Analytics

miércoles, 23 de diciembre de 2015

Actualización del Esquema Nacional de Seguridad

El pasado 23 de Octubre, el Consejo de Ministros aprobó el Real Decreto 951/2015, que actualiza el Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad (a partir de ahora ENS) en el ámbito de la Administración Electrónica.

El ENS, nació en 2010 con el objetivo de establecer una política de seguridad adecuada en la gestión de medios y transacciones electrónicas en las administraciones públicas, y cubre principios y requisitos mínimos de seguridad para permitir una protección adecuada de la información en dichas entidades. Así pues, vemos que el objetivo del esquema es proteger la información de los ciudadanos compartida con estas administraciones, consiguiendo que sus entornos sean menos vulnerables ante ciberamenaza. Hay que tener en cuenta además, que el ENS es de obligado cumplimiento por todas las administraciones públicas del estado.

Así pues, y después de 5 años de convivencia con dicho estándar, ha surgido la necesidad de llevar a cabo su actualización, adecuando así este esquema a la realidad del panorama de la ciberseguridad actual. Además, con dicha actualización, la normativa se adapta al actual contexto internacional y europeo, concretamente a lo previsto en un Reglamento comunitario de 2014, que trata sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas del mercado interior.

Vemos entonces las novedades más destacables introducidas en la reciente actualización del ENS:
  • En el artículo 11, se introduce la necesidad de disponer de una gestión continuada de la seguridad en los servicios disponibles a través de medios electrónicos, de veinticuatro horas al día.
  • El artículo 15, indica que las administraciones públicas deberán exigir a sus proveedores que éstos cuenten con profesionales cualificados para el desempeño de los servicios, y que los servicios prestados dispongan de un adecuado nivel de madurez.
  • En el artículo 18, se especifica la necesidad de que las administraciones públicas, en las contrataciones o adquisiciones de productos de seguridad,  utilicen solo productos certificados, en base a la categoría y nivel de seguridad del sistema afectado por dichas soluciones. En aquellos casos en que los riesgos resultantes no justifiquen su uso, siempre que sea de manera justificada, se podrá omitir dicho aspecto.
  • El artículo 24, detalla que a partir de ahora, va a ser necesaria la implantación de un correcto procedimiento de gestión de incidentes de seguridad, que cubra los procedimientos de detección, clasificación, análisis, notificación y resolución de incidentes en las administraciones. Además, se introduce la necesidad de actualizar dicho procedimiento de manera continua, en base a las nuevas prácticas de la industria, así como en base a las conclusiones sacadas de los incidentes de seguridad sufridos anteriormente.
  • El artículo 27, establece la definición de un documento llamado Declaración de Aplicabilidad, que deberá ser firmado formalmente por el responsable de seguridad, y en el que se deberán detallar las medidas de seguridad del Anexo II seleccionadas para la protección de los activos en el entorno de la administración. Además, se introduce la opción de reemplazar alguna de las medidas de seguridad contenidas en el Anexo II por otras medidas compensatorias, siempre que éstas garanticen de manera justificada un nivel de seguridad resultante igual o mayor sobre los activos relacionados. La Declaración de Aplicabilidad también deberá tener en cuenta las medidas compensatorias aplicadas en el entorno concreto.
  • El artículo 29, establece que las guías de seguridad elaboradas y difundidas de manera continua por el Centro Criptológico Nacional, siempre que sean aprobadas por el Ministerio de Hacienda y Administraciones Públicas, serán de obligada aplicación por las administraciones públicas. Estas guías de obligado cumplimiento se publicarán mediante resoluciones de la Secretaría de Estado de Administraciones Públicas.
  •  En el artículo 36, se añade la necesidad por parte de las administraciones públicas de notificar al Centro Criptológico Nacional aquellos incidentes sufridos, que tengan un impacto significativo en la información tratada por dichas administraciones.
Como conclusión, se puede observar que la actualización del ENS ha introducido cambios significativos en su estructura, que van a suponer que las administraciones públicas se deban replantear la protección de sus escenarios y servicios, para lograr una correcta adaptación con las nuevas medidas de seguridad requeridas por el esquema.

Recordemos por último, que todos los cambios introducidos son de obligatorio cumplimiento por todas las administraciones públicas. Dichas entidades disponen ahora de un periodo de 24 meses para adaptarse a la nueva versión del ENS.

Referencias:
http://administracionelectronica.gob.es/pae_Home/pae_Actualidad/pae_Noticias/Anio2015/Octubre/Noticia-2015-10-23-Aprobada-actualizacion-del-Esquema-Nacional-de-Seguridad.html
www.boe.es/diario_boe/txt.php?id=BOE-A-2007-12352


Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.
 

martes, 22 de diciembre de 2015

Crónica No cON Name 2015

Cómo cada año, a principios de este mes de Diciembre, los días 10, 11 y 12 se celebró en Barcelona la No cON Name (NcN) el congreso de seguridad informática y hacking más antiguo en España, que reúne tanto a nuevas promesas del sector, expertos, así como a profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software.

El jueves 10 de Diciembre se celebró como cada año, el concurso Captura de Bandera (CTF) para que equipos de todas partes del mundo compitieran. El concurso lo formaron 8 equipos, con un máximo de 4 integrantes.

Fue una CTF de alto nivel en el que a lo largo del día fueron saliendo las diferentes pruebas que se debían solucionar. Después de más de 10 horas de competición, el "equipo" ganador fue L3s con 870 puntos, 50 más que los segundos clasificados. Sorprendentemente, este “grupo” sólo estaba formado por un integrante de origen francés.

Para los más curiosos ya se han publicado las soluciones de algunas de las pruebas.
http://www.haibane.org/node/39

También tuvo lugar el jueves, de forma simultánea, las jornadas de formación. Ocho horas bestiales de inyección de conocimientos. Este año las formaciones fueron “Ingeniería inversa en Sistemas Windows” de la mano de  Ricardo Rodríguez y "Metasploit Labs Pentesting" de la mano de Pablo González

Los dos días posteriores se realizaron las charlas y talleres. Este año, como en los anteriores, tuvimos el placer de asistir a  charlas de grandes ponentes.

El congreso empezó de la mano de Ruth Sala, quien nos introdujo en el mundo penal del gaming penal y prevención de riesgos en las empresas TIC, una charla que abordaba los aspectos más importantes de la nueva legislación penal que responsabiliza a las empresas que hayan sufrido el robo de datos confidenciales de sus clientes.

El ponente Mario Díaz, nos deleitó con una de las mejores charlas de la NCN, Click and Fraud, donde empezó exponiendo una serie de aplicaciones y sitios web para ganar dinero a través de la compra-venta de clics y acabó con una breve explicación de cómo usarlas fraudulentamente para ganar todavía más dinero de manera relativamente anónima.

Justo después Pau Oliva dio una charla sobre los distintos Trusted Execution Environments usados en Android repasando su funcionamiento y dejando evidencia de que no son tan "Trusted" como deberían.

Después de la pausa para comer asistimos a dos workshops más: "CERT/CSIRT's tools: Con las manos en la masa" por Borja Guaita, donde nos mostraron una serie de herramientas OpenSource (RTIR) personalizadas para ajustarse a las necesidades de los CERTs. Y "IoT yourself: hack your home" donde Fran Quinto daba varias vueltas de tuerca a su Raspberry Pi.

La jornada acabó con la charla "BadXNU - rotten apple!" del portugués osxreverser donde hizo volar por los aires eso de que OS X es una plataforma segura, con demostración incluida de un par de 0 Days.

El sábado, pudimos asistir entre otras a la presentación "Técnicas OSINT para investigadores de seguridad". Fue la primera conferencia del sábado, impartida por Vicente Aguilera Díaz, que realizó un workshop en el que describía la relevancia que tienen hoy en día las fuentes de acceso público, en especial para adquirir inteligencia que ayude en la toma de decisiones informadas en ámbitos muy diversos. Sin duda, las redes sociales juegan un papel destacado entre dichas fuentes.

Tras una breve introducción al proceso OSINT, Vicente presentó diversas herramientas utilizadas habitualmente con esta finalidad. Entre ellas, presentó su herramienta Tinfoleak para el análisis de información en Twitter (anunció la próxima liberación de una nueva versión con interesantes novedades), Maltego, Recon-ng,  theHarvester, así como otros muchos servicios disponibles de forma online.

La parte más interesante de la presentación tuvo lugar cuando presentó diversos ejercicios prácticos en los que había que obtener información muy concreta utilizando únicamente fuentes abiertas de acceso público. Fue aquí donde los asistentes interactuaron proponiendo su visión sobre cómo resolver cada uno de los problemas planteados en dichos ejercicios.

Posteriormente fue la presentación de David Sancho “Cuando la esteganografía deja de ser cool”. Su presentación causo impacto, la forma como se puede incluir información dentro de una imagen BMP o PNG y las nuevas técnicas que se están utilizando para incluir malware dentro de una imagen en principio inofensiva, estuvo jugando al gato y al ratón y demostrando que tan vulnerables podemos llegar a ser ante este tipo de ataques.

Sebastián Guerrero presento su charla con un extraño título, “Mi aplicación es una cebolla doctor. Ayúdeme” sin embargo a medida que se produce su exposición uno se da cuenta que es un título bastante acertado. Mostro infinidad de pruebas y de test de las distintas herramientas y métodos que existen en el mercado para blindar el código de aplicaciones y evitar reversing, evaluando pros y contras de cada uno de ellos.

