limitado a test de hardware y sustitución de componentes. 

A las 17:00 de la tarde de hoy miércoles 18, las conexiones se han restablecido. Todo ha vuelto a la normalidad. El problema ha sido generado por un malware que he conseguido fotografiar y que os doy a conocer:

Figura 1: vista general del problema

Figura 2: detalle del problema

La entrada de hoy del blog no ofrece grandes conocimientos como otras en las que intento poner en la pantalla de todos un poco de información sobre seguridad informática, pero me parecía interesante a modo de ejemplo otro tipo de problema que puede surgir en la productividad de una empresa. A nivel de hardware podía haber tenido un "plan B", como podría haber sido:
  • disponer de un modem 3g que conectar a mi router y no perder totalmenta la conectividad
  • haber configurado un smartphone con un punto de acceso para compartir la conexión


Toda la zona ha sido afectada por un corte del servicio ADSL por 17 horas y un corte en el suministro eléctrico por cerca de 3 horas. Algunos comercios y colegios de las calles adyacentes, siguen sin estos servicios a día de hoy. Paciencia y estres !!!

Saludos!

martes, marzo 17, 2015

25 de marzo Chema en Salamanca: Robo de Identidad

Hola. Este próximo 25 de marzo de 2015 Chema estará en Salamanca, en la USAL, para dar una charla charla abierta a todo el mundo acerca de El robo de la identidad en Internet. El acto tendrá lugar en el Salón de Actos de la Facultad de Ciencias de la Universidad de Salamanca.

Este es el enlace al: "blog de Chema" anunciando el evento y este otro: "link os lleva a la web de registro" del evento. Es obligatorio registrarse previamente aunque la entrada sea gratuita.


El horario de la ponencia será desde 10:00 hasta las 11:30 de la mañana del 25 de Marzo de 2015. Esta es la web con información de la misma:


Figura 1: charla de Chema sobre El robo de la identidad en Internet en la USAL de Salamanca

Para los que no podáis asistir, os pongo unos vídeos de Chema en los que expone los peligros de la suplantación de identidad en internet, como los hacen y que beneficios sacan de ellos los cyberdelincuentes:


Vídeo 1: Robo de identidad. Seguridad Informática (mayo de 2011)

Vídeo 2: ¿Qué hacer ante el robo de identidad en Internet? (junio de 2011)

Y en estos dos enlaces de agosto de 2010 y julio de 2012, que Chema publicó en su blog, hay casos reales de robo de identidad incluso con precios de los que puede valer este tipo de información real. Las entradas del blog las he rescatado aunque sean un poquito viejas y puede que algún dato esté obsoleto, pero me parecieron muy interesantes:

Figura 2: entrada del blog de Chema (www.elladodelmal.com) del 24 de agosto de 2010


Figura 3: entrada del blog de Chema (www.elladodelmal.com) del 31 de julio de 2012


Saludos!

Prensa rosa tecnológica

Hoy he leído en el blog de Chema Alonso una entrada en la que dice que han hecho un estudio en el que un compañero uso la base de datos de Tacyt y que concluía que en el Play Store hay 35.000 aplicaciones que usan enlaces de login sin cifrar:

http://www.elladodelmal.com/2015/03/35000-apps-en-android-con-enlaces-de.html

Figura 1: captura del blog de Chema Alonso http://www.elladodelmal.com/

y esta es la web donde se publicó la noticia el 2 de marzo de 2015:

http://www.seguridadapple.com/2015/03/tynichat-for-ios-envia-el-usuario-y-la.html

Figura 2: captura del blog http://www.seguridadapple.com/

Esta noticia me pareció interesante y necesaria para no solo la gente que se dedica a la TI sino para todos los usuarios de dispositivos. Me dispuse a investigar si este tipo de informaciones venía en los portales de los periódicos de tirada nacional, por lo que accedí a sus páginas web y esto fue lo que encontré en varios de ellos en el día de hoy, 16 de marzo de 2015:
Figura 3: captura del periódico 20 minutos

Las noticias de portada son, que los museos españoles no quieren saber nada del palo extensible para hacer "selfies", que un documental muestra la cara más oscura de Steve Jobs y que una bloguera de moda se viste una semana con la ropa que elije su hijo de 3 años.


Figura 4: captura del periódico El Mundo

La noticia es una imagen de la película "Hackers" y una pregunta en grande: "los hackers de antes eran mejores que los de ahora?, y unas subpreguntas para que quede claro: "¿Los hackers de hoy sólo quieren dinero? ¿Han dejado de compartir la información a cambio de buenos trabajos? ¿Se han pasado al otro bando y les 'pone' colaborar con los servicios secretos?.


Figura 5: captura del periódico El País

En la portada nos salen 4 entradas, dos de ellas acerca de las supernovedades nada concretas de Apple, una sobre la competencia entre fabricantes y la última con los Diez estereotipos que sufren los jugadores de videojuegos, que los mitos dicen que los jugadores son adictos, violentos, sedentarios y con alto grado de fracaso escolar, y ¿sacan una foto de Sheldon Cooper? si, el ejemplo más claro de fracaso escolar y violencia!!!

Del mismo modo pensé en buscar el mismo contenido en las páginas de periódicos extranjeros. Así sin pensar mucho se me ocurrió un nombre de periódico famoso, seguramente por la influencia de la tele en mi base de datos mental, The New York Times. Esto fue lo que me encontré:

Figura 6: captura del periódico The New York Times

Las entradas en este caso son que: Un dispositivo policial que rastrea teléfonos?, Facebook aclara las reglas de lo que está prohibido y por qué, Las autoridades van cercando a los hackers que robaron datos del caso JPMorgan, ¿Puede la neutralidad de internet sobrevivir al ataque inminente de demandas? (demandas hechas a activistas en la red).

