31 de diciembre de 2008

Una puerta que se cierra es una puerta que se abre.


Feliz año nuevo a todos, que vuestros mejores deseos se hagan realidad.
Un abrazo.

29 de diciembre de 2008

De Virus y Ordenadores Domésticos Seguros

En estas fechas tan señaladas quien más quien menos se toma unos días de descanso. En eso me encontraba yo cuando me llamaron por un ordenador “maligno” que se había vuelto hostil hacia su dueño. Rápidamente me presenté en la escena del crimen, donde un año atrás había dejado un XP SP2 con el Spyboot, el Firewall activado y los programas justos para no encontrarme sorpresas.

El panorama fue desolador, no era posible ni pasar de la pantalla de login, al teclear el usuario y la pass directamente te mostraba la ventanita de salir de Windows (¿??¿). Los modos a prueba de fallos y símbolo de sistema tampoco funcionaban (¿?). No quedaba más remedio que acudir al rescate por medio de un live! CD o un USB autoarrancable, aquí como siempre nuestro amigo el Hiren’s Boot nos puede echar una mano.

Identifiqué entre otros a los:

Replicados hasta 32 veces. Se me cayó la cara al suelo, en 1 año rara vez recibo / detecto más de 2 – 3 virus, supongo que el tener todo actualizado gracias a programas como Secunia PSI, sospechar cuando recibo correos invitándome a espiar a mis contactos del msn, utilizar Windows Vista SP1 en lugar XP SP2-SP3 o mantener un antivirus gratuito actualizado es demasiada Sensibilización y roza la paranoia (de trabajar sin ser administrador, mejor no hablamos).

Es más fácil pensar que Windows = Caca, que Linux es lo mejor (solo para frikys claro) y que es obligatorio formatear 1 vez al año. Mientras tanto, ¿a quién le interesan nuestros datos?, ¿Qué van a querer de mi?, pues nos lo contó Symantec a principios de año, decía que depende, pero una cantidad con la que nos podíamos pagar las copas esta nochevieja:

Pero ya sabeis que los mismos que hacen los virus son los que venden antivirus, y que no existen mafias en Internet, etc. Somos nosotros los alarmistas, que hay que garantizarse el empleo y sueldo en 2009 ;-).

Salu2!

25 de diciembre de 2008

IT Governance

Por una vez y sin que sirva de precedente (que luego os acostumbráis), voy a hacer una entrada en un día tan especial como hoy. Por que es quizás ahora, cuando has pasado buenos momentos con la familia, amigos, alejado del caos de la ciudad, cuando puedes repasar con calma algunos aspectos de tu vida (trabajo incluido) y reflexionar.

Me encontraba estos días repasando unas Normativas que tenía que actualizar, junto con unos Procedimientos a redactar de 0 y pensaba… desde luego los “Seguratas” tenemos nuestra propia pirámide de Maslow, Políticas, Normativas, Procedimientos, Controles, etc. etc. y lo que está claro es que la Ley de Murphy se cumple en ella.

Una política “mal redactada”, una Normativa ambigua, un procedimiento que no contempla responsabilidades en determinadas situaciones y… empiezan los problemas. ¿Qué significa que los usuarios se autenticarán mediante usuario y contraseña?, ¿Cómo serán los identificadores de esos usuarios?, ¿Qué consideraremos una contraseña robusta?, Y si tengo un usuario máquina, ¿también tiene que autenticarse?. Como imaginareis y seguramente habréis vivido en vuestras carnes (los administradores de sistemas, seguro), no tener claras estas cosas tan sencillas pueden provocar conversaciones de besugo y jaquecas prolongadas, amén de riesgos mal cubiertos, o incorrectamente asumidos.

¡Claro que no es la parte más divertida de la Seguridad Informática! Te enfrascas a redactar con tu sublime prosa documentación y piensas en hacer “Hacking documental” a ti mismo previendo casos no cubiertos, interpretaciones erroneas etc. Pero está claro que es el comienzo de todo lo demás, es vital Gobernar la Información, definir qué vamos a hacer con ella, es sin duda uno de nuestros activos más importantes y… por desgracia, si no lo hacemos bien no se cumplirá la Ley de Gary (esta me la he inventado yo), donde todo será un camino de rosas y lo que puede salir bien,,, ¡saldrá bien!, sino que vendrá el tito Murphy a darnos donde más nos duele. 

COBIT es sin duda el manual de referencia si queremos coger el timón del barco de la información, va por su versión 4.1 y es descargable directamente desde la página de Isaca, vieja compañera de aquellos que estéis certificados como CISA o CISM.

Creo que me voy por un polvorón… mientras tanto, ¡Gobernad!, el 2009 se avecina y… tiene buena pinta, ¿o no? ;-)

Salu2

17 de diciembre de 2008

Navidad (Segura)

Nos vamos acercando a esos días en que se puede comenzar a hacer balance de 2008. Personalmente ha sido muy interesante, entre otras cosas por que he aprendido un montón, y aparte he podido compartirlo. Creo que ese era el espíritu que trataba de lanzar y –lo más difícil– perpetuar, cuando allá por el mes de Mayo os hablaba de mis primeras andaduras en este mundo.

Mis comedoras de cabeza con Citrix, con getAccess, con ControlSA, tecnologías VPN de Juniper, etc. han sido cuantiosas, hace poco se repitió esa sensación cuando en unas reuniones me hablaron de Provider-1, de unos IDS de Checkpoint y de no se cuantas cosas más. Eso es algo que siempre me proporciona una gran satisfacción por que APRENDO, luego me desarrollo personalmente realizando mi profesión. Me siento todo un afortunado, lo confieso. Para quien piense que está leyendo alfabeto etrusco le diré que Provider-1 es a groso modo un sistema de Check Point de correlación de eventos en nuestra red, alertas, etc. Los IDS de Checkpoint son un sistema de detección / prevención de intrusiones en la red, algo que nos garantiza que los ataques tanto entrantes como salientes sean bloqueados, ya sean SQL Injection, XSS, o la propagación del último gusano.

Todo esto he tratado (y trato) de ir transmitiéndolo un poquito en el blog, sin hablar chino para los no tecnólogos, y sin parecer aburrido para los frikys, en ese equilibrio imposible que me gusta alcanzar, es posible que no contente completamente a nadie, pero supongo que es mi estilo personal.

Para el 2009 trataré de mantener una media de 10 entradas al mes, donde seguramente os contaré los caminos al CISSP del cual espero certificarme a la primera oportunidad que tenga (me interesa más que CISA, CISM u otros, también os contaré por qué). También para comenzar el año fuerte espero asistir a las Jornadas de la Agencia Española de Protección de Datos el 28 de Enero y el Up to Secure que Microsoft organiza en Madrid, por que para entonces espero que las vacaciones Navideñas hayan hecho su trabajo, el 2009 nos traiga como mínimo lo de 2008 y podamos estar por aquí para contarlo.

Y como la Navidad es para jugar, y no para probar el parsing de etiquetas XML en la libreria mshtml.dll de Internet Explorer 7 para explotar esta última vulnerabilidad, os dejo un juego al más puro estilo de esta época:


http://turbonavidad.com/

Felices Navidades…¡Seguras!

11 de diciembre de 2008

Laboratorio Forense

Parece que nuestros Análisis Forenses están más de moda que nunca, publica El País un par de artículos relacionados con evidencias electrónicas y el lío que muchas veces se hacen los propios magistrados a la hora de obtenerlas, que si debe hacerse en el juzgado, que si tiene que haber alguien mirando (que no se enterará de nada claro), etc.

Todo ello nos lleva a la cuestión que ya existe en otras disciplinas, Metodología, Regularización, Normativa, etc. ¿Acaso para levantar un cadáver no es preciso que un juez se presente siempre en la escena del crimen? Evidentemente no digo que este caso sea similar, habrá que seguir el procedimiento correcto. Esto está bien pero, ¿cuál es? En el artículo se puede ver que AENOR está trabajando ya en algo, también descubro la existencia de una asociación española de evidencias electrónicas (AEDEL), cosa que a uno le produce un… ¡ya está bien!, ¡la gente comienza a preocuparse!