Como nota curiosa de estas jornadas, al día siguiente la universidad de La Salle, lugar elegido para realizar el congreso de este año, se despertó con el futbolín que tienen en una de las salas de comer hackeado. Cabe decir que dicho futbolín está cubierto por una gran tapa de metacrilato, aún así los alumnos se encontraron con uno de los muñecos del futbolín desmontado desde dentro, en una zona inaccesible y un cartel sobre él que indicaba "Futbolín Hacked".

En paralelo a las conferencias se desarrollaron los talleres de la Hackathon, dedicados este año a la ingeniería inversa y las técnicas de pen-testing de aplicaciones con Radare2 y Frida, a cargo de sus creadores Sergí Alvarez y Ole André Vadla.

Por un lado, Radare2 es un popular framework para reversing, y por otro, Frida es una herramienta de análisis dinámico que permite insertar código Javascript en aplicaciones en tiempo de ejecución. Sergi y Ole mostraron como compilar, probar y en definitiva utilizar ambas herramientas en conjunto sobre aplicaciones nativas de Windows, Mac, Linux, iOS y Android.


Autores: Débora Pinto - CEH, Óscar Mira - CEH, Javier Pousa, José Domingo Carrillo, Luis E. Benítez.
Departamento de Auditoría

miércoles, 16 de diciembre de 2015

¿Qué hay de nuevo en la v.9.0 del CEH ?

A mediados del mes de noviembre se actualizó la versión de la certificación del EC-Council CEH (Certified Ethical Hacker) a la versión 9. ¿Qué novedades podemos encontrar en esta nueva versión?

Certified Ethical Hacker v9.0 es el curso de hacking ético más avanzado del mundo con los 18 dominios de seguridad más actualizados que cualquier profesional del hacking ético debe conocer si quiere mejorar la seguridad de la información de su organización. En 18 módulos, el curso cubre 270 tecnologías de ataque, comúnmente utilizadas por los piratas informáticos.

Escenarios Reales
Los expertos en Seguridad asesores del EC-Council han diseñado más de 140 laboratorios que imitan escenarios reales para llevar a cabo ejercicios "en vivo" a través de ataques que simulan un entorno real y proporciona acceso a más de 2.200 herramientas de hacking comúnmente utilizadas para sumergirte en el mundo del hacking.


El objetivo de este curso es ayudar a dominar una metodología de hacking ético que se puede utilizar en un test de penetración o intrusión. Cuando acabe el curso habrá adquirido habilidades de hacking ético demandas en los profesionales del sector. Este curso le preparará para el examen 312-50, del EC-Council Certified Ethical Hacker.

Esta nueva versión incluye novedades relevantes como:
  • Nuevos vectores de ataque
    • Énfasis en Tecnología Cloud Computing
      • CEHv9 se centra en diversas amenazas y ataques de hackers a la tecnología de cloud computing.
      • Cubre contramedidas para combatir ataques de cloud computing de amplio alcance.
      • Proporciona una metodología detallada test de intrusión en entornos de cloud computing para identificar amenazas con antelación.
    • Énfasis en plataformas móviles y tabletas
      • CEHv9 se centra en los últimos ataques de hacking dirigidos a las dispositivos móviles y tabletas y cubre contramedidas para asegurar la infraestructura móvil.
      • Cobertura de las últimas novedades en tecnologías móviles y web.
  • Nuevas vulnerabilidades
    • CVE-2014-0160 heartbleed
      • Heartbleed hace que la capa SSL utilizada por millones de sitios web y miles de proveedores en la nube sean vulnerables.
      • Cobertura detallada y laboratorios en el Módulo 18: Criptografía.
    • CVE-2014-6271 Shellshock
      • Shellshock expone la vulnerabilidad en Bash, la consola utilizada ampliamente en sistemas operativos basados en Unix, Linux y OS-X.
      • Cobertura detallada y laboratorios en el Módulo 11: hacking servidores web.
    • Poodle CVE-2014-3566
      • POODLE permite atacantes descifrar conexiones SSLv3 y secuestrar la cookie de sesión que identifica ante un servicio, lo que permite controlar una cuenta sin necesidad de su contraseña.
      • Caso de Estudio en el Módulo 18 : Criptografía
  • Hackear usando teléfonos móviles
    • En el CEH v9.0 se incluye la ejecución de hacking (foot printing, escaneo, enumeración de sistemas, hacking de sistemas,  sniffing, ataques DDoS, etc.) utilizando los teléfonos móviles.
    • El curso incluye herramientas de hacking móvil en todos los módulos.
  • Cobertura de los últimos troyanos, virus y backdoors.
  • El curso cubre Controles de Seguridad de Información así como leyes y estándares de Seguridad de la Información.
  • Laboratorios en plataformas de Hacking móviles y Cloud Computing
  • Más de 40% de los nuevos laboratorios se agregan desde la Versión 8
  • Más de 1500 nuevas herramientas / actualizadas
  • El Programa CEHv9 se centra en abordar los problemas de seguridad a los últimos sistemas operativos como Windows 8.1
  • También se centra en hacer frente a las amenazas existentes en entornos operativos dominados por Windows 7, Windows 8, y otros sistemas operativos (compatibilidad con versiones anteriores).
Información del examen
Número de preguntas: 125
Puntuación necesaria: 70 %
Prueba Duración: 4 Horas
Formato de examen: Opción múltiple



Para más información y consulta de fecha puede visitar nuestra web:
https://www.isecauditors.com/certified-ethical-hacker-CEH

martes, 15 de diciembre de 2015

Tinfoleak e Internet Security Auditors en el último libro del periodista Antonio Salas

Hace unos días se publicaba el libro: Los hombres que susurraban a las máquinas (Espasa) de Antonio Salas, el reportero experto en identidades falsas, ahora se camufla entre hackers.

En este nuevo libro Salas ha estado dos años infiltrado en el mundo de la ciberdelincuencia, un ámbito que, según advierte, mueve más dinero en el mundo que el tráfico de drogas, de armas o de personas.

Antonio Salas, en su nuevo libro, hace mención a la presentación que realizó Daniel Fernández en la No cON Name de 2014, dónde se presentó por primera vez la herramienta desarrollada por Vicente Aguilera, Tinfoleak, demostrando dónde estaban físicamente Xavier Trías o José Ignacio Wert entre otros.  También hace mención a Internet Security Auditors.

Tinfoleak es una herramienta de código abierto que se distribuye bajo licencia Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0), lo que significa que se puede compartir - copiar y redistribuir los materiales en cualquier medio o formato -. Y se puede adaptar - remezclar, transformar y construir sobre los materiales para cualquier propósito, incluso con fines comerciales -. Gracias a lo cual está llegando a ser de gran utilidad en diferentes ámbitos, como el de las fuerzas y cuerpos de seguridad gubernamentales, en la identificación y localización de delincuentes y terroristas.

lunes, 14 de diciembre de 2015

Aprobada la nueva Ley de Facturación Electrónica de Colombia

El 24 de Noviembre de 2015  fue aprobado el decreto 2242 del Ministerio de Hacienda, específicamente el artículo 189 del numeral 11 de la constitución política Colombiana de los cuales se hace modificación a los artículos 616 -1 del Estatuto Tributario y el artículo 183 de la ley 1607 de 2012 (Decreto 2242 el Ministerio de Hacienda y Crédito Público).

En este artículo 2242 se reglamentan los contextos de la facturación electrónica en Colombia. Por medio de esta ley el Estado desea abrir la puerta a la utilización de las TIC puesto que ayudan a reducir los costos de producción (para las organizaciones) y el uso excesivo de papel, contribuyendo a la protección del medio ambiente.

Otro beneficio de esta ley es la equivalencia que tendrá la factura electrónica a la clásica factura de venta impresa; la DIAN (Dirección de Impuestos y Aduanas Nacionales de Colombia) establecerá unas adecuaciones técnicas generales para las empresas que desean acogerse a este reglamento mercantil; por supuesto, la firma electrónica es otro punto importante que se incluirá en la factura electrónica, de manera particular espera implementar para el 2017 un sistema gratuito de facturación electrónica para las Pymes.

Algo importante a tener en cuenta en referencia a los requerimientos de seguridad es que en el Artículo 12 de este nuevo decreto establece que las empresas prestadoras de servicios de facturación electrónica a terceros deberán implementar y certificar sus procesos de facturación bajo un SGSI ISO 27001. Las que quieran operar y no dispongan de la certificación deberán comprometerse a disponer de esta certificación en un plazo no superior a dos años tras el inicio de sus operaciones tras la autorización por parte de la DIAN.

Está claro el compromiso de que, a partir de ahora, con la nueva regulación de factura electrónica, será necesario implementar unos procesos de cierta madurez para garantizar la seguridad de estos procesos sensibles desde el punto de vista económico que podrían implicar un perjuicio a las empresas, ciudadanos y el propio estado.


