Cómo combinar Nessus con Metasploit

Empezaremos hablando de Nessus, desde su instalación, así como los distintos tipos de escaneos y la manera de combinarlo con Metasploit.

¿Qué es Nessus?
Es un programa, que escanea vulnerabilidades de equipos, dispositivos y otros componentes en diferentes sistemas operativos.
Se puede utilizar mediante comandos o interfaz gráfica. En este caso nos centraremos en esta última.

Tipos de versiones
  • La Essentials 
  • La Profesional
Os dejo una captura para que veáis las diferencias:


(En este caso haremos la presentación con la versión Professional que tiene más opciones para que se puedan ver todas)

¿Cómo se instala?
Una vez que hemos seleccionado la versión adecuada según nuestro sistema operativo descargaremos el software desde la siguiente página:
https://www.tenable.com/downloads/nessus

Para este ejemplo utilizaremos la última versión de la distribución de Kali Linux:
https://www.kali.org/downloads/

Una vez descargado el .deb procedemos a instalarlo con el siguiente comando: 
dpkg -i yelnessusqueoshayaisdescargado.deb


Ahora, como nos indica la captura lo arrancamos con el comando /etc/init.d/nessusd start


Luego tendremos que ir al navegador y escribir la siguiente dirección: https://127.0.0.1:8834

La primera vez que arranquemos el programa, nos solicitará la creación de un usuario y una contraseña o, en su defecto, una cuenta de correo para realizar un login de alguna manera (el típico login de registro) para activar la versión que hayamos escogido.

Puede que tarde un poco por la carga de todos los plugins.

Una vez hecho accedemos a:
https://127.0.0.1:8834


Y nos logamos con nuestras credenciales.

Antes de empezar, si pinchamos en cualquier plantilla (que no sea host Discovery): podemos acceder a sus opciones y una de ellas, importante, es el apartado Discovery (Descubrimiento) que consta de 3 opciones que las podemos ver en el apartado de “Scan Type”.


Port Scan (common ports)
Le indica a Nessus que escanee aproximadamente 4,790 puertos de uso común. La lista de puertos se puede encontrar en el archivo nessus-services.

Port Scan (All ports)
Le indica a Nessus que escanee los 65.536 puertos, incluido el puerto 0.

Custom (personalizado)
Aquí podemos escribir un rango personalizado de puertos utilizando una lista delimitada por comas de puertos o rangos de puertos. Por ejemplo, 21,23,25,80,110 o rangos más largos separados por guiones 1-1024,8080,9000-9200. Si  se desea escanear todos los puertos, excepto el puerto 0, se debe escribir 1-65535.  Para esta opción seleccionamos Custom y en el apartado Port Scanning cambiamos el valor de default por 1-65535.

Si por ejemplo queremos escanear TCP y UDP se puede especificar un rango dividido específico para cada protocolo.

Por ejemplo, para TCP y UDP en la misma política, debe escribir T:1-1000,U:100-300. Con esto escanearemos por un lado TCP que lo hemos indicado con la T y los mil primeros puertos y con la U (udp) del puerto 100 al 300.

Una vez dicho esto, el primer paso es configurar los escaneos y para ello le damos a New Scan donde veremos todas las políticas que podemos aplicar para realizar nuestro escaneo:



El primero es Host Discovery: esta opción hace ping al host para ver si responde, podéis ver más información en https://docs.tenable.com/nessus/Content/DiscoverySettings.htm#HostDiscovery

* Tened en cuenta que el Firewall del host local o el Cortafuegos de la red podría detener el protocolo ICMP.

Los siguientes tipos de escaneo son:

  • Basic Network Scan:
    • Realiza un análisis completo del sistema.
  • Advanced Scan:
    • La configuración de escaneo avanzado proporciona un mayor control sobre la eficiencia del escaneo y las operaciones de un escaneo, así como la capacidad de habilitar la depuración de complementos. La plantilla avanzada nos permite editar todas las configuraciones. 
  • Advanced Dynamic Scan:
    • Con la plantilla Análisis dinámico avanzado, puede crear un análisis o una política con filtros dinámicos de complementos en lugar de seleccionar manualmente familias de complementos o complementos individuales.
  • Malware Scan:
    • Analiza en busca de malware en sistemas Windows y Unix.
  • A Mobile Device Scan:
    • Evalúa dispositivos móviles a través de Microsoft Exchange o un MDM.
  • Web Application Tests:
    • Analiza vulnerabilidades web.
  • Credentialed Patch Audit:
    • Auditoría de parches acreditados. Una vez seleccionado el escaneo, ir a Credenciales y en hacer clic en la parte de Windows SSH o SNMP añadir el usuario administrador o con el que se quieran evaluar el equipo y la contraseña correspondiente (SSH probablemente se usará si está probando los niveles de parche en un sistema ).
  • Badlock Detection: 
    • Realiza controles remotos y locales para CVE-2016-2118 y CVE-2016-0128.
  • Bash Shellshock Detection:
    • Realiza controles remotos y locales para CVE-2014-6271 y CVE-2014-7169.
  • DROWN Detection:
    • Performs remote checks for CVE-2016-0800.
  • Intel AMT Security Bypass:
    • Performs remote and local checks for CVE-2017-5689.
  • Shadow Brokers Scan:
    • Analiza las vulnerabilidades reveladas en las filtraciones de Shadow Brokers.
  • Spectre and Meltdown:
    • Realiza controles remotos y locales para CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754.
  • WannaCry Ransomware:
    • Busca el ransomware WannaCry.
  • MDM Config Audit: (no tenemos acceso)
    • Audita la configuración de los administradores de dispositivos móviles.
  • Offline Config Audit:
    • Audita la configuración de dispositivos de red.
  • PCI Quarterly External Scan:
    • Realiza exploraciones externas trimestrales según lo requiera PCI.
  • Policy Compliance Auditing:
    • Audita las configuraciones del sistema, es muy similar al Credentialed Patch Audit
  • SCAP and OVAL Auditing:
    • Auditoría de sistemas utilizando definiciones SCAP y OVAL.

      La auditoría SCAP y OVAL es el proceso de validación de la configuración segura de tecnologías que utilizan tecnologías compatibles con SCAP que interpretan las definiciones OVAL apropiadas.

      OVAL es parte de una familia de lenguajes y protocolos, y esta familia es SCAP, el "Protocolo de automatización de contenido de seguridad".
También podemos programar escaneos:

New Scan, Seleccionamos la plantilla que queramos utilizar > luego vamos a Schedule > En Enabled lo ponemos en On > posteriormente seleccionamos que día y a qué hora queremos que se ejecute el escaneo.


Import desde Metasploit
Bueno, una vez vistas las plantillas de una manera general, vamos a ver cómo podemos utilizar los escaneos realizados con Nessus y exportarlos a Metasploit para poder explotar esas vulnerabilidades.

¿Qué es Metasploit?
Es una herramienta de código abierto, la cual cuenta con muchísimos exploits para la realizar la explotación de vulnerabilidades en una máquina remota.

El objetivo es para aprovechar el escaneo del Nessus para poder explotar las vulnerabilidades desde Metasploit.

Para importar el archivo .nessus a Metasploit vamos a realizar los siguientes pasos:

Descargamos el archivo .nessus, para ello dentro de Nessus seleccionamos algún escaneo que hayamos realizado, y en la parte derecha hacemos clic en “Export” y pulsamos Nessus.

Una vez descargado el archivo .nessus, el siguiente paso es arrancar el postgresql (sistema gestor de BBDD)
root@kali:~# service postgresql start
root@kali:~# service postgresql status



A continuación, iniciamos Metasploit: (msfconsole) 


Y ahora vamos a conectar la base de datos para poder importar nuestro archivo .nessus a Metasploit.

La herramienta msfdb nos permite administrar la base de datos Metasploit Framework y los componentes del servicio web juntos o de forma independiente.

Arrancamos el componente:
 

Lo iniciamos

Seguidamente nos conectamos con la BBDD

Vemos que está bien conectada

Importamos el archivo .nessus


Una vez importado nuestro escaneo con Nessus vamos a ver qué host y servicios tenemos abiertos, para ello introducimos el comando hosts:



Ahora veamos los puertos y servicios que hay abiertos:

msf5 > services 192.168.0.11 (Si tenemos varias IPs es tan solo cambiar el número de IP para ver sus puertos y servicios abiertos).



