jueves, abril 30, 2015

Robo de casi 5 millones de euros a Ryanair

Esta noche escuché en las noticias que un hacker había robado 5 millones de euros de las cuentas de la compañía aérea Ryanair. Para empezar, un hacker no hace esas cosas. Habrá sido un ciberdelincuente o un grupo de ellos. Hoy jueves 29 de abril de 2015 he buscado por la web información al respecto sobre el hecho, pero no he encontrado nada más que la simple información extendida del titular de la noticia: alguien ha atacado las cuentas que la compañía Ryanair utilizaba para comprar combustible y ha hecho una transferencia a cuentas bancarias chinas.
Figura 1: Robo de casi 5 millones de euros a Ryanair
He tenido que visitar más de 10 webs hasta encontrar un poco más de información acerca del modus operandi del delito. Según la web Betanews, que a su vez su información es del blog HotForSecurity.com, se relaciona este hecho con el malware Dyreza, un troyano especializado en robar claves bancarías, para después extraer el dinero. IBM Security confirmó hace unas semanas el robo de al menos un millón de dólares de diferentes empresas. BitDefender lo ha detectado intentando robar claves de entidades como el Banco de Santander, NatWest, Barclays, HSBC, RBS, Lloyds Bank, y otros bancos internacionales, la mayoría de ellos británicos.

En esa campaña, los delincuentes infectan los ordenadores de los trabajadores con un malware y los engaña para hacer llamadas a una operadora de telefonía en vivo (un call center que trabaja para la banda) que mediante ingeniería social podría recopilar información y credenciales para acceder a las cuentas con grandes sumas de dinero de la cuenta del negocio.

Aunque esta técnica es bastante antigua ya, y no consigue saltarse las defensas de uso común, tales como la autenticación de dos factores, vemos que ha sido efectiva.

Por supuesto, no se sabe si esto fue la técnica utilizada por los delincuentes que atacaron a Ryanair, pero se supone que si no es esta será una muy parecida.

El dinero ha sido congelado hasta que todo se aclare y Ryanair espera recuperarlo.

En todo caso de momento Ryanair no ha confirmado el método ni los autores de este robo, pero ha prometido dar toda esta información una vez el caso esté resuelto, información importante para que otras compañías puedan protegerse.

Es curioso que ayer Chema en su blog publicara una entrada sobre phishing bancario, con capturas de pantalla del timo en uno de los banco que fueron afectados por el supuesto malware de este caso que explicamos.


¿Podríamos estar hablando de ciberguerra? supongamos que unos delincuentes chinos de los de toda la vida con pasamontañas y pistolas va a Dublín, donde están las cuentas bancarias de Ryanair y roban 5 millones de euros y los meten en una bolsa con el símbolo del dolar. Luego viajan a China y los ingresan en sus cuentas. ¿La noticia habría sido más sonada? ¿Habría tomado represalias el Gobierno de Irlanda contra el Gobierno de China?

Para terminar, una charla de Chema Alonso sobre la ciberdelincuencia proveniente de China:
Vídeo 1: Ciberguerra & Ciberterrorismo: Conferencia impartida por
Chema Alonso en Septiembre de 2013 en Madrid, en el Instituto
 de Ingeniería Español, sobre Ciberguerra y Ciberterrorismo.


Saludos!

Mundo Hacker Day 2015

Ayer martes 28 de abril estuve en Madrid, en Kinépolis donde se realizaba un evento sobre seguridad informática, MundoHackerDay. Es la segunda edición y estaba organizada por los chicos de Mundo Hacker de Discovery Max. 400 kilómetros de ir y otros 400 para volver, pero valió la pena con creces. 
Figura 1: cartel anunciador del evento
La agenda estaba repleta de charlas, conferencias, mesas redondas y workshops distribuidos por las instalaciones del cine Kinépolis cerrado al público para la ocasión.
Figura 2: agenda de Mundo Hacker Day 2015
Como puede verse, no se podía asistir a todas las ponencias, pues por la tarde había 4 zonas distintas donde se impartían. Elegí cuidadosamente a cuales ir, pero no fue por ganas el no poder dividirme en cuatro. Estás son las elegidas:

  • 10:00 Riesgos, retos y oportunidades del Open Source: Rafael Achaerandio, Regional Director of Strategy and Business Development at Microsoft, Eduardo Díaz, Responsable Preventa España en SUSE, Jaume Ayerbe, Director de Ventas Iberia y Latinoamérica AlienVault, Manrique López, gerente de ASOLIF. Moderador: Manuel Velardo, director gerente de CENATIC
  • 11:00 Publica publica que yo cosecho: OWASP Team: Daniel García, Fran Gómez y Rafael Sánchez
  • 11:40 Keynote: How to be a hacker and how to get a name in IT-Security: Marc 'Van Hauser' Heuse
  • 12:40 Cybersecurity at Microsoft: Héctor Sánchez Montenegro, Technology Officer Microsoft Spain
  • 13:00 Hacking Spain: el rol de las comunidades en la ciberseguridad: Sergio Sáiz García - ShellCon, Ángel-Pablo Avilés - X1RedMasSegura, Juan Carlos Gutiérrez - Mundo Hacker, Alejandro Jose Sainz Carretero - Navaja Negra, Igor Lukic - Hackron. Moderador: Deepak Daswani, Security Evangelist de INCIBE
  • 15:30 Generando inteligencia OSINT con Whatsapp: Deepak Daswani, Security Evangelist de INCIBE
  • 16:00 Ransomware: historia de una molesta amenaza: Josep Albors, Director de Comunicación y Laboratorio ESET España
  • 16:30 Los mitos de la Ciberseguridad: Javier Valdes, COO Logtrust
  • 17:00 Hacking en radiofrecuencia: David Marugán, especialista en seguridad electrónica y radiocomunicaciones
  • 17:30 Atacando SCADA vía web: Jesús María González, auditor en proyectos de seguridad informática y hacking ético
  • 18:00 Ataques a bajo nivel en SCADA: Raul Sanchez, experto en Seguridad de sistemas embebidos. Reverse Engineer Specialist
  • 18:30 Hackeando a tu CEO: Jose Selvi, Senior Penetration Tester NCC Group
En el área de exposición estaban los stands de los patrocinadores: Alien Vault, Panda, Spamina, Intel, ... y en la zona de recepción y registro contábamos con una pequeña muestra de equipos vintage todos ellos funcionando (que recuerdos):
Figura 3: Amiga, Spectrum, Toshiba, ... ¿portátiles o portables?