Autora: Laura M. Chacón Guzmán
Departamento Comercial

miércoles, 2 de diciembre de 2015

Vicente Aguilera participará en la NcN 2015 impartiendo el taller: Técnicas OSINT para investigadores de seguridad

Cómo cada año, este mes de diciembre, los días 11 y 12, se celebra una nueva edición de la No cON Name, y tras el éxito en la última edición de la NcN, este año Vicente Aguilera volverá a participar con la impartición de un taller: Técnicas OSINT para investigadores de seguridad. El taller pretende dar a conocer, de forma práctica, como utilizar fuentes de acceso público en Internet para recopilar información detallada sobre un objetivo. Además de las redes sociales de uso masivo, se mostrarán recursos online y herramientas útiles en la búsqueda de información como parte del proceso de investigación en distintos ámbitos. Dirigido a investigadores, pentesters, ingenieros sociales, personal de cuerpos y fuerzas de seguridad, analistas de mercado y estudios sociológicos, así como cualquier persona interesada en evaluar su reputación online.

Dado el volumen de información y fuentes disponibles, el hecho de conocer las herramientas adecuadas que permitan analizar y extraer los datos que puedan resultar de interés, se convierte en algo vital.

El objetivo del taller es adquirir conocimiento y explotación de fuentes de acceso público en Internet para realizar inteligencia.

Y los beneficios, que podremos obtener: la capacidad de explotar la inteligencia de fuentes abiertas con la finalidad de servir de ayuda en la toma de decisiones en ámbitos muy diversos. De esta forma, entre otros aspectos, es posible:
  • Identificar y prevenir amenazas
  • Realizar estudios sociológicos y psicológicos
  • Analizar tendencias de mercado
  • Analizar la reputación online de una marca o persona
  • Identificar información útil en la seguridad de la información


Podéis encontrar más información:
https://www.noconname.org/

martes, 1 de diciembre de 2015

Colaboramos en el "Libro Blanco de Innovación en Medios de Pago para eCommerce"

El pasado 6 de noviembre se publicó el "Libro Blanco de Innovación en Medios de Pago para eCommerce" en el que Internet Security Auditors, de la mano de Guillem Fàbregas y Daniel Fernández, han tenido una colaboración activa y relevante con un amplio capítulo dedicado a la "Seguridad en el Pago con Tarjeta".

El "Libro Blanco de Innovación en Medios de Pago para eCommerce" ha sido liderado por Jorge Ordovás, Director de la Catedrá en innovación en medios de Pago Online, experto en el pago electrónico en España y está publicado por Foro de Economía Digital Business School, dentro de la colección del Observatorio eCommerce.

Son 180 páginas que recogen el "estado del arte" de los medios de pago en el mundo y las tendencias que están surgiendo en el pago con tarjeta, con el móvil, eCommerce, monedas virtuales y, por supuesto, los aspectos de seguridad más relevantes en todos ellos y las nuevas tendencias de pago, área en la que Internet Security Auditors ha aportado su amplia experiencia.

Se publica en versión electrónica gratuita y en papel, estará disponible en librerías con ISBN 978-84-942514-9-8.

En él han colaborado, además de Internet Security Auditors, empresas de la talla de ING Direct, PayPal, y Snap, y está patrocinado por Snap e Ingenico.

Además, lo prologa el CEO de Destinia, el gran Amuda Goueli.

Puede descargarse en: http://observatorioecommerce.com/libro-blanco-de-innovacion-en-medios-de-pago-para-ecommerce/

lunes, 23 de noviembre de 2015

Analizando el 13/11 con Tinfoleak.

Viernes 13 de noviembre de 2015, París. Esa ha sido la fecha y ciudad seleccionada por los terroristas de Daesh para cometer el mayor atentado en Europa después del 11-M ocurrido en Madrid. En el momento de escribir este artículo, las cifras hablan de 129 muertos y 350 heridos.

La noticia saltaba rápidamente a los principales medios de comunicación. No obstante, la información más directa y ágil llegaba desde las redes sociales, facilitada por los propios usuarios que eran testimonios del horror que se estaba produciendo.

Dado el volumen de información que se generaba cada minuto y en ubicaciones geográficas distintas, el poder disponer de una herramienta que facilitara el filtrado y análisis de la información publicada en las redes sociales, aportaba un gran valor.

Aprovechando algunas de las nuevas funcionalidades que incorporará la nueva versión de Tinfoleak, esa misma noche comencé a monitorizar las redes sociales para hacer un seguimiento de los hechos. Para ello, utilicé la funcionalidad de búsqueda avanzada basada en geolocalización, facilitando las coordenadas geográficas de los lugares de los atentados.

Según los medios de comunicación, a partir de las 21:00h (hora local de París) se iniciaron las actuaciones de los terroristas que, de forma coordinada, se sucederían durante varias horas.

Entre las 21:15h y las 22:00h, se produjeron tres explosiones en las inmediaciones del Estadio de Francia, donde estaba teniendo lugar el amistoso entre las selecciones de Francia y Alemania.

En este caso, es posible utilizar Tinfoleak para conocer la información que se estaba publicando en las redes sociales desde momentos previos a los atentados en las inmediaciones del estadio de fútbol.

En primer lugar, necesitamos disponer de las coordenadas del lugar a analizar. En nuestro ejemplo, el Estadio de Francia. Para ello, podemos utilizar Google Maps:

Imagen 1: Identificando coordenadas del Estadio de Francia en Google Maps.

Una vez disponemos de las coordenadas, podemos utilizar Tinfoleak para que nos recopile la información que se está publicando por los usuarios en las redes sociales dentro de un radio de acción especificado, y entre las fechas y franjas horarias que indiquemos (entre otros filtros).

La siguiente captura muestra un ejemplo de ejecución de Tinfoleak para localizar información disponible en los últimos 1000 tuits publicados un radio de 1km desde las coordenadas del estadio, entre los días 13 y 14 de noviembre:

Imagen 2: Ejemplo de ejecución de Tinfoleak
Una vez finalizada la ejecución podemos consultar el informe de salida (en formato HTML) para visualizar la información obtenida.

Los resultados se muestran en diferentes secciones del informe. En una primera sección del apartado “Advanced Search”, nos encontramos con la búsqueda por coordenadas que refleja la siguiente información (los resultados se muestran ordenados por fecha y hora, de la más reciente a la más antigua):


Imagen 3: Sección “Search by coordinates” del apartado “Advanced Search”
del informe generado por Tinfoleak
En esta primera sección podemos visualizar la fecha y hora de cada tuit, las coordenadas (en caso de que el usuario las haya habilitado) desde las que se envía cada tuit, el contenido multimedia publicado (imagen o video), la red social utilizada (Twitter, Instagram, Foursquare, etc.), así como el tuit que se ha publicado, y el usuario que lo ha enviado.

De esta forma, podemos hacer clic en las coordenadas para mostrar en Google Maps en una nueva pestaña del navegador con la posición desde la que se envió cada tuit, visualizar el contenido multimedia publicado, el contenido de cada tuit o la página del usuario que ha publicado dicho contenido.

En una segunda sección “Geolocated Users” del apartado “Advanced Search”, se muestran los usuarios que se encontraban publicando contenido en las redes sociales dentro del radio de acción especificado y con los filtros aplicados:

Imagen 4: Sección “Geolocated users” del apartado
“Advanced Search” del informe generado por Tinfoleak
Esta segunda sección es interesante ya que enumera los usuarios (de forma única, es decir, si un usuario ha publicado 3 tuits, sólo se mostrará una vez) que se encontraban en el radio de acción analizado, así como el nombre que utilizan en otras redes sociales (concretamente: Twitter, Instagram, Foursquare y Facebook). En caso de que el usuario publique algún enlace, por ejemplo a un sitio web personal, se mostraría en la columna “Other”. Asimismo, para cada usuario, se enumeran los hashtags publicados en las distintas redes sociales que ha utilizado dentro de la franja de tiempo especificada en la búsqueda.

De esta forma, es posible acceder a los distintos perfiles de los que dispone cada usuario identificado, simplemente haciendo clic en su nombre.

En una tercera sección “Tagged Users” del apartado “Advanced Search” del informe, encontramos usuarios que, aunque no hayan publicado información en las redes sociales, podemos ubicarlos en la zona analizada ya que han sido etiquetados por otros usuarios en alguna imagen. En concreto, esta sección muestra: el usuario etiquetado, el usuario que lo ha etiquetado, y la imagen en la que se encuentra etiquetado.

Imagen 5: Sección “Tagged users” del apartado
“Advanced Search” del informe generado por Tinfoleak
Por ejemplo, el usuario con identificador “karstendevreugd” en Instagram, publicó una foto el día 14 de noviembre etiquetando al usuario “csofiedu” (también con cuenta en Instagram):

Imagen 6: Fotografía de un usuario etiquetado, identificado desde el informe generado por Tinfoleak

Una cuarta sección (“Media Resources”) del apartado “Advanced Search” del informe generado como resultado de la búsqueda realizada, nos muestra la siguiente información: imagen o video publicado, usuario que ha publicado dicha imagen o video (incluyendo su fotografía de perfil en Twitter, su identificador en Twitter, la fecha y la hora de la publicación de la imagen o video), usuario que ha retuiteado el tuit en el que se publicaba dicha imagen o video (incluyendo la misma información que para el usuario fuente), así como un enlace al tuit que contiene la imagen o video, para visualizar el contenido del mismo.

Imagen 7: Sección “Media resources” del apartado
“Advanced Search” del informe generado por Tinfoleak
Esta sección nos permite realizar una rápida visita por el contenido publicado y, de forma muy visual, identificar aquellos recursos y usuarios que pudieran ser de interés para nuestra investigación. Haciendo clic en la imagen o video, podemos ampliar y reproducirlo en una nueva pestaña del navegador (o directamente desde la vista previa).