Ahora para comprobar las vulnerabilidades que tenemos vamos a ejecutar el comando "vulns".
Este comando nos ayudará a enumerar las vulnerabilidades sobre las que Nessus nos informó y registró en su archivo de resultados. msf5 > help vulns (ayuda del comando vulns).


Para ver las vulnerabilidades del host que ha escaneado en el puerto 139, utilizaremos el comando:
msf5 > vulns -p 139 (vulnerabilidades en el puerto 139)



Podríamos también buscar por host o host y puerto (host y todas las vulns) para ello usaremos el comando:  msf5 > vulns 192.168.0.11 (para ver todas las vulnerabilidades del host)



En las posibles referencias NSS-XXXX, es posible que aparezca también al lado su CVE, lo que nos ayudaría posteriormente con su explotación (en este caso en concreto no hay). En caso de tener el CVE sería sencillo, muestro un pequeño resumen de cómo se podría continuar realizando la explotación.

Ejemplo con el EternalBlue:
msf5 > search cve-2017-0144 (buscando por CVE)



Una vez hecho esto, seleccionamos el el exploit a usar:



con el comando options, podremos ver las opciones que tenemos que indicar:


Rellenaríamos los datos correspondientes:

Set RHOSTS IP (IP victima)


Set payload windows/x64/meterpreter/reverse_tcp (poner el payload correspondiente a la arquitectura que sea el SO de la víctima).



(en caso de que os pida el LHOST, es vuestra IP, desde donde vais a realizar el ataque).

Si todo hay ido bien tendríamos una Shell de la víctima afectada.

Conclusiones, Recomendaciones, dudas..

Bueno como habéis podido ver, utilizar un escaneo de Nessus y combinarlo con una gran herramienta como es Metasploit puede ser muy útil a la hora de agilizar nuestros ataques, auditorías o pruebas de Pentesting, ya que nos facilita y automatiza bastante la tarea de encontrar y explotar vulnerabilidades.

El análisis previo de Nessus, nos permite tener una mayor visión general sobre las vulnerabilidades que éste haya podido obtener, así como puertos abiertos, SO, servicios, etc.. En definitiva, la recolección de datos que es primordial en cada auditoria o test de intrusión. Y con la ayuda de Metasploit, podemos realizar nuestra explotación de vulnerabilidades más cómodamente, ya que importando y teniendo todos esos datos y resultandos más a mano será mucho más fácil y organizado realizar la posterior explotación.

Dudas
Nessus no encuentra vulnerabilidades conocidas:
Actualiza siempre los plugins a la última versión.

Metasploit no se encuentran los exploits:
Actualiza Metasploit con el comando: msfupdate. En caso de que no se actualice: (como en este caso).



Actualiza el sistema directamente con el comando: # apt update && apt-upgrade -y ya que en las nuevas versiones de Kali Metasploit está integrado al sistema operativo.


 Actualizamos/Instalamos los paquetes con el comando:
apt dist-upgrade


Y finalmente:
apt install metasploit-framework

Aquí nos indica que ya está actualizado a su versión más reciente:

Versión:



Autor: Héctor Berrocal - CCNA, CEH, ITILF, MCP
Dtpo. Auditoría

Controles del CIS: novedades de la versión 7.1

El pasado mes de abril se publicó la versión 7.1 de los CIS Controls, un marco de seguridad aún poco implantado en España, pero muy interesante por la transversalidad y la exigencia de sus requisitos.
En este artículo recorreremos los controles que lo componen y, especialmente, las novedades introducidas en su última actualización.

El origen de los CIS Controls:

Sus comienzos se remontan al año 2008, cuando el instituto SANS inició un proyecto con el objetivo de crear un marco de seguridad para el ámbito informático. Sin embargo, unos años después esta iniciativa se transfirió al Council on Cyber Security (CCS) y, del mismo modo, fue a parar al Center for Internet Security (CIS) en 2015, que es quien gestiona dicho proyecto desde entonces.

Este marco de seguridad o mejores prácticas, que cuenta con un total de 20 controles, también ha conocido distintos nombres a lo largo de su vida, como CIS 20 o SANS Top 20, o el ya oficial CIS Controls™.

Al contrario de lo que sucede en otros estándares, como puede ser PCI DSS, la publicación de nuevas versiones no sigue un calendario de plazos cerrados:



Este año, en abril 2019, se publicó la versión 7.1, que pese a no introducir cambios en el contenido de los controles respecto a la 7.0, introduce una novedad de calado sobre la aplicación y priorización de los mismos, como veremos en este artículo.

CIS Controls: cinco principios de efectividad

El objetivo de los controles del CIS es establecer distintas capas de protección, a todos los niveles, con sistemas proactivos de defensa y sistemas reactivos capaces de dar una respuesta rápida cuando se detecte un problema, así como garantizar que los empleados de la organización están concienciados con la seguridad y realizan su trabajo siguiendo una serie de procesos bien definidos.

Para ello, estos controles han seguido los cinco “principios críticos” (o tenets) en los que debe apoyarse cualquier sistema de defensa que quiera ser efectivo:
  1. El ataque informa a la defensa: Se usarán los conocimientos adquiridos tras sufrir ataques reales para establecer un sistema de defensa efectivo.
  2. Priorización: Se priorizarán aquellos controles que más reduzcan los riesgos y que brinden una protección mayor.
  3. Mediciones y métricas: Se establecerán sistemas de medición y métricas comunes para evaluar la efectividad de los controles, y éstas se expresarán en un lenguaje homogéneo y entendible por todos (directivos, especialistas en TI, auditores, equipo de seguridad, …).
  4. Diagnóstico y mitigación continuos: Las mediciones se realizarán de forma continua, de modo que si se detecta una situación anormal pueda trabajarse en su mitigación cuanto antes.
  5. Automatización: Los sistemas de defensa se automatizarán, de modo que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adecuación a los controles.
CIS Controls: tres grandes categorías

Siguiendo todo lo descrito hasta ahora, los 20 controles del CIS se agrupan en 3 grandes categorías de forma desigual:

  • Basic
    Incluye los 6 primeros controles y cubre aquellas acciones más elementales que una organización debería hacer en materia de seguridad: conocer en todo momento cuáles son sus activos (inventariar), comprobar de forma periódica qué vulnerabilidades podrían afectarles, establecer configuraciones seguras y mantener los registros de auditoría.
  • Foundational
    Es la categoría que más controles abarca, concretamente 10, e incluye una serie de prácticas que van un paso más allá y dotan a una organización de herramientas capaces de prevenir un ataque dirigido o reponerse de él si éste llega a suceder: defensa perimetral, control de puertos y protocolos en la red, control de las cuentas de acceso, e incluso la recuperación de datos gracias a las copias backup de los sistemas.
  • Organizational
    Este grupo de 4 controles se ocupa, como su nombre indica, de acciones a nivel organizativo que involucran distintos departamentos o equipos interdisciplinares, como pueden ser los programas de formación y concienciación o el plan de respuesta ante incidentes de seguridad en la compañía.
CIS Controls: 20 controles y 171 subcontroles.

La norma actualizada, con todo el detalle, puede descargarse de forma gratuita en la web del CIS, tras introducir algunos datos personales y un email de contacto. Su formato puede sorprender, pues huye de esquemas y epígrafes anidados y se enfoca en facilitar la lectura con un texto ameno y bien estructurado. Precisamente, gracias a esta estructura, leer los CIS Controls resulta una tarea muy didáctica.

El título de cada control es bastante ilustrativo:

Basic Control 1: Inventario y control de dispositivos hardware.
Control 2: Inventario de software autorizado y no autorizado.
Control 3: Gestión continua de vulnerabilidades.
Control 4: Uso controlado de privilegios administrativos.
Control 5: Configuración segura para hardware y software en dispositivos móviles, portátiles, estaciones de trabajo y servidores.
Control 6: Mantenimiento, monitorización y análisis de logs de auditoría.
Foundational Control 7: Protección de correo electrónico y navegador web.
Control 8: Defensa contra malware.
Control 9: Limitación y control de puertos de red, protocolos y servicios.
Control 10: Capacidad de recuperación de datos.
Control 11: Configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores.
Control 12: Defensa perimetral.
Control 13: Protección de datos.
Control 14: Control de acceso basado en la necesidad de conocer.
Control 15: Control de acceso inalámbrico.
Control 16: Monitorización y control de cuentas.
Organizational Control 17: Implementar un programa de formación y concienciación en seguridad.
Control 18: Seguridad del software de aplicación.
Control 19: Respuesta ante incidentes.
Control 20: Pruebas de penetración y ejercicios de red team.