Figura 4: IBM PC-CM
Figura 5: Super Pang y SPY special project y
Conocí en persona a Marc 'Van Hauser' Heuse, hacker alemán dedicado a la seguridad informática desde 1993. Saqué mi mejor inglés e intercambiamos algo de información:
Figura 6: Marc 'Van Hauser' Heuse

Y como no, unas fotillos con los presentadores del evento, los chicos de Mundo Hacker que tantas veces he visto en TV y en Youtube. La verdad que fueron muy amables y abiertos con todo el mundo. Se mezclaron entre el público y nos hicieron pasar unos ratos muy entretenidos. Gracias.
Figura 7: Antonio Ramos

Figura 8: Jaime García Cantero

Figura 9: Mónica Valle
Espero volver a veros en MundoHackerDay 2016 y seguir aprendiendo de todos vosotros.

Saludos!

jueves, abril 23, 2015

¿Tu contraseña es segura?

Recientemente nos hemos encontrado con clientes que usan la misma contraseña para todo o que la complejidad de la misma es mas bien nula. Incluso hemos visto un post-it pegado en la pantalla con las claves de acceso a la banca electrónica. Con tanta botnet intentando atacarnos, tanto que perder si consiguen robarnos alguna identidad personal y tantas herramientas distribuidas por internet para robo de contraseñas, ¿por qué se lo ponemos tan fácil a los malos?

La empresa SplashData publicaba en su web la lista de las 25 peores contraseñas que se usan en internet:

Figura 1: captura de la web de SplashData del 24 de abril de 2015
La lista concretamente la tenéis a continuación, y en ella puede verse la posición en el ránking, la contraseña que es y en la tercera columna si ha tenido cambios en este ránking con respecto a 2013:
Figura 2: lista de las peores contraseñas de 2014
En la propia web nos dicen que estas 25 contraseñas se corresponden con el 2,2% de todas las contraseñas de internet, un número bastante elevado teniendo en cuenta los millones de contraseñas usadas a nivel mundial.

Por otro lado, la empresa Kaspersky publicaba una web en la que te calculan el tiempo que tardaría un ordenador normal (de usuario doméstico) en "reventar" una contraseña por fuerza bruta. Vemos que la contraseña 1234, 123456 o incluso 123456abcdef puede ser descifrada en 1 segundo.
Figura 3: web de Kaspersky de prueba de contraseñas
Te invitamos a que hagas una prueba. En la propia web indican que no almacenan ninguna de esa contraseñas, pero para ser cautos, si tu contraseña es "pepe125", no pruebes con esa, hazlo con "jaja961" que tiene la misma fuerza pero no es la tuya real.

Una contraseña fuerte debe tener una longitud considerable, una mezcla de números y letras en mayúsculas y minúsculas y a ser posible también algún carácter especial. Algunos ejemplos de contraseñas fuertes serían:
  • Pa$12Rx.
  • 18Kik0#
  • EjPol%8.3

Lo bueno sería evitar palabras ya construidas, del tipo ZaRagoZA1995, o las que están ahora de moda con el alfabeto L33T, tan famoso por las camisetas con la palabra C0R7EZ y que en el mundo informático hace años que se usa. Este tipo de contraseñas están incluidas en diccionarios de ataque y los ordenadores no tienen ni que "pensar" en ellas, ya tienen programado el probarlas.

Aún así, contraseñas fuertes como
  • Pa$12Rx.
con un ordenador normal se tardan 8 años en conseguir descifrarla, pero el Conficker Botnet, uno de los botnets más poderoso y activo del mundo tarda tan solo 4 horas en hacerlo.
Figura 4: tiempo necesarios de cómputo de distintos ordenadores
para conseguir descifrar la contraseña Pa$12Rx.

Consejos para elegir una contraseña:

  • usa una contraseña larga (8-16 caracteres)
  • que contenga números (0,1,2,3,...), letras mayúsculas (A, H, J, R, ...), letras minúsculas (i, d, e, r, ...) y caracteres especiales (#, @, €, $, ...)
  • no uses fechas o nombres tuyos personales ni lugares
  • cámbiala frecuentemente
  • si sospechas de que la están usando, cámbiala
  • si sospechas que tienes un virus o malware, cámbiala
  • no las pongas en un post-it en la pantalla
  • no se la des a nadie
  • no uses métodos (si te gusta como contraseña "159jAs", no uses "159jAshotmail" como contraseña de hotmail, "159jAsfacebook" para facebook y "159jAsgmail" para gmail. Si te descubren una las tienen todas.

Y sobre todo, en muchos sitios de internet ya está implementada la verificación en dos pasos, facebook, gmail, hotmail, ... Es un sistema que primero te pide la contraseña y luego una verificación vía SMS a tu número de móvil. Es interesante tenerlo activo para que solo se pueda acceder a tus cuentas si confirmas que eres tu a través del móvil. Al principio es un poco rollo y engorroso pero una vez que te acostumbras no tardas más de 15 segundos en hacerlo.

Para terminar, unos vídeos de Chema sobre el uso de contraseñas:

Vídeo 1: Chema Alonso, 'hacker': "Nadie pone protección
extra en la nube más allá de la contraseña"

Vídeo 2: Chema Alonso - Digital Latches for your Digital Life

Saludos!

martes, abril 21, 2015

¿Por qué es tan difícil mandar mi declaración fiscal?

Esta semana estamos teniendo problemas con muchos clientes que intentan mandar los famosos modelos a Hacienda, el 349, el 130, el 131, ...

Muy pocos han podido hacerlo de manera normal, a la hora de hacerlo siempre surge algún imprevisto. Al usuario le da la sensación de que su ordenador no está correcto, que algo funciona mal por que nunca puede mandar los datos a la primera. 

Los problemas suelen ser los siguientes:
  • Versión incompatible del navegador
  • Versión incompatible de la versión de java
  • Antivirus que bloquea ciertos procesos
  • Certificados digitales caducados o próximos a caducar

Incluso la propia web de Hacienda tiene sus fallos:
Figura 1: aviso de la AEAT hoy, 21 de abril de 2015
El asunto a tener en cuenta no es que las actualizaciones sean un proceso engorroso que sea capricho de los programadores, sino que los fallos de seguridad (bugs) no son detectables en un entorno normal. Se van descubriendo conforme se usan las plataformas.