De esta forma, haciendo clic en una de las imágenes reportadas por Tinfoleak podemos, por ejemplo, visualizar la siguiente fotografía que fue publicada por el usuario “megamodelnyc” en Instagram el 14/11 a las 00:08h:

Imagen 8: Fotografía tomada por un usuario y obtenida desde Tinfoleak
Asimismo, haciendo clic en el contenido de la publicación, vemos como diferentes medios de comunicación le solicitaban permiso para publicar la fotografía:

Desde los primeros instantes en los que se iniciaron los atentados, los usuarios comenzaban a alertar de lo ocurrido en las redes sociales, publicando fotografías de los lugares de los hechos.

Continuando con la cronología de los hechos, a continuación se muestran algunos ejemplos.

En la sección “Search by Coordinates” del informe, nos encontramos que, a las 21:53h del viernes 13 de noviembre, el usuario “justdizle” publicaba una imagen en Twitter:

Imagen 10: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram
Haciendo clic en el enlace “view” podemos consultar el tuit publicado por este usuario, conteniendo la imagen:
Imagen 11: Mensaje publicado por un usuario en las redes sociales

O haciendo clic en el enlace “Image”, consultamos directamente la imagen publicada en Instagram:

Imagen 12: Fotografía tomada por un usuario en las
inmediaciones del Estadio de Francia y obtenida con Tinfoleak

Haciendo clic en las coordenadas, observamos como la fotografía fue tomada a escasos metros de la estación de tren, y muy cerca del Estadio de Francia:

Imagen 13: Visualizando en Google Maps las coordenadas de un tuit geolocalizado por Tinfoleak

De la misma forma, en la sección “Search by Coordinates” del informe, observamos que a las 22:35h del viernes 13 de noviembre, el usuario “rabonamag” publicaba contenido en Twitter:


Imagen 14: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram

Haciendo clic en el enlace “view”, accedemos al contenido de la publicación:


Imagen 15: Mensaje publicado por un usuario en las redes sociales

Igualmente, podemos visualizar la imagen publicada por este usuario en Instagram a través del enlace “Image”, donde observamos el interior del estadio de Francia (recordemos, se encontraba el presidente François Hollande y que fue evacuado minutos antes) en el que permanecían los asistentes al partido de fútbol entre las selecciones de Alemania y Francia:

Imagen 16: Fotografía tomada por un usuario desde el Estadio de Francia y obtenida con Tinfoleak
En esos momentos, muchos usuarios ya querían informar a sus seres queridos de que no había sufrido daño. Ese es el caso del usuario “stephendevries” que, a las 23:01h y tras encontrarse fuera del estadio, comunicaba mediante Twitter que se encontraba a salvo:

Imagen 17: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram


Imagen 18: Mensaje publicado por un usuario en las redes sociales

Junto a este mensaje publicaba la siguiente fotografía en la que se aprecia como la policía ya había tomado posiciones en las calles cercanas al Estadio de Francia:

Imagen 19: Fotografía tomada por un usuario en las calles de París y obtenida con Tinfoleak
Más allá del mero hecho informativo, los datos que se pueden obtener en las redes sociales cobran especial relevancia, ya que pueden proporcionar pistas sobre la ejecución de los atentados o los propios terroristas.

Es el caso, por ejemplo, de los videos que publicaban los usuarios minutos antes de que comenzara el partido de fútbol en el que tuvo lugar el primero de los atentados.

Imagen 20: Identificación de videos publicados por los usuarios mediante búsquedas con Tinfoleak
El usuario de Twitter “justdizle”, a las 00:52h del día 14 de noviembre, publicaba el siguiente video[3] momentos antes de acceder al estadio:

Imagen 21: Reproducción de un video publicado minutos antes del partido Francia-Alemania, obtenido con Tinfoleak
Haciendo clic en el enlace “view”, podemos consultar el mensaje publicado junto al video, donde comenta que el video fue realizado 30 minutos antes de comenzar el partido:

Imagen 22: Mensaje publicado por un usuario en las redes sociales
Entre las 21:20h y 21:43h se produjeron tres tiroteos. Las redes sociales no cesaban de suministrar información sobre los lugares de los hechos, publicando fotografías y videos.

Imagen 23: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Muchos usuarios se refugiaban en casas o comercios donde se les abría las puertas (el hashtag “porteouverte” fue de gran ayuda y demostró el nivel de solidaridad del pueblo francés). Es el caso del usuario “SydneyBaloue”, que publicaba el siguiente tuit a las 00:03h en las cercanías del restaurante Le Petit Cambodge, donde los terroristas asesinaron a doce personas:

Imagen 24: Mensaje publicado por un usuario en las redes sociales
Haciendo clic en el enlace “view” del informe de Tinfoleak, se visualiza la fotografía ampliada que publicaba en Instagram:

Imagen 25: Fotografía realizada por un usuario e identificada desde Tinfoleak
Pero, sin duda, la situación más dramática se vivía en la popular sala de teatro Bataclan, donde tenía lugar un concierto de la banda Eagles of Death Metal. Allí accedieron varios terroristas tomando como rehenes a un elevado número de personas que se encontraban en pleno concierto.

A las 23:35h Leo Novel, un reportero gráfico, fotografiaba como la policía acordonaba las inmediaciones de la sala Bataclan:

Imagen 26: Identificación de los datos asociados a la imagen publicada por un usuario en Twitter


Imagen 27: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Publicando el siguiente mensaje en Twitter:

Imagen 28: Mensaje publicado por un usuario en las redes sociales

Con esta fotografía en Instagram (reportada por Tinfoleak y a la que es posible acceder sin necesidad de pasar por la red social):

Imagen 29: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak

Un gran número de medios de comunicación contactaban con los usuarios a través de las redes sociales para ampliar la información:

Imagen 30: Mensaje publicado por un medio de comunicación hacia uno de los usuarios

A las 00:15h del día 14 de noviembre, el usuario “TraceyFriley” de Twitter, publicaba en Instagram un video[5] con numerosos servicios de emergencia circulando por una de las calles de París:

Imagen 31: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak

Accediendo al contenido de la publicación a través del enlace “view”:

Imagen 32: Mensaje publicado por un usuario en las redes sociales
Y visualizando el video haciendo clic en la vista previa:

Imagen 33: Video obtenido con Tinfoleak mostrando vehículos de emergencia en una calle de París

Otros usuarios publicaban videos desde sus casas, como el usuario de Twitter “ianmcall” que a las 01:18h del día 14 de noviembre publicaba el siguiente:

Imagen 34: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak


Imagen 35: Video obtenido con Tinfoleak desde la vivienda de un usuario
O directamente desde la calle, en las inmediaciones de la zona. Como el publicado por el usuario de Twitter  “matte_mag" desde la Place de la République mostrando números medios policiales:

Imagen 36: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak


Imagen 37: Video obtenido con Tinfoleak mostrando vehículos policiales en las calles de París
El usuario de Instagram “mickael_rahmeek” publicaba distintas fotos minutos antes del asalto por parte de la policía francesa:

Imagen 38: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak


Imagen 39: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak


Imagen 40: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak
Observando las coordenadas desde las que publicaba estos tuits, se aprecia que se encontraba a escasos metros de la sala Bataclan:

Imagen 41: Identificación de los datos asociados a imágenes publicadas por un usuario en Instagram


Imagen 42: Mostrando posición de un tuit en Google Maps geolocalizado mediante Tinfoleak
Minutos después, conoceríamos el fatídico desenlace. Los cuerpos de seguridad franceses asaltaban la sala de teatro Bataclan para liberar a los rehenes. Tres de los terroristas que se encontraban en el interior, accionaron los explosivos que llevaban en sus cinturones incrementado así la tragedia, provocando un elevado número de muertos y heridos (muchos de ellos en estado crítico).

Nuestras condolencias a los familiares y amigos de todas y cada una de las víctimas.

Referencias

Tinfoleak.
La Vanguardia - Cronología de los atentados de París
Video realizado 30 minutos antes del inicio del partido Francia-Alemania
Video mostrando los numerosos servicios de emergencia
Video desde la vivienda de un usuario
Video desde la Place de la République


Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader 
Director Departamento de Auditoría. 

viernes, 13 de noviembre de 2015

Publicada la Guía del Programa PA- DSS v2.2 (SSL y PA DSS v2.0)

Con la aparición de vulnerabilidades consideradas como críticas en el protocolo SSL: Beast, Crime, Heartbleed, Poodle y Freak recientemente, obligaron al PCI SSC a reaccionar, y a publicar una actualización en la versión 3.0 de PA DSS (PA DSS v3.1), obligando a los fabricantes de aplicaciones de pago que quieran certificar sus aplicaciones a no utilizar el protocolo SSL bajo ningún concepto.

Como existe la posibilidad de que un cliente certifique su entorno PCI DSS por la v3.1 utilizando una aplicación PA DSS certificada por la v2.0, el PCI SSC ha publicado una nueva versión de la “Program Guide” para la versión 2.0 de PA DSS.

Con esta nueva versión de la Program Guide v2.2, aquellas empresas que quieran mantener su aplicación certificada por PA DSS bajo la versión 2.0, deberán revisar el desarrollo de su aplicación y eliminar el uso de este protocolo, debiendo garantizar que la aplicación soporta protocolos de cifrado que aún no han sido vulnerados (TLS v1.1 y TLS v1.2) para la transmisión.