Cada uno de estos 20 controles se divide en subcontroles mucho más específicos, que se complementan y aportan más detalle sobre cómo lograr el objetivo final. Dependiendo del control, el número de subcontroles varía desde 5 hasta 13, pero la media está en 8 ó 9, haciendo un total de 171.

Versión 7.1: aplicabilidad de los subcontroles

Como adelantábamos al principio de este artículo, la nueva versión 7.1 no altera el contenido de los controles, sino que aporta una novedad en cuanto a la aplicación de los mismos, estableciendo prioridades y relacionándolos con el nivel de madurez de cada organización.

De este modo, una organización nueva o poco madura en el campo de la seguridad, podría optar por aplicar los subcontroles del CIS de una forma priorizada, abordando así varios proyectos más manejables.

La categorización de entidades que hace la versión 7.1 es muy intuitiva y no es cerrada, es decir, no hay un cuestionario o lista de requisitos para determinar de forma objetiva a qué grupo pertenece una organización concreta: son las propias empresas quienes deben juzgar en qué nivel están, dónde se sitúan y dónde quieren llegar.



Grupo de Implementación 1 (IG1)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son limitados. Es el nivel más básico y puede corresponder, por ejemplo, a una empresa familiar o una empresa con menos de 10 empleados, donde la información que manejan no es especialmente sensible.

A este grupo le corresponde cumplir con un primer lote de 43 subcontroles, elegidos de entre casi todos los controles (por ejemplo, no hay ninguno del #18 Seguridad del software de aplicación ni del #20 Pruebas de penetración).

Por poner un ejemplo, a continuación, vemos la aplicabilidad de los subcontroles del Control 9 por Grupo de Implementación: En este caso sólo el 9.4 aplica al IG1.

Grupo de Implementación 2 (IG2)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son moderados. Es el nivel medio y aquí encajarían, por ejemplo, empresas un poco más grandes, que operan regiones geográficas más amplias.

Supone un salto cuantitativo importante, pues este tipo de organizaciones deberían cumplir con 140 subcontroles de los 171 existentes (es decir, un 82% del contenido total de este marco de seguridad).

De nuevo veamos un ejemplo, en este caso de la aplicabilidad de los subcontroles del Control 6 por Grupo de Implementación: para las organizaciones que se encuadren en el IG2, sólo el 6.8 no les aplicaría:


Grupo de Implementación (IG3)
Una organización más madura, cuyos recursos disponibles y conocimientos en ciberseguridad son significativos. Es el nivel avanzado, donde etiquetaríamos a cualquier empresa multinacional con miles de empleados.

La diferencia con respecto al IG2 no es significativa, se solicitan 31 subcontroles más que en el IG2, de forma que se completa el 100% de los CIS Controls. Se trata básicamente de aquellos requisitos para los que se requieren unos procesos más detallados y unas soluciones de seguridad más avanzadas y específicas.

Implantar CIS Controls v7.1 en mi organización


Pese a sus bondades, uno de los puntos débiles en los CIS Controls es la ausencia de una definición clara de alcance dentro de una organización.

Es decir, supongamos el caso de una empresa con presencia internacional, oficinas centrales en distintos países, comercios a pie de calle en todos ellos, con sus respectivos sitios de e-commerce, etc. Encaja con la descripción de Grupo de Implementación 3, pero ¿dónde debe aplicar los 20 controles? ¿Qué sistemas y personas concretas estarán en su alcance y cuáles no? ¿Cuáles son más críticos?

CIS Controls v7.1, gracias a los nuevos grupos de implementación, da una primera idea sobre qué requisitos son más prioritarios, pero a la hora de iniciar un proyecto de adecuación, largo en el tiempo y que supone un esfuerzo económico, sería muy interesante contar con una guía para poder priorizar también los activos dentro una compañía.

En cualquier caso, la organización debe realizar un trabajo de reflexión en este sentido y puede apoyarse en algunas de las tareas que ya exige el CIS. Por ejemplo, debe confeccionar inventarios detallados de hardware (Control 1.4) y software (Control 2.1), que pondrán sobre la mesa qué máquinas y aplicaciones son críticas para el negocio, y puede cruzar esta información con el resultado de la categorización e inventariado de la información sensible de la compañía (exigida en el Control 13.1).

A grandes rasgos, deberíamos ser capaces de definir estos 4 puntos antes de iniciar la implantación los CIS Controls en nuestra compañía:
  1. Identificación del Grupo de Implementación (IG1, IG2, IG3) al que corresponde la organización.
  2. GAP Análisis: evaluación del grado de cumplimiento actual de cada uno de los controles que le apliquen.
  3. Establecer una priorización de controles por impacto en la seguridad. Si bien los controles que corresponde al IG1 deberían ser los más prioritarios y los exclusivos al IG3 los menos urgentes, el impacto depende completamente de la naturaleza de la compañía.
  4. Establecer un alcance priorizado para cada control.
Como puede verse, algunos de estos puntos conllevan un trabajo notable y el resultado de todos ellos condicionarán los trabajos posteriores, por lo que se recomienda contar siempre con el apoyo de una compañía externa experta en Seguridad, quien será capaz de definir prioridades y alcances de una forma mucho más objetiva.

Conclusiones

En definitiva, CIS Controls resulta un marco de seguridad especialmente interesante por ser muy completo y estar bien descrito, aunque echamos en falta una definición clara de alcance dentro de una organización. Sin embargo, con esta última versión 7.1, gracias a los nuevos grupos de implementación, CIS Controls da un importantísimo primer paso para determinar qué requisitos son más prioritarios y provee una valiosa señalización del camino a seguir a la hora de implementar este marco en una compañía.



Autor: Daniel Fuertes - CISSP, PCIP, ISO 27001 L.A.
Dpto. Consultoría

Carlos Seisdedos y Vicente Aguilera ponentes en las XIII Jornadas STIC CCN-CERT 2019

Las Jornadas STIC CCN-CERT, organizadas por el Departamento de Ciberseguridad del Centro Criptológico Nacional, se celebran ininterrumpidamente desde el año 2007. Desde sus orígenes hace 13 años, este encuentro ha sido el principal evento en materia de ciberseguridad celebrado en España, tanto por el número de asistentes, como por la calidad de sus ponencias. En su última edición, asistieron 2.464 personas y fue respaldado por 43 de las principales empresas del sector. Además, se contó con 82 ponentes de reconocido prestigio que abordaron las últimas tendencias en amenazas, ataques, retos tecnológicos y en prevención en ciberseguridad.

Este año, en su decimotercera edición, Carlos Seisdedos y Vicente Aguilera participarán como con un taller práctico: "OSINT - De la información a la inteligencia". Dónde se mostrarán técnicas y herramientas que ayudan en procesos de investigación en fuentes abiertas con escasos datos donde se requiere obtener inteligencia procesable para labores como la identificación de personas o la correlación y complemento con información disponible.

Las Jornadas se celebrarán los días 11 y 12 de diciembre en Kinépolis (Ciudad de la Imagen), en Madrid.

Destacada participación de Gonzalo Carrasco en el Congreso Nacional de Ingeniería Informática de Buenos Aires

 Los pasados 14 y 15 de noviembre se celebró en la Universidad Nacional de La Matanza, en San Justo (Argentina) el Congreso Nacional de Ingeniería Informática – Sistemas de Información (CoNaIISI), donde participaba Gonzalo Carrasco, del dpto. de auditoría, como ponente.

La charla que realizó tuvo tanto éxito que el diario online: El Ciudadano (Diario de Mendoza) ha querido dedicarle un artículo con imagen en primer plano, destacando la ponencia y la nominación a mejor expositor del congreso, y ganador del mismo.

¡Felicidades, Gonzalo!

Más información:
https://www.ciudadanodiario.com.ar/nota/2019-11-24-12-21-15-destacada-participacion-mendocina-en-el-congreso-nacional-de-ingenieria-informatica

Crónica No cON Name 2019


Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name, el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), que en esta edición cumple 20 años. Durante el discurso de apertura, la organización presentó los nuevos cambios de esta edición, fruto de su apuesta por avanzar hacia un formato de congreso más internacional, con charlas paralelas en espacios autogestionados, y que dependa principalmente de los ingresos derivados de las entradas de los participantes.

