Cómo combinar Nessus con Metasploit

Empezaremos hablando de Nessus, desde su instalación, así como los distintos tipos de escaneos y la manera de combinarlo con Metasploit.

¿Qué es Nessus?
Es un programa, que escanea vulnerabilidades de equipos, dispositivos y otros componentes en diferentes sistemas operativos.
Se puede utilizar mediante comandos o interfaz gráfica. En este caso nos centraremos en esta última.

Tipos de versiones
  • La Essentials 
  • La Profesional
Os dejo una captura para que veáis las diferencias:


(En este caso haremos la presentación con la versión Professional que tiene más opciones para que se puedan ver todas)

¿Cómo se instala?
Una vez que hemos seleccionado la versión adecuada según nuestro sistema operativo descargaremos el software desde la siguiente página:
https://www.tenable.com/downloads/nessus

Para este ejemplo utilizaremos la última versión de la distribución de Kali Linux:
https://www.kali.org/downloads/

Una vez descargado el .deb procedemos a instalarlo con el siguiente comando: 
dpkg -i yelnessusqueoshayaisdescargado.deb


Ahora, como nos indica la captura lo arrancamos con el comando /etc/init.d/nessusd start


Luego tendremos que ir al navegador y escribir la siguiente dirección: https://127.0.0.1:8834

La primera vez que arranquemos el programa, nos solicitará la creación de un usuario y una contraseña o, en su defecto, una cuenta de correo para realizar un login de alguna manera (el típico login de registro) para activar la versión que hayamos escogido.

Puede que tarde un poco por la carga de todos los plugins.

Una vez hecho accedemos a:
https://127.0.0.1:8834


Y nos logamos con nuestras credenciales.

Antes de empezar, si pinchamos en cualquier plantilla (que no sea host Discovery): podemos acceder a sus opciones y una de ellas, importante, es el apartado Discovery (Descubrimiento) que consta de 3 opciones que las podemos ver en el apartado de “Scan Type”.


Port Scan (common ports)
Le indica a Nessus que escanee aproximadamente 4,790 puertos de uso común. La lista de puertos se puede encontrar en el archivo nessus-services.

Port Scan (All ports)
Le indica a Nessus que escanee los 65.536 puertos, incluido el puerto 0.

Custom (personalizado)
Aquí podemos escribir un rango personalizado de puertos utilizando una lista delimitada por comas de puertos o rangos de puertos. Por ejemplo, 21,23,25,80,110 o rangos más largos separados por guiones 1-1024,8080,9000-9200. Si  se desea escanear todos los puertos, excepto el puerto 0, se debe escribir 1-65535.  Para esta opción seleccionamos Custom y en el apartado Port Scanning cambiamos el valor de default por 1-65535.

Si por ejemplo queremos escanear TCP y UDP se puede especificar un rango dividido específico para cada protocolo.

Por ejemplo, para TCP y UDP en la misma política, debe escribir T:1-1000,U:100-300. Con esto escanearemos por un lado TCP que lo hemos indicado con la T y los mil primeros puertos y con la U (udp) del puerto 100 al 300.

Una vez dicho esto, el primer paso es configurar los escaneos y para ello le damos a New Scan donde veremos todas las políticas que podemos aplicar para realizar nuestro escaneo:



El primero es Host Discovery: esta opción hace ping al host para ver si responde, podéis ver más información en https://docs.tenable.com/nessus/Content/DiscoverySettings.htm#HostDiscovery

* Tened en cuenta que el Firewall del host local o el Cortafuegos de la red podría detener el protocolo ICMP.

Los siguientes tipos de escaneo son:

  • Basic Network Scan:
    • Realiza un análisis completo del sistema.
  • Advanced Scan:
    • La configuración de escaneo avanzado proporciona un mayor control sobre la eficiencia del escaneo y las operaciones de un escaneo, así como la capacidad de habilitar la depuración de complementos. La plantilla avanzada nos permite editar todas las configuraciones. 
  • Advanced Dynamic Scan:
    • Con la plantilla Análisis dinámico avanzado, puede crear un análisis o una política con filtros dinámicos de complementos en lugar de seleccionar manualmente familias de complementos o complementos individuales.
  • Malware Scan:
    • Analiza en busca de malware en sistemas Windows y Unix.
  • A Mobile Device Scan:
    • Evalúa dispositivos móviles a través de Microsoft Exchange o un MDM.
  • Web Application Tests:
    • Analiza vulnerabilidades web.
  • Credentialed Patch Audit:
    • Auditoría de parches acreditados. Una vez seleccionado el escaneo, ir a Credenciales y en hacer clic en la parte de Windows SSH o SNMP añadir el usuario administrador o con el que se quieran evaluar el equipo y la contraseña correspondiente (SSH probablemente se usará si está probando los niveles de parche en un sistema ).
  • Badlock Detection: 
    • Realiza controles remotos y locales para CVE-2016-2118 y CVE-2016-0128.
  • Bash Shellshock Detection:
    • Realiza controles remotos y locales para CVE-2014-6271 y CVE-2014-7169.
  • DROWN Detection:
    • Performs remote checks for CVE-2016-0800.
  • Intel AMT Security Bypass:
    • Performs remote and local checks for CVE-2017-5689.
  • Shadow Brokers Scan:
    • Analiza las vulnerabilidades reveladas en las filtraciones de Shadow Brokers.
  • Spectre and Meltdown:
    • Realiza controles remotos y locales para CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754.
  • WannaCry Ransomware:
    • Busca el ransomware WannaCry.
  • MDM Config Audit: (no tenemos acceso)
    • Audita la configuración de los administradores de dispositivos móviles.
  • Offline Config Audit:
    • Audita la configuración de dispositivos de red.
  • PCI Quarterly External Scan:
    • Realiza exploraciones externas trimestrales según lo requiera PCI.
  • Policy Compliance Auditing:
    • Audita las configuraciones del sistema, es muy similar al Credentialed Patch Audit
  • SCAP and OVAL Auditing:
    • Auditoría de sistemas utilizando definiciones SCAP y OVAL.

      La auditoría SCAP y OVAL es el proceso de validación de la configuración segura de tecnologías que utilizan tecnologías compatibles con SCAP que interpretan las definiciones OVAL apropiadas.

      OVAL es parte de una familia de lenguajes y protocolos, y esta familia es SCAP, el "Protocolo de automatización de contenido de seguridad".
También podemos programar escaneos:

New Scan, Seleccionamos la plantilla que queramos utilizar > luego vamos a Schedule > En Enabled lo ponemos en On > posteriormente seleccionamos que día y a qué hora queremos que se ejecute el escaneo.


Import desde Metasploit
Bueno, una vez vistas las plantillas de una manera general, vamos a ver cómo podemos utilizar los escaneos realizados con Nessus y exportarlos a Metasploit para poder explotar esas vulnerabilidades.

¿Qué es Metasploit?
Es una herramienta de código abierto, la cual cuenta con muchísimos exploits para la realizar la explotación de vulnerabilidades en una máquina remota.

El objetivo es para aprovechar el escaneo del Nessus para poder explotar las vulnerabilidades desde Metasploit.

Para importar el archivo .nessus a Metasploit vamos a realizar los siguientes pasos:

Descargamos el archivo .nessus, para ello dentro de Nessus seleccionamos algún escaneo que hayamos realizado, y en la parte derecha hacemos clic en “Export” y pulsamos Nessus.

Una vez descargado el archivo .nessus, el siguiente paso es arrancar el postgresql (sistema gestor de BBDD)
root@kali:~# service postgresql start
root@kali:~# service postgresql status



A continuación, iniciamos Metasploit: (msfconsole) 


Y ahora vamos a conectar la base de datos para poder importar nuestro archivo .nessus a Metasploit.

La herramienta msfdb nos permite administrar la base de datos Metasploit Framework y los componentes del servicio web juntos o de forma independiente.

Arrancamos el componente:
 

Lo iniciamos

Seguidamente nos conectamos con la BBDD

Vemos que está bien conectada

Importamos el archivo .nessus


Una vez importado nuestro escaneo con Nessus vamos a ver qué host y servicios tenemos abiertos, para ello introducimos el comando hosts:



Ahora veamos los puertos y servicios que hay abiertos:

msf5 > services 192.168.0.11 (Si tenemos varias IPs es tan solo cambiar el número de IP para ver sus puertos y servicios abiertos).



Ahora para comprobar las vulnerabilidades que tenemos vamos a ejecutar el comando "vulns".
Este comando nos ayudará a enumerar las vulnerabilidades sobre las que Nessus nos informó y registró en su archivo de resultados. msf5 > help vulns (ayuda del comando vulns).