En caso de que un cambio calificado como de bajo impacto (low impact change) afecte solo a requerimientos PA DSS de transmisión segura de datos (por ejemplo, requisitos 6, 8.2, 11 y 12), la aplicación de pago debe soportar únicamente protocolos seguros (TLS 1.1 y 1,.2).


Autora: Carmen de Alba - CISM, CISA, PCI QSA, PCI PA-QSA
Departamento de Consultoría.

viernes, 6 de noviembre de 2015

9º Congreso de Prevención del Fraude y Seguridad. Bogotá

Los pasados 29 y 30 de octubre se celebró el 9º Congreso de Prevención del Fraude y Seguridad organizado por Asobancaria. Asobancaria es el gremio representativo del sector financiero colombiano. Está integrada por los bancos comerciales nacionales y extranjeros, públicos y privados, las más significativas corporaciones financieras e instituciones oficiales especiales siendo el Banco de la República, Banco Central de Colombia, miembro honorario.

Este evento, uno de los más relevantes del sector financiero en el área de la seguridad, en el cual reúne a responsables de seguridad, riesgos, auditoría, etc. de las entidades financieras del país y a los profesionales de la seguridad.

Parte del equipo de Internet Security Auditors en Colombia asistió al evento para estar actualizados en los temas más significativos de seguridad en el país, además conocer las novedades que se anunciarían en este relevante congreso y así tener conocimiento de primera mano,  de algunas de las preocupaciones, inquietudes e iniciativas que el sector financiero de Colombia tiene hasta el momento.

Tras la apertura por parte del Presidente de Asobancaria, Santiago Castro Gómez, quien presentó el evento, la situación del sector, inquietudes y objetivos del sector, Jorge Fernando Perdomo, Vicefiscal General de la Nación, expuso un conjunto de recomendaciones de seguridad que, con una pequeña inversión e incluso con buenas prácticas, permiten mejorar la seguridad.

Si bien es cierto que algunos temas recurrentes, como la seguridad física y los aspectos relacionados con las medidas de seguridad por parte de las entidades para proteger a los clientes, Jorge Iván Otálvaro, Presidente del Comité de Seguridad de Asobancaria y Vicepresidente de Servicios Administrativos del Grupo Bancolombia nos introdujo aspectos muy interesantes sobre las preocupaciones del sector en la proliferación de nuevos agentes en el comercio electrónico y la importancia y la necesidad de una regulación del comercio electrónico que, sin impedir éste ni suponer obstáculos en su desarrollo, sí garantice la seguridad del comprador y la información de los datos de pago. Miguel Ángel Villalobos, Superintendente Delegado para Riesgos Operativos de la Superintendencia Financiera de Colombia y Santiago Ángel Jaramillo, Director de Regulación del Ministerio de Comercio, Industria y Turismo de Colombia presentaron nuevas iniciativas desde el sector público y dieron a conocer en qué se está trabajando para la regulación y protección final del consumidor y mejora de la seguridad en diversas vertientes.

Desde México también se presentaron casos reales de iniciativas en la facilitación del comercio electrónico, la seguridad y la protección de la información, de la mano de Alejandro Rodríguez, Subdirector de Auditoría Interna del Banco Multiva, S.A.  y  Carlos Chalico, Director de Ouest Business Solutions, quien hizo bastante hincapié en la protección de datos personales, tomando como base las diferentes circulares del comercio Colombiano.

En las diferentes sesiones que se desarrollaron, de forma muy dinámica de forma paralela, dos aspectos clave se presentaron: la importancia de la protección de datos de carácter personal y la necesidad de la implementación de buenas prácticas en seguridad para remediar ciertas situaciones que impactan directamente en la seguridad del usuario. Sin duda, PCI DSS apareció en muchas presentaciones. La importancia de la implementación de la norma y su uso como estándar de referencia para la mejora de la seguridad en el ecosistema tanto financiero como del comercio electrónico fue un concepto recurrente y común en muchas de las presentaciones. Incluso en alguna de ellas se presentó como meta para la mejora de la confianza de los usuarios y clientes y como herramienta clave para la reducción del fraude relacionado con el compromiso de la información de tarjetahabientes.

Casos prácticos de cómo malas prácticas en seguridad se pueden encontrar desde aplicaciones móviles del market de Google para Android, en muchos casos con fines malévolos, como presentó Claudio Caracciolo, de Eleven Paths; casos prácticos de incidentes por troyanización con malware Plutus de cajeros en México el 2014, por parte de Adolfo Grego, Director Ejecutivo del Grupo RF; el uso de protocolos inseguros en aplicaciones móviles, según presentó Joji Montelibano, de CSC, etc.

En presentaciones de diversa temática, se trataron también aspectos sobre el estado del arte de la ciberseguridad desde la visión de Alberto Partida, experto en seguridad y autor de diversos libros de referencia, o con el punto de vista de la Policía Nacional, o de la gestión del fraude interno, por parte de Arturo del Castillo, de KPMG.

En resumen, el Congreso resulto merecer indudablemente la asistencia para tener la oportunidad conocer a algunas de las personas clave en el mundo de la seguridad del sector financiero del país y tener la oportunidad de presentar a Internet Security Auditors como la empresa que pretende tener la relevancia en el sector de la seguridad que ya tiene en España, siendo, por ejemplo, referente experto en normas PCI. Esperamos que en próximos congresos Internet Security Auditors pueda presentar sus experiencias en el país y aportar un granito de arena en la mejora de la seguridad de tan importante sector en Colombia.


Autora: Laura M. Chacón Guzmán
Departamento Comercial

lunes, 2 de noviembre de 2015

Crónica del (ISC)2 Security Congress EMEA 2015

La segunda edición del congreso anual que organiza (ISC)2 para la región EMEA, tuvo lugar los días  20 y 21 de octubre de 2015 en Munich. Aunque el sol no se dejó ver y la lluvia hizo acto de presencia de forma casi constante, la experiencia de formar parte del congreso (en mi caso, como ponente) fue realmente enriquecedora.

El congreso, del que hay que destacar su envidiable nivel de organización, incluía una jornada previa a las conferencias en las que se impartieron dos talleres: "Digital Forensics" (impartido por Lorenz Kuhlee, de Verizon) y "Cloud Security" (impartido por Tim J. Sandage y Gavin Fitzpatrick, ambos de Amazon). Dichos talleres, de media jornada de duración, se impartían en horario de mañana y tarde con el fin de facilitar la asistencia a todos aquellos interesados en los mismos.

Respecto las conferencias, se organizaban en seis tracks (las tres primeras el primer día, y las siguientes el segundo):
  • Track 1: Mobile and Cloud
  • Track 2: Analytics and Forensics
  • Track 3: Risk and Governance
  • Track 4: Technology, Business and the Future
  • Track 5: Privacy and Data Security
  • Track 6: Hackers and Threat Intelligence

Por otro lado, se incluían sesiones fuera de estos tracks, por parte de distintos keynotes y panelistas. Entre las ausencias, cabe destacar la de Howard A. Schmidt (Executive Director en SAFECode, con una dilatada experiencia y antiguo coordinador y asesor en materia de ciberseguridad de Barack Obama hasta el año 2012) que, aunque había sido anunciada su presencia, finalmente no pudo asistir.

De este congreso, destacaría tres aspectos: por un lado, el carácter internacional del mismo (tanto a nivel de ponentes como de asistentes), por otro, la clara orientación hacia el networking (con pausas para intercambiar impresiones cada dos horas aproximadamente) y, finalmente, la extraordinaria precisión (recordemos que se organizaba en Alemania) en cuanto al horario establecido en el programa.

PRIMER DÍA DE CONFERENCIAS
Tras recoger la acreditación y realizar los primeros contactos durante el tiempo del café, David Shearer (CEO de (ISC)2) inauguraba el congreso con una breve introducción y daba paso a los primeros keynotes. En esa mañana, especialmente interesante me resultaron las siguientes conferencias:

"The Cyberpsychology of Information Security: Managing Risk in Leaderless Environments"
La conferencia del Dr. Ciarán Mc Mahon (coordinador de investigación y desarrollo del CyberPsichology Research Centre, en Irlanda) se realizaba desde una perspectiva totalmente distinta a la que estamos acostumbrados, y analizaba el choque entre humanos y tecnología: qué impacto tienen las tecnologías emergentes en el comportamiento humano. En una de sus slides, se podia leer el siguiente mensaje: ¿es 2015 el año en el que la ciberseguridad muestra su lado humano? Expuso conceptos como comunicación persuasiva y como influir en la capacidad y motivación de las personas a la hora de prestar atención.

En la pausa de mediodía, tuve la oportunidad de conversar con el Dr. Ciarán y, tras un intercambio de impresiones, me mostró su interés por las posibilidades que podía llegar a ofrecer mi herramienta Tinfoleak en el análisis del comportamiento y conductas humanas a partir de la información públicada en redes sociales.

"The Science Behind The Analogies Project"
Bruce Hallas, fundador de The Analogies Project, nos expuso la filosofía del proyecto que lidera (y en el que puede colaborar cualquier persona). El objetivo es hacer entender la seguridad de la información a toda la sociedad. Para ello, utiliza analogías fácilmente identificables y comprensibles por cualquier persona, independientemente del sector en el que se encuentre. Por ejemplo, a través del paralelismo entre algo que la persona conoce o puede tener interés (como el deporte o la política) y un concepto de seguridad, se facilita la comprensión del mismo.

