InfoSecMan Blog

Ya está disponible en su web la última versión de este conocido entorno de trabajo para la realización de tests de intrusión. Esta nueva versión, además de estar desarrollada en Ruby, contiene 177 exploits, 104 payloads, 17 encoders y 3 módulos nop, además de 30 módulos auxiliares.

A por él! 🙂

Por razones familiares vengo teniendo un trato muy cercano con el mundo adolescente ya desde hace un tiempo e, incluso a mí que soy una persona familiarizada con la tecnología, Internet, las comunicaciones, etc. me sorprende día a día el uso masivo e indiscriminado que de todos estos medios están haciendo “nuestros adolescentes”.

En el caso de los niños el “control o supervisión” paterno suele ser más claro, no suelen utilizar Internet sin papá o mamá al lado. Pero el caso de los chicos y chicas de 14, 15, 16 años es más complicado. Como sabréis (y si no, os lo digo yo aquí 😉 ), la gente de estas franja de edades probablemente sean los que más utilizan la tecnologí para comunicarse. SMS, MMS, emails, mensajería instantánea, etc. Todos, o al menos una gran mayoría lo utlizan de una forma u otra.

¿Con qué formación? Ninguna. Como se suele decir, “nacen ya con esos aparatos” y saben utilizarlos a la perfección (eso dicen muchos padres). Se les bombardea continuamente con mensajes y campañas publicitarias para que hagan un uso aún más intensivo, pero aún no he visto ninguna haciendo referencia a los riesgos reales de este uso.

Cualquiera de los que nos dedicamos a este “mundo” de la seguridad de la información se echará a temblar pensando en todo lo que uno puede hacer haciendo labores combinadas de ingeniería social y hacking, teniendo como objetivo el eslabón más débil de la cadena, en este caso familiar (y no olvidemos que en la familia hay representantes “profesionales” que tienen su puesto de trabajo en compañías privadas y organismos públicos.

¿Habéis visitado alguna vez páginas como las de Gente Live (antes Gente IRC)? Asusta ver la cantidad de información que públicamente comparten sin ser conscientes de lo que hacen. Nombre y apellidos, ciudad de residencia, gustos, aficiones, a veces lugares en los que estudian o salen, información sobre amigos y amigas, correo electrónico, formas de contacto, ¡fotos!, ¡teléfonos!, y mucho más. Si además tienen página web (Blogs, FotoBlogs, MySpace, etc.) el seguimiento personal puede llegar a cotas muy altas (y peligrosas).

¿Os imagináis lo que se puede conseguir si realmente perseguimos un objetivo con una intención clara y definida? Si además de todo esto, tenemos en cuenta que por su edad e “inocencia”, el engañ es mucho más sencillo, el resultado es claro.

Creo que hace falta que se tomen medidas que conciencien y formen en lo posible a los usuarios. Debemos fortalecer el eslabón más débil que todo sabemos que somos las personas, y que es más débil aún cuando aún no estamos formados completamente (física y psíquicamente).

¿Son los padres conscientes de todo esto? ¿Pueden hacer algo al respecto? En la mayoría de los casos creo que la respuesta es no. De hecho muchos adultos caen en las mismas trampas que los adolescentes, difundiendo información personal muy sensible. Si además tenemos en cuenta que es precisamente la adolescencia una etapa en la que la comunicación con los “mayores” es más “complicada”, el problema parece tener difícil solución.

Estoy dándole vueltas a la creación de una iniciativa formadora para la “juventud”. Aún no sé muy bien cómo, pero quizás unos seminarios en institutos y centros, impartidos por alguien “cercano” (no vestido de traje, ni con 50 años… con el mayor respeto a esa edad, por su puesto), que en un tono cordial y similar al suyo, muestre las debilidades y qué se puede conseguir y los peligros claros identificándolos como amenazas para ellos (que son distintas de las que sus padres puedan pensar, por ejemplo), podría ser interesante.

… existe otro colectivo con características similares, y suelen ser aquellos que utilizan servicios de contactos en Internet y similar… pero no voy a entrar ahora en disquisiciones sobre privacidad personal en ese entorno, ya que las fotos mostradas no suelen ser de carnet (y al fin y al cabo si vas vestido probablemente sea más difícil reconocerse) 😉

Nota: manifiesto desde aquí mi mayor respeto a los usuarios de servicios de contactos (no se me vayan a enfadar, eh!)

Si un profesional en el curso de una consultoría de seguridad de algún tipo nos hiciese la pregunta ¿de qué color quiere su seguridad?, probablemente conseguiría sorprendernos (o quizás dependiendo del día enfadarnos). Pero esto es lo que puede pasar dentro de poco tiempo si estamos analizando nuestra seguridad inalámbrica.

Y es que la moda ha llegado al mundo de la seguridad (o ya lo había hecho de la mano de las conocidas gafas “freaks” de Mattrix?). Una compañia norteamericana, EM-SEC Technologies, ha sacado al mercado una pintura “a prueba de Wi-Fi” que está causando ciertas inquietudes en el mercado.

Se ha demostrado que esta pintura protege adecuadamente dispositivos inalámbricos y otros dispositivos electrónicos. Tanto es así que ya ha sido aprobada como una contramedida TEMPEST por la US National Security Agency (NSA) y por la Naval Surface Warfare Centre Crane Division (esta división se encarga de desarrollar y probar nuevas tecnologías para las conocidas fuerzas especiales, para mí desde las películas de acción, Navy SEAL).

Las aplicaciones son obvias y muy diversas. Eso sí, deberímos recordar que esa pintura aislará el espectro en ambas direcciones, es decir, estupendo que nuestras redes inalámbricas no sean “visibles” desde el exterior, otras oficinas, etc. pero tampoco podremos recibir señales externas (como … ¿telefonía móvil?) 🙂 Ya no hará falta escaparse a la montaña para “disfrutar” de unos días de descanso “sin cobertura”, creo que deberí comercializarse algo similar a las “habitaciones del pánico”: “pinte su cuarto zen en el que se aisle de todo lo que le rodea”…

…vaya, en adelante creo que tendré que llevar conmigo una paleta de colores en las consultorías de seguridad inalámbricas 😉

Comentaba el otro día ) Luis Jiménez, Subdirector General Adjunto del Centro Criptológico Nacional, en una charla privada (no voy a decir aquí nada privado), una reflexión que me pareció francamente interesante.

Estábamos comentando que se está comenzando a comparar a España en los foros internacionales con Israel, Suiza y otros países con muy buena fama en lo que a seguridad de la información se refiere. Efectivamente, contamos en este país con mucha materia gris en este campo, excelentes fabricantes muy innovadores en algunas ramas que podrín (y de hecho lo hacen) competir (y ganar) en muchos casos con sus homólogos estadounidenses, ingleses o israelitas entre otros, y es ese un hecho que poco a poco empieza a calar internacionalmente.

Contestó él a este comentario que, efectivamente en lo que a producción y conocimiento se refiere no tenemos nada que envidiar a otros países como los mencionados, existiendo numerosos ejemplos de compañias con reputado conocimiento y experiencia en diversos campos. Sin embargo, añadió, no se puede decir lo mismo si nos ponemos la gorra de consumidores. El último informe de Symantec posiciona a España como el 9º país emisor de Spam. Y ante esto, Luis desarrolló una reflexión muy acertada: no quiere decir esto que seamos de los primeros productores de Spam. Lo que refleja esa posición es que nuestras soluciones tecnológicas, las que tenemos implementadas, las que tienen implementadas nuestras empresas, nuestros organismos públicos e incluso nosotros mismos en nuestras casas, etc. son pobres o est´n mal configuradas. En muchos casos (la mayoría) estamos siendo utilizados como pasarelas para el reenvío de estos mensajes no solicitados y no estamos haciendo “nada” (al menos nada efectivo) para evitarlo.

Nuestro grado de madurez como consumidores en seguridad es, por tanto, bajo. Somos unos malos consumidores, pero excelentes productores de Seguridad. Una mañana muy interesante gracias a su reflexión y algunas otras que no caben aquín.

Sabéis de mi “gusto” por comparar todo con lo “cotidiano”. ¿Qué podemos hacer para cambiar esto?. Somos un excelente productor de vino. Excelentes caldos con distintas procedencias, gustos, texturas, aromas, etc. y así lo tenemos reconocido en todo el mundo.

¿Cómo nos consideramos como consumidores? Mucho tendría que decir la industria del vino, pero en general yo creo que somos unos consumidores maduros (no sólo por la edad 😉 ). Casi todos nosotros cuando pensamos en una buena comida, directamente la asociamos regada por un buen vino (soy un asturiano un tanto atípico en esto, ya que prefiero el vino a la sidra) y si queremos celebrar algo o nos invitan a casa de un amigo, una de las primeras cosas que nos pasan como detalle, es una botella de vino.

¿Pasará igual alguna vez en este mercado que cuando se vaya a pensar en un servicio, una solución, la creación de una nueva empresa o la definición de un nuevo objetivo corporativo uno de los parámetros valorados sea la seguridad? No comentemos ya la situación del usuario final. Queda mucho aún que avanzar en el camino de la inclusión de determinados aspectos de la seguridad como parte de la formación básica de cada indivíduo. La mayoría sabemos que no debemos saltarnos un semáforo en rojo, no sólo por la multa, la reducción de puntos, etc. sino porque probablemente se cruce otro vehículo y tengamos un accidente, que puede llegar a ser mortal…

Estaba hace un par de días en una presentación en “petite comité” de un conocido proveedor de productos de seguridad escuchando las excelencias y claves diferenciales de sus productos respecto a la competencia, la innovación que ellos presentaban, lo importante que era la seguridad para ellos y los muchos años de experiencia que cargaban a su espalda, las importantísimas y secretísimas referencias con que contaban a nivel mundial, cuando tras un par de horas de charla, les pedí que como ejercicio me propusiesen una arquitectura modelo de ejemplo con sus productos.

Cuál fue mi sorpresa, cuando tras un intercambio de miradas entre las dos personas del proveedor (de alto nivel, su más alto técnico y su representante en Iberia), me comentaron: “¿Te sirve si te presentamos la red de ALMENDROYOS?”, donde ALMENDROYOS debe sustituirse por el nombre de un importante banco, con presencia internacional y mucha visibilidad en los medios. Yo, que soy de natural “conformista”, asentí encantado de que durante los siguientes 15 minutos me presentasen con pelos y señales las arquitectura y topología existente en España de ese cliente suyo, qué dispositivos tiene y dónde, por qué están ahí y su funcionalidad y otros detalles adicionales muy interesantes.

“¿Es algo así lo que querías?”- me preguntaron – , a lo cuál yo respondí asintiendo y agradeciendo su “esfuerzo”.

¿Debo decir algo más? ¿Aplica aquello de haz lo que yo diga, no lo que yo haga? ¿lo incorporaríis vosotros a vuestro catálogo de fabricantes? ¿tenéis alguna anécdota parecida?

¡Tremendo! 😛

No, no me estoy refiriendo a coches de juguete o maquetas. Existe al menos una empresa que ofrece servicios para controlar de forma remota tu coche (o flota de coches). Desde arrancar o parar el coche, cerrarlo o abrirlo, saber a qué velocidad va, localizarlo, cortar la inyección, etc. Todo esto vía satélite.

Ofrecen aún m´s facilidades, ya que puedes controlarlo por teléfono, con SMS o desde Internet. Tienen un portal con autenticación por usuario y clave desde que los usuarios pueden controlar su vehículo.

En ninguna parte de su web incluyen como característica algun tema de seguridad, lo que me da causa cierto pavor al pensar que alguien pueda obtener las credenciales de uno de los usuarios… ya no voy a pensar en el uso de técnicas de ingeniería social… con lo fácil que es obtener un usuario y una clave… y su formulario no tiene métodos de bloqueo por número de intentos fallidos… buff… me estoy mareando, ¿Me estaré volviendo algo paranoico?

Seguimos con los robos esta semana. Esta vez ha sido en Japón. Tres indivíduos han robado un bloque de oro de 100Kgs valorado en 2 millones de dólares a plena luz del día por el método de “coge el bloque de oro de 100Kgs y corre”.

Y es que el museo donde estaba el “bloquecito” había decidido no implementar ninguna medida de seguridad física para que la gente pudiese tocarlo (claro!, quién se iba a llevar un bloque de oro de 100Kgs, ¿verdad?).

Los “espabilados” entraron encapuchados, cogieron el bloque y se lo llevaron. Una pobre empleada intentó evitarlo, pero la apartaron de un empujón. En ninguna parte hablan del aspecto físico de los “atacantes”, pero desde luego tenín que ser “de buen porte”, ya que la escena de 3 tipos cogiendo un bloque de 100kgs de oro y echando a correr podría pertenecer tranquilamente a una película de Mel Brooks. ¿Serín japoneses? 😉

No sé, pero viendo las últimas noticias, habrá que pensar el pasarse al “lado oscuro”… yo de momento he empezado a hacer pesas 😉 … por si acaso 🙂

De vez en cuando incluiré por aquí alguna referencia a utilidades o herramientas que puedan ser interesantes para los profesionales de la seguridad de la información.

Hoy le toca el turno a M0n0Wall, un firewall que ocupa menos de 6Mb en una compact-flash o en un CD-ROM y que incluye:

– Todos los componentes encesarios de FreeBSD
– ipfilter
– PHP (CGI version)
– mini_httpd
– MPD
– ISC DHCP server
– ez-ipupdate (for DynDNS updates)
– Dnsmasq (for the caching DNS forwarder)
– racoon (for IPsec IKE)
– UCD-SNMP
– choparp
– BPALogin

Es un sistema ideal para utilizar en maquetas, ya que además de firewall, incluye también, entre otras cosas, gestor de tráfico (traffic shaper), soporte wireless, etc. Muy interesante y fácil de utilizar para simular un entorno de WAN (con ancho de banda, retardos, % de paquetes partidos, etc.).

Por sus características y pequeño tamaño, tiene multitud de aplicaciones, incluirlo en pequeñas “cajitas” para hacer un “appliance” que haga lo que queramos, etc.

Más información en su página web. A continuación un resumen de sus principales características (y todo, en menos de 6Mb!):

– web interface (supports SSL)
– serial console interface for recovery
– set LAN IP address
– reset password
– restore factory defaults
– reboot system
– wireless support (access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)
– captive portal
– 802.1Q VLAN support
– stateful packet filtering
– block/pass rules
– logging
– NAT/PAT (including 1:1)
– DHCP client, PPPoE, PPTP and Telstra BigPond Cable support on the WAN interface
– IPsec VPN tunnels (IKE; with support for hardware crypto cards, mobile clients and certificates)
– PPTP VPN (with RADIUS server support)
– static routes
– DHCP server and relay
– caching DNS forwarder
– DynDNS client and RFC 2136 DNS updater
– SNMP agent
– traffic shaper
– SVG-based traffic grapher
– firmware upgrade through the web browser
– Wake on LAN client
– configuration backup/restore
– host/network aliases

¿Quién da más?

Por lo que veo, uno de los mayores actos (o ataques) con éxito basados en ingeniería social: un CABALLERO (en mayúsculas) ha robado diamantes (120.000 kilates) en el banco ABN Amro en Antwerp por valor de 15 Millones de libras utilizando únicamente su encanto y bombones.

Esta es la parte de la seguridad que más me apasiona, ni firewalls, ni UTMs, ni IDSs, ni estándares de seguridad: nada puede con unos bombones y algo de encanto (y algo más probablemente). La ingeniería social, las personas, su trato, su engaño, ahí está el reto y el eslabón más débil de la cadena.

El caballero de pelo gris se hizo pasar por un hombre de negocios argentino de nombre Carlos Hector Flomenbaum. A partir de ahí según han confirmado: “No utilizó violencia. Unicamente utilizó un arma (su encanto) para obtener confianza. Compró bombones para el personal, era un hombre atractivo, se hizo del agrado de los empleados [y empleadas, añado yo], consiguió las llaves originales para hacer copias y obtuvo información sobre dónde estaban los diamantes”.

Segun parece, la policía cree que podría haber estado planeando el robo durante más de un año y posiblemente es el mayor robo de la historia realizado por una sola persona.

Hay una recompensa para quien lo encuentre de 1,37 Millones de Libras (aunque estoy seguro que tambien lo engatusará…. o no?).

Fuente: The Register

El Internet Crime Complaint Center del FBI (IC3) acaba de publicar el informe del 2006 sobre incidencias y crímenes en Internet. Nada nuevo que no esperemos ya: principal fuente de fraudes desde Internet (web y correo electrónico principalmente), continuan los fraudes con cheques, la cantidad defraudada se ha incrementado desde el año pasado…

Dos conclusiones llaman mi atención (jocosamente):

1. Los hombre “gastan” más que las mujeres (para mí eso es nuevo 😉 ), aunque claro, se refieren a que son “más defraudados” que ellas … (probablemente ellas puedan decir muchas cosas sobre otro tipo de “defraudación” 😉 ).

2. El importe de media más algo en las estafas o fraudes corresponde a la conocida “Carta Nigeriana” (5.100$ por fraude).

Como guiño, y gracias a mi amigo Nacho receptor habitual de estos fraudes 🙂 , este tipo de estafa es cada vez más elaborada. La última que ha recibido no se hace pasar por una mandatario o banquero Nigeriano, sino por un representante de un conocido ex-alcalde de Marbella, ahora en prisión que necesita “liberar” una cierta cantidad de fondos… Un trabajo excelente, perfectamente documentado, cono referencias a noticias reales en medios de comunicación reales, etc. Sin duda, un “pobre hombre” de Connecticut que reciba algo así y empiece a investigar sobre la veracidad del individuo, verá que es cierto….

… lástima que la persona que firmaba el mensaje no era José Francisco López o similar, sino un tal Nbdele Nekngo (aunque me consta que hay una versión posterior en la que ya lo firma una tal Maite Zaldibar…)