Para ver las vulnerabilidades del host que ha escaneado en el puerto 139, utilizaremos el comando:
msf5 > vulns -p 139 (vulnerabilidades en el puerto 139)



Podríamos también buscar por host o host y puerto (host y todas las vulns) para ello usaremos el comando:  msf5 > vulns 192.168.0.11 (para ver todas las vulnerabilidades del host)



En las posibles referencias NSS-XXXX, es posible que aparezca también al lado su CVE, lo que nos ayudaría posteriormente con su explotación (en este caso en concreto no hay). En caso de tener el CVE sería sencillo, muestro un pequeño resumen de cómo se podría continuar realizando la explotación.

Ejemplo con el EternalBlue:
msf5 > search cve-2017-0144 (buscando por CVE)



Una vez hecho esto, seleccionamos el el exploit a usar:



con el comando options, podremos ver las opciones que tenemos que indicar:


Rellenaríamos los datos correspondientes:

Set RHOSTS IP (IP victima)


Set payload windows/x64/meterpreter/reverse_tcp (poner el payload correspondiente a la arquitectura que sea el SO de la víctima).



(en caso de que os pida el LHOST, es vuestra IP, desde donde vais a realizar el ataque).

Si todo hay ido bien tendríamos una Shell de la víctima afectada.

Conclusiones, Recomendaciones, dudas..

Bueno como habéis podido ver, utilizar un escaneo de Nessus y combinarlo con una gran herramienta como es Metasploit puede ser muy útil a la hora de agilizar nuestros ataques, auditorías o pruebas de Pentesting, ya que nos facilita y automatiza bastante la tarea de encontrar y explotar vulnerabilidades.

El análisis previo de Nessus, nos permite tener una mayor visión general sobre las vulnerabilidades que éste haya podido obtener, así como puertos abiertos, SO, servicios, etc.. En definitiva, la recolección de datos que es primordial en cada auditoria o test de intrusión. Y con la ayuda de Metasploit, podemos realizar nuestra explotación de vulnerabilidades más cómodamente, ya que importando y teniendo todos esos datos y resultandos más a mano será mucho más fácil y organizado realizar la posterior explotación.

Dudas
Nessus no encuentra vulnerabilidades conocidas:
Actualiza siempre los plugins a la última versión.

Metasploit no se encuentran los exploits:
Actualiza Metasploit con el comando: msfupdate. En caso de que no se actualice: (como en este caso).



Actualiza el sistema directamente con el comando: # apt update && apt-upgrade -y ya que en las nuevas versiones de Kali Metasploit está integrado al sistema operativo.


 Actualizamos/Instalamos los paquetes con el comando:
apt dist-upgrade


Y finalmente:
apt install metasploit-framework

Aquí nos indica que ya está actualizado a su versión más reciente:

Versión:



Autor: Héctor Berrocal - CCNA, CEH, ITILF, MCP
Dtpo. Auditoría

Controles del CIS: novedades de la versión 7.1

El pasado mes de abril se publicó la versión 7.1 de los CIS Controls, un marco de seguridad aún poco implantado en España, pero muy interesante por la transversalidad y la exigencia de sus requisitos.
En este artículo recorreremos los controles que lo componen y, especialmente, las novedades introducidas en su última actualización.

El origen de los CIS Controls:

Sus comienzos se remontan al año 2008, cuando el instituto SANS inició un proyecto con el objetivo de crear un marco de seguridad para el ámbito informático. Sin embargo, unos años después esta iniciativa se transfirió al Council on Cyber Security (CCS) y, del mismo modo, fue a parar al Center for Internet Security (CIS) en 2015, que es quien gestiona dicho proyecto desde entonces.

Este marco de seguridad o mejores prácticas, que cuenta con un total de 20 controles, también ha conocido distintos nombres a lo largo de su vida, como CIS 20 o SANS Top 20, o el ya oficial CIS Controls™.

Al contrario de lo que sucede en otros estándares, como puede ser PCI DSS, la publicación de nuevas versiones no sigue un calendario de plazos cerrados:



Este año, en abril 2019, se publicó la versión 7.1, que pese a no introducir cambios en el contenido de los controles respecto a la 7.0, introduce una novedad de calado sobre la aplicación y priorización de los mismos, como veremos en este artículo.