Bruce propuso un juego entre los asistentes. Pensar y describir ejemplos de analogías en una cartulina (previamente facilitada por la organización del congreso entre los materiales que recibían los asistentes) y facilitarla para formar parte de un concurso en el que se seleccionaría al día siguiente los ganadores.

Entre las sesiones de la tarde, cabe destacar la ponencia "Information Security in Nuclear Facilities: Notes from a High Threat, Highly Regulated Industry" de Andrea Cavin, colaborador de distintos organismos internacionales, entre ellos la ONU, en materia de seguridad en instalaciones nucleares. En su presentación, Andrea expuso la problemática de estos entornos "especiales", mostrando ejemplos de posibles amenazas (en los momentos que vivimos actualmente, una amenaza terrorista se encuentra claramente presente y gestionada en todos los gobiernos), el impacto en la sociedad y, sobretodo, el alto nivel de regulación existente en esta materia.

En una conversación con Andrea, tras su presentación, me comentó su nivel de extrañeza al observar el bajo nivel de participación de perfiles españoles en numerosos ejercicios de simulación de ataques (los famosos tabletop) sobre instalaciones nucleares que se llevan a cabo en distintos continentes. Máxime, cuando España dispone de este tipo de instalaciones y de personal altamente cualificado. Le hice saber que miembros de nuestro equipo de hacking habían participado en un tabletop organizado por CSFI (Cyber Security Forum Initiative), aunque coincidía con él en su visión global de la falta de recurrencia en este tipo de actividades por personal de nuestro país.

Una vez finalizadas las conferencias del primer día, (ISC)2 había organizado una cena donde, en un ambiente distendido (y como indicaba el propio CEO, David Shearer, "fuera trajes, con vestimenta casual") se facilitaba el networking entre ponentes y asistentes. A las 18:00h, tal y como recogía el programa, ya nos esperaban los autocares para desplazarnos hasta el restaurante donde tendría lugar la cena. A nuestra llegada, fuimos recibidos con un cocktail previo en el que se iniciaban animadas conversaciones. En un momento dado, Adrian Davis (Managing Director para EMEA del (ISC)2) nos llamaba la atención con un triángulo (el instrumento), que hizo arremolinar a todos los asistentes a su alrededor. David Shearer se subía en una silla para hacerse ver y oir mejor, y leía distintas notas con los motivos por los que los presidentes de varios capítulos de (ISC)2 eran premiados debido a un esfuerzo/dedicación especial en el último año. Cada uno de estos presidentes, recogía su premio entre los aplausos de los allí asistentes. A las 19:00h comenzamos la cena, repartidos en las distintas salas del restaurante. Como si del principio de un chiste se tratara, en mi mesa nos encontrábamos un australiano, un inglés, un italiano (Andra Cavina) y un español. Fue una grata sorpresa conocer que Andrea, con el que había conversado previamente en inglés, hablaba un perfecto español (eso sí, con acento mexicano).

SEGUNDO DÍA DE CONFERENCIAS
El segundo día se iniciaba, tras el café inicial, con una breve introducción a la jornada por parte de Rainer Rehm, presidente del capítulo alemán de (ISC)2. A continuación, tuvo lugar una interesante conferencia ("The Myths in Biometrics: Some Answers") a cargo de Alexander Nouak (Head of the Competence Center "Identification and Briometrics de Fraunhofer Institute for Computer Graphics Research, y co-funddador y presidente de European Association for Biometrics). Destacar el nivel de inversión que se realiza en Alemania en investigación. Por ejemplo, la organización donde Alexander Nouak realiza su trabajo (Fraunhofer), formada por 66 institutos y más de 24000 miembros, dispone de un presupuesto anual en investigación de 2.000 millones de euros. En su exposición, tras definir las características básicas de la biometría comentaba sus limitaciones, la falta de cumplimiento de los sistemas biométricos con los principios de privacidad de los datos (en Europa, la regulación de protección de datos se encuentra en desarrollo desde 2012), así como guías técnicas sobre socomo implementar requerimientos de privacidad y protección de datos (ISO/IEC 24745-2011: Biometric Information Protection) entre otros aspectos. Interesante también la idea que expuso en relación a que la biometría conduce necesariamente a la vigilancia de las personas.

Durante la mañana, realicé mi presentación "You are being watched..." en la sala principal, donde presenté la problemática asociada a la capacidad de obtención de información sensible, sobre cualquiera de nosotros, únicamente utilizando datos accesibles públicamente en redes sociales. Dejando de lado la vigilancia por parte de gobiernos u otras organizaciones, mi presentación se centraba en la capacidad real de la que dispone un usuario particular con unos recursos muy limitados, de obtener información privada sobre nosotros. Quizás alguien de nuestro entorno, o alguien ubicado a miles de kilómetros pero que nuestro perfil entra dentro del patrón de usuario que desea analizar, posiblemente con finalidades maliciosas. En mi presentación, eminentemente práctica, mostré funcionalidades que incorporará la nueva versión de mi herramienta Tinfoleak.

Ya en la tarde, tuvieron lugar dos sesiones interesantes, en la que todos los asistentes fuimos invitados a participar de forma activa. La primera, a cargo de la Dra. Sally Leivesley (Managing Director en Newrisk Limited) propuso un ejercicio: como manejar la respuesta a incidentes (momentos de crisis) relacionados con un ataque a suministros de energía en un pais. En grupos de 10 personas se formaron equipos, en los que durante 15 minutos se debía pensar en posibles incidentes que pudieran ocurrir y cómo se reaccionaba ante los mismos desde distintos ámbitos. Todo esto intentando ofrecer respuesta a 12 cuestiones planteadas previamente por la Dra. Leivesley (desde como se podía haber gestionado la ciberseguridad de forma previa al ataque, o como gestionar el aviso de comunicación posterior a la sociedad, presentar propuesta de alternativas y soluciones para continuar ofreciendo los servicios requeridos, etc.). Tras dicho tiempo, cada equipo seleccionaba un portavoz y presentaba brevemente sus planteamientos al respecto. Posteriormente, la Dra. Leivesley aportaba su visión sobre cada una de las exposiciones. Sobra decir que, dado el elevado número de equipos, no todos tuvieron ocasión de exponer los resultados de su deliberación.

La segunda de las sesiones "prácticas" en las que debían participar los asistentes, y perfectamente dinamizada por Adrian Davis (Managing Director EMEA de (ISC)2), consistía en un quiz en el que igualmente se conformaban equipos en la disputa de un premio. Las preguntas, clasificadas en distintas secciones, eran muy diversas: desde describir una de las vulnerabilidades con las que comprometer un dispositivo Android, indicar el nombre de la empresa de seguridad que sufrió un grave incidente en 2014, o describir tres de las vulnerabilidades que forman parte del Top 10 de OWASP. Para ello, cada equipo disponía de varias hojas con las preguntas. Tras el tiempo definido para redactar las respuestas, se intercambiaban las hojas entre los distintos equipos, y una vez Adrian facilitaba las soluciones (las preguntas eran puntuadas en función de su nivel de dificultad), cada equipo debía puntuar las respuestas que se encontraban en las hojas que había recibido. De esta forma, se obtenía una puntuación final por equipo. A continuación, se retornaban las hojas puntuadas al equipo que las había respondido. En ese momento, Adrian solicitó que todos los asistentes se pusieran en pie. Primero dijo: "aquellos equipos con una puntuación inferior a 5, pueden sentarse", a continuación: "pueden sentarse los equipos con una puntuación inferior a 8", y así sucesivamente. De esta forma, fueron eliminándose rápidamente equipos (cabe destacar que el equipo en el que me encontré, fuimos finalistas), hasta quedar un equipo ganador que recibía un premio por parte de (ISC)2.

Tras unas conferencias posteriores, dedicadas a IoT (Internet of Things) y tendencias en ciberseguridad, se clausuró el congreso.

Sin duda, un congreso muy recomendable y de exquisita organización. Especialmente resaltable, el aspecto que mencionaba al inicio de esta crónica: la clara orientación hacia el networking y la capacidad de atracción internacional.


Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader 
Director Departamento de Auditoría. 

viernes, 30 de octubre de 2015

Vicente Aguilera participará como jurado en el Hackathon del CyberCamp 2015

INCIBE, el Instituto Nacional de Ciberseguridad de España, organiza la edición 2015 de CyberCamp, el gran evento de ciberseguridad que nació con el objetivo de reunir a los mejores talentos en materia de ciberseguridad. Este año, el evento se llevará a cabo del 26 al 29 de noviembre, en Madrid.

Como novedad, este año el evento incorpora un Hackathon, donde distintos equipos competirán para desarrollar o mejorar herramientas de seguridad open-source.

Hackathon, es un encuentro presencial de desarrollo colaborativo de software (o hardware) en un corto periodo de tiempo. En CyberCamp, el Hackathon tendrá lugar durante los 4 días del evento, y los equipos podrán desarrollar las herramientas durante las 24h del día.

Vicente Aguilera ha sido invitado a formar parte del jurado del Hackathon, compuesto por 5 miembros, y tendrá la responsabilidad de supervisar los desarrollos siguiendo los criterios de evaluación definidos por el comité (uso de buenas prácticas de desarrollo, grado de innovación que aporta, funcionalidades implementadas, integración con otras herramientas, etc.).

El domingo 29 de noviembre  se comunicarán los 3 equipos ganadores y se hará entrega de los premios a los miembros de cada uno de dichos equipos.