A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante su segunda jornada:

“NIDS for malware hunting and classification” (Tatyana Shishkova)
Tatyana empezó su charla realizando una introducción a los NIDS (Network Intrusion Detection System), exponiendo sus distintas tipologías: los basados en el escaneo de tráfico en vivo (scanning traffic), y los de análisis de volcados de tráfico a posteriori (dumps). Así como los basados en firmas (signature-based), y los basados en la detección de anomalías en el comportamiento del tráfico (anomaly-based).

Después, centró su charla en los NIDS basados en firmas, presentando algunas de las principales soluciones disponibles actualmente, como son Snort, Suricata y Zeek. Así como la existencia de las diferentes fuentes de firmas tanto públicas (ej. Emerging Threats), como comerciales.

Posteriormente, presentó varios ejemplos de malware (Dinihou worm, HQWar dropper, Sauron Locker, etc), y el proceso de caracterización llevado a cabo, para generar firmas capaces de detectarlos. A su vez, expuso cómo evoluciona el malware en respuesta a la implementación de las firmas, utilizando técnicas de codificación y cifrado para hacer más difícil su detección.

Finalmente, Tatyana resumió que los NIDS son actualmente una de las mejores soluciones para detectar amenazas multiplataforma (multiplatform threats), pero que para mantener sus capacidades de detección es necesario actualizar periódicamente sus firmas, y realizar suficientes pruebas de tráfico.

“Practical LoRaWAN auditing and exploitation” (Cesar Cerrudo, Matías Sequeira)

Cesar y Matías iniciaron su charla presentando el protocolo de comunicaciones IoT LoRaWAN. Se trata de un protocolo abierto ubicado por encima del protocolo cerrado de capa MAC (Medium Access Control) LoRA, que a su vez es promovido por las organizaciones que forman la LoRa Alliance. LoRaWAN es un protocolo robusto, de largo alcance (de 1 hasta 20 km de distancia), con velocidades de transmisión de datos de 0.3 hasta 50 Kbps, que utiliza la banda de frecuencias de uso libre (unlicensed spectrum). LoRaWAN se caracteriza por disponer de mecanismos de control de integridad y de confidencialidad a través de cifrado simétrico punto a punto.

Actualmente, es utilizado por más de 100 proveedores de servicios y operadores de telecomunicaciones, en más de 100 países. Este 2018 ha experimentado un crecimiento de uso del 60%, y las proyecciones de mercado apuntan a la incorporación de 100 millones de nuevos dispositivos cada año para 2021.

Posteriormente, Cesar y Matías expusieron los resultados de su análisis de vulnerabilidades de la versión de LoRaWAN 1.0.4, llevado a cabo mediante un gateway basado en un transmisor-receptor RAK831 y una Raspberry Pi 3, con un coste de aproximadamente 230$.

Destacaron, la vulnerabilidad de dicha versión del protocolo frente a ataques de replay, debido a no forzar la renegociación de las claves de cifrado de sesión una vez desbordado el contador de paquetes. Así como a ataques de eavesdropping, que con poco conocimiento sobre el payload de los mismos permitirían su descifrado, y de bitflipping, derivados de una falta de comprobación de integridad de los paquetes más allá del servidor de red de la arquitectura LoRaWAN.

Finalmente, expusieron otros problemas de implementación, como la debilidad, reutilización, diseminación y desprotección de las claves de cifrado (harcoded en el código fuente, firmware de los dispositivos, ficheros de configuración de APPs móviles, etc), que una vez establecidas no pueden ser modificadas. Por todo ello, recomendaron cambiar las claves por defecto, estableciendo una clave única para cada dispositivo y protegerlas almacenándolas en módulos HSM (Hardware Security Module) y SE (Secure Element), especialmente en aplicaciones sensibles. Así como realizar auditorías periódicas de claves para detectar aquellas que sean débiles, y también de toda la infraestructura LoRaWAN.

“Attacks on IVR-systems and Call-centers in 2019” (Aleksandr Kolchanov)

Aleksandr, inició su presentación introduciéndonos en los IVR-systems y Call-centers, sistemas ampliamente utilizados en muchos sectores como el bancario, operadoras de telefonía, etc. Se trata de sistemas importantes que nos permiten llevar a cabo una gran cantidad de operaciones en nuestro día a día, como la efectuación de pagos, transferencias de dinero, el bloqueo de tarjetas de crédito, cambios de tarifas, etc.

Destacó que las regulaciones normativas de los diferentes países, acerca de la ilegalidad de la suplantación de identidad en dichos sistemas, no ofrece garantías suficientes y proporciona en muchos casos una falsa sensación de seguridad. Esto se debe a que la legalidad de dichas acciones no es una de las principales barreras para los hackers, para llevar este tipo de ataques. 

Entre los principales problemas de seguridad detectados en su investigación, apuntó a la ausencia de procesos de autorización completa (full authorisation), sumado a la existencia de sistemas no seguros (en los que es fácil suplantar el Caller ID, con códigos por defecto o conocidos -well-known-, códigos de 4 dígitos sin sistemas de protección ante ataques de fuerza bruta, etc). Así, como las filtraciones y errores de los gestores de estos sistemas, en los que en muchas ocasiones utilizando técnicas de ingeniería social y disponiendo de menos información de la necesaria, de relativamente fácil acceso (ej. números de pasaporte), es posible obtener acceso a dichos sistemas y efectuar operaciones.

Finalmente, Aleksandr compartió su preocupación acerca de cómo conseguir motivar a las operadoras de telefonía y al resto de empresas, para que protejan suficientemente también este tipo de sistemas.

“Sitel, ETI A/S, ‘Lawful’ interception in Spain and Europe” (Claudio Chifa)

Para acabar la jornada, Claudio nos presentó su charla sobre la escucha activa (legal interception) de las comunicaciones electrónicas por parte de los Estados miembro de la Unión Europea, a través los sistemas SITEL (Integrated Telephone Interception System) y ETI A/S. Esta interceptación se basó entre 2006 y 2014 en la Data Retention Directive 2006/24/EC hasta que el Tribunal de Luxemburgo la declaró inválida. Esta Directiva, establecía que los Estados miembro debían almacenar los datos de las comunicaciones electrónicas de sus ciudadanos, durante un período mínimo de 6 meses y un máximo de 24 meses. Destacó el posicionamiento inicial que adoptó Rumanía, una vez aprobada la Directiva, de oposición a adaptarla a su legislación estatal, declarando que esta medida resultaba inconstitucional.

Posteriormente, expuso que todos los países disponen de Unidades militares o policiales de escucha activa. Y que, disponiendo de una orden judicial, las Fuerzas y Cuerpos de seguridad pueden disponer de todas las medidas que consideren necesarias, para interceptar las comunicaciones de personas que estén siendo investigadas. A su vez, expuso que los principales fabricantes de dispositivos de comunicaciones (CISCO, Juniper Networks, Huawei, etc), disponen de guías públicas de configuración de sus dispositivos para la escucha activa, así como repositorios públicos de Lawful Intercept MIBs (Management Information Base).

También, recordó que en España es ilegal levantar una BTS (Base Transceiver Station) si no se dispone de licencia de emisión, debido a que la banda de frecuencias utilizada es de pago (licensed spectrum). A su vez, destacó el riesgo de poder interferir en llamadas de emergencia efectuadas por personas en situación de riesgo, que se puedan encontrar dentro del alcance de la BTS.

Finalmente, Claudio recomendó no tomar excesivas medidas de seguridad en relación a la escucha activa (lawful interception), porque ello puede acabar afectando negativamente a nuestras vidas. En su lugar recomendó, pensar antes en cada situación y tomar medidas comunes de seguridad para preservar nuestra privacidad.



Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría

La Dirección General de la Guardia Civil invita a Carlos Seisdedos al programa de Mentorado de la 1ª Liga Nacional Interuniversitaria de Retos en el Ciberespacio


La Dirección General de la Guardia Civil, con ocasión de los actos de celebración del 175 Aniversario de la Fundación del Cuerpo de la Guardia Civil (1844-2019), ha puesto en marcha un ambicioso proyecto organizando la 1ª Liga Nacional Interuniversitaria de Retos en el Ciberespacio, y para ello han invitado a Carlos Seisdedos, del departamento de ciberinteligencia, a participar en el programa de mentorado, por sus cualidades personales y profesionales.