Las mejoras que nos traen esas actualizaciones no son casi nunca visibles por el usuario, ya que en la mayoría de los casos son mejoras de seguridad o manejo y no tanto en el entorno visual de trabajo.

Por ejemplo, hoy Chrome dejaba de ser compatible con java directamente. Quien tenga solo ese navegador y los certificados digitales instalados en el propio almacén de Chrome, no tenga copia de seguridad de los certificados o los tenga con la clave privada no exportable, ..., ufff, lo tiene muy turbio para poder trabajar con la AEAT.

Figura 2: aviso de Chrome de su incompatibilidad con java en su versión 42

Figura 3: error en Chrome al trabajar con java
Ya el 11 de diciembre de 2011, Chema publicaba en su blog una entrada sobre los problemas de java y la evolución que ha ido teniendo este complemento. Si ya por entonces nos hablaba de 4 años de fallos y fue en 2011, ahora en 2015 podemos renombrar la entrada como:

Java: 4 +4 años de actualizaciones inseguras
Figura 4: entrada con datos de fallos en java
Otro aspecto a tener en cuenta es el certificado digital emitido por la FNMT. En algunos ordenadores nos ha pasado que no puede renovarse el mismo día que caduca (en otros si). Además, la opción del pin 24 horas solo puede activarse si tienes un certificado válido y operativo a la hora de solicitarlo. También, si cuando se instaló el certificado no se marcó la opción "hacer que la clave privada sea exportable", ese certificado está ligado al navegador y no puede sacarse a otro PC ni a otro navagador del mismo PC. 

¿Hay alguna forma de tener todo actualizado y funcionando? 
La respuesta es si, pero no sabemos como estará dentro de 15 minutos. Paciencia y probad a mandar vuestras declaraciones antes del último día (por si acaso)
;-)

Saludos!

martes, abril 14, 2015

Microsoft vs Apple vs Google

En el mundo de la informática desde hace muchos años parece que hay que elegir un bando como en el fútbol, no puedes ser de dos equipos a la vez. O eres de Microsoft, o de Apple o de software libre (Línux, Freedos, ...) o amas a Google o lo odias, ... Viéndolo un poco desde fuera parece dar la sensación de que esta elección está estereotipada desde los orígenes de los tiempos:

  • Microsoft es una compañía mala, con afán de lucrarse y cobrar y cobrar y cobrar. Además no saben hacerlo bien por que salen ventanas azules y está todo lleno de virus. Parece que Bill Gates se rige por la norma de "si no sabes hacerlo bien, por lo menos hazlo bonito". Y como Windows está muy mal hecho pues lo embellece, con ventanitas y gadgets y sombras y transparencias en las ventanas. Bill Gates (por que además es él el que programa todas las versiones de Windows) acaparó el mercado dejando que todo el mundo se instalase gratis Windows 95 y Windows 98, y cuando todos los equipos del mundo tenían instalado estos sistemas operativos, sacó Windows XP y quiso que lo comprásemos.
  • Apple es una compañía innovadora. Toda la tecnología ha sido inventada por ellos y los demás solo han copiado. Además no tiene virus. Existe un aire de superperfección que llevan a cada uno de sus diseños. El iPad, el iPod, iTunes, ... todo innovación propia. Si no tiene una manzana no es suficientemente bueno. Y han logrado todo esto luchando contra la presión ejercida por Bill Gates. La calidad es muy alta. Ahora, en 2015, los PCs empiezan a estar a la altura de lo que hacían los Macintosh en 1984 con programas de edición gráfica.
  • Línux es una idea, una meta, un ideal de trabajo y cooperación. El software ha de ser libre, abierto para que todo el mundo pueda contribuir y mejorar las opciones. No hay virus por que Línux lo usan los hackers malos para hacer virus para Windows, entonces no van a fastidiarse entre ellos. Es un poco complicado de manejar pero ahora ya casi no hay problemas para instalar juegos e impresoras, aunque los juegos que tiene mucha gente que conoces no valen por que son para Windows.
  • Google es internet. Si no funciona Google es que no te va internet. Siempre ha estado ahí. ¿Como entras en internet?¿con que navegador?: yo hago click en google. ¿Y si desaparece Google?: pues se borran todas las páginas de internet. Además son muy listos y lo ponen todo al alcance del usuario. Si buscas una cosa, al cabo de una semana te sigue ofreciendo sugerencias mejores. Y corre el rumor de que nos espían, pero no puede ser cierto ¿a quien le puede interesar lo que yo busco en internet?
Figura 1: Fight !!!
Voy a intentar desmitificar algunas de estas ideas que he ido oyendo a lo largo de tratar con mucha gente y con sus sistemas operativos y programas. Unos conceptos serán más o menos acertados que otros, incluso si buscas en internet, estamos en un mundo tan sobreinformado que podemos encontrar una idea y su contraria en dos sitios y las dos teorías has sido aceptadas.
  • Microsoft
    • ¿Bueno?¿malo?. Yo uso windows desde Windows 3.1. La verdad es que liarte a instalar drivers en floppy en un Windows 95 no era fácil, pero tampoco configurar las frecuencias de la ram y la cpu con switches y había que hacerlo. Windows 98 y Windows Millenium tuvieron la fama de ser muy malos por los pantallazos azules, aunque Windows 98 Segunda Edición era un poco más estable. Xp fue bueno, el mejor. Luego Vista, que fue muy malo. Yo creo que estaba demasiado "acicalado" para las máquinas de entonces. Al cabo de 2 años salió Windows 7 y funcionaba mejor, pero, y esto es una sospecha personal, era muy similar a Windows Vista internamente pero como los componentes de hardware habían duplicado las prestaciones en ese tiempo, pues marchaba bien. Si en un equipo actual, un i3 o un Dual Core con 4Gb de Ram DDR3 instalas Windows Vista, Windows Vista va genial.
    • Es el sistema operativo más utilizado, entonces, solo por compatibilidades entre compañeros de trabajo y familiares, se usa ese sistema.
    • Las instalaciones de programas son fáciles, tal vez demasiado. Vas a internet, buscas, pregunta de Ejecutar o Guardar, todos le damos a Ejecutar sin analizar con antivirus ni nada y ya está instalado.
    • Windows 8 tocaba malo, por esa regla de Windows 95 bueno, 98 malo, XP bueno, Vista malo, 7 bueno, pues 8 malo. Todos nos asustamos con el nuevo Modern UI, pero con la actualización de Windows 8.1 volvemos a tener el botón inicio y otras características tipo XP.
    • Windows 10 saldrá a finales de este año 2015. Será un sistema anfibio, para PCs, portátiles, tablets, smartphones, ..., se podrá actualizar desde Windows 8 y 7, supongo que el precio será menor que en versiones anteriores y traerá el navegador Spartan en vez de Internet Explorer. Este final de año creo que Microsoft volverá a ser el Microsoft de los 90 y recuperará parte de ese liderazgo tecnológico que lleva años perdiendo.
Figura 2: tema Modern UI en Windows 8