La ISO 17025:2005 arroja un poquito de luz en nuestros análisis forenses. Habla largo y tendido de cómo debe ser un laboratorio, cómo calibrar, etiquetar, que procedimientos seguir. Como estamos en una época mitad de vacaciones, mitad de arduo trabajo, aprovecharé algunos de los párrafos que escribí en mi PFM de Análisis Forense para introduciros en esta ISO desconocida para la mayoría, y de paso no dejar muy parado el blog:

***************************

La ISO / IEC 17025:2005, también conocida como “Requisitos generales para la competencia de los laboratorios de ensayo y de calibración” puede parecer a simple vista bastante lejana a la Informática Forense, nada más lejos de la realidad, resulta lógico la necesidad de un laboratorio para poder investigar y trabajar con elementos que muy posiblemente estén implicados en asuntos legales, todo debe estar controlado al milímetro para evitar manipulaciones, errores no deseados y negligencias. Esta norma establece los requisitos generales para la competencia en la realización de ensayos o pruebas, calibraciones y muestreos, ya sea utilizando métodos normalizados, métodos no normalizados o métodos desarrollados por el propio laboratorio. La misma comienza hablando del factor más importante a la hora de ponerse a trabajar:

Gestión del laboratorio
Para llevar a cabo la gestión de un laboratorio de Análisis Forense es principal que el laboratorio tenga responsabilidad legal como un todo o como parte de la organización a la que pertenece. Siendo imperativo que se definan las responsabilidades y el sistema de gestión del mismo tanto dentro como fuera de sus instalaciones –habrá ocasiones en las que tendremos que trabajar fuera-, por ello el laboratorio debe disponer de personal directivo y técnico que independientemente de otras responsabilidades esté encargado de disponer, establecer, implementar y mantener las políticas y procedimientos que aseguren la protección de la información confidencial y los derechos de propiedad de sus clientes así como procedimientos para la protección del almacenamiento y la transmisión electrónica de los resultados. Mención aparte merecen las políticas de sistema de gestión concernientes a la calidad, incluida una declaración de la política de la calidad definida en su manual correspondiente, esta política y las anteriores debe ser emitida bajo la autoridad de la alta dirección, incluyendo como mínimo el compromiso de la dirección del laboratorio con la buena práctica profesional, el propósito de que todo personal será conocedor y estará familiarizado con la documentación del laboratorio y el compromiso de la dirección de cumplir la Norma Internacional y mejorar continuamente la eficacia del sistema de gestión.

La normativa define muchas otras actividades de control de cambios, revisión de pedidos y ofertas, contratos, etc. Que alargarían en demasía este documento, seguiremos centrándonos en las partes más relevantes a nuestros intereses, ya se sabe que la misma está disponible y resultará mejor, en caso de querer un análisis más exhaustivo acudir a la misma fuente.

Control de registros
Registrar, apuntar, clasificar, evaluar, todas estas palabras dan una idea de la cantidad de control y organización necesaria en el laboratorio. Este debe establecer y mantener procedimientos para la identificación, la recopilación, la codificación, el acceso, el archivo, el almacenamiento, el mantenimiento y la disposición de los registros de la calidad y los registros técnicos. Los registros de calidad incluirán informes de las auditorías internas así como las revisiones de la dirección con acciones preventivas y correctivas.
Los registros técnicos deben ser conservados un tiempo prudencial, los registros de las observaciones originales, de los datos derivados y de información suficiente para establecer un protocolo de control que, pasado un tiempo de la realización de una investigación nos permita saber que personal realizó la investigación, que material usó, fechas concretas así como cualquier dato relevante a la investigación en concreto.

Requisitos técnicos de personal y de instalaciones
Al realizar un análisis resulta crucial el concepto de “repetibilidad” es decir, que si habíamos realizado un procedimiento que nos llevó a un descubrimiento, al esclarecimiento de un caso, podamos volver a hacerlo obteniendo los mismos resultados, este factor es determinante para poder presentar ante un juez una determinada prueba en el informe de un perito judicial.

En alas de preservar esa repetibilidad nuestro laboratorio forense deberá presentar unas características particulares que determinen la exactitud y confiabilidad de los ensayos o de las calibraciones realizados. Los factores influyentes pueden venir de:

- Factores humanos.
- Instalaciones y condiciones ambientales.
- De los métodos y la validación de los mismos.
- De los equipos.
- De la trazabilidad de las investigaciones.
- De la manipulación de los objetos de investigación.

Por todo ello resulta comprensible que la dirección del laboratorio asegure la competencia del personal que opera con los equipos, evalúa los resultados y firma los informes. Ni que decir tiene que si se emplea personal en formación el mismo debe tener una supervisión apropiada, para el resto de personal se le exigirá una base de educación, formación, experiencia apropiada y habilidades demostradas según sea requerido.

En cuanto a las instalaciones deben poseer las condiciones idóneas de energía, iluminación y condiciones ambientales que faciliten la realización correcta de las investigaciones, asegurándose en todo momento que dichas condiciones no invaliden los resultados ni comprometan la calidad requerida de las mediciones. Esto puede parecer utópico pero a poco que imaginemos un laboratorio forense, aislado del resto de departamentos, en el cual no se controla la humedad adecuadamente y un dispositivo de almacenamiento magnético pierde información vital para la investigación que puede dar al traste con cientos de horas de trabajo y con el proyecto. No se trata de ponernos en el peor caso, se trata de estar preparados para lo esperable y para lo que no lo es, en la medida en que se pueda. Por ello estas condiciones ambientales deberán ser especificadas, aplicarse los métodos y procedimientos correspondientes para que nunca puedan influir en la calidad de los resultados. Presentándose especial cuidado en:

- Esterilidad biológica.
- Polvo.
- Interferencia electromagnética.
- Humedad.
- Suministro eléctrico.
- Temperatura.
- Ruido y vibración.

Todo ello en función de las actividades técnicas en cuestión, es muy importante adaptar la normativa a nuestras necesidades, para ello es redactada de forma general, según definamos el alcance que nuestras investigaciones forenses tendrán, así se definirán y aplicarán los métodos y procedimientos acordes, todo ello sin olvidar el punto de vista del cliente, de forma que se satisfagan sus necesidades y conforme a los criterios de calidad internos y que la normativa internacional tiene vigentes.

Control de datos y equipos

Hasta ahora parece que todo sigue la lógica que la importancia y privacidad de nuestro trabajo requiere, se trata de trabajar sistemáticamente, minimizando las fuentes de riesgos detectadas, pero para hacer esto nos falta la presencia de los necesarios controles que garantizan el cumplimiento de la norma y los procedimientos establecidos. Estos controles cuando hablamos de datos se refieren a que el cálculo la transferencia de los mismos deben estar sujetos a verificaciones llevadas a cabo de forma metódica. El laboratorio debe asegurarse que el software desarrollado por el usuario esté documentado con el suficiente nivel de detalle y que ha sido validado convenientemente. A su vez deben implementarse procedimientos para proteger los datos preservando la integridad y confiabilidad así como garantizando su almacenamiento transmisión y procesamiento. Algo similar ocurre con los ordenadores y equipos automatizados, los mismas deben llevar el mantenimiento que asegure que funcionan adecuadamente así como que se encuentran en las condiciones ambientales y de operación necesarias para preservar la integridad de los datos con los que trabajan.

En ayuda de todo esto conviene el establecimiento y redacción de un inventario que clasifique unívocamente todos los activos, tal como establece la ISO 17799 un inventario de activos ayuda a garantizar la vigencia de una protección eficaz de los recursos siendo, además, la base de los procesos de gestión de riesgos, ya que a partir de éste se asignarán niveles de protección proporcionales al valor e importancia de los activos. De igual manera, un inventario de activos es un factor crítico de éxito para un gran número de proyectos de seguridad. Por ello se considera de suma importancia conocer con exactitud los activos presentes en una entidad (en este caso concreto hablamos del laboratorio, pero esto debe extenderse a toda organización), así como su correcta clasificación. Este conocimiento debe comprender desde los sistemas para el tratamiento de información, hasta la información propiamente dicha, incluyendo todos los soportes no informáticos como pudiera ser el papel.

Informe de resultados

Llegado este punto nuestro laboratorio dispone de las directrices generales para comenzar a trabajar según la norma, ahora bien, ¿qué ocurre con los resultados de nuestra investigación? Si estamos trabajando como peritos informáticos, deberemos adaptar nuestro informe al de un dictamen pericial, si nuestro cliente es privado trabajaremos de acorde al contrato que se llegó y a lo que el esperaba obtener de nuestros servicios, sea la prueba del incumplimiento de la normativa interna de un empleado, o cualquier otro. En todo caso resulta imprescindible recordar que todos los resultados deben ser informados de forma exacta, no ambigua y objetiva, sobretodo al hablar de peritaje, es el llamado código deontológico del perito. Estos resultados incluirán toda la información requerida por el cliente y necesaria para la interpretación de los resultados de la investigación, aquella que no sea necesaria para el cliente deberá ser almacenada internamente y estar accesible para un futuro. Toda esta información, archivada por nosotros deberá contener al menos los siguientes puntos:

- Nombre y dirección del laboratorio.
- Identificación única del informe de ensayo.
- Nombre y dirección del cliente.
- Identificación del método utilizado.
- Descripción, condición e identificación unívoca de los objetos analizados o utilizados.
- Fecha de recepción de los objetos sometidos a investigación cuando ésta sea esencial para la validez y la aplicación de los resultados.
- Los resultados de las investigaciones.
- El nombre, funciones y firmas o identificación equivalente de las personas que autorizan el análisis forense.
- Cuando corresponda una declaración de que los resultados sólo están relacionados con los objetos analizados.