CIS Controls: cinco principios de efectividad

El objetivo de los controles del CIS es establecer distintas capas de protección, a todos los niveles, con sistemas proactivos de defensa y sistemas reactivos capaces de dar una respuesta rápida cuando se detecte un problema, así como garantizar que los empleados de la organización están concienciados con la seguridad y realizan su trabajo siguiendo una serie de procesos bien definidos.

Para ello, estos controles han seguido los cinco “principios críticos” (o tenets) en los que debe apoyarse cualquier sistema de defensa que quiera ser efectivo:
  1. El ataque informa a la defensa: Se usarán los conocimientos adquiridos tras sufrir ataques reales para establecer un sistema de defensa efectivo.
  2. Priorización: Se priorizarán aquellos controles que más reduzcan los riesgos y que brinden una protección mayor.
  3. Mediciones y métricas: Se establecerán sistemas de medición y métricas comunes para evaluar la efectividad de los controles, y éstas se expresarán en un lenguaje homogéneo y entendible por todos (directivos, especialistas en TI, auditores, equipo de seguridad, …).
  4. Diagnóstico y mitigación continuos: Las mediciones se realizarán de forma continua, de modo que si se detecta una situación anormal pueda trabajarse en su mitigación cuanto antes.
  5. Automatización: Los sistemas de defensa se automatizarán, de modo que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adecuación a los controles.
CIS Controls: tres grandes categorías

Siguiendo todo lo descrito hasta ahora, los 20 controles del CIS se agrupan en 3 grandes categorías de forma desigual:

  • Basic
    Incluye los 6 primeros controles y cubre aquellas acciones más elementales que una organización debería hacer en materia de seguridad: conocer en todo momento cuáles son sus activos (inventariar), comprobar de forma periódica qué vulnerabilidades podrían afectarles, establecer configuraciones seguras y mantener los registros de auditoría.
  • Foundational
    Es la categoría que más controles abarca, concretamente 10, e incluye una serie de prácticas que van un paso más allá y dotan a una organización de herramientas capaces de prevenir un ataque dirigido o reponerse de él si éste llega a suceder: defensa perimetral, control de puertos y protocolos en la red, control de las cuentas de acceso, e incluso la recuperación de datos gracias a las copias backup de los sistemas.
  • Organizational
    Este grupo de 4 controles se ocupa, como su nombre indica, de acciones a nivel organizativo que involucran distintos departamentos o equipos interdisciplinares, como pueden ser los programas de formación y concienciación o el plan de respuesta ante incidentes de seguridad en la compañía.
CIS Controls: 20 controles y 171 subcontroles.

La norma actualizada, con todo el detalle, puede descargarse de forma gratuita en la web del CIS, tras introducir algunos datos personales y un email de contacto. Su formato puede sorprender, pues huye de esquemas y epígrafes anidados y se enfoca en facilitar la lectura con un texto ameno y bien estructurado. Precisamente, gracias a esta estructura, leer los CIS Controls resulta una tarea muy didáctica.

El título de cada control es bastante ilustrativo:

Basic Control 1: Inventario y control de dispositivos hardware.
Control 2: Inventario de software autorizado y no autorizado.
Control 3: Gestión continua de vulnerabilidades.
Control 4: Uso controlado de privilegios administrativos.
Control 5: Configuración segura para hardware y software en dispositivos móviles, portátiles, estaciones de trabajo y servidores.
Control 6: Mantenimiento, monitorización y análisis de logs de auditoría.
Foundational Control 7: Protección de correo electrónico y navegador web.
Control 8: Defensa contra malware.
Control 9: Limitación y control de puertos de red, protocolos y servicios.
Control 10: Capacidad de recuperación de datos.
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores.
Control 12: Defensa perimetral.
Control 13: Protección de datos.
Control 14: Control de acceso basado en la necesidad de conocer.
Control 15: Control de acceso inalámbrico.
Control 16: Monitorización y control de cuentas.
Organizational Control 17: Implementar un programa de formación y concienciación en seguridad.
Control 18: Seguridad del software de aplicación.
Control 19: Respuesta ante incidentes.
Control 20: Pruebas de penetración y ejercicios de red team.

Cada uno de estos 20 controles se divide en subcontroles mucho más específicos, que se complementan y aportan más detalle sobre cómo lograr el objetivo final. Dependiendo del control, el número de subcontroles varía desde 5 hasta 13, pero la media está en 8 ó 9, haciendo un total de 171.