Para la consecución de tan ambiciosos objetivos se han diseñado diferentes actividades, siendo una de las principales un programa de mentorado, en el que reputados profesionales del sector de la ciberseguridad (tecnológico, legal, de comunicación y financiero) orienten a los jóvenes participantes en este complejo, pero apasionante mundo profesional en el que comienzan a dar sus primeros pasos.

La actividad de los mentores se centrará en la Fase Final de la Liga, que tendrá lugar en el Centro Universitario de la Guardia Civil en Aranjuez (Madrid), entre los días 14 y 16 de noviembre.

Internet Security Auditors seleccionados como mentores para participar en el evento ¿Cómo mejorar tu Ecommerce?

Internet Security Auditors ha sido una de las 7 empresas seleccionadas como mentores para participar en el evento “¿Cómo mejorar tu Ecommerce?” que se celebrará el viernes 9 de agosto en Bogotá, organizado por la Cámara de Colombiana de Comercio Electrónico al que se espera que acudan más de 200 asistentes.

Desde Internet Security Auditors, asesoraremos a todo el que quiera acercarse a nuestro lugar de apoyo, en materia de ciberseguridad y cumplimiento normativo relativo a la seguridad de la información y medios de pago.


 


Fraude del CEO

Contexto
Cada día más, la exposición digital del tejido social y empresarial hace que la seguridad de la información se vea potencialmente expuesta a la ciberdelincuencia, tanto a nivel corporativo como a nivel privado. Esto hace que individuos o incluso mafias organizadas, intenten explotar de formas muy distintas las debilidades existentes con el objetivo último de sacar un beneficio económico.

Algunos de los ataques a los que se pueden exponer dichas organizaciones e individuos son, según la European Union's law enforcement agency (EUROPOL), los siguientes:
  • Fraude del CEO: engaño a los empleados que tienen acceso a los recursos económicos de una compañía, para que realicen transferencias o pagos de facturas falsas desde las cuentas corporativas.
  • Estafa de inversión: promesas de alta rentabilidad y ganancias rápidas en productos de inversión lucrativa tales como acciones, bonos, criptomonedas, metales raros, inversiones en el extranjero o energía alternativa.
  • Fraude de facturas: engaño por el que se hacen pasar por representantes de un suministrador, proveedor o acreedor para cambiar los datos bancarios del beneficiario de las facturas.
  • Estafas en compras por internet: avisos de grandes ofertas en productos sorprendentes o milagrosos, o incluso ventanas emergentes que indican que has ganado un premio.
  • Phising bancario por email: envío de correos electrónicos de apariencia legítima (imitación de logotipos, tipología, colores, etc.) que intentarán que la víctima comparta su información personal, financiera o de seguridad.
  • Estafa amorosa: búsqueda de víctimas en páginas web de contactos, en redes sociales o por correo electrónico para pedir dinero, regalos o directamente los datos de las cuentas bancarias de las víctimas.
  • Smishing bancario: combinación de las palabras ‘SMS’ y ‘Phising’. Suplantación de la identidad de un banco para obtener información personal, financiera o de seguridad a través de un mensaje de texto.
  • Banca electrónica fraudulenta: intento de obtención de los datos personales y financieros a través de una página web fraudulenta. Comúnmente suelen estar enlazadas en los correos de phishing por email.
  • Vishing bancario: combinación de las palabras ‘Voz’ y ‘Phising’. Suplantación de la identidad de otra persona por voz, para que la víctima divulgue información personal, financiera o de seguridad, o que realice transferencias de dinero (también es una forma de Fraude del CEO).
  • Secuestro de datos: encriptación de datos de la víctima para solicitar seguidamente un rescate económico para su recuperación.
Pese a la publicación en 2018 del listado anterior, desde principios del año 2017, el Instituto Nacional de Ciberseguridad (INCIBE) ya informaba en una publicación de la detección de un número creciente de casos del “Fraude del CEO”, el cual se analizará en detalle en las siguientes líneas.

¿En qué consiste el Fraude del CEO?
El Fraude del CEO, como se ha explicado antes, es un tipo de estafa que consiste en engañar al personal que dispone de acceso a los recursos económicos de una empresa, haciéndose pasar por el CEO (Director General), el CFO (Director Financiero), cualquier alto ejecutivo o persona con poder en la compañía o incluso un socio comercial importante, para que se realicen transferencias (habitualmente internacionales) o el abono de facturas, aprovechando alguna o varias de las siguientes estrategias:
  • Conocimiento en profundidad de la estructura de la compañía (p.ej.: organigrama, procedimientos, etc.).
  • Solicitud de pagos urgentes en momentos que la persona suplantada no puede comunicarse (p.ej.: por estar en vuelos o reuniones, etc.).
  • Referencias a situaciones muy delicadas o críticas para la compañía (p.ej.: procesos de fusión, adquisiciones, inspecciones fiscales, etc.).
  • Solicitud de no seguir con el procedimiento habitual. (p.ej.: justificado en alguna de las situaciones críticas del punto anterior).
  • Aprovechar los cambios en las funciones habituales de los empleados (p.ej.: tras un cambio de las funciones en la organización o cuando la persona que habitualmente realiza estas tareas no está disponible –bajas, vacaciones, finalización del horario laboral, …-).
  • Contactos poco habituales de la dirección con otros empleados de la organización (p.ej.: que el Director General se ponga en contacto directo con un empleado con el que habitualmente no tiene contacto).
  • Solicitud de confidencialidad en estas actuaciones (p.ej.: enfatizando al empleado que no debe comentar nada con nadie de la organización por su carácter de secreto).
  • Ensalzamiento de la estima de la empresa hacia el empleado o la lealtad de este hacia la empresa (p.ej.: mediante expresiones como “la empresa confía en ti”, “puedo confiar en ti”, etc.).
  • Proferir amenazas varias (p.ej.: amenaza de despido o sanción disciplinaria, etc.).
¿Qué variantes del fraude existen y cómo afectan?
Como se ha explicado, el Fraude del CEO está dirigido a las organizaciones de cualquier tamaño, aun así, existen variaciones de esta estafa que afectan tanto a las arcas corporativas como al bolsillo de los propios trabajadores.

Pongamos la situación hipotética en la que se consigue suplantar a un empleado que solicita cambiar el número de cuenta bancaria en la que tiene domiciliada la nómina. Para cuando el empleado se dé cuenta de que no le llega el ingreso mensual pueden haber pasado días, incluso meses, tiempo suficiente para que los importes ingresados hayan sido retirados por los ciberdelincuentes. La situación podría llegar a empeorar si esto sucede sobre un grupo de empleados, ya que los importes podrían llegar a ser elevados.

En un caso sucedido en el Ayuntamiento de Roquetas de Mar (Almería), se intentaron desviar los fondos públicos de la cuenta desde donde se pagaban las nóminas a 200 empleados públicos por un valor de 700.000€ hacia cuentas de destinatarios en países extranjeros. Afortunadamente, en este caso el dinero no ha sido sustraído, gracias a la detección de la discordancia entre las remesas aprobadas por el ayuntamiento y las efectuadas por los bancos, aunque sí ha supuesto un retraso en el pago de las nóminas.

Este tipo de ataques se facilitan sobremanera con servicios disponibles de suplantación de llamadas telefónicas (Caller Id Spoofing) mediante los cuales, por apenas unos céntimos, es posible modificar el identificador de una llamada, modular la voz, o incluso añadir efectos de sonido fondo (p.ej.: sirenas de policía, sonidos de aviones, ruido ambiente de una oficina, etc.), entre otras opciones, para hacer pensar al receptor de la llamada que se encuentra hablando con un interlocutor legítimo. También la suplantación del correo electrónico (Email Spoofing), por el que se altera el origen de los correos para que parezcan provenir del supuesto autor de estos.

Como se ha visto, la exposición a este tipo de estafa y sus variantes puede afectar de igual manera a corporaciones y a particulares. Su efecto no es menor, pues solo en el periodo comprendido entre los años 2013 y 2018, para una muestra de multitudes de empresas de diversos sectores en más de 100 países, el Federal Bureau of Investigation (FBI) ya cifraba las pérdidas en 12,5 billones de dólares y subiendo, para un total de cerca de 80.000 víctimas. Por ello, se deben implantar un conjunto de controles, soportados por procedimientos seguros para detectar y evitar este tipo de ataques.

Controles para empresas cotizadas en España
Actualmente, la complejidad de las normas de preparación de la información financiera de las entidades cotizadas ha aumentado de forma exponencial, debido principalmente a su sofisticación. Con el objetivo de dar respuesta a dichos requerimientos, los sistemas de control interno de este tipo de empresas deben evolucionar y proporcionar un nivel de seguridad razonable sobre la fiabilidad de la información financiera suministrada al mercado de valores.

A propuesta de la Comisión Nacional del Mercado de Valores (CNMV) se han elaborado un conjunto de recomendaciones sobre el Sistema de Control Interno de la Información Financiera (SCIIF). Dichas recomendaciones, tienen como uno de sus objetivos, el establecer un marco de referencia de principios y buenas prácticas cuya finalidad es ayudar en el diseño, implantación, funcionamiento y supervisión de su SCIIF.

Descrito en las actividades de control de los SCIIF, se especifica que se deberá:
Incorporar en los sistemas de control un balance adecuado entre mecanismos preventivos (mitigan el riesgo de que se produzcan errores o fraudes en la información financiera) y detectivos (localizan los errores y fraudes cuando se produzcan). De igual modo, parte de los controles deben realizarse por personas (manuales) y otros por los sistemas informáticos de la entidad (automatizados).
Atendiendo a dicha actividad de control, las empresas cotizadas, deberán disponer de mecanismos suficientes para no ser víctimas de este tipo de estafas, específicamente en lo referente a sus procedimientos de control de compras y pagos.

Controles para empresas no cotizadas
Las empresas no cotizadas, son más vulnerables a este tipo de ataques ya que, por lo general, no se les exige el cumplimiento de SCIIF, sin perjuicio que se puedan adherir de forma voluntaria. Por ello, es más que aconsejable que realicen las acciones que se relacionan a continuación, según lo indicado por la EUROPOL y el FBI:
  • Realizar un plan de formación y concienciación a sus trabajadores.
  • Alentar al personal a ser precavidos en la realización de las compras y pagos.
  • Implantar procedimientos internos para la realización de operaciones de compras y pagos.
  • Implantar procedimientos internos para la verificación de la legitimidad en las solicitudes de pago o de cambio de información relacionada, especialmente la recibida por correo electrónico y llamada telefónica, mediante la utilización de sistemas de doble factor de autenticación.
  • Implantar reglas de marcaje para correos con extensiones similares a los de la compañía en un sistema de detección de intrusos.
  • Implantar procedimientos internos de gestión del fraude interno y externo.
  • Implantar un sistema de código de colores para los correos internos y externos.
  • Mejorar de forma continua la seguridad de los sistemas de información.
  • Avisar a la policía en caso de intento de fraude, incluso en los casos en los que se ha conseguido evitar.
Asimismo, los empleados deberían extremar las precauciones mediante las siguientes consignas:
  • Respetar siempre los procedimientos establecidos de compras y pagos.
  • Revisar las direcciones de email cuando se trata con información delicada.
  • Consultar a los responsables directos en caso de duda o sospecha.
  • Evitar la apertura de enlaces o ficheros adjuntos sospechosos en correos electrónicos, o bien que estén redactados en un lenguaje poco habitual.
  • Limitar la información proporcionada en las redes sociales.
  • No compartir información interna de la compañía, tal como: organigrama, elementos de seguridad o los procedimientos internos de la compañía.
  • Utilizar el sentido común y ante cualquier email o llamada sospechosa, informar al servicio de informática de la compañía.

En resumen, para reducir el riesgo de convertirse en una víctima consumada de este tipo de estafas, será necesario abordar la seguridad en forma de procesos integrales y de monitorización continua sobre la información manejada por las organizaciones y los particulares que trabajan en ellas, haciendo especial hincapié en todos los procesos relacionados con los movimientos económicos, especialmente: las nóminas de los empleados, los cobros de clientes o los pagos a proveedores.

Referencias


Autor: José A. Prieto - CISA, ISO 27001 L.A.
Dpto. Consultoría

Primeras grandes multas GDPRs (British Airways y Marriott)

El Information Commissioner’s Office (ICO), que es la Autoridad en materia de protección de datos del Reino Unido (homólogo a la “Agencia Española de Protección de Datos” en España) hacía público en el día de ayer que pretende sancionar a British Airways con una multa de 183,39 millones de libras (más de 203 millones de €), y en el día de hoy, también ha hecho pública la intención de sancionar a la hotelera Marriott con 99 millones de libras (más de 110 millones de €), ambos por incumplimiento de la normativa de protección de datos (GDPR / RGPD). Concretamente, por brechas de seguridad de datos que han llegado a exponer:
  • British AirWays: credenciales, datos de tarjetas de crédito y datos de reservas de 500.000 clientes.
  • Marriott: 339 millones de registros de huéspedes de todo el mundo, de los cuáles 30 millones eran relativos a residentes de los países la CEE.

Para poner en perspectiva estas dos sanciones, recordad que la mayor multa aplicada hasta la fecha era de medio millón de libras a Facebook por el caso de Cambridge Analytica. Lo cuál suponen unas multas de 366 y 198 veces la de Facebook.




Por supuesto, son las primeras sanciones pero no serán las últimas, ni las más cuantiosas, ni en el único país en el que se van a producir.

La importancia de la seguridad de la información cobra mayor relevancia y hay que concienciarse de que la seguridad de la información se debe considerar como inversión y no como un gasto.

Referencias

Autor: José A. Prieto - CISA, ISO 27001 L.A.
Dpto. Consultoría

Internet Security Auditors participa en las Jornadas de Ciberseguridad en Bogotá

El pasado jueves 4 de julio se celebró en Bogotá una Jornada de Ciberseguridad de la mano de INCIBE y ICEX. Internet Security Auditors participó, como una de las empresas españolas del sector con presencia en Colombia y referente en la Ciberseguridad, de la mano de Daniel Fernández en el panel de concienciación de ciberseguridad.

Primera empresa iberoamericana auditora de PCI PIN en el nuevo programa QPA del PCI SSC

Un nuevo hito dentro de los reconocimientos de Internet Security Auditors es haber sido una de las primeras compañías a nivel mundial en obtener la cualificación de QPA (Qualified PIN Assessor) para poder llevar a cabo auditorías de cumplimiento y certificación del programa PCI PIN en las regiones de Europa, LAC, USA/Canada, Asia Pacific y CEMEA.

Este programa, que hasta finales del año pasado estaba gestionado por VISA, pasó a ser operado por el PCI SSC dentro del proceso de transición de todos los programas a un modelo de requerimientos público y abierto.

PCI PIN es una de las normas recientemente actualizada y aplica a las empresas que desarrollan tareas de adquirencia, procesamiento e intermediación de transacciones (switch) que incluyen el PIN y a todas aquellas que gestionen las llaves de los dispositivos de pago y autoservicio, por ejemplo, redes de ATM/cajeros y/o POS/TPV, redes de marcas de tarjetas con operaciones nacionales, entidades que son adquirientes, los agentes de estas como las KIF (Key Injection Facilities ), entre otras.  En general cualquier proveedor que provea servicios para los procesos de gestión del PIN de las entidades está obligada a certificar su cumplimiento.

Tras la obtención de las homologaciones como QSA, PA-QSA, ASV, 3DS Assessor y QSA(P2PE) y la participación en el Consejo Ejecutivo Asesor del PCI SCC, la obtención de la homologación como QPA, pudiendo realizar auditorías de cumplimiento en todas las versiones vigentes a día de hoy de PCI PIN, sitúa a Internet Security Auditors como una de las empresas cinco empresas con más reconocimiento a nivel mundial en cuanto al asesoramiento y certificación del cumplimiento de Normas PCI, contando con homologación de auditor en seis programas del consejo gestionado por las marcas de tarjetas.

Internet Security Auditors seleccionada como centro de entrenamiento en la convocatoria de fortalecimiento de capacidades en el estado, en Colombia

Internet Security Auditors ha sido seleccionada, en la primera convocatoria de fortalecimiento de capacidades en el estado, como centro de entrenamiento que oferta los programas de formación para la Certified Cloud Security Professional (CCSP) como Training Partner Oficial del (ISC)². Este curso preparatorio refleja un conocimiento profundo derivado de la experiencia práctica en computación en la nube y en la seguridad de la información. Validando los conocimientos prácticos aplicables a aquellos profesionales cuyas responsabilidades diarias incluyen la arquitectura de seguridad en la nube, diseño, operaciones y coordinación del servicio. Internet Security Auditors es el único Trainer Oficial del (ISC)² seleccionado , que aparece en el listado de la convocatoria, para este curso preparatorio.

Esta convocatoria es realizada por el Instituto Colombiano de Crédito Educativo y Estudios  Técnicos en el Exterior – ICETEX y el Fondo de Tecnologías de la Información y las Comunicaciones – FONTIC, la cual está destinada a los servidores públicos (de planta y contratistas), en donde el MINTIC financiará certificaciones Internacionales en temas relacionados con la Política de Gobierno Digital, a través de créditos condonables de hasta el 100% de la obligación crediticia, cuyo objetivo es revertir en las entidades del estado conocimiento y herramientas para la apropiación, fortalecimiento y masificación de la Política de Gobierno Digital. La apertura de la convocatoria fue el día 30 de mayo de 2019 y su cierre será el día 2 de julio de 2019, dicha convocatoria corresponde al Periodo 2019-2.

Para mayor información acerca de nuestro curso de preparación, para la Certified Cloud Security Professional (CCSP), acceda a nuestro Portal de Formación y para información acerca de la convocatoria puede consultarse en el sitio web del ICETEX

Crónica Mundo Hacker Day 2019

Volvemos otro año más a MundohackerDay, ya con esta es la sexta edición. Mundohackerday es uno de los mayores eventos sobre Ciberseguridad de España.

Este año se notó la gran presencia de las comunidades como fueron #C0Npilar,  >_EASTMADH4CK, EUSKALHACK, FAq1n Congr3ss, HACK & BEERS, HackPlayers,  HACKRON, HACKING SOLIDARIO, HoneyCON, #mujeres Hacker, Qurtuba Security Congress,  Sec Admin Security Conference y Tomatinacon.con.

Pudimos también disfrutar de un CTF organizado por los miembros del equipo español (European Cyber Security Challenge).

 

La comunidad de Hackplayers nos tenía preparados una serie juegos/retos como Lock Picking (consiste en abrir cerraduras sin la llave original, empleando ganzúas u otros instrumentos o métodos no destructivos), también contamos con el Proyecto Conet (mensajes secretos, las llamadas emisoras o estaciones de números, voces "rezando" secuencias de números, palabras o letras os podéis descargar algunas pistas de la siguiente web  http://irdial.hyperreal.org/the%20conet%20project/) , también se podía ver un mensaje cifrado militar de 1914 y para rematar un mini-ctf que consistía en acceder y obtener la password de una base de datos SQLite sólo interactuando con un lector de códigos QR.



Para empezar este gran evento, comenzó la introducción Antonio Ramos, con la charla: Power Nap y vamonos!. En la cual hablaba de aplicar primero la HI, la inteligencia humana mejor antes que la Inteligencia Artificial y también nos hablaba sobre las redes sociales, las relaciones a través de ellas de esa manera tan superficial y enfocada a la imagen.

La segunda charla fue realizada por Mildrey Carbonell Castro con: “De Verano a primavera en los servicios de Red Team”. En la charla nos hablaba sobre la simulación de ataques y como también se deberían de realizar las defensas. Las cuales también necesitan organizarse y evolucionar rápidamente. Para ello, realizar simular acciones con un equipo de “Red Team” como lo haría un atacante y organizar igualmente un tipo defensivo como es el “Blue Team”.

Para continuar, seguimos con Juan Zafra y su charla : “Lo que Europa está dispuesta a hacer por la ciberseguridad. ¿Y tú?”. Nos comentaba que la ciberseguridad es cosa de todos y como la Unión Europea quiere ser autosuficiente en el campo de la ciberseguridad. Y como se va emprendiendo e innovando más en el campo de la seguridad informática.

Para descansar un poco y coger fuerzas para la siguiente charla se realizó un pequeño parón para tomar un café.

Seguimos con la ponencia de Pedro Alexander García, “Utilizando metodología de Password Cracking para algoritmos rápidos como NTLM y MD5”, el cual nos mostraba como se podían romper las contraseñas mediante fuerza bruta con diccionarios. Realizó una serie de ejercicios de Password Cracking mostrando así las diferentes técnicas más eficaces.

A continuación, dio paso Dani Creus, con “APTs en la cadena de suministro: cuando la logística se te vuelve en contra”. Nos habló sobre los vectores de ataque que más han sido explotados durante los últimos dos años, los llamados ataques a la cadena de suministro. Como cada vez los atacantes buscan una ruta indirecta, utilizan el punto más débil en la cadena de suministro. Por ejemplo, a través de canales legítimos implementar malware.

El siguiente turno fue para la mesa redonda, “Democracia hackeada: Ciberseguridad, redes sociales y manipulación de procesos electorales en la nueva era digital” con los ponentes: Ofelia Tejerina, Borja Adsuara, Antonio Vargas, Carlos Loureiro moderada por Daniel de Blas.

En esta mesa redonda debatían sobre la democracia digital que nos espera, las amenazas más peligrosas sobre libertad de pensamiento de la sociedad y como poder combatirlas.

Comentaban también que debido a la tecnología cada día tenemos más información y libertad de expresión, pero sin embargo detrás de todo esto están los cibercriminales. Los cuales son capaces de manipular datos (noticias falsas, hackeos,..) utilizar y recopilar los datos del usuario los cuales pueden suponernos una amenaza.

Después de todas las charlas anteriores, realizamos un breve descanso, en el cual pudimos degustar de distintas pizzas patrocinadas por Telepizza.

Proseguimos con la charla “Hacking en Cajeros Automáticos (ATMs) para prevención de fraude bancario” con Álvaro Andrade Sejas. Nos mostró cómo es posible hackear cajeros escalando privilegios mostrando así sus correspondientes pruebas de concepto. Entre otros ejemplos, también nos mostró la seguridad de los ATMs basados en Hardware.

Otro año más, pudimos contar con Deepak-daswani  y su ponencia “Explotando leaks de información en WhatsApp Web·. Nos enseñó en vivo y en directo, cogiendo a un espectador al azar, como es posible vulnerar la privacidad de los usuarios cuando utilizan WhatsApp Web. Nos hablaba sobre las distintas vulnerabilidades y hacía referencia a cómo es posible obtener información de las conversaciones y actividad de un usuario a partir de su sesión de WhatsApp Web. La cual pudimos ver con todo detalle.

La siguiente ponencia la realizó Marc Rivero López, con ·Deep Dive into a malware Sandbox System”. En su charla nos explicaba los diferentes aspectos relacionados con el sandboxing de malware.  “Sandboxing, de «caja de arena» (sandbox), es una técnica de seguridad que permite ejecutar un programa en un espacio cerrado y limitado”. Hacía referencia a que con lo contamos hoy en día y que nos deparará el futuro. Que tipos de entornos tenemos, trucos de malware para evitar esos sistemas y como combatirlos.

Seguimos con el gran David Marugán, con “COVCOM: de la Grecia clásica al terrorismo yihadista”. Nos mostraba los métodos de comunicaciones encubiertas (COVCOM: Covert Communications) utilizadas por servicios de inteligencia y todo tipo de redes clandestinas, haciendo especial hincapié en las comunicaciones vía radio. Hizo una prueba de concepto de un dispositivo Short Range Agent Communications (SRAC) de fabricación casera para evadir la detección por parte de los adversarios o unidades de contrainteligencia hostiles.

Llegando ya casi al final, contamos con la charla de Manuel Blanco Parajón “Behind the enemy lines”. Nos mostró algunos de los métodos que se realizan en un test de intrusión. Viendo su metodología a seguir en las operaciones del red team y el ciclo de post-explotación. Además, hizo una prueba de concepto sobre una vulnerabilidad con su respectivo exploit para, una vez conseguido acceso a un sistema, como es posible escalar privilegios de súper usuario en un operativo GNU/Linux tal y como lo realizaría un atacante los atacantes y posteriormente el desarrollo de un rootkit y el funcionamiento del mismo haciendo indetectable la intrusión.

Y ya para finalizar, terminamos con Joel Serna Moreno con la charla “Troyanizando hardware: venderías a tu madre por cargar el móvil”. Con la que nos deleitó con ejemplos de periféricos troyanizados con los cuales los atacantes se hacían con el control del dispositivo de la víctima. Nos hablaba sobre  sistemas de control remoto como WiFi, LoRa y nos mostraba OMG Cable, un cable badUSB con control remoto mediante WiFi. BadUSB (dispositivos conectables por USB que se hacen pasar por otro para que confíes en ellos).
  



Autor: Héctor Berrocal Vidal - CEH, MCP, CCNA, ITIL
Dpto. Auditoría

Vicente Aguilera entrevistado en el programa No Pot Ser! (No puede ser!) de TV3

https://pbs.twimg.com/media/D3z3CSrW4AAWpyW.jpg

Este domingo día 14 se emite la entrevista que realizó Vicente en el programa No pot ser! (No puede ser!) de la televisión catalana (TV3).

Jordi Basté, presentador del programa, explorará en este nuevo capítulo como de vulnerable es nuestra privacidad en Internet, y para ello ha contado con la ayuda de varios expertos en seguridad, entre los que se encuentra Vicente.

El programa completo en el siguiente enlace:
https://www.ccma.cat/tv3/alacarta/no-pot-ser/big-data-big-brother/video/5836380/

Eventos de Ciberseguridad para el mes de abril

Este mes de abril, se celebran varios eventos de seguridad, en los que Vicente Aguilera y Carlos Seisdedos participarán como ponentes.
  • Congreso de Ciberseguridad de Zaragoza #CONPILAR19 los días 12-13 de abril. Vicente y Carlos participarán con la ponencia: Twitter: la máquina de captar votos.


  • Overdrive Hacking Conference los días 26-27 de abril en Girona. Evento en el que Vicente a sido invitado para ofrecer la Keynote.
  • OSINT City los días 26-27 de abril en Sevilla. Taller conjunto de Vicente y Carlos: “Técnicas OSINT para la detección y análisis de perfiles terroristas” en el que se dará a conocer el uso de las redes sociales por parte de terroristas de etiología yihadista y cómo mediante técnicas OSINT es posible monitorizar sus actividades y obtener información que pueda convertirse en inteligencia procesable.


La experiencia RootedCON, vivida en su X aniversario

Esta edición 2019 de RootedCON Madrid, se llevó a cabo del 28 al 30 de Marzo en el espléndido entorno de Kinépolis Madrid Ciudad de la Imagen. No obstante, las actividades dieron comienzo realmente el 25 de marzo, con tres días intensos dedicados a formaciones (bootcamps) impartidas por expertos en la materia (entre los que se encontraban Raúl Siles y su taller sobre tecnologías inalámbricas, Pablo San Emeterio formando sobre explotación de vulnerabilidades, o Pablo González Pérez y su taller sobre pentesting).

Nuestra experiencia comienza la noche previa al inicio de las conferencias, es decir, la noche del 27 de marzo, donde asistimos a la habitual cena cóctel de ponentes en el restaurante Larumbe. Ya en su entrada, y ejerciendo de perfecto anfitrión, Román Ramiŕez (fundador de RootedCON) recibía a los invitados. Se trata de una ocasión perfecta para, en un entorno distendido, poder intercambiar opiniones, realizar nuevos contactos, o reencontrarse con aquellas personas con las que hace algún tiempo que no coincides. Además de tener la oportunidad de conversar con otros ponentes, también asisten patrocinadores y medios que asistirán al evento.

Jueves 28 de marzo
El jueves 28 de marzo, a primera hora, nos presentamos en Kinépolis donde ya se respiraba el "ambiente Rooted". Las colas para las acreditaciones eran considerables, pero sin llegar a exasperar. Sabes que vas a asistir a grandes momentos y, además, la espera sirve para comentar las últimas impresiones. Una vez dentro, muchas caras conocidas, muchos amigos, y mucho por aprender. Nota destacada: el número de asistentes a Rooted 2019 superó los 2200.

En el hall, diversos stands de empresas del sector anunciaban sus servicios. También se encontraba el espacio habitual de 0xWORD y sus conocidos libros de seguridad.

La primera conferencia de la jornada comenzó a las 10:30h y, bajo el título "Aproximación algorítmica al talento en ciberseguridad", Raúl Riesco Granadino (Head of Intelligence and ICS, INCIBE) nos narraba la evolución que ha sufrido la demanda de talento, la necesidad del mercado actual de especialistas en ciberseguridad, así como las habilidades que más escasean actualmente (entre las que destacan: detección de intrusiones, desarrollo de software y mitigación de ataques) entre otros aspectos. Así, comentó que las titulaciones y certificaciones, aunque valoradas, quedan relegadas a un segundo plano frente a la experiencia y conocimientos de la persona.

A continuación, Andrés Ruíz y Mar López (Responsable de Ciberseguridad, Departamento de Seguridad Nacional) hicieron una divertida exposición sobre "Descifrando la Seguridad Nacional". Obviamente, no revelaron ningún tipo de información sensible, pero siempre es de agradecer que este tipo de organismos tengan visibilidad en eventos de ciberseguridad, puedan expresar su punto de vista y podamos conversar con ellos.

Tras la entrega de Premios Antonio Ropero, y la pausa para el coffe-break, llegó el turno de Pablo Estevan Fernández (RSA) y su ponencia "Análisis de amenazas con herramientas de visibilidad avanzadas". Nos explicó cómo, tras sufrir RSA un incidente de seguridad hace pocos años, optaron por adquirir una de las empresas que les ayudó a identificar el origen de la intrusión, software que han ido mejorando durante este tiempo. Básicamente, trasladó la idea de que nadie es invencible, por lo que conviene ser proactivos y disponer de capacidad de detección de incidentes, así como de una clara estrategia al respecto.

Más tarde, asistimos a la conferencia "N4J, Horizonte de sucesos" impartida por Francisco Javier Sucunza Berasain. Nos habló de los "knowledge graphs", como una conexión dinámica de repositorios de datos de distintos tipos y que enlazan con fuentes externas de una manera inteligente. Como resultado, permite inferir conocimiento a través del contexto y las relaciones. Francisco comentó la diferencia entre consultas SQL y consultas con Cypher (el lenguaje de consulta de grafos para Neo4j), dejando en evidencia la facilidad y la potencia de Cypher en este contexto.


Viernes 29 de marzo
El viernes 29 de marzo era el día de nuestra participación. Acudimos con tiempo suficiente a la primera conferencia "Hackers vs Cine: las loca ciberhistoria del cine. mitos y desventuras de la ciberseguridad en el séptimo arte" que impartieron conjuntamente Francisco Jośe Ramírez Vicente (Telefónica) y José Manuel Vera Ortiz (Revista SIC). Como ya anunciaron en su inicio, no se trataba de una charla técnica. Sin embargo, resultó muy entretenida recordando viejas (y no tan viejas) películas en las que se había tratado la ciberseguridad de mejor o peor manera. Por supuesto, se habló del origen de la palabra hack y cómo se había desvirtuado gracias a los periodistas y el sensacionalismo, y no faltaron referencias a Steve Jobs, Bill Gates, Steve Wozniak, Richard Stallman, Kevin Mitnick o John Draper (el Capitán Crunch), entre otros muchos.

A continuación, en la misma sala, nos llegaba el turno a nosotros (Carlos Seisdedos y Vicente Aguilera), que impartimos la conferencia "Análisis de redes sociales (ARS) y detección de comunidades virtuales". Tras una breve introducción para contextualizar a los asistentes en los conceptos que se tratarían después, realizamos algunas demostraciones en vivo utilizando una pequeña aplicación que desarrollamos específicamente para Rooted. Mostramos el potencial que se dispone al analizar las redes sociales mediante la aplicación de técnicas de inteligencia artificial, y como pueden ser monitorizadas a tiempo real para analizar su contenido. De esta forma, utilizamos distintos videos en los que se podían realizar búsquedas por palabras clave (que se mostraran en alguna secuencia del video), o incluso búsquedas basadas en nombres de personas que aparecían en los videos, gracias al reconocimiento facial. Para ello, pusimos el ejemplo del rey Felipe VI que aparecía en un video durante la manifestación tras los fatídicos atentados terroristas sufridos en Barcelona. A continuación, presentamos una metodología de análisis de redes sociales, la importancia de considerar las redes formales e informales en los procesos de análisis de objetivos, así como su uso en acciones de influencia. Finalmente, realizamos diversas demostraciones en las que se mostraba la evolución de una red social