  • Apple
    • Lo que yo más escucho de la gente es que Apple es caro. Es muy bueno pero muy caro. Los ratones del MacBook cuestan 79€ y hay poca elección. Pero lo sacas de la caja y casi se instala solo. La calidad es tremenda, pero 1 ratón vale o que 10 para PC. Las reparaciones también son caras, pues el sistema de piezas de recambio sigue siendo muy centralizado y dependemos de Apple y su servicio técnico para conseguir los componentes de sustitución.
    • Se dice que no hay virus. 
Figura 3: precios en la tienda Apple
Figura 4: precios de los mismos o similares componentes pero para PC
  • Línux
    • al principio era el sistema operativo por excelencia para desarrolladores, programadores y todo aquel que quería sacar el máximo jugo a su ordenador. No necesita de una gran máquina para funcionar
    • para un usuario doméstico resulta difícil poder configurar dispositivos y programas
  • Google
    • Google es internet
    • si no sabes algo, búscalo en Google
    • ahora mismo Google engloba un sinfín de utilidades: búsqueda, correo electrónico, mapas, callejero, localización de empresas, calendario, traductor, buscador de noticias (que ahora no funciona en España), ... AL usar todo esto ¿estaremos da´ndoles demasiada información de nuestros intereses?
Resumiendo, usa el sistema operativo con el que te sientas más cómodo, con el que puedas pasar mejores ratos y disfrutes de trabajar con él. Según necesidades tendrás que elegir uno u otro, o según tu nivel económico. Todos son buenos y todos tienen su parte negativa.

Os paso unos enlaces a varios vídeos de Chema hablando del tema:
Vídeo 1: el Maligno explica un poco esa corriente anti.Microsoft

Vídeo 2: explicaciones generales sobre programas o sistemas a usar


Saludos!

jueves, abril 09, 2015

Ciberguerra y ciberamenazas

Hoy por la mañana Chema nos informaba en su blog de las consecuencias que tuvo el ciberataque supuestamente ruso a la Casa Blanca que tuvo lugar esta semana pasada. Según Obama, como este tipo de ataques afectan a la economía y la seguridad de la nación, los declaró Emergencia Nacional y emitió una Orden Ejecutiva. Chema hace una referencia al revuelo que tuvieron los ataques de EEUU anteriormente hacia países del G20 y Obama no se pronunció.
Figura 1: entrada en el blog de Chema sobre el ataque a la Casa Blanca
A lo largo de la mañana surgía otra noticia sobre un ciberataque. Esta vez el objetivo era la cadena francesa TV5Monde, y el ciberataque ha sido reivindicado por el grupo terrorista del Estado Islámico. La página de la cadena y su cuenta de facebook tenían este aspecto:
Figura 2: perfil de facebook hackeado de la cadena TV5Monde
Así de primeras vemos que no se salva nadie. Estados contra estados, grupos religiosos contra cadenas, ... todos pueden ser y son ciberatacantes y ciberatacados. Chema comenta en varios de sus vídeos que internet está lleno de corderos y lobos. Si no eres lobo eres cordero.

Me dio por pensar en el nivel de ciberataque que existen cada momento en el mundo, ya que si estos son los que mayor repercusión mediática tienen, habrá otros muchos que se queden en un mero intento de ciberataque. Buscando por internet encontré la web http://map.ipviking.com/ . En ella se puede ver en tiempo real el volumen de ciberataques existentes, su origen y su destino:
Figura 3: ciberataques en tiempo real
Los ataques aquí reflejados se puede entender que son del tipo un atacante de un lugar que intenta atacar a una cibervíctima, pero elegida, hay intención de que el atacado sea el que nos interesa. 

Pero hay otro tipo de ataque que son a nivel global. Pueden ser los ataques que hacen las botnets enviando sus troyanitos a todo aquel que puedan infectar. Este nivel ya nos pilla un poco más cerca, pues este tipo de ataques son hacia nuestros propios ordenadores, los de los usuarios domésticos, smartphones, tablets, usuarios de empresa grandes y pequeñas, ...

Seguí buscando y encontré el mapa en tiempo real de las amenazas detectadas por Kaspersky. Esta amenazas son las que han intentado entrar en nuestro ordenador de casa, oficina, colegio, smartphone, ... y ha sido bloqueado por Kaspersky.

Este es el mapa:
Figura 4: amenazas a nivel mundial detectadas por Kaspersky
Como el mapa es interactivo, puede hacer zoom, seleccionar un país en concreto, ver el origen y destino y otras muchas opciones. Me interesé por ver las amenazas detectadas en España:

Figura 5: amenazas detectadas por Kaspersky en España
Y como curiosidad busqué entre varios países viendo cuales son los más atacados y los que menos. Da igual que país busques, europeo, americano, africano, asiático, ... En todos se están detectando amenazas a cada momento. 

Pero encontré un lugar donde no existe este problema. Un lugar donde los virus no existen, la Antártida:

Figura 6: mapa de amenazas detectadas en la Antártida
¿Será por el frío, que ahí los virus proliferan menos? ¿o será porque no hay ordenadores domésticos conectados a internet y si los hubiera pues tendría el mismo nivel de ataques que todos los demás países?