***************************

Especialmente interesante el concepto de "repitibilidad". Esto es todo por hoy, espero que os haya gustado.

¡Salu2!

9 de diciembre de 2008

Abusos Informáticos

Aprovecho la vuelta de vacaciones para traeros un poco de humor, en estos días que tanto se habla de la regulación de los Ingenieros Informáticos, recordar este video del Camera Cafe me ha sacado una sonrisa:



Si tu ordenador es gris! El gris afecta al merkel de la red, y se nos cae el sistema!!
Por otro lado, y ahora en tono más serio, leo en huelgainformatica algunas "novedades" que nos afectan:
1º- El ministerio de Educación ha aprobado que entre las atribuciones de la especialidad de TECNOLOGIA esté la informática, cuando en sus temarios de oposiciones sólo aparecen algunos temas de informática. Además, en ESO/bachiller los catedráticos de instituto de MATEMÁTICAS podrán impartir informática. ¿Esta es la calidad de enseñana que va a dar el Gobierno? BOE
2º- Algunas universidades como la de Extremadura ya dicen explícitamente que habrá que cursar asignaturas y la realización de un proyecto para que a las personas que tengan los actuales títulos se les conceda los futuros títulos de grado y master. Colegio Oficial de Ingenieros Informáticos de Extremadura. El ministerio de Ciencia debería defender una convalidación directa. ¿Cómo se puede proponer algo de ese tipo?
3º- El director General de Administración Autonómica de Valencia ha realizado una resolución por la que se modifican ciertos puestos informáticos. La resolución elimina la titulación Informática como requisito expreso para las plazas de Ingenieros Informático de Grupo A, mientras que se incluye explícitamente la titulación de telecomunicaciones como requisito para acceder a ese tipo de plazas. De este modo, un titulado Ingeniero de Telecomunicación que ocupe una plaza en la Generalitat se puede presentar a un concurso para los puestos "Analista de Sistemas Físicos" y "Técnico de Sistemas Físicos", mientras que no podría hacerlo un Ingeniero Informático. Esto supone que un Ingeniero en Telecomunicación adquiriría la "condición" de Informático de Grupo A, lo que le permitiría acceder a concurso de plazas de "Técnico de Sistemas Lógicos" y "Analista de Sistemas Lógicos", a las cuales no podría haber accedido con su titulación. Colegio Oficial de Ingenieros Informáticos de la Comunidad Valenciana. ¡¡Por dios!!, Valencia el 18-D en la calle!!!

Quedémonos con el video y sigamos reclamando lo que nos corresponde por derecho.

Un saludo!

5 de diciembre de 2008

Holidays

No, no he muerto, de hecho estoy más vivo que nunca.

Me fuí sin avisar (había unas ganas ya), pero volveré pronto.

Aviso ;-)

Salu2!

27 de noviembre de 2008

Pupurri

Varios apuntes rápidos:


1) En FIST colgaron hace unos días las presentaciones de las conferencias que vimos, son las siguientes:

2) En Panda Labs han hecho un curioso gráfico que explica la relación malware - mercado negro, recordándonos que esto es algo más que una peli de Indios - Vaqueros:

3) Finalmente, y para despedirnos con una sonrisa, me encuentro esto en el blog de f-secure.


Lo dicho, There's no place like 127.0.0.1

Salu2!

25 de noviembre de 2008

Virtual RAM Dumping

El SO hospedado podría ser accedido desde el anfitrión para realizar el volcado de memoria, de la misma forma que lo haría la tarjeta PCI de la solución propuesta. ¿Pero es posible hacerlo con las herramientas disponibles a día de hoy? Yo no conozco ninguna... ¿y vosotros?”

En el último post se analizó el RAM Dumping que Silverhack nos enseñó en las conferencias FIST de hace unos días. Vimos la problemática asociada a la extracción de memoria RAM de un equipo comprometido sin alterar la misma, y como la solución no es ni mucho menos trivial. Ahora bien, la solución no es para nada trivial y era preciso acudir a hardware externo que tomase el mando de la CPU y el bus RAM para hacer el volcado sin poner en peligro la integridad original.

Fue en ese momento cuando se planteó el qué podía ocurrir en servidores virtuales o entornos virtualizados, y fue ahí donde Lobosoft nos propuso su idea. Efectivamente esa alternativa venía contemplada en el paper que referencié:

If a system running in a virtual machine is compromised, the memory and disk contents can be saved by suspending the virtual machine and making copies of the files that correspond to the memory and disk areas of the virtual system. Some existing virtual machines save the disk and memory contents in a raw file and others save them in a proprietary format.”

Es decir la solución que proponen es pulsar el cuadradito rojo de VMWare y suspender de golpe la máquina virtual, no desde el sistema operativo virtual. Podremos hacer las copias pertinentes de esos archivos y analizarlas, herramientas como enCase permiten abrir y analizar estas imágenes. Sin embargo he tratado de ir más lejos, ¿Qué ocurre si ese malware es tan avanzado que detecta que se encuentra en un servidor virtual, detecta el "suspenso" y decide borrarse? Es una puerta que se encuentra abierta y que no podemos descartar a priori, aunque es el caso paranoico, pero para eso nos pagan ;-)

Bien, si observamos los archivos de cualquier máquina virtual tenemos:

Archivos de cualquier máquina virtual en VMWare.

Ahora bien cuando la arrancamos aparecen:

Mi XP Virtual tiene 256 MB RAM.

Donde se ha creado un archivo llamado VMEM con el tamaño exacto de la memoria RAM que se asignó a la máquina virtual en su creación. ¿Por qué no copiamos directamente este archivo y vemos que se puede sacar? Lo dicho, hacemos una copia (si fuera necesario calculamos los MD5, etc. pero eso ya es otro post) y probamos a utilizar algunas herramientas de RAM Dumping como el UserDump que vimos en el post anterior. Efectivamente, no funciona (no admite esos archivos como parámetro y esta pensada para ser ella la que realice los volcados), si utilizamos otras herramientas como Diagnostic Tool también tendremos problemas, no reconoce el formato del archivo. ¿Qué hacer? Bien, el archivo que hemos copiado ya es de por sí un volcado de memoria, o al menos ella misma, ¿Y si buscamos los strings?...¡Bingo! Ahí aparecen… Ahora la duda, ¿Serán los mismos que si lo hubieramos hecho dentro de la máquina virtual?

Arriba fuera de la máquina virtual, abajo dentro.

Pues no, cambian un poquito, aunque tienen cosas en común, ¿por qué? Muy sencillo, en la máquina virtual hemos hecho un dump de un proceso en concreto, en este caso firefox.exe, en la máquina real hemos hecho un dump de toda la memoria virtual, por ello cuando hacemos un find “firefox” anita.txt nos aparecen más cosas, lo que es un problema a la hora de detectar qué proceso fue el que hizo qué cosa (aunque se puede llegar a deducir) pero no es un problema a la hora de buscar en RAM, y sin alterarla, cadenas que nos lleven a obtener evidencias que apoyen nuestro dictamen.

Beneficios Virtualización = Beneficios Virtualización + 1;

Salu2!!

20 de noviembre de 2008

RAM Dumping!

Días antes de esta jornada de “huelga”, aunque quizás sería más correcto decir que de protesta, por que muy pocos han sido los profesionales que se han unido a la misma (por unas u otras razones). Comentaba como Silverhack nos había explicado cositas de Análisis Forense en memoria RAM. Los que veáis su blog periódicamente habréis visto que ya ha comentado como volcar un proceso en un fichero y como extraer las cadenas posteriormente. Mi idea inicial era explicar justamente eso, a modo de resumen se necesitaban tres herramientas que Microsoft proporciona gratuitamente:

El Process Dumper es una aplicación que permite volcar un proceso a un fichero en tiempo de ejecución y sin matarlo, tienen un setup de configuración muy básico:


Con esta aplicación escribiendo userdump –p tendremos la lista de procesos con su PID, si por ejemplo queremos extraer todo el contenido del firefox de PID 592 pondremos userdump 592. Con ello tendremos el volcado. Ahora toda extraer las cadenas de texto que todo proceso maneja, para ello la herramienta Strings nos ayudará. Escribiendo strings firefox.dmp > anita.txt tendremos todas las cadenas de ese fichero en otro de texto. Normalmente no se aconseja abrir los .txt con el blog de notas por que suelen ser de varios megas y tendremos problemas. Por ello es mucho más sencillo utilizar las herramientas find o findSTR y buscar cadenas como “password”, “clave”, “http” o lo que se nos ocurra, así obtendremos todo tipo de información que le navegador maneja muy jugosa :)



Un consejo para el manejo de estas aplicaciones, si no quereis tener que estar copiando y moviendo archivos basta con que añadais strings y userdump a las variables del sistema (si tenéis XP, en propiedades de Mi PC – Opciones Avanzadas) y así desde cualquier lugar del sistema las ejecutareis sin problema.

Cambiando un poco de tercio surgió el debate sobre Análisis Forense con estos volcados de memoria, surgió por varias razones:

  • Necesitas ser administrador de la máquina.
  • Alteras la memoria RAM.
  • No sirve como prueba en un juicio.

Los dos primeros puntos están claros, se puede volcar la memoria de una máquina en red, o mediante multitud de herramientas comerciales (enCase, Volatile Framework) y no tan comerciales (dd /DEV/ en Unix nos podría valer), sin embargo en caso de que sean herramientas del sistema nunca tendremos la garantía de que no hayan sido corrompidas por un rootkit u otros, si hibernamos el equipo (toda la RAM se vuelca al disco duro) corremos el riesgo de que sea detectado por el malware y aproveche para eliminarse. Aun con todo el hecho de volcar la RAM siempre implicará una modificación de la misma, de ello hay varios debates interesantes en Internet, es preciso recordar que una modificación de la RAM aunque sea en un bit implica una alteración de una prueba, y un abogado un poco perspicaz en el uso de las nuevas tecnologías nos la echará atrás fácilmente.

Ahora bien, el problema persiste, ¿cómo copiar una RAM sin alterarla? Repasando nuestros conceptos de Sistemas Operativos tenemos un problema grave, pues o paramos el procesador o la RAM se alterará continuamente, pero si lo paramos no podemos volcarla, es la pescadilla que se muerde la cola. Por suerte encontré un paper con una solución interesante, sus autores son Brian. D. Carrier y Joe Grand y en resumidas cuentas explica el problema y propone como solución incorporar una tarjeta PCI que detenga el procesador, tome el control del bus y sea capaz de ejecutar las instrucciones precisas para volcar la RAM:


El único requisito es que la tarjeta debe estar instalada previamente en la máquina. Lo que la hace interesante para servidores críticos.

Finalmente y para dejaros pensando un poco, ¿tendríamos este problema en Servidores Virtuales?

Salu2!

19 de noviembre de 2008

Por una Informática Digna

Los Ingenieros Técnicos e Ingenieros en Informática también la tenemos:

http://www.huelgainformatica.es/

19 de Noviembre --> Huelga "Por una informática digna"

18 de noviembre de 2008

Bruta Fuerza!

Vosotros, que dormís tranquilos pensando que la hoja de la guadaña se encuentra lejos de vuestro cuello...

Vosotros que pensáis aquello de “a mi nunca me pasará”, que percibís el riesgo como cosa de “otros” y circulais a 133 por que dicen que a 134 ya salta el radar...

Vosotros que aprovechais los 2x1 "Carrefour" para daros el atracón...

Vosotros que compartís la misma clave en todas vuestras cuentas por que total, tiene 8 caracteres y un par de ellos son cosas raras...

O decís, si pongo me fecha de cumpleaños, pero con el año, junto con las iniciales mi churry,,, y todo, ¿Quién va a caer en eso? Estos seguratas son unos paranoicos…

¡Incrédulos! Necesitáis ver para creer:




PD: Thanks partner por el link, curioso cuanto menos :)

16 de noviembre de 2008

FIST

Este fin de semana comenzó con las conferencias FIST, que se celebraron aquí en Madrid. Tuve la fortuna de poder asistir junto con varios compañeros de trabajo y ver a grandes profesionales hablando de los más variados campos de la seguridad:

  • Gonzalo Alvarez --> Cryptool
  • Vicente Aceituno --> Analisis de Riesgos en ISM3
  • Juan Garrido --> Análisis Forense en Memoria RAM
La cosa comenzó con un repaso de la criptología desde la época de los romanos hasta la actualidad a través de la herramienta educativa Cryptool, la cual es una buena baza si quieres aprender el funcionamiento de los principales algoritmos criptográficos del "ahora" y del "ayer".


Después el archi-conocido Vicente Aceituno (creo que fue de los primeros nombres del campo de la seguridad que conocí) nos mostró una metodología más de Analisis de Riesgos, en este caso la ISM3. La verdad que hay tantas metodologías de analisis de riesgos que era dificil el aportar algo nuevo. No obstante como síntesis de esta metodología resaltaré su esfuerzo por aportar un valor cuantitativo a los controles y métricas de seguridad de tal forma que aporten y generen información nueva. No que nos diga un "el riesgo de este activo es medio". Tuvimos la suerte de que uno de los presentes era uno de los redactores de la ISO 27005 por lo que surgió un debate interesante.

Finalmente llegamos a la charla más técnica. Juan Garrido hizo una fantastica demostración de analisis forense sobre memoria RAM donde en 50 escasos minutos nos habló de multitud de herramientas (windbg, NotMyFault, SystemDump, LivekD, Dumpchk, FindSTR, memparser, Volatools), de BlueScreens, de volcados y análisis de memoria RAM, de "integridad" de los ficheros, etc. etc. Llevaba aproximadamente 1 año sin asistir a una charla de análisis forense, pero la sensación se repitió de nuevo. Que cantidad de conocimientos de Sistemas Operativos, que soltura manejando decenas de herramientas, a ver cuando echo un rato... a ver si me pongo cuando tenga tiempo.. etc. Y aquí estaba, un domingo por la tarde cuando he dicho, ¡esto hay que contarlo! Por lo menos antes de que se olvide.

Espero poder profundizar lo aprendido en las proximas semanas y naturalmente, compartirlo con vosotros.

Salu2!

13 de noviembre de 2008

Tendencias TIC (2009)

Se puede profundizar mucho sobre lo que es una crisis y lo que realmente es una CRISIS. Hay quien pensará que actualmente pasamos una época de reajuste económico, otros que estamos en un desaguisado comparable al del 29, y otros que estamos ante una época de oportunidades (nueva filosofía energética, del sistema bancario, de políticas económicas). La verdad es que todos estamos equivocados y todos tenemos un poco de razón, aunque es fácil que si no nos vemos afectados directamente frivolicemos sobre el asunto sin ver la tragedia que surge detrás.

Esto es la Tecnología para el Negocio.

Nuestra profesión por suerte y por ahora no está especialmente afectada, siguen apareciendo el mismo % de ofertas de empleo que hace 1 año aunque quizás estemos (como todos) en peores circunstancias para negociar. No obstante estaréis todos de acuerdo conmigo en que la raíz de la crisis se encuentra en una palabra de moda, confianza, o la ausencia de esta. Uniendo hilos y siendo un poco perspicaces nos daremos cuenta que estudios como los que publican en IDG tienen incluso sentido. Los 5 campos del futuro en las TI para 2009 son:
  • Protección Antivirus.
  • Inteligencia de Negocio.
  • Gestión de Procesos de Negocio (BMP).
  • Continuidad y Recuperación frente a desastres.
  • Virtualización de servidores.
Vamos a tener trabajo, me parece a mi :-)

Esto se traduce en mayor seguridad (confianza), mayor alineación entre las TIC y el Negocio (ITIL), y mayor eficiencia en el uso de los recursos (menores costes). Sin duda tenemos un reto por delante que es necesario asumir, las TIC van a demandar mayor seguridad, de igual forma tendremos que aplicar seguridad en entornos a los que no estamos acostumbrados, entornos virtuales. Y para colmo tenemos a la vuelta de la esquina el “Cloud Computing”, donde ya veremos como Windows Azure y otros se defienden en este “nuevo” paradigma tecnológico. Todo ello mientras la Web 2.0 muestra nuestros datos por medio universo, Google se adueña del planeta y los usuarios quieren preservar su privacidad.

Creo que no nos vamos a aburrir.

Salu2!

11 de noviembre de 2008

WPA-PSK (TKIP) Owned

Hace unos días hablábamos de casos no contemplados y esta mañana me he despertado con uno de ellos. ¿Recordais el ataque Chop-Chop contra cifrados WEP? La suite de aircrack incluye en aireplay un ataque específico “Chop-Chop”, del cual podemos ver un ejemplo aquí.

Resumiendo mucho, este ataque eliminaba un byte de la trama cifrada con WEP y creaba un mensaje válido aplicando una modificación relacionada directamente con el byte sin cifrar. Korek fue el primer hacker en implementar este ataque por inducción. La metodología es sencilla, prueba y error hasta obtener el valor correcto de la trama descifrada (partiendo de ese primer byte que “cortabamos”). Los que habitualmente leéis a Security Art Work (sindicada en este blog) podréis ampliar la información con el proyecto de fin de carrera que Roberto Amado publicó a raíz de la “polémica” suscitada con la roptura de WPA2 valiéndose de GPUs que llegó a meneame, con lo que ello suele significar.

Bien, una variante del Chop-Chop ha permitido obtener una vulnerabilidad nueva en WPA-PSK (TKIP) que, como sabemos, es un WEP modificado que implementa muchas de sus funcionalidades para el cifrado (eso sí, corregidas). Esto ha provocado el primer ataque que no es por “fuerza bruta” ni de denegación de servicio contra WPA. Los requisitos para su ejecución son los siguientes:
  • La red a atacar debe usar TKIP (WPA).
  • IPv4 es necesario, a su vez es necesario conocer la mayor parte de los bytes de la dirección de red. Ejemplo: 192.168.1.X
  • El refresco de claves de TKIP debe ser alto (3600 segundos, indican).
  • La red debe soportar los atributos de QoS que marca el iEEE 802.11e (esto es lo más importante).

Voy a resumir muy brevemente el ataque, intentaré que sea de forma sencilla, por que es bastante complicado. El atacante esnifa tráfico ARP (aircrack los detecta por que tienen una longitud reconocida). Observando y conociendo la direcciones de red de origen y destino que no son cifradas, excepto el último byte (así está implementado) junto con los 8 bytes de MICHAEL y MIC (sirven para comprobar que el paquete no ha sido modificado) y el checksum del ICV y a sabiendas de que el comportamiento de TKIP rechaza los paquetes con:

  • ICV incorrectos.
  • MIC incorrecto à en este caso se asume que ha ocurrido un ataque, si hay más de 2 en 60 segundos se renegocian las claves.
  • TSC inferior al contador actual (WPA incorpora un contador de paquetes para evitar que los viejos sean reenviados, etc.)

Y, sabiendo que si un atacante realiza un ataque en un canal diferente al punto de acceso, por ejemplo, adivinando ese byte que habíamos cortado anteriormente y que está cifrado, el punto de acceso informará de que existe un error de MIC, pero no incrementará el TSC. Luego tras 60 segundos podrá probar otra combinación y, en 12 minutos descifrará 12 bytes de texto plano.

Con ello y realizando un ataque a la inversa al algoritmo MICHAEL el atacante puede obtener la clave MIC usada para proteger los paquetes que son enviados desde el punto de acceso al cliente.

Un lío, lo sé. Pero esto desencadenaría varias vulnerabilidades que harían desaconsejable WPA-PSK (TKIP). Se puede leer en el paper que existe una versión de aircrack que incorpora ya el ataque, pero todavía no está disponible, luego se puede entender conforme se refine este ataque y se creen los correspondientes exploits, que WPA-PSK (TKIP) se encuentra en la milla verde, a la espera de que alguien lo remate con un ejemplo práctico.

Dada la similitud con el Chop-Chop de WEP, no le doy mucho tiempo.

Salu2!

PD: Sé que este Post es muy técnico, pero casi todos los acrónimos utilizados pueden encontrarse fácilmente en Wikipedia, etc. Comprended que tardaría eones en explicarlas todas, y se haría demasiado pesada la entrada. No obstante con las referencias dadas a buen seguro el lector interesado en profundizar podrá hacerlo sin problema.

10 de noviembre de 2008

Virus Total

Happy Monday!!

Comencemos la semana con una web de “Favourite List”, no es ningún descubrimiento pero siempre bien recordarla (para algunos) o explicarla (para otros). Se llama www.virustotal.com y como su nombre parece indicar es un antivirus online, pero no el típico antivirus, sino una web que incorpora los motores de busqueda de los principales fabricantes de antivirus del mercado, vamos una barbaridad, son todos los siguientes:

La historia de buscar esta página surgió cuando no me podía creer lo que estaba viendo cuando aquel personaje que enjendró la idea que me llevó a escribir 5 post (Rosillo Project ) me mandó un troyano, lo analicé con Avast, con Trend, con Mcafee y … me eché a temblar. Lo había conseguido.
El peligro está ahí fuera.
Salu2!

9 de noviembre de 2008

Tirando mitos: El “pirata” informático

Los más perspicaces habréis notado una pequeña “remodelación” en el blog desde hace unos días. Se han incorporado dos RSS (sindicaciones Web) de las páginas de milw0rm y Security Focus. En las mismas se pueden ver los 3 últimos exploits publicados y las 3 últimas vulnerabilidades publicadas, aunque cómo habréis sospechado no van a la par ni corresponden la una (vulnerabilidad), con el otro (exploit), aunque están muy relacionados.

¿Habéis programado alguna vez? La mayoría estoy seguro que si, para los que no lo habéis hecho nunca programar es introducir una serie de ordenes al procesador para que las ejecute según nuestra necesidad. El ordenador como todos sabéis es tonto (o al menos el mío), por lo que hay que decirle todo paso a paso, y es más, cuando se le dice que haga algo y no puede –por falta de recursos, por que no sabe como, por que no habla tu idioma da error. ¿Qué ocurre en ese momento? Que el proceso que tenía en ese momento el control del procesador lanza una excepción y pierde el control, dando ese control a otro proceso, es una explicación bastante burda, pero estoy seguro que me entendéis. Os pongo un ejemplo:

Int a, b = 2;

Int c = 0;

a = a + b; (a = 2 + 2; a = 4)

a = a / c; (a = 4 / 0; a = error) à Excepción

En la mayoría de los casos el desarrollador ya tuvo en cuenta estas posibles excepciones, e incluía trocitos de código encargado de capturarlas y de emitir un error en pantalla, que en este caso sería un:

printf (“ Error de división por 0, la variable C no puede ser 0”)

En este caso ha quedado muy claro, son 4 líneas y es un error bastante común. Otro tipo de errores típicos son el buffer overflow, muy parecido al desbordamiento de pila , etc. etc. En todo caso son errores de programación por casos no contemplados (de ahí que diga que mi ordenador es tonto).

Una vulnerabilidad por tanto es un caso “no contemplado” (o si, pero que no se solucionó al fin y al cabo), y un exploit es un trozo de código que se aprovecha de esos casos “no contemplados” para provocar un error en un proceso, introducir su propio código y hacer lo que querramos, por ejemplo acceder a la consola de cmd del equipo atacado, lanzarle un Internet Explorer, o provocarle una denegación de servicio.

Por tanto un pirata informático es una persona que, teniendo grandes conocimientos de sistemas operativos, programación, etc. descubre algunos de estos “casos no contemplados” para provocar errores en el software, y adueñarse de otros sistemas (las motivaciones pueden ser muy diversas claro). A decir verdad es difícil ser pirata, hace falta bastante dedicación, estar un poco loco, y ser muy inteligente, por eso considero que se pueden contar con una o dos manos el número de verdaderos "piratas" que hay en el mundo. El resto se basa (nos basamos) en el trabajo de terceros, vemos exploits que otros han desarrollado, probamos vulnerabilidades que nos han contado en la carrera en nuestros propios desarrollos, o cosas parecidas. Para colmo hoy en día todo está automatizado, ya sea Nessus, ya sea Nmap, ya seas Paros Proxy, ya sea Metasploit:

Metasploit: Somos malotes y lo sabemos!

Pero de este hablaremos en próximos capitulos!

Happy Sunday!

7 de noviembre de 2008

Corolario al PGP: Firma Digital

Como corolario a lo visto anteriormente en el PGP , y adentrándonos más en materia legal, la Ley 59/2003, de 19 de Diciembre de Firma Electrónica introduce algunos conceptos de especial relevancia sobretodo en los trámites con administraciones públicas, en tratados comerciales por Internet, etc. Destaco especialmente:
Artículo 3: Firma electrónica, y documentos firmados electrónicamente.
  1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
  2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
  3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
  4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
  5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente.

Como vemos se hace mención específica a la firma digital que preserva la identificación del firmante (demuestra su autenticidad, preserva el no repudio) y la firma electrónica avanzada que añade el atributo de integridad a lo firmado, es decir se asegura que el documento electrónico no ha sido modificado, de igual forma parece dar más importancia a los medios o sistemas con los que el firmante hace uso de la firma digital, y que esos medios o sistemas no hayan sido manipulados o tergiversados por terceros. Finalmente el punto cuatro le proporciona equiparación legal a la firma electrónica reconocida con la firma manuscrita. ¿Qué se precisa para que una firma electrónica esté reconocida? La ley lo especifica así:

Con ello se aclara que no basta con la firma electrónica avanzada para la equiparación con la firma manuscrita; es preciso que la firma electrónica avanzada esté basada en un certificado reconocido y haya sido creada por un dispositivo seguro de creación.”

Aquí es donde entran en juego certificados digitales, entidades de certificación:

Artículo 6. Concepto de certificado electrónico y de firmante.

  1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
  2. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.

Y lo que es más importante, ¿en qué casos se puede suspender un certificado digital y por tanto considerarse no válido?

Artículo 9. Suspensión de la vigencia de los certificados electrónicos.

  1. 1. Los prestadores de servicios de certificación suspenderán la vigencia de los certificados electrónicos expedidos si concurre alguna de las siguientes causas:
    a) Solicitud del firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona
    jurídica.
    b) Resolución judicial o administrativa que lo ordene.
    c) La existencia de dudas fundadas acerca de la concurrencia de las causas de extinción de la vigencia de los certificados contempladas en los párrafos c) y g) del artículo 8.1.
    d) Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.
  2. La suspensión de la vigencia de un certificado electrónico surtirá efectos desde que se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificación.

    ….

La extinción o suspensión de la vigencia de un certificado también hará que una firma electrónica sea no reconocida. Como imaginareis la casuística por detrás de la ley puede ser muy amplia, por tanto será de gran ayuda contar con un buen abogado / perito informático que nos apoye a la hora de presentarnos en un litigio, sobretodo para que no nos pase como al Cracker de Pontevedra.

Saludos legalmente inseguros!

6 de noviembre de 2008

Correo Electrónico Seguro

Hoy vamos a hablar de cosas básicas dentro del mundo de la seguridad, y una de ellas es el PGP, o Pretty Good Privacy, esta tecnología se asocia normalmente al envío de correos electrónicos, donde 2 entidades o más, a través de un sistema PKI, o de clave pública, permite cifrar y firmar un correo electrónico.

¿Y para qué vale esto? Pues esto vale para asegurar 2 puntos clave en la seguridad de la información, la confidencialidad (la información se encuentra salvaguardada de terceros, quienes no la podrán leer) y la autenticidad (quien me envía la información es quien dice ser qué es). ¿Cómo se asegura la confidencialidad? Sencillamente, cifrando (que no encriptando). ¿Cómo se asegura la autenticación? Pues igual que haríamos en cualquier trámite de la vida real, con una firma (más o menos), solo que en este caso la firma es especial, es una firma digital, algo que quien haya comenzado a utilizar el e-Dni le sonará bastante.

PGP se considera seguro, de hecho es utilizado para todo tipo de transacciones comerciales entre empresas, podemos probarlo si solicitamos una licencia de 30 dias de PGP Desktop aunque existen herramientas similares que en softonic por ejemplo podéis encontrar. PGP Desktop puede integrarse perfectamente con Outlook, Lotus, o cualquier cliente de webmail actuando como email proxy, si queremos ciframos, si queremos firmamos, si queremos, las dos cosas. Según la necesidad.

Veamos algunas imágenes de esta aplicación, que nos enseñarán un poquito su funcionalidad:
Key Settings de nuestra clave, por defecto la seguridad es aceptable (para estos tiempos), aunque nunca es recomendable poner una caducidad indefinida.


Podemos incorporar nuestra clave al keyring del Server de pgp



Se pueden establecer relaciónes de confianza con la clave pública de terceros, para ello debemos firmar dicha clave con nuestra privada.



Las políticas disponibles pueden cubrir todas nuestras necesidades.

Resulta de especial importancia el conocimiento del PGP para todo tipo de correos a los que querramos dar validez jurídica, validez para tratados comerciales, esto nos dará seguridad legal, además de confidencialidad en nuestro tráfico e-mail. Todo ello al alcance de la mano y de forma gratuita.

¿Merece la pena, verdad?

Salu2!

31 de octubre de 2008

Hoax ^2 (Hotmail)

No recuerdo la cantidad innumerable de contactos que he visto, o he conocido que tienen o han tenido un “¿Lo hizo? Averigualo en http://www.lohizo.com/, ¡averigua quien te ha eliminado! Ni la veces que he tenido que contarles la misma historia a todos, que no, que eso no vale para nada, ¿para que narices quieres saber quien te ha eliminado? Intentar explicarles un poquito sobre los “bulos” o “engaños” por Internet (en rompecadenas tenéis unos cuantos). Esta mañana abro el correo y… ¡sorpresa! La industria del malware ha desarrollado un nuevo y sofisticado código que es capaz de “espiar” a tus contactos y contarte que hablan con otras personas.
¡Un sniffer en toda regla! Lo mejor de todo es la publicidad que le dan:
El sitio es 100% gratuito, seguro, y muy f�cil de usar!

¡Vamos al sitiooooo!!!! Ahí vá, pero si es un blog de blogspot….


Jo, toy que no me aguanto por meterme

Hmmm, sospechoso,,, voy a ver el código html,,, ¡Anda, un redireccionamiento a otro sitio! Es algo así como http://xyzz.com/avisarcontactos_11.php y cuando lo abres te sale:



Hmmm, aquí se aplica aquello que decía mi madre…¡no hables con desconocidos!, ¡ni muchos menos les des tu password!

Tened cuidado, happy weekend :-)

PD: Mejor no abrir el .php no vaya a ser que nos tengamos que poner serios...

29 de octubre de 2008

Entrevista a Arius

Hacemos una breve pausa en el mundo de la seguridad, bueno no tanta, por que como veremos en los juegos on-line también hay problemas y vulnerabilidades. Hoy tenemos con nosotros a Arius, pro-gamer de Warcraft III y medalla de bronce en los últimos World Cyber Games en España:

GigA: ¿Puedes presentarte?

Arius: Me llamo David “Arius” Rodríguez. Tengo 19 años, soy de Cuenca y estudio en Aranjuez. Llevo jugando al Warcraft III desde el primer día que salió a la venta en el año 2002 y he sido miembro de varios de los mejores equipos de deportes electrónicos españoles. Actualmente estoy jugando en un equipo internacional, uPro Multigaming, con jugadores de varias nacionalidades, alemanes y rusos principalmente, junto a ellos participo en ligas conocidas como WPL, WHL, EAS, NPL, RPL, etc.


Vortix-Luci-Arius, los que leais Micromania os sonará la foto :)



GigA: Los que nos dedicamos profesionalmente a la seguridad, debemos inevitablemente seguir practicando al llegar a casa, aprender esta última tecnología, probar un exploit, estudiarnos ciertas técnicas de hacking… ¿El jugador profesional, hasta qué punto se divierte y hasta qué punto trabaja? Llamémosle LucifroN, o llamémosle Arius en su época de redCode, etc.

Arius: La diversión lógicamente es uno de los puntos fundamentales por los que sigo jugando a este juego después de siete años. Sin embargo también es cierto que cuando voy a algún torneo offline la dejo a un lado ya que cuando me estoy jugando dinero o algún tipo de premio solamente pienso en ganarlo porque soy competitivo al 100%.

GigA: Adentrémonos un poco más en este mundo, ¿qué factor psicológico hay en Warcraft III? Por ejemplo, yo cuando juego contra ti voy pensando,,, a ver por donde me salta, que este me la lía rápido!

Arius: El factor psicológico es muy importante cuando te vas a enfrentar a alguna partida vital porque para poder ganar necesitas estar concentrado, relajado, ser positivo y tener confianza en ti mismo. Solamente el hecho de que te haya ocurrido algo que te ha perjudicado en tu vida personal puede ser motivo para perder una partida ya que tu mismo no estás en lo que tienes que estar y cometes fallos que normalmente no deberías de tener.

Naturalmente hay que cumplir todas esas características cuando juegas partidas de 1vs1 con algo en juego o incluso 2vs2 en algún clanwars. Si por el contrario no te juegas nada no es necesario estar así porque entonces juegas para divertirte y para pasar el tiempo, no importa perder o ganar.

Algunos "surround" de estos WCG

GigA:La gente suele tener una imagen del “hacker” como persona oscura, que se pasa largas noches delante del ordenador, pensando, curioseando, un tanto aislado de la sociedad. Creo que en el gaming ocurre algo parecido, ¿Cómo sueles jugar tu?, ¿Te ha evitado de hacer otras cosas?

Arius: En mi caso el gaming no me ha evitado hacer otras cosas porque soy una persona que organiza muy bien el tiempo y que le suele sobrar en muchas ocasiones. Es cierto que tengo que entrenar unas pocas horas al día para mejorar y mantener mi nivel pero eso no es problema. Sé dividir perfectamente la vida como progamer y la vida real. Por ejemplo, nunca rechazo salir con mis amigos por esto porque sé muy bien lo que es prioritario y lo que no. En cuanto a los estudios tampoco he tenido ningún problema, ahora mismo estoy en tercero de carrera y mis notas actualmente son incluso mejores que las que tenía en el instituto.

Con respecto a la primera pregunta yo suelo jugar en el cuarto de estar de mi casa y con varias botellas de agua que me ayudan a quitarme los nervios y a refrescarme antes y después de cada partida, lo necesitas después de hacer más de 200 pulsaciones por minuto :P.

GigA: Hablando de seguridad, Blizzard sacó un llavero que genera una clave aleatoria para los jugadores de WoW, dado el gran número de robos de cuenta que hay. A ti te ocurrió algo parecido, ¿Cómo ves la seguridad en battle.net?, ¿Qué medidas crees que son necesarias?

Arius: Battle.Net es muy vulnerable y por ello ha sido atacada multitud de veces ocasionando la aparición de bastantes maphackers (ven todo el mapa) o tiehackers (tras perder la partida te desconectan y no les cuenta como perdida en sus estadísticas). Ahora por lo visto Blizzard ha actuado tras muchos meses con este problema y ha eliminado a los tiehackers por completo pero los maphackers siguen existiendo. La verdad es que deben de prestar más atención a este servicio pero también es cierto que tienen otros juegos a los que les han dado más prioridad últimamente como el World of Warcraft porque obtienen más beneficio con él.

A mí y a otros españoles nos hackearon/quitaron nuestras cuentas de Battle.Net y realmente no entiendo que sacaron con ello. Antes de eso me quitaron mi MSN para a través de ahí quitármela. Prácticamente me olvidé de esta cuenta desde hace ya tiempo porque ya cumplió su función, ahora prefiero jugar con mis compañeros de equipo u otra gente y mejorar como jugador. Por esto mismo ni me preocupe en recuperarla, solamente me limité a recuperar la de MSN y lo conseguí fácilmente.

GigA: Una serie de preguntas rápidas:

¿Muchas APM = Mucha Skill? No, hay muchos jugadores que tienen pocas APM y que poseen una gran destreza del juego.
¿Orc > All? Si xD
¿Mejor clan español de Warcraft? Ahora mismo x6tence.AMD, anteriormente fue redCode.
¿Starcraft II > Warcraft III? Eso está por ver pero yo no lo creo, los dos juegos son diferentes y seguirán viviendo ambos conjuntamente. El Warcraft III no decaerá internacionalmente con la salida del Starcraft II.
¿Diablo III > All? A quien le guste los juegos de rol seguramente sí.
Para ser undead, ¿te irías de copas con una elfa? Of course, las elfas son muy guapas xD.
Si jugaras a otro juego sería… el Starcraft II o el Warcraft IV


Esto es lo que se conoce como "super lol"

GigA: Centrándonos de nuevo, ¿Cómo es tu trabajo en Arenazero?

Arius: Bueno, yo entré en Arenazero.net, el mejor periódico digital del gaming en España, como redactor hace casi un año para conseguir avivar un poco más el Warcraft III porque por aquella época no tuvimos el clasificatorio de los WCG España, el torneo nacional más importante, y por lo tanto la gente empezó a dejar de jugar.
Fue duro al principio porque poca gente prestaba atención a las noticias pero después de algunos meses se notó mucho el cambió y cada vez iba teniendo más aceptación. Ahora mismo, tras más de 110 noticias escritas, el juego es el número dos de la página web, tras el Counter-Strike 1.6, por lo que mi objetivo se ha cumplido y estoy muy satisfecho por ello.

GigA: Suponiendo que estuviera en el Top 10 de jugadores de Warcraft de España, ¿Qué debería de hacer para encontrar un sponsor?

Estando en el top10 en estos momentos es complicado encontrar algo. Antes el Warcraft III era apoyado por una gran cantidad de equipos españoles y por lo tanto era fácil entrar en alguno pero ahora le está pasando lo mismo que le pasó al Starcraft, cada vez son menos los equipos que lo apoyan y por lo tanto se hace más difícil entrar en alguno. Es una pena que los equipos tengan como lema “renovarse o morir”. El único equipo con sponsors actualmente para este juego es x6tence.AMD.

GigA:¿Cuántos torneos offline disputas al año y cuales?

Arius:Pues suelo participar en 3 o 4 al año: la Redaton Lan Party en Zaragoza, donde ya llevo ganando dos años consecutivos (este año voy a por el tercero), la Campus Party de Valencia, la Neos Lan Party en La Rioja y, por último el más importante, los WCG España en Madrid. El año pasado participé también en la GameGune en Bilbao. Otro de los torneos importantes es la ESWC España pero a mi me suele pillar en plena época de exámenes y nunca he podido participar.

GigA: Hace unos años conseguías de forma increíble jugar con el touchpad del portátil, con una habilidad impresionante que dejaba boquiabiertos a todos, ¿cómo fue aquella época?, ¿con qué juegas ahora?


Arius owneando con el touchpad

Arius: Esa época corresponde a los dos o tres primeros años del juego cuando solo tenía un portátil para jugar, además no era muy bueno y jugaba incluso a trompicones. Fue muy difícil conseguir saber jugar con algo así pero es como todo, la práctica hace al maestro, por lo que después de jugar bastantes partidas con él conseguí tener un buen dominio de ese ratón táctil.
A pesar de jugar diferente a los demás me atreví a ir a mi primer torneo offline en donde además te conocí, la Quijote Lan Party 2005. Allí quede segundo y fue el comienzo de mi carrera como progamer ya que empecé a tomarme el juego un poco más en serio.
Ahora mismo juego con un ordenador de sobremesa y utilizo un ratón Razer Diamondback, un teclado Logitech Media Keyboard y una alfombrilla SteelSeries QcK.

GigA: Alguna recomendación para aquellos que no les acaba de convencer este mundo…

Arius: La verdad es que es un mundo difícil porque se necesita tener ganas, tiempo y talento pero a la vez es un mundo muy bonito porque conoces a nueva gente, vives nuevas experiencias y visitas nuevas ciudades. Además, para mí vivir ese clima de tensión y nervios de toda competición es algo que me hace continuar a parte de estar motivado por conseguir casi siempre los resultados que me propongo.

Por otro lado, también hay que entender que en España el gaming no se ha conseguido profesionalizar del todo porque no es algo bien visto por la sociedad. Mientras que aquí el fútbol es multitud de masas en China o Corea es el gaming. Siempre nos queda la esperanza de que alguna vez lo consigamos.

GigA: ¿Y para los que nos gustaría seguir progresando?

Arius: Lo mejor para seguir progresando en este juego es practicar mucho y mirarse las repeticiones de tus propias partidas o de jugadores conocidos internacionalmente para ver tus fallos, nuevas estrategias, etc.

GigA: Gracias por la entrevista!!

Arius: De nada ;). Un saludo a la comunidad española de Warcraft III, compañeros de equipo y amigos. Y también gracias a tí.

GL & HF & GG

26 de octubre de 2008

Paros y Nones

Aprovechando que estoy desvelado, desvelado y en la hora tonta de la semana, esa de las que a las 3 son las 2. He aprovechado para trapichear con una nueva herramienta, bueno, nueva al menos para mi :-)

Es el Paros Proxy , una excelente aplicación para auditorias Web que los más especializados en Hacking ético seguramente conocerán. La misma actúa como Proxy intermedio (a lo MITM) para nuestro tráfico http /https, por ello habrá que configurar nuestro navegador para que salga a Internet a través de ella, por ejemplo, en Firefox se hace así:


Firefox 3 saldrá por Paros Proxy

Una vez hagamos esto, cuando naveguemos con Firefox todo el tráfico atravesará esta aplicación, y con ello podremos ver que información viaja, que estructura tiene el sitio Web (opcion spider), que vulnerabilidades tiene (opción scan), de que tipo, y donde encontrar más información. Todo ello con un informe (opción report) que no tiene nada que envidiar a los de Nessus, u otras herramientas.

Paros: Trapicheando a deshoras

Pero no es todo, si encuentra una vulnerabilidad de SQL Injection, te ofrece una cadena de prueba para que realices la inyección, si detecta una vulnerabilidad XSS, te “asesora” en la forma de explotarla, etc. Por mi parte la he estado usando con varias páginas Web, foros, y, como no podía ser de otra forma, las alarmas han saltado por todos sitios, archivos .bak, .old, desarrollos en phpBB sin actualizar, inyecciones SQL,, ¡en Calendarios!, etc. Nada nuevo en el frente. Lo único, tener especial cuidado por que la herramienta, como todo escáner de vulnerabilidades, es muy intrusiva. Tener en cuenta que este tipo de aplicaciones se basan en pruebas de ensayo / error y generan multitud de peticiones por segundo, cualquier sistema de protección saltará a las primeras de cambio.
Portaros bien!
Salu2

23 de octubre de 2008

Delito por Cracking

Publicó El País en el día de ayer una noticia sobre la primera sentencia aplicada en España contra un cracker, concretamente en Pontevedra. Si os leis la noticia seguramente resaltaréis varias cosas:
  • Afirman que es la 1ª vez que la justicia condena a un “cracker”, algo que quizás produzca duda sobre los términos usados, ya que si yo “crackeo” la wifi de mi vecino, también puedo ser un cracker, o si busco un crack para Windows Vista, también puedo ser un cracker, o si, o si… en resumen, el término en mi opinión está mal aplicado, yo diría que es una sentencia emitida a raíz de un delito informático contra la propiedad intelectual de un software (de estas yo creo que ya hay varias, sin necesidad de ponerme a buscar).
  • El imputado y su defensa se han declarado conforme con la sentencia. La cual afirma que desde 2003 ha estado elaborando y poniendo en circulación diversos “cracks” o programas informáticos para anular los sistemas de protección anticopia. Donde poner en circulación significa que, encima, los distribuia por Emule y eDonkey (la sentencia realmente dice eDonky).
  • Se le condena por delito continuado contra la propiedad intelectual (Art. 270) con 5000 € de multa + costas (1000€ solo) + prision 6 meses, en los cuales no puede trabajar en nada relacionado con la informática.

Desconociendo el procedimiento judicial llevado a cabo, y teniendo 1º de Derecho sin matricular, el artículo 270 nos dice:

1. Será castigado con la pena de prisión de seis meses a dos años y multa de 12 a 24 meses quien, con ánimo de lucro y en perjuicio de tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios.

2. Será castigado con la pena de prisión de seis meses a dos años y multa de 12 a 24 meses quien intencionadamente exporte o almacene ejemplares de las obras, producciones o ejecuciones a que se refiere el apartado anterior sin la referida autorización. Igualmente incurrirán en la misma pena los que importen intencionadamente estos productos sin dicha autorización, tanto si éstos tienen un origen lícito como ilícito en su país de procedencia; no obstante, la importación de los referidos productos de un Estado perteneciente a la Unión Europea no será punible cuando aquellos se hayan adquirido directamente del titular de los derechos en dicho Estado, o con su consentimiento.

3. Será castigado también con la misma pena quien fabrique, importe, ponga en circulación o tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo.

Entendiendo que el chaval no tenía animo de lucro (al menos no se demuestra), y que el software no está clasificado como “obra literaria, artística, o científica” (aunque el artículo 10.1 así lo recoge), también es dificilmente clasificable dentro de la propiedad industrial. El software no es lo que se vende, sino una licencia de uso, que nos dá derecho a copia privada, pero no a modificar la obra, ahora bien, se me plantean las siguientes preguntas (perdonad por el enmarasijo legal y de conceptos):

- ¿Cómo han demostrado que el imputado es quien “crackeó el programa, y además en 3 ocasiones?
- ¿Cómo han demostrado que él fue el 1º en distribuir el crack, por las redes p2p?
- Si lo han descubierto a través de la IP, ¿cómo han asociado IP con persona?

Evidentemente, y llamando al sentido común, el imputado debía ser el culpable, por que no rechistó, también es cierto que la condena es del minimo que impone la ley, y viendo los precios del PRESTO, pues se puede entender que tampoco es excesivamente cara la “multa”. No obstante, espero y deseo que que haya algo más detrás, por que no me creo que un “cracker” accidentalmente comparta su "obra", o que reitere en su “hazaña” por diversión (…), o que desconozca la legislación que le ampara y concretamente las diversas formas para defenderse que su abogado podría haber interpelado, o que no haya cometido otros delitos si le han intervenido el equipo...

Pongo la mano en el fuego, y no me quemo, cuando digo que seguramente, hay mucho más detrás.

21 de octubre de 2008

Teclea: Pa-ra-no-ia

Paranoicos.

Así nos van a llamar cuando nos sentemos con nuestro gorro de papel de plata al estilo:

¿Por qué? Por que todos saben lo que pensamos, lo que escribimos,,, casi hasta lo que sentimos! Google lo sabe, los gobiernos lo saben, la CIA lo sabe, y.. ¡es normal! De nada sirven nuestras auditorias OSSTMM que revisan de pé a pá la seguridad corporativa. ¿Recordais el hacking bluetooth?, ¿y el de infrarrojos? Pues todo eso ha quedado obsoleto, la última tecnología de hacking para dispositivos externos no precisa de comunicaciones inalámbricas, ahora “pinchamos” el cable!, o a eso se han dedicado en unos laboratorios suizos, donde se supone que captan las radiaciones electromagnéticas de las teclas de cualquier teclado (PS2, USB), las transforman y … ¡eavesdropping!

Los videos a priori son convincentes, siempre y cuando no tengan un programita que imprima en pantalla cada X segundos lo que supuestamente han conseguido . Existen varios videos que muestran los experimentos, por suerte siempre nos quedarán los teclados virtuales… y el click del ratón, ¿o tampoco?


Compromising Electromagnetic Emanations of Keyboards Experiment 1/2 from Martin Vuagnoux on Vimeo.

Mejor apago y me voy.

17 de octubre de 2008

Rosillo Project (y IV)

Estaba bastante ilusionado con mostraros esta otra forma de ocultar virus, navegando por milworm encontré este video donde explicaba como “modificar” el virus hasta hacerlo indetectable por nuestro antivirus. La técnica es sencilla, una vez creado el “cliente” de nuestro troyano (sea Poison Ivy u otro), nos valdríamos de alguna herramienta de “splitting”, Dividiríamos el troyano en tantos subarchivos como precisemos, para ello nos podemos valer de aplicaciones como:

Si estáis familiarizados con Hacha, sabréis de qué estoy hablando. Es conveniente desactivar el antivirus antes de hacer estos pasos, si nuestro cliente pesa poco podemos dividir en archivos de 1 KB, con ello nos saldrán un montón de archivos, en mi caso solo 9, ya que el poison ivy es ligerito (en cliente), si pasamos el antivirus a esos 9 nos resultará:

Que concretamente los archivos 2,3,4,5 y 8 están infectados, es decir, tenemos una firma que va del archivo 2 al 5, y otra específica para el 8, por las cuales Avast detecta el troyano. Mal asunto :-) La teoría nos dice que modificando estos archivos, con cambios “inocuos” para la lógica del programa pero que cambien su firma, harán indetectable al virus:

En rojo las letras que he cambiado totalmente de forma aleatoria, mayúsculas por minúsculas o al revés, para ello he utilizado el programa HxD, disponible en softonic, ¿el problema? No se si será cosa del Avast, o de que el Poison Ivy se huele a kilómetros, pero hasta que no he tenido el archivo así:

El antivirus ha seguido detectando, y os prometo que he ido borrando línea a línea, probando carácter a carácter, vamos, ¡una tarea de chinos! Que podría ser mejorada si afinásemos la firma byte a byte, aunque nada nos garantizaría que el troyano seguiría funcionando al 100%. Por lo menos nos queda el consuelo de que, tal como se observa en el video, es posible teóricamente. Aunque uno se acuerde de las heurísticas de los antivirus… ¿El camino facil? Cifrado + Ofuscación = GL Rosillo ... Para eso estaba Themida ¿Verdad?

Salu2!

PD: Ningún ordenador fue infectado durante este experimiento.

PD2: Rosillo ha prometido hacerse un White Hack, y todos lo celebramos con el.

Rosillo Project (I)
Rosillo Project (II)
Rosillo Project (II.V)
Rosillo Project (III)

Rosillo Project (y IV)