Versión 7.1: aplicabilidad de los subcontroles

Como adelantábamos al principio de este artículo, la nueva versión 7.1 no altera el contenido de los controles, sino que aporta una novedad en cuanto a la aplicación de los mismos, estableciendo prioridades y relacionándolos con el nivel de madurez de cada organización.

De este modo, una organización nueva o poco madura en el campo de la seguridad, podría optar por aplicar los subcontroles del CIS de una forma priorizada, abordando así varios proyectos más manejables.

La categorización de entidades que hace la versión 7.1 es muy intuitiva y no es cerrada, es decir, no hay un cuestionario o lista de requisitos para determinar de forma objetiva a qué grupo pertenece una organización concreta: son las propias empresas quienes deben juzgar en qué nivel están, dónde se sitúan y dónde quieren llegar.



Grupo de Implementación 1 (IG1)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son limitados. Es el nivel más básico y puede corresponder, por ejemplo, a una empresa familiar o una empresa con menos de 10 empleados, donde la información que manejan no es especialmente sensible.

A este grupo le corresponde cumplir con un primer lote de 43 subcontroles, elegidos de entre casi todos los controles (por ejemplo, no hay ninguno del #18 Seguridad del software de aplicación ni del #20 Pruebas de penetración).

Por poner un ejemplo, a continuación, vemos la aplicabilidad de los subcontroles del Control 9 por Grupo de Implementación: En este caso sólo el 9.4 aplica al IG1.

Grupo de Implementación 2 (IG2)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son moderados. Es el nivel medio y aquí encajarían, por ejemplo, empresas un poco más grandes, que operan regiones geográficas más amplias.

Supone un salto cuantitativo importante, pues este tipo de organizaciones deberían cumplir con 140 subcontroles de los 171 existentes (es decir, un 82% del contenido total de este marco de seguridad).

De nuevo veamos un ejemplo, en este caso de la aplicabilidad de los subcontroles del Control 6 por Grupo de Implementación: para las organizaciones que se encuadren en el IG2, sólo el 6.8 no les aplicaría:


Grupo de Implementación (IG3)
Una organización más madura, cuyos recursos disponibles y conocimientos en ciberseguridad son significativos. Es el nivel avanzado, donde etiquetaríamos a cualquier empresa multinacional con miles de empleados.

La diferencia con respecto al IG2 no es significativa, se solicitan 31 subcontroles más que en el IG2, de forma que se completa el 100% de los CIS Controls. Se trata básicamente de aquellos requisitos para los que se requieren unos procesos más detallados y unas soluciones de seguridad más avanzadas y específicas.

Implantar CIS Controls v7.1 en mi organización


Pese a sus bondades, uno de los puntos débiles en los CIS Controls es la ausencia de una definición clara de alcance dentro de una organización.

Es decir, supongamos el caso de una empresa con presencia internacional, oficinas centrales en distintos países, comercios a pie de calle en todos ellos, con sus respectivos sitios de e-commerce, etc. Encaja con la descripción de Grupo de Implementación 3, pero ¿dónde debe aplicar los 20 controles? ¿Qué sistemas y personas concretas estarán en su alcance y cuáles no? ¿Cuáles son más críticos?

CIS Controls v7.1, gracias a los nuevos grupos de implementación, da una primera idea sobre qué requisitos son más prioritarios, pero a la hora de iniciar un proyecto de adecuación, largo en el tiempo y que supone un esfuerzo económico, sería muy interesante contar con una guía para poder priorizar también los activos dentro una compañía.

En cualquier caso, la organización debe realizar un trabajo de reflexión en este sentido y puede apoyarse en algunas de las tareas que ya exige el CIS. Por ejemplo, debe confeccionar inventarios detallados de hardware (Control 1.4) y software (Control 2.1), que pondrán sobre la mesa qué máquinas y aplicaciones son críticas para el negocio, y puede cruzar esta información con el resultado de la categorización e inventariado de la información sensible de la compañía (exigida en el Control 13.1).

A grandes rasgos, deberíamos ser capaces de definir estos 4 puntos antes de iniciar la implantación los CIS Controls en nuestra compañía:
  1. Identificación del Grupo de Implementación (IG1, IG2, IG3) al que corresponde la organización.
  2. GAP Análisis: evaluación del grado de cumplimiento actual de cada uno de los controles que le apliquen.
  3. Establecer una priorización de controles por impacto en la seguridad. Si bien los controles que corresponde al IG1 deberían ser los más prioritarios y los exclusivos al IG3 los menos urgentes, el impacto depende completamente de la naturaleza de la compañía.
  4. Establecer un alcance priorizado para cada control.
Como puede verse, algunos de estos puntos conllevan un trabajo notable y el resultado de todos ellos condicionarán los trabajos posteriores, por lo que se recomienda contar siempre con el apoyo de una compañía externa experta en Seguridad, quien será capaz de definir prioridades y alcances de una forma mucho más objetiva.