Os paso un par de vídeos de Chema analizando la ciberguerra y cómo está el mundo:

Vídeo 1: The App Fest 2012 - Hacking, ciberguerra y otras palabrotas - Chema Alonso


Vídeo 2: Mundo Hacker en Discovery MAX - Capítulo 3: Ciberguerra

Vídeo 3: World War III: Ciberguerra en el siglo XXI, Chema Alonso

Saludos!

miércoles, abril 08, 2015

Cripto-Reto de Criptored

El pasado 25 de marzo de 2015 desde la web http://www.criptored.upm.es/ de la Universidad Politécnica de Madrid se propuso un criptoreto. Un criptoreto es un reto hacking "controlado", en el que se trata de solucionar o investigar (cada uno hace lo que puede) información oculta que ha podido ser usada para trasmitir un mensaje o datos dentro de un contenedor o fichero aparentemente normal y que a la vista no se sale de los estándares.

Este criptoreto lo propuso el Dr. Alfonso Muñoz y fue descargado 1900 veces (1900 almas luchando por conseguirlo). La historia introductoria te metía de lleno en el mundo del espionaje, y se decía que tras un registro de unos discos duros se identificaba un fichero sospechoso de contener información oculta que había que intentar descifrar. La imagen en concreto era esta:
Figura 1: imagen a estudiar en el criptoreto
Se dio de tiempo hasta el 1 de mayo de 2015, pero el 6 de abril de 2015 Dani Torregrosa a los 11 días y 13 horas de ser publicado lo conseguía. Utilizó varias técnicas de "desencriptado" y estegoanálisis, como estudiar un cifrado clásico césar, uso de openstego, uso de korcami en python, leyó y editó código en hexadecimal y hasta probó con fuerza bruta. Al final de 4 procesos distintos en los que progresivamente ibas avanzando con nuevas imágenes y nuevas pistas llego a dar con el dato oculto al mas puro estilo de la informática forense.

Algunas de las fases del reto fueron:

  • descifrar el siguiente texto:

flhqfldhvhoduwhghfuhduloxvlrqhvfrqyhql
hqwhvtxhhoqhflrdfhswdrglvsxwdshurghfx
brlqjhqlrjrcdhohvwxglrvrvlqfhjduvhdqwhh
okhfkrghtxhwdohvloxvlrqhvvrqrwurvwdq
wrvyhorvsdudrfxowduodvsurixqgdvwlqlh
eodvghorlqvrqgdeoh
  • para obtener el texto original: 
cienciaeselartedecrearilusionesconveni
entesqueelnecioaceptaodisputaperodecu
yoingeniogozaelestudiososincegarseantee
lhechodequetalesilusionessonotrostan
tosvelosparaocultarlasprofundastinie
blasdeloinsondable
, frase de Carl Gustav Jung.

  • uso de python para calcular el IV adecuado, y cifrando con AES:

import struct
from Crypto.Cipher import AES
data = open('dragon.png').read()
def xor(a,b):
 return ''.join([chr(ord(i)^ord(j)) for i,j in zip(a,b)] )
def corkami(header):
 cipher = AES.new("alanturingcrypto", AES.MODE_CBC, "\x00"*16)
 h1 = cipher.decrypt(header)
 iv = xor(h1, data[:16])
 cipher = AES.new("alanturingcrypto", AES.MODE_CBC, iv)
 a = cipher.encrypt(data)
 return a
data2 = corkami("\x89PNG\r\n\x1a\n" + struct.pack(">I", 191600) + "aaaa")
open('dragon2.png','wb').write(data2)

  •  análisis con openstego de la imagen obtenida:
Figura 2: imagen obtenida en el tercer paso
Y finalmente obtención de la información final. He obviado algunos pasos y la respuesta final por si hay alguien que quiere seguir intentándolo para no aguarle la sensación de haberlo conseguido.

El premio (suculento y deseado) era una plaza gratuita para la cuarta edición del curso Especialización en Seguridad Informática y Ciberdefensa de la red temática Criptored, con 40 horas y que se impartirá online del 4 de mayo al 4 de junio de 2015, valorado en más de 800 euros, así como su reconocimiento en los canales habituales utilizados por dicha red temática.

Los módulos y profesores de dicho curso serán:

  • Módulo 1: Ciberguerra y Ciberarmas: Malware dirigido, 0 days y RATs. (2 horas). Profesor D. David Barroso (11Paths)
  • Módulo 2: Atacando infraestructuras. OSINT y explotación (12 horas). Técnicas y herramientas OSINT (2 horas). Profesor Dr. Chema Alonso (11Paths); Intrusión en redes y sistemas. Metasploit Framework (4 horas). Profesor D. Alejandro Ramos (SecurityBydefault); Vulneración de mecanismos de identificación y autenticación (2 horas). Profesor D. Alejandro Ramos (SecurityBydefault); Intrusión en redes VoIP (2 horas). Profesor D. José Luis Verdeguer (ZoonSuite); Evasión de medidas de protección en Windows (2 horas). Profesor D. Javier Rascón (Hispasec)
  • Módulo 3: Protección de infraestructuras. Contramedidas (12 horas). Fortificación de sistemas Windows. Contramedidas (2 horas). Profesor D. Sergio de los Santos (11Paths); Análisis forense en sistemas Windows. Detectando intrusiones (6 horas). Profesor D. Pedro Sánchez (conexioninversa); Protección de infraestructuras críticas. Sistemas SCADA (2 horas). Profesor Dr. Antonio Guzmán (11Paths); Protección de datos y comunicaciones. Criptografía/Esteganografía (2 horas). Profesor Dr. Alfonso Muñoz (Criptored)
  • Módulo 4: Protección de comunicaciones en redes móviles (8 horas). Protección de comunicaciones en redes móviles: Bluetooth y Wifi (6 horas). Profesor D. Raúl Siles (Dinosec); Protección de comunicaciones en redes móviles: GSM, GPRS, 3G (2 horas). Profesor D. David Pérez y D. José Picó (Layakk)
  • Módulo 5: Seguridad en aplicaciones móviles (6 horas). Riesgos de seguridad con dispositivos móviles: IOS y Android (4 horas). Profesor D. Pablo González (FluProject); Malware en aplicaciones Android. Peligros y contramedidas (2 horas). Profesor D. Sergio de los Santos (11Paths).
Si estáis interesados podéis contactar con uno de los directores del curso Jorge Ramió en el correo jramio@eui.upm.es o bien al correo de Eventos Creativos info@eventos-creativos.es.es.


Menudo curso !!! y fenómenos de profesores que lo imparten!!! Lástima no haberlo conseguido. 