Desde mi punto de vista estamos hablando de dos polos opuestos totalmente, la sociedad americana, tan obsesionada por la seguridad, la ley y los datos, y la sociedad española tan poco concienciada de estos mismos temas. Pero como la portada de tecnología en los periódicos españoles hay que llenarla por que de algo hay que hablar del internet ese y las redes sociales, pues venga, que si Sheldon el fracasado escolar, que si Jobs y su oscuro pasado, y los hackers que ya no lo hacen por amor al arte si no por dinero.

Una cosa que hemos repetido en otras ocasiones:
hacker != cyberdelincuente && hacker == profesional de la seguridad informática

do while $ahorro <= $hipoteca
     $ahorro += trabaja_de_profesional_de_la_seguridad_informatica()
     $ahorro -= gatos_de_vivir()
enddo

Resumiendo, la información que nos llega desde los medios son muy flojetes en cuanto a nivel de realidad. Son como un Pink Tech. No digo que todos los días nos digan que nos roban los datos o que un 0 day ha sido descubierto y que hay que actualizar medio sistema, pero tampoco que internet es una pradera con flores y que la mayor preocupación de los hacker es jugar al Quake y decidir si me pongo un sombrero de un color u otro para ser multimillonario al momento o no.

Saludos!

sábado, marzo 14, 2015

Cine hacking

Hola. Hoy como es sábado vamos a dejar las teorías y las noticias y haremos un repaso sobre la cultura hacker en el cine. Chema Alonso en numerosas charlas y conferencias empieza describiendo la labor de un hacker y las diferencias entre hacker y cyberdelincuente. Todos sabemos que la televisión se rige por unos porcentajes de share que parece ser lo único importante. Parece que no es relevante tanto la calidad del mensaje como el "morbo" que pueda suscitar una noticia o una información. 

Y todos somos morbosos, si, a todos nos llama la atención el morbillo televisivo que nos plantean en las cadenas.

Por ejemplo, este niño de 4 años, se salta la seguridad de la cuenta de su padre de la x-box y consigue llegar al contenido que no estaba destinado para él. El periodista lo llama "el hacker más joven del mundo" en la CNN México:

Vídeo 1: Noticia CNN México, el hacker más joven del mundo

Bueno. Realmente, tal y como nos dice Chema, un hacker es un profesional de la informática que se encarga de buscar, entender y posteriormente documentar para poder corregirla, una vulnerabilidad en un sistema tecnológico. Tal vez este niño sea un afortunado al pulsar teclas al azar y conseguir un resultado que le interesa, pero hacker, hacker, ummm.... no se.

Es un hacker el que se baja programas de internet y los instala con un crack o un keygen diseñado por otra persona? Es un informático el que sabe meter el cd de windows e instalar un sistema operativo siguiendo el asistente? Es un superhacker el que sabe encontrar contenido pornográfico en internet y luego sabe borrar la caché y el historial del navegador para que "nadie" sepa lo que ha buscado?

Yo creo que no. Si te gusta la informática y dedicas tiempo por las noches a meterte en internet y bajar música, películas, programas, ..., si lo almacenas todo eso que descargas y tienes un par de teras en un disco duro externo que luego llevas a casa de un amigo y le instalas el Adobe Photoshop, el Windows XPeta, Office, Autocad y el Eset NOD32 con el autocagador de contraseñas para que le diga todo el rato que el antivirus está funcionando perfectamente pero que luego la base de datos de definiciones de virus se queda estática desde el mismo día que lo instalaste, pues yo creo que eso es un usuario "avanzado" de la informática, ya que domina el almacenar contenido, búsquedas por internet, instalación de programas, etc... pero hacker!!! Tal vez en la escala de usuarios "estándar" esté en un 8 sobre 10, pero en la escala de hacker está en un 0 sobre 1.000.000

Es gracioso ver las imágenes de los telediarios, en los que mientras se cuenta la noticia de algún fallo de seguridad informática, alguna red de cyberdelincuentes que han cogido o algo del estilo, siempre sale esa imagen de fondo de un monitor con una misteriosa pantalla negra y un montón de código desplazándose hacia arriba. Si, es un dir /s en la consola de comandos. Os invito a hacerla:
  • Tecla Windows + R
  • En el cuadro de texto pones CMD y aceptas
  • En la pantalla negra misteriosa escribes DIR /S y pulsas INTRO
Qué impresión tendrán Chema Alonso, Pablo González o Rubén Santamarta cuando vean esto en la tv. Seguro que se echan unas risas.

A lo largo de todas las charlas de Chema, se han nombrado muchas películas ambientadas en el mundo hacker. Hay algunas en las que realmente la trata de principio a fin es sobre hackers y su trabajo y en otras simplemente aparece algún personaje principal que se dedica al hacking. Os pongo un listado por si queréis buscar información sobre ellas:

  • Los hombres que no amaban a las mujeres (2005)
  • Matrix (1999)
  • Takedown (conocida como TrackDown, 2000)
  • La red (1995) 
  • Live Free or Die Hard (Die Hard 4) (2007)ç
  • Pirates of Silicon Valley (1999)
  • Hackers (1995)
  • Swordfish (2001)
  • Antitrust (Hackers 3) (2001)
  • Tron (1982)

Y muchas más. No son películas con las que puedas aprender casi nada de informática, pero si puedes entretenerte un rato.

También, en esta charla de Chema entre otros hackers famosos, se hacen varias notaciones a películas famosas:

Vídeo 2: DISI 2009_4: Coloquio Mitos y Realidades en Hacking


Saludos!