Más información:
https://cybercamp.es/en/activities/hackathon

jueves, 22 de octubre de 2015

Se celebra una nueva edición de los Premios TIC de la Seguridad de la revista Red Seguridad

La revista RED SEGURIDAD (http://www.redseguridad.com/) desde el año 2006 organiza y convoca los Premios TIC de la Seguridad cuya finalidad es reconocer públicamente a las empresas y profesionales que cada edición son premiadas en la categoría correspondiente, y como viene ocurriendo desde 2007, Vicente Aguilera forma parte del selecto jurado que analizará y decidirá los premiados de esta X edición.

 Estos Trofeos se han convertido en los más prestigiosos que se conceden en el ámbito de la Seguridad Lógica en España, y se entregan en un solemne y entrañable acto presidido por relevantes personalidades de la Seguridad TIC.

Los concede un jurado independiente que avala la trayectoria y el prestigio de estos premios que cada año estudia las más de 60 candidaturas que presentan en cada edición. Alfonso Mur Bohigas (socio de Deloitte) fue el Primer Presidente ostentando en este momento Guillermo Llorente (Director General de Seguridad y Medio Ambiente de MAPFRE) la presidencia.

La ceremonia de entrega de trofeos se realiza aquí:
Hotel Melià Castilla
Calle del Capitán Haya, 43, 28020 Madrid

Por otro lado, las categorías existentes (a las que se presentan los candidatos) son las siguientes:
  • Trofeo al producto o sistema de seguridad TIC
  • Trofeo al servicio de seguridad TIC
  • Trofeo a la innovación en Seguridad TIC
  • Trofeo a la investigación en Seguridad TIC
  • Trofeo a la formación, capacitación, divulgación o concienciación en Seguridad TIC
  • Trofeo Extraordinario del Jurado

Jurado:
http://www.borrmart.com/trofeos/trofeos-tic/jurado/

miércoles, 21 de octubre de 2015

¡Vótanos como uno de los Mejores Blogs de Seguridad Informática!

Desde 2003, la red social para bloggers Bitacoras.com entrega los Premios Bitácoras a los mejores blogs en español. Tras sus 11 años de existencia, el certamen, se ha consolidado como la gran cita anual de los bloggers españoles —15.827 blogs nominados y 162.315 votos emitidos en la última edición—. El galardón representa, en muchos casos, un antes y un después en la carrera profesional de sus ganadores.

Los Premios Bitácoras son el reconocimiento a una trayectoria y el comienzo de un camino nuevo, por eso hemos querido presentar nuestro blog corporativo: blog.isecauditors.com, en la categoría de Mejor Blog de Seguridad Informática.

Si os gustan nuestros artículos y quieres ayudar a que cada vez sea más conocido nuestro blog solo tienes que votar! Puedes hacerlo a través del siguiente enlace con tu usuario de Bitacoras.com (si tienes) o a través de tu cuenta de Facebook o Twitter:


Votar en los Premios Bitacoras.com

Mitigación de vulnerabilidades en binarios (parte II)

Cuando hablamos de mitigaciones hablamos de una capa extra de seguridad o un parche temporal ante un problema que no tenga solución inmediata, exclusivamente. Es decir, no es una solución permanente a un problema, no puede sustituir a un parche de seguridad, no protege ante todas las variantes de explotación de una vulnerabilidad y, en definitiva, no es infalible, por lo que debería ser el último recurso disponible cuanto a seguridad se refiere.

Para ilustrar estas afirmaciones expondremos un caso “real” donde las protecciones anti-explotación no fueron suficientes para evitar la ejecución de código arbitrario.

Se trata de un CTF (Capture The Flag) creado precisamente para tratar de explotar vulnerabilidades en un entorno real (pero controlado). El objetivo es aprender sobre explotación de sistemas en un entorno lo más real posible.

Entre la gran variedad de desafíos como este disponibles, vamos a usar como ejemplo “TUX” de SmashTheStack (http://tux.smashthestack.org:86/), en concreto el nivel 1. El objetivo es explotar un Buffer Overflow real, encontrado en un servicio FTP de Linux, en concreto ProFTPD 1.3.2c.

El principal problema son las protecciones con las que fue compilado el servicio:



Como se puede observar, el binario incluye varias tecnologías de mitigación incorporadas: RELRO parcial, NX y SSP; además está enlazado dinámicamente por lo que las direcciones de las funciones en memoria son calculadas en tiempo de ejecución, lo que impide utilizar direcciones estáticas.



A nivel de sistema hay aplicada otras mitigaciones, como ASCII ARMOR, que evita que se puedan introducir direcciones de librerías directamente a través de funciones de manejo de cadenas:




Para rizar más el rizo, se asumirá que también está habilitado ASLR, aunque no sea así, para demostrar que el uso de más protecciones no significa que sea inexplotable.

Ciertamente estas medidas dificultan la explotación, pero un atacante con el suficiente  tiempo y motivación podría tratar de evadirlas ya que no son infalibles, como se verá a continuación.

Resumiendo, se trata de evadir las siguientes protecciones:
  • ASLR
  • NX
  • ASCIIARMOR
  • RELRO(parcial)
  • SSP o Canary
El servicio que se va a explotar tiene una vulnerabilidad pública con identificador  CVE-2010-4221:
Múltiples desbordamientos de pila en la función pr_netio_telnet_gets de netio.c, en el servicio ProFTPD en versiones inferiores a la 1.3.3c, permite a atacantes remotos ejecutar código arbitrario a través de paquetes específicamente diseñados que incluyen el carácter de escape TELNET IAC.

Hay exploits disponibles, pero no son compatibles con esta plataforma. Con unas pequeñas modificaciones se podrían utilizar, pero no sería ni la mitad de divertido ni didáctico que hacerlo uno mismo partiendo de cero.

El objetivo de este artículo no es entrar en detalles sobre las técnicas comunes de desarrollo de exploits para vulnerabilidades de tipo Stack Overflow. Se asume un conocimiento básico de métodos de explotación de este tipo de fallos, así que se nos focalizaremos en la evasión de las protecciones mencionadas anteriormente.

Resumiendo, según las mitigaciones detectadas, se podría descomponer el problema en tres objetivos principales que habrá que ir superando:
  1. Impedir que SSP detecte la escritura fuera de límites.
  2. Conseguir emplazar datos/código arbitrario en una zona de memoria controlada
  3. Redirigir el flujo de ejecución hacia dicha zona de memoria

Tras determinar el tamaño real de la pila y tratar de modificar el flujo de ejecución entra en juego la primera mitigación, el SSP.

De nada sirve situar código arbitrario en memoria si no tiene ninguna posibilidad de ejecutarse. Por tanto, al tratar de explotar este desbordamiento de pila, el primer problema que se tiene que sortear es Stack Smashing Protector y el canario que sitúa en el epílogo de la función vulnerable, ya que detiene la ejecución en caso de verse alterada la pila.

A modo de ayuda (para evitar que se alargue la explotación) los creadores del reto modificaron la función que genera la secuencia de bytes de comprobación de la pila (canario) por otra con menos entropía.



Lo que equivale a un entero sin signo de 32 bits, donde el byte menos significativo es siempre 0, como se puede ver en la siguiente captura.




Esto reduce la entropía a 24 bits, una longitud lo suficientemente manejable como para ser obtenida por fuerza bruta en un periodo razonable de tiempo.

Una característica de este demonio que puede ser útil a la hora de explotarlo es que paraleliza la ejecución para poder atender múltiples clientes mediante procesos hijos, con la función fork().

Esta función crea una copia exacta del proceso padre, hasta el punto donde se crea el proceso hijo, de manera que puedan seguir flujos de ejecución distintos pero partiendo de los mismos datos ya almacenados en memoria.

Esto es relevante para la explotación ya que cada vez que hagamos una conexión nueva, se creará una copia del proceso padre incluyendo el valor del canario almacenado, es decir, es valor no cambia tras sucesivas conexiones hasta que el demonio es reiniciado, incluso aunque el proceso hijo caiga en condición de error y finalice.

Gracias a esto, es posible realizar ataques de fuerza bruta sin temor a que el valor del canario cambie entre sucesivos intentos.

Una sencilla forma de saber si hemos dado con el canario correcto, es mandar una petición del tamaño exacto para sobrescribirlo, sin llegar a tocar el valor de retorno almacenado justo a continuación. Una vez enviada la petición, sólo se debe comprobar la respuesta del servidor:
  • Si el servidor no responde significa que el proceso hijo ha detenido su ejecución y, por tanto, el canario no es correcto.
  • En caso de producirse una respuesta, podemos asegurar que el último valor enviado es el correcto y lo será hasta que se reinicie el demonio.
En este caso se han enviado sucesivos paquetes con la siguiente estructura:

AAAAAAAAAAA... 0xFF AA 0xXXXXXX00
Relleno
(1021 bytes)
TELNET IAC
(1 byte)
Relleno
(2 bytes)
Canario
(4 bytes)
Total: 1028 bytes


donde se han reemplazando las “X” por posibles valores del canario. En este caso, los generados por fuerza bruta.

Una vez se ha confirmado el canario correcto (y por tanto se ha evadido SSP) se puede empezar a hablar de modificar el flujo de ejecución.

Lo fácil sería localizar la dirección de memoria donde se almacena nuestro código mediante GDB, modificar el valor de retorno guardado para que salte a dicha dirección y se ejecute. Aquí es donde entran en juego las mitigaciones: ni se puede obtener una dirección constante entre ejecuciones (ASLR) ni se puede ejecutar código almacenado en la pila (NX).