Conclusiones

En definitiva, CIS Controls resulta un marco de seguridad especialmente interesante por ser muy completo y estar bien descrito, aunque echamos en falta una definición clara de alcance dentro de una organización. Sin embargo, con esta última versión 7.1, gracias a los nuevos grupos de implementación, CIS Controls da un importantísimo primer paso para determinar qué requisitos son más prioritarios y provee una valiosa señalización del camino a seguir a la hora de implementar este marco en una compañía.



Autor: Daniel Fuertes - CISSP, PCIP, ISO 27001 L.A.
Dpto. Consultoría

Carlos Seisdedos y Vicente Aguilera ponentes en las XIII Jornadas STIC CCN-CERT 2019

Las Jornadas STIC CCN-CERT, organizadas por el Departamento de Ciberseguridad del Centro Criptológico Nacional, se celebran ininterrumpidamente desde el año 2007. Desde sus orígenes hace 13 años, este encuentro ha sido el principal evento en materia de ciberseguridad celebrado en España, tanto por el número de asistentes, como por la calidad de sus ponencias. En su última edición, asistieron 2.464 personas y fue respaldado por 43 de las principales empresas del sector. Además, se contó con 82 ponentes de reconocido prestigio que abordaron las últimas tendencias en amenazas, ataques, retos tecnológicos y en prevención en ciberseguridad.

Este año, en su decimotercera edición, Carlos Seisdedos y Vicente Aguilera participarán como con un taller práctico: "OSINT - De la información a la inteligencia". Dónde se mostrarán técnicas y herramientas que ayudan en procesos de investigación en fuentes abiertas con escasos datos donde se requiere obtener inteligencia procesable para labores como la identificación de personas o la correlación y complemento con información disponible.

Las Jornadas se celebrarán los días 11 y 12 de diciembre en Kinépolis (Ciudad de la Imagen), en Madrid.

Destacada participación de Gonzalo Carrasco en el Congreso Nacional de Ingeniería Informática de Buenos Aires

 Los pasados 14 y 15 de noviembre se celebró en la Universidad Nacional de La Matanza, en San Justo (Argentina) el Congreso Nacional de Ingeniería Informática – Sistemas de Información (CoNaIISI), donde participaba Gonzalo Carrasco, del dpto. de auditoría, como ponente.

La charla que realizó tuvo tanto éxito que el diario online: El Ciudadano (Diario de Mendoza) ha querido dedicarle un artículo con imagen en primer plano, destacando la ponencia y la nominación a mejor expositor del congreso, y ganador del mismo.

¡Felicidades, Gonzalo!

Más información:
https://www.ciudadanodiario.com.ar/nota/2019-11-24-12-21-15-destacada-participacion-mendocina-en-el-congreso-nacional-de-ingenieria-informatica

Crónica No cON Name 2019


Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name, el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), que en esta edición cumple 20 años. Durante el discurso de apertura, la organización presentó los nuevos cambios de esta edición, fruto de su apuesta por avanzar hacia un formato de congreso más internacional, con charlas paralelas en espacios autogestionados, y que dependa principalmente de los ingresos derivados de las entradas de los participantes.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante su segunda jornada:

“NIDS for malware hunting and classification” (Tatyana Shishkova)
Tatyana empezó su charla realizando una introducción a los NIDS (Network Intrusion Detection System), exponiendo sus distintas tipologías: los basados en el escaneo de tráfico en vivo (scanning traffic), y los de análisis de volcados de tráfico a posteriori (dumps). Así como los basados en firmas (signature-based), y los basados en la detección de anomalías en el comportamiento del tráfico (anomaly-based).

Después, centró su charla en los NIDS basados en firmas, presentando algunas de las principales soluciones disponibles actualmente, como son Snort, Suricata y Zeek. Así como la existencia de las diferentes fuentes de firmas tanto públicas (ej. Emerging Threats), como comerciales.

Posteriormente, presentó varios ejemplos de malware (Dinihou worm, HQWar dropper, Sauron Locker, etc), y el proceso de caracterización llevado a cabo, para generar firmas capaces de detectarlos. A su vez, expuso cómo evoluciona el malware en respuesta a la implementación de las firmas, utilizando técnicas de codificación y cifrado para hacer más difícil su detección.

Finalmente, Tatyana resumió que los NIDS son actualmente una de las mejores soluciones para detectar amenazas multiplataforma (multiplatform threats), pero que para mantener sus capacidades de detección es necesario actualizar periódicamente sus firmas, y realizar suficientes pruebas de tráfico.

“Practical LoRaWAN auditing and exploitation” (Cesar Cerrudo, Matías Sequeira)

Cesar y Matías iniciaron su charla presentando el protocolo de comunicaciones IoT LoRaWAN. Se trata de un protocolo abierto ubicado por encima del protocolo cerrado de capa MAC (Medium Access Control) LoRA, que a su vez es promovido por las organizaciones que forman la LoRa Alliance. LoRaWAN es un protocolo robusto, de largo alcance (de 1 hasta 20 km de distancia), con velocidades de transmisión de datos de 0.3 hasta 50 Kbps, que utiliza la banda de frecuencias de uso libre (unlicensed spectrum). LoRaWAN se caracteriza por disponer de mecanismos de control de integridad y de confidencialidad a través de cifrado simétrico punto a punto.

Actualmente, es utilizado por más de 100 proveedores de servicios y operadores de telecomunicaciones, en más de 100 países. Este 2018 ha experimentado un crecimiento de uso del 60%, y las proyecciones de mercado apuntan a la incorporación de 100 millones de nuevos dispositivos cada año para 2021.

Posteriormente, Cesar y Matías expusieron los resultados de su análisis de vulnerabilidades de la versión de LoRaWAN 1.0.4, llevado a cabo mediante un gateway basado en un transmisor-receptor RAK831 y una Raspberry Pi 3, con un coste de aproximadamente 230$.

Destacaron, la vulnerabilidad de dicha versión del protocolo frente a ataques de replay, debido a no forzar la renegociación de las claves de cifrado de sesión una vez desbordado el contador de paquetes. Así como a ataques de eavesdropping, que con poco conocimiento sobre el payload de los mismos permitirían su descifrado, y de bitflipping, derivados de una falta de comprobación de integridad de los paquetes más allá del servidor de red de la arquitectura LoRaWAN.

Finalmente, expusieron otros problemas de implementación, como la debilidad, reutilización, diseminación y desprotección de las claves de cifrado (harcoded en el código fuente, firmware de los dispositivos, ficheros de configuración de APPs móviles, etc), que una vez establecidas no pueden ser modificadas. Por todo ello, recomendaron cambiar las claves por defecto, estableciendo una clave única para cada dispositivo y protegerlas almacenándolas en módulos HSM (Hardware Security Module) y SE (Secure Element), especialmente en aplicaciones sensibles. Así como realizar auditorías periódicas de claves para detectar aquellas que sean débiles, y también de toda la infraestructura LoRaWAN.

“Attacks on IVR-systems and Call-centers in 2019” (Aleksandr Kolchanov)

Aleksandr, inició su presentación introduciéndonos en los IVR-systems y Call-centers, sistemas ampliamente utilizados en muchos sectores como el bancario, operadoras de telefonía, etc. Se trata de sistemas importantes que nos permiten llevar a cabo una gran cantidad de operaciones en nuestro día a día, como la efectuación de pagos, transferencias de dinero, el bloqueo de tarjetas de crédito, cambios de tarifas, etc.

Destacó que las regulaciones normativas de los diferentes países, acerca de la ilegalidad de la suplantación de identidad en dichos sistemas, no ofrece garantías suficientes y proporciona en muchos casos una falsa sensación de seguridad. Esto se debe a que la legalidad de dichas acciones no es una de las principales barreras para los hackers, para llevar este tipo de ataques. 

Entre los principales problemas de seguridad detectados en su investigación, apuntó a la ausencia de procesos de autorización completa (full authorisation), sumado a la existencia de sistemas no seguros (en los que es fácil suplantar el Caller ID, con códigos por defecto o conocidos -well-known-, códigos de 4 dígitos sin sistemas de protección ante ataques de fuerza bruta, etc). Así, como las filtraciones y errores de los gestores de estos sistemas, en los que en muchas ocasiones utilizando técnicas de ingeniería social y disponiendo de menos información de la necesaria, de relativamente fácil acceso (ej. números de pasaporte), es posible obtener acceso a dichos sistemas y efectuar operaciones.

Finalmente, Aleksandr compartió su preocupación acerca de cómo conseguir motivar a las operadoras de telefonía y al resto de empresas, para que protejan suficientemente también este tipo de sistemas.

“Sitel, ETI A/S, ‘Lawful’ interception in Spain and Europe” (Claudio Chifa)

Para acabar la jornada, Claudio nos presentó su charla sobre la escucha activa (legal interception) de las comunicaciones electrónicas por parte de los Estados miembro de la Unión Europea, a través los sistemas SITEL (Integrated Telephone Interception System) y ETI A/S. Esta interceptación se basó entre 2006 y 2014 en la Data Retention Directive 2006/24/EC hasta que el Tribunal de Luxemburgo la declaró inválida. Esta Directiva, establecía que los Estados miembro debían almacenar los datos de las comunicaciones electrónicas de sus ciudadanos, durante un período mínimo de 6 meses y un máximo de 24 meses. Destacó el posicionamiento inicial que adoptó Rumanía, una vez aprobada la Directiva, de oposición a adaptarla a su legislación estatal, declarando que esta medida resultaba inconstitucional.

Posteriormente, expuso que todos los países disponen de Unidades militares o policiales de escucha activa. Y que, disponiendo de una orden judicial, las Fuerzas y Cuerpos de seguridad pueden disponer de todas las medidas que consideren necesarias, para interceptar las comunicaciones de personas que estén siendo investigadas. A su vez, expuso que los principales fabricantes de dispositivos de comunicaciones (CISCO, Juniper Networks, Huawei, etc), disponen de guías públicas de configuración de sus dispositivos para la escucha activa, así como repositorios públicos de Lawful Intercept MIBs (Management Information Base).

También, recordó que en España es ilegal levantar una BTS (Base Transceiver Station) si no se dispone de licencia de emisión, debido a que la banda de frecuencias utilizada es de pago (licensed spectrum). A su vez, destacó el riesgo de poder interferir en llamadas de emergencia efectuadas por personas en situación de riesgo, que se puedan encontrar dentro del alcance de la BTS.

Finalmente, Claudio recomendó no tomar excesivas medidas de seguridad en relación a la escucha activa (lawful interception), porque ello puede acabar afectando negativamente a nuestras vidas. En su lugar recomendó, pensar antes en cada situación y tomar medidas comunes de seguridad para preservar nuestra privacidad.



Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría

La Dirección General de la Guardia Civil invita a Carlos Seisdedos al programa de Mentorado de la 1ª Liga Nacional Interuniversitaria de Retos en el Ciberespacio


La Dirección General de la Guardia Civil, con ocasión de los actos de celebración del 175 Aniversario de la Fundación del Cuerpo de la Guardia Civil (1844-2019), ha puesto en marcha un ambicioso proyecto organizando la 1ª Liga Nacional Interuniversitaria de Retos en el Ciberespacio, y para ello han invitado a Carlos Seisdedos, del departamento de ciberinteligencia, a participar en el programa de mentorado, por sus cualidades personales y profesionales.

Para la consecución de tan ambiciosos objetivos se han diseñado diferentes actividades, siendo una de las principales un programa de mentorado, en el que reputados profesionales del sector de la ciberseguridad (tecnológico, legal, de comunicación y financiero) orienten a los jóvenes participantes en este complejo, pero apasionante mundo profesional en el que comienzan a dar sus primeros pasos.

La actividad de los mentores se centrará en la Fase Final de la Liga, que tendrá lugar en el Centro Universitario de la Guardia Civil en Aranjuez (Madrid), entre los días 14 y 16 de noviembre.

Internet Security Auditors seleccionados como mentores para participar en el evento ¿Cómo mejorar tu Ecommerce?

Internet Security Auditors ha sido una de las 7 empresas seleccionadas como mentores para participar en el evento “¿Cómo mejorar tu Ecommerce?” que se celebrará el viernes 9 de agosto en Bogotá, organizado por la Cámara de Colombiana de Comercio Electrónico al que se espera que acudan más de 200 asistentes.

Desde Internet Security Auditors, asesoraremos a todo el que quiera acercarse a nuestro lugar de apoyo, en materia de ciberseguridad y cumplimiento normativo relativo a la seguridad de la información y medios de pago.