Desde aquí queremos felicitar a Dani Torregrosa, grande!!! y esperamos ansiosos el siguiente criptereto.

Saludos!

martes, abril 07, 2015

Voto telemático

A dos meses escasos de las elecciones, he estado pensando en la implantación de sistemas de voto telemático que acabará por implantarse, ya que poco a poco los procesos digitales se imponen a los físicos en una evolución que no tiene marcha atrás. Pero, si nuestro ordenador está expuesto a las continuas amenazas del malware, las webs de entidades son hackeadas a diario, las manos de terceros pueden estar toqueteando la base de datos donde se almacena nuestro voto, ... ¿que puede llegar a pasar?. Ya de por si la seguridad al 100% no existe, ni en la red ni en el sistema tradicional de voto con papeletas.
Figura 1: ejemplo de voto telemático mediante urna digital


Para poder establecer este sistema, habría 3 episodios:
  1. periodo de compaginar voto telemático y voto tradicional
  2. sustitución de las urnas clasicas por hardware de votación
  3. reemplazo total del sistema del voto a un entorno total de red telemática, posibilitando la votación tanto por urnas electrónicas como por urnas en internet (voto por internet)

En Europa, solo Noruega y Estonia disponen de voto por internet. Los sistemas de seguridad establecidos en Estonia son mediante una tarjeta personal de auntenticación que se expide para tal fin. En Noruega se puede autenticar el votante mediante métodos habituales como dni-e o certificados digitales. Existe un mundo a parte en el que poder estudiar las coacciones al voto, los robos de identidad, la compra de votos, ...

El almacenaje de los votos también sería algo que habría que supervisar, custodiar y defender, pues la urna electrónica es donde se almacenarían todos los votos digitales, pero si el voto es secreto, ¿podría estar vinculado el voto al votante?

La verdad es que se abarataría mucho la jornada electoral y el tiempo para conocer los resultados disminuiría. Las votaciones podrían ser mas complejas y completas, como por ejemplo si te dan dos opciones para votar, A o B, si otas por A, luego la votación estaría disponible para continuar por: si has elegido A, te damos varias opciones después, A1, A2, A3, ... tipo de votaciones que serían imposibles (o muy complejas) de llevar a cabo por una mesa electoral y en los recuentos finales.

  • ¿Y si los malos hackear el lugar dónde se almacenan los datos? 
    • Pues como si en una votación con papeletas introducen ellos sus propias papeletas o quitan las legítimas que los votantes han introducido.
  • ¿Y si los malos votan con robo de identidad o introducen en los resultados votos irreales?
    • Pues como si en una votación con papeletas ellos coaccionan a otra persona para cambiar su idea de voto.
  • ¿Y si los malos votan por mi?
    • Pues como si en una votación con papeletas se hace un pucherazo de los de toda la vida pero ahora se llama pucherazo digital
Las amenazas son las mismas pero llevadas a la zona de los ceros y unos.


En esta charla se explican muy bien todas las dudas planteadas anteriormente, las medidas de seguridad y los procesos a seguir:

Vídeo 1: Ciclo UPM TASSI 2014. Conferencia 2: Posibilidades del voto telemático en la democracia digital

Y aquí un vídeo Chema que puede explicarnos como de seguro puede ser una comunicación o envío de datos entre dos servicios como puede ser en correo electrónico. Realmente el correo electrónico ya es automatizado y pudiera ser una forma de entender el proceso de voto telemático o voto por internet: un usuario se valida y se comprueba que realmente es él, se prepara un paquete con información, se envía de una forma segura hasta el receptor, el receptor como su nombre indica lo recibe y el paquete es entendido, validado y genera un dato. Si puede manipularse un mail, ¿que no se podrá hacer con un voto? 

Trabajo para los administradores de seguridad informática !!!

Vídeo 2: Inseguridad de las vías telemáticas por Chema Alonso

Saludos!

domingo, abril 05, 2015

¿Quien es Chema Alonso?

Hoy, leyendo la última entrada del blog de Chema he pensado que sería interesante hacer un recorrido por toda la información que hay un poco desperdigada por internet acerca de Chema. Como soy adicto a ver vídeos y leo todo lo que cae en mis manos sobre él, voy a hacer un resumen.

Figura 1: Chema Alonso
Chema nació en 11110110111. Es de Móstoles (Madrid). Estudió en la Universidad Politécnica de Madrid de 1996 a 1999 la Ingeniería Técnica de Sistemas, en la Universidad Rey Juan Carlos de 2004 a 2007 la Ingeniería Informática. Luego, en 2007-2008 en la Universidad Rey Juan Carlos también hizo el Master en Tecnologías de la Información y Sistemas Informáticos, y obtuvo el doctorado (Doctor of Philosophy (PhD), Computer and Information Sciences, Security) en 2013.

Desde octubre de 1999 hasta abril de 2013 fue Consultor de Seguridad en Informática 64, una empresa de seguridad informática que fundó junto con Rodol.

Figura 2: logo de Informática64

Desde febrero de 2012 hasta abril de 2013 fue Mentor de Talentum Startups en Telefónica Europe, donde realizó tareas en de apoyo técnicas en Wayra y participó en los programas Talentum.

Desde septiembre de 2009 es Director del Master de Seguridad de Información en la Universidad Europea de Madrid y realiza tareas de dirección, elaboración de contenidos y programas, tutorización e impartición del clases en el Master de Seguridad en Tecnologías de la Información y las Comunicaciones.

En enero de 2012 compró Cálico Electrónico y es Productor Ejecutivo del mismo desde entonces.
Figura 3: logo de Cálico Electrónico
Figura 4: Cálico Electrónico
Ha escrito varios libros:
  • Metasploit para Pentesters, Editorial 0xWord. Publicado el 30 de octubre de 2012
Figura 5: Metasploit para Pentesters 
  • Hacking de Aplicaciones Web: SQL Injection(Enlace), Editorial 0xWord. Publicado en febrero de 2012
Figura 6: Hacking de Aplicaciones Web
  • Hacking dispositivos iOS: iPhone y iPad, Editorial 0xword. Publicado el 28 de mayo de 2013
Figura 7: Hacking dispositivos iOS: iPhone y iPad
  • Pentesting con FOCA, Editorial 0xWord. Publicado el 13 de diciembre de 2013
Figura 8: Pentesting con FOCA
Todos estos libros son publicados por la editorial 0xWord, que es de su propiedad desde abril de 2013. En su página web existe la posibilidad de comprar estos libros y otros muchos dedicados a la seguridad informática:

Figura 9: Editorial 0xWord


Chema también colabora desde septiembre de 2012 en el programa La Mañana de la Cadena COPE todos los martes a las 11:00.