¿Cómo se puede evadir ASLR y NX?
La sección .text, que contiene el código principal del programa, no está afectada por ASLR (no es la única) y suele cargar en la misma dirección base (en x86 es 0x0804XXXX). A su vez, al tratarse de la sección principal del programa, debe tener permisos de ejecución, por lo que tampoco está afectada por NX.

Por tanto, si se pudieran encadenar instrucciones concretas de dicha sección .text, se podría armar una shellcode por partes.

La mejor forma de lograr esto actualmente es mediante una técnica denominada ROP (Return Oriented Programming).

Esta técnica se basa principalmente en la reutilización de partes concretas del propio código original del programa, encadenándolas unas con otras mediante instrucciones ret (de ahí su nombre). Lo único que se necesita para modificar el flujo de ejecución es preparar la pila con las direcciones de la sección .text que interesen para construir la shellcode. De esta manera, se controla hacia donde se produce cada salto al ejecutar la instrucción ret.

Existen varias suites que realizan la búsqueda de direcciones útiles (para realizar una shellcode) dentro del binario.

Se ha utilizado la herramienta ROPgadget que automatiza la extracción de “gadgets”, que es como se denomina los trozos de código reutilizado del propio programa que acaban en una instrucción ret.




No es necesario un gran número de instrucciones distintas para armar una shellcode, en principio basta con tres tipos:
  • Carga.
  • Adición.
  • Transferencia de control indirecto.
Sin embargo, si se desea ejecutar código más elaborado, es necesaria la interrupción int 0x80. Esta instrucción es necesaria para ejecutar cualquier syscall, por tanto si no se encuentra un gadget que la contenga, se reduce mucho el abanico de posibilidades de la shellcode, como es este caso.

Para complicar más las cosas, el binario está enlazado de forma dinámica, por lo que las funciones importadas se ejecutan desde sus respectivas librerías, que son cargadas por el sistema en memoria al inicio del programa, calculando sus direcciones en tiempo de ejecución. Por tanto, no se incluye el propio código de dichas funciones en el programa, lo que en la práctica significa que el número de gadgets disponibles se reduce drásticamente. Tampoco es posible hardcodear la dirección de ninguna función importada, ya que también están afectadas por ASLR.

Entonces, ¿cómo es posible ejecutar una syscall si no se encuentra el gadget mencionado anteriormente?

Existen dos secciones de los ficheros ELF llamadas GOT (Global Offset Table) y PLT (Procedure Linkage Table) encargadas de enlazar las funciones importadas con sus respectivas librerías cargadas en memoria.




La PLT almacena las direcciones de memoria de las funciones utilizadas por el programa, de forma que cuando se ejecuta una función almacenada, en realidad se está llamando a la correspondiente entrada en esta sección, que a su vez realiza el salto directo (normalmente mediante JMP 0xLIB_ADDR) a la dirección de memoria donde comienza el código de la función solicitada.

La sección GOT entra en juego cuando se trata de un ejecutable enlazado dinámicamente, las direcciones de los saltos almacenados en la PLT deben ser calculados en tiempo de ejecución antes de realizarse. Para ello, el linker carga en memoria las librerías utilizadas por el programa y las reubica: asignándole a cada librería un rango de memoria y estableciendo en la sección GOT las direcciones de las funciones. Cuando esto ocurre, los saltos de la PLT se hacen de manera indirecta pasando por la dirección almacenada en la GOT (JMP *0xGOT_ADDR)

El flujo de ejecución, por ejemplo, cuando se llama a la función tzset(), sería algo así:


Por tanto, una alternativa lógica sería leer la dirección de alguna función interesante (por ejemplo system()) directamente de la GOT y saltar a ella. Pero, para poder hacerlo, es necesario que el programa llame en algún momento a la función que nos interese y en este caso no es así.

Un punto a tener en cuenta, es que el contenido de las librerías es constante entre distintas ejecuciones, lo único que cambia es la dirección base donde será cargada (culpa de ASLR). Esto quiere decir que la distancia entre el inicio de la librería y una función cualquiera es constante, así como la distancia entre dos funciones cualesquiera de la misma librería, independientemente de la sección de memoria donde sea cargada.

De esta forma, es posible calcular donde estará situado el inicio de una función arbitraria de la librería en memoria, partiendo de la dirección de cualquier otra función de dicha librería.

A esta técnica se le denomina GOT dereferencing.

Si no es posible construir una shellcode funcional con los gadgets extraídos del binario, ¿por qué no utilizar directamente las funciones que nos ofrece una librería como es libc? El objetivo es obtener la dirección en memoria de cualquier función (por ejemplo system()) a partir de otra cuya dirección sí esté presente en la GOT (read() puede servir).

A continuación se muestran las direcciones donde han sido cargadas (en esta ejecución) las funciones que interesan para el desarrollo del exploit:



Para calcular la distancia de system() desde read(), con GDB es suficiente:



0x83dc0 es el valor que hay que restarle a la dirección de read() para obtener la de system().

Aquí existe otro problema, con el reducido número de gadgets que se han podido extraer, no es posible restarle dicho valor a la dirección de read() y saltar hacia ella directamente.

Si no es posible mediante gadgets colocar la dirección calculada de system() en algún registro o posición de memoria y hacer un salto directo, ¿cómo se puede conseguir redirigir el flujo del programa hacia dicha función? Mediante otra técnica llamada GOT overwriting.

Como su nombre indica, esta técnica consiste en reemplazar la dirección existente de una función en la GOT por otra. De esta manera, al intentar ejecutar la función original en cualquier parte del programa, se estará llamando a la dirección sobreescrita, lo que permite redirigir el flujo de ejecución.

Desarrollo del exploit

El objetivo de los CTF, por norma general, es obtener el contenido de un archivo protegido con permisos superiores.

Las acciones que debe llevar a cabo el exploit para conseguir la ejecución de código arbitrario se resumen en:
  • Evadir la detección de SSP mediante fuerza bruta.
  • Evadir ASLR y NX mediante ROP.
  • Evadir la limitación de código reutilizable (gadgets) y ampliar las posibilidades de la shellcode mediante GOT dereferencing y las funciones de la libc.
  • Redirigir el flujo de ejecución mediante GOT overwriting, por falta de gadgets que permitan realizar un salto directo.
Al ser un demonio, es posible explotarlo de forma completamente remota. Pero esto es un CTF, y se limitan las conexiones a la máquina. Por tanto, y para evitar maldades, el payload ejecutará un fichero local en lugar de una consola remota. Dicho fichero solo copiará el contenido del archivo objetivo a la ruta /tmp y le dará permisos de lectura.

Se utilizarán los siguientes gadgets obtenidos mediante ROPgadget:
  • 0x8080f04L: pop eax ;;
  • 0x80534b2L: pop ebx ; pop ebp ;;
  • 0x805c2f2L: add [ebx+0x5e5b10c4] eax ; pop ebp ;;
  • 0x804a71dL: xchg ecx eax ;;
  • 0x80c5ac6L: mov [ecx+0xf228] eax ; xor eax eax ; pop ebp ;;

Mediante estos gadgets (los que hemos utilizado, pero no son los únicos) es posible armar una shellcode funcional.

Se pueden distinguir dos partes:
  1. Fuerza bruta a SSP: El exploit enviará repetidamente paquetes con la longitud justa para sobrescribir el canario con distintos valores (utilizando el mismo algoritmo de generación que el programa que se pretende explotar) y esperará la respuesta, que en caso de producirse, confirma que se ha obtenido el valor correcto.
  2. Ejecución de código arbitrario: Con el valor del canario obtenido en el paso anterior, se procede a enviar el payload final que ejecutará la shellcode, formada por cadenas ROP.

El payload final, una vez obtenido el canario, quedaría de la siguiente manera:

AAAAAAAAAAAAAAAA... Relleno (1021 bytes)
0xFF Disparador (1 byte)
AA Relleno (2 bytes)
0xXXXXXX00 Canario (4 bytes)
AAAAAAAAA... Relleno (28 bytes)
0x08080f04…. ROP Chain/Shellcode (104 bytes)


Todo lo que se ha explicado hasta este punto, son los conceptos teóricos necesarios para realizar la explotación, pero queda todo mucho más claro si es posible acompañarlo con un código que lleve a la práctica todos los conceptos. Por ello, se incluye el código del exploit al final del artículo.

Lo único que faltaría, sería colocar el archivo que se desee ejecutar en la ruta /tmp/aa.

Por ejemplo:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void main ()
{
    system (
“/bin/cp /pass/level2 /tmp/clave_nivel_2.txt;”
     “chmod 777 /tmp/clave_nivel_2.txt”
);
    
    exit(0);

}

En este caso copia el fichero con la clave a una ruta accesible y le da permisos para poder leerlo, con esto se consigue pasar al siguiente nivel.

En definitiva, se ha conseguido evadir múltiples mitigaciones y demostrar que no son la panacea. Por todo esto, es indispensable contar con auditorías externas de código realizadas por profesionales que, de forma objetiva, identifiquen fallos que podrían abrir la puerta a atacantes, incluso contando con medidas de bastionado y/o mitigación de vulnerabilidades.

Fin del juego.

Referencias

Código del exploit





Autor: Jose Antonio Perez. 
Departamento de Auditoría.