Su última andadura profesional comienza en abril de 2013 como CEO de Eleven Paths, filial de Telefónica donde trabajan creando productos y servicios orientados a la seguridad digital de empresas e individuos en Internet.

Figura 10: Eleven Paths

Al mismo tiempo compagina charlas y conferencias sacando tiempo de no se donde por todo el mundo en universidades, institutos, conferencias hacker como la Defcon, BlackHat Europe, BlackHat USA, Ekoparty, RootedCon, MWC, ShmooCon, ToorCon ... seguro que se me olvida alguna. Ha sido invitado por Yahoo! para las jornadas de Seguridad en San Francisco y ha publicado más de 50 artículos en congresos académicos y revistas técnicas.

Tiene un blog de seguridad informática, www.elladodelmal.com, en el que escribe a diario desde enero de 2006 y que ha recibido varios premios, como el Premio Bitácoras al Mejor Blog Seguridad en noviembre de 2012 y noviembre de 2014. Aquí un mini homenaje con el link a la primera entrada que aparece en su blog:

Figura 11: primera entrada que aparece en el blog elladodelmal
Figura 12: Chema Alonso MVP Microsoft en 2013

Ha salido en varios programas de televisión:
  • El hormiguero 3.0

Vídeo 1: Chema en El Hormiguero 3.0

  • En el aire (Buenafuente)
Vídeo 2: Chema en En el aire

  • En Espejo Público
Vídeo 3: Chema en Espejo Público

  • En Más vale tarde
Vídeo 4: Chema en Más vale tarde
  • En Mundo Hacker de Discovery Max
Vídeo 5: Chema en Mundo Hacker

  • En Cálico Electrónico
Vídeo 6: Chema en Cálico Electrónico

Y seguro que se me olvidan mil cosas. Para terminar, hago un resumen de las anécdotas que más me han llamado la atención:
  • ¿Por qué el gorro?
Según cuenta Chema en alguno de sus vídeos, en la presentación de Windows Vista, tenía que presentar este sistema operativo junto con un compañero, y la verdad que los días anteriores se fueon a hacer snow, por lo que no prepararon la presentación todo lo bien que deberían. Así que pensaron en hacer una especie de montaje en el que su compañero presentaba Vista y Chema hacía como que venía de hacer snow y sin preparación previa podía manejar el sistema. Lo suyo es que el gorro queda muy bien como marca personal de Chema. Es un buen logotipo.
  • ¿Por qué el Maligno, un informático en el lado del mal?
Hace años Microsoft no es del agrado de los hackers de la edad romántica. Eso de ser un sistema operativo de una multinacional que quiere lucrarse (por hacer su trabajo) en un mundo efervescente donde el software libre era el lugar donde todo hacker debía poner sus objetivos chocaba bastante. Microsoft era "el mal en persona", y en una charla uno de los asistentes dijo que Chema era como el Maligno disfrazado de John Lenon, por lo que habría que acotar lo que podía decir, ya que se expresa muy bien. A partir de entonces adoptó el sobrenombre o nick de maligno y empezó a firmar en el blog con "Saludos Malignos !". También es curiosa la forma de firmar sus mail con Saludos Malignos! }:)

Pero lo que realmente me toca la fibra es la forma de expresarse, esa forma que tiene de difundir información a raudales sin cansar, muy ameno, muy cercano, muy personal. Es un profesional como la copa de un pino y está al lado de la gente que le sigue. Esa cercanía hace que lo adoptemos como uno más de mi SAT. Si no lo estoy escuchando de fondo en mi taller parece que estoy solo. Gracias Chema, no cambies.

Aún con todo su volumen de trabajo, le queda tiempo de acordarse de los seguidores y de la gente que lo tiene como un referente, de contestar a todos los mails que le he mandado, de ser agradable, como en esta entrada de su blog de hoy, en la que vuelve a dar las gracias:
Figura 13: publicación del Blog elladodelmal del 5 de abril de 2015 
Para conocer un poquito más de todo esto que os he contado, os pongo el enlace a dos vídeos en los que no se habla tanto de informática y si de su vida:


Vídeo 7: el discurso de la servilleta

Vídeo 8: entrevista de Apple 5x1


Chema, no quiero entrar en bucle infinito pero, NO, GRACIAS A TI

Saludos!

Reputación en redes sociales

Hoy he leído en una revista unos casos curiosos de meteduras de pata en redes sociales o situaciones en las que las propias redes sociales se ponen en contra del uso normal para algunos usuarios. Antes, en las relaciones físicas o personales, podías meter la pata y recibías ataques o represalias por parte de la gente de tu entorno, pero con el uso de las tecnologías, el entorno ya no es local sino global. Un mal tweet o una mala foto en facebook puede dar la vuelta al mundo, perdemos el control sobre ella y aunque borremos el tweet o la foto de facebook ya no controlamos que pueda ser retwitteado o subido a miles de webs.

No me voy a meter a debatir si el mensaje fue acertado o no, si no que voy a comentar la parte de reputación y revuelo que puede llegar a tener. Para ello, los ejemplos que ponían en la revista fueron estos:
  • Alicia Ann Lynch: publicó en twitter e instagram una foto de su disfraz de halloween, que era de corredora de maratón, pero con ciertos detalles de sangre falsa en sus piernas y cabeza y lo twitteó con los hashtags #boston y #marathon. Estos mensajes no gustaron a gente que sufrió en persona el atentado de Boston del 15 de abril de 2013. Sus cuentas fueron hackeadas, fotos suyas desnuda fueron encontradas por internet y publicadas en miles de sitios, su permiso de conducir con sus datos fue hecho público y sufrió un acoso digital.
Figura 1: Foto twitteada de Alicia Ann Lynch ya modificada por hackers
Figura 2: twitter de Alicia Ann Lynch con los tweets del caso
  • Adria Richards: en una conferencia escuchó un comentario sexual en una conversación entre dos hombres. Ella tenía un blog con temática de igualdad de género. En dicha conferencia hizo una foto de los dos hombres y lo twitteó a modo de denuncia digital. El hombre denunciado habló con ella y llegaron al acuerdo de que esa no era la forma de hacer las cosas, terminando ella por reconocer que podía haber actuado de otra forma, pero para entonces su tweet ya había dado la vuelta al mundo y el hombre "denunciado" fue despedido de sus empresa. Este hombre por su lado denunció en twitter lo mucho que necesitaba ese trabajo, pues tenía tres hijos y poca solvencia económica. A partir de entonces, toda la comunidad digital se puso de parte de este hombre y Adria fue incluso amenazada de muerte con un tweet de una foto con una mujer decapitada al lado de los datos de su dirección exacta.
Figura 3: twitter de Adria con los tweets del caso
Recomendaciones ante una posible "metedura de pata en las redes sociales":
  1. Actúa con rapidez: tal vez pueda evitarse la crisis en social media si se ponen soluciones antes de que internet eche humo con tu caso.
  2. No borres comentarios negativos: es probable que te sientas tentado a borrar los malos comentarios de los usuarios, pero quedan marcados como respuesta borrada, dando la sensación de que no tienes razón.
  3. Aprende: toda maña situación puede servirnos para aprender y estar alerta en futuros posts. Se puede decir lo mismo pero de distinta manera.
  4. Pide perdón: si piensas realmente que ha sido una mala idea lo que has twitteado o realmente ves que sin querer has podido ofender a alguien, retráctate de tus palabras.
  5. Interactúa, pero no entres al trapo: hay comentarios que aunque te produzcan una sensación ácida puede que no vayan más allá. Si se echa más leña al fuego la situación estará lejos de mejorar.
  6. Denúncialo: si crees que la situación es desmedida solicita información a los agentes de Delitos Telemáticos
Para terminar, os pongo un enlace al blog de Chema Alonso www.elladodelmal.com en el que hace tan solo unos días publicaba acerca del cyberbulling y en el cual exponía el caso de Monica Lewinsky, el cual si hubiese sido en la actualidad con la extensión y peso que tienen las redes sociales hubiese sido  trending topic durante muchos días:
Saludos!

miércoles, abril 01, 2015

¿Anonimato en internet?

Hoy he visto un vídeo de Chema de una charla en la Fundación Telefónica. Fue grabada el 28 de octubre de 2013 y se titulada "Vivir en un Mar de Datos. Hacia una sociedad inteligente". Es un poquito antigua pero me ha parecido muy interesante viendo hacía dónde nos dirigimos en el uso de la "cloud" y de los servidores "big data". 

Usamos a diario aplicaciones web tipo Facebook, Twitter, Amazon, etc. pero la herramienta que yo creo más se usa es Google. A la hora de hacerlo, por lo que veo entre mis clientes, se hace en mayor parte desde el navegador Chrome. Chrome da la opción de navegar con nuestra cuenta personal. Es fácil pensar que si lo hacemos logueados, Google sabe exactamente quienes somos, pero, si lo hacemos sin loguearnos, ¿pasamos de modo oculto ante esta empresa?. También se puede hacer "en modo incógnito". Es tan fácil como pulsar CTRL+MAYS+N para que nuestro navegador Chrome abra una nueva ventana es este modo:

Figura 1: venta en "modo incógnito" de Chrome 

Pero, ¿que es lo que hace Chrome realmente en este modo de navegación?. La ayuda de Google nos lo muestra:

Figura 2: detalle de los datos que se guardarán al trabajar en "modo incógnito"
Así pues, nuestro ordenador no guardará esta información:
  • No se registra tu historial de navegación. Las páginas web que abres y los archivos que descargas en el modo incógnito no se registran en los historiales de navegación y descargas.
  • Se eliminan las cookies. Al cerrar todas las ventanas de incógnito, se borrarán todas las cookies nuevas.
  • Se inhabilitan las extensiones. Las extensiones se inhabilitan automáticamente en las ventanas de incógnito. Esto se debe a que Google Chrome no controla la forma en la que las extensiones procesan tus datos personales. Si quieres que una extensión aparezca en las ventanas de incógnito, selecciona la casilla de verificación "Permitir en modo incógnito" de la extensión.
Pero las páginas que visitemos si que podrán registrar y almacenar otros datos:

  • Los sitios web pueden guardar un registro de tus visitas.
  • El modo de navegación de incógnito solo impide que Chrome almacene información de los sitios web que has visitado, pero estos pueden registrar tus visitas. Los archivos que guardes en tu ordenador o en tus dispositivos móviles quedarán almacenados en ellos.
Si las páginas que visitamos almacenas datos relevantes o identificativos de nuestro navegador, la versión del sistema operativo, la zona horaria del ordenador, ets. se genera una huella digital que no es única, ya que puede haber más de un usuario en el mundo con toda esa configuración idéntica a la nuestra, pero si se guarda también la característica de si usamos cookies o no, las fuentes ttf que tenemos instaladas, los plugins instalados, información de varios programas con sus versiones exactas, etc. la huella digital ya empieza a coger forma y ser un poco más "única" en el mundo. A partir de este momento que esa información queda almacenada en servidores "big data" (trabajemos en modo incógnito o en modo normal toda ella queda registrada), nuestro anonimato queda en entredicho, pues las grandes empresas pueden saber "más o menos" quien es el usuario que hay tras esa configuración. 

Chema en su charla, hace un análisis de la web https://panopticlick.eff.org, que nos da la opción de conocer cómo de únicos somos a partir de ella. He hecho la prueba con mi ordenador y este ha sido el resultado:

Figura 3: resultados de Panopticlick
El análisis ha tardado 22,3 segundos y se ha recabado mucha información. Solo os pongo 1 ventana de las 3 disponibles de información, pero trabajando sobre ella nos da un resultado de 5.163.717. Esto quiere decir que soy único en y por lo tanto identificable entre más de 5 millones de ordenadores, o lo que es lo mismo, que en España hay solamente ocho o nueve personas con la misma configuración posible que yo. Si lo trasladamos a Aragón, soy único en todo el territorio.

Os pongo el enlace del vídeo de Chema por si queréis ampliar información:

Vídeo 1: Vivir en un mar de datos: Big Data, privacidad y seguridad, del 28 de octubre de 2013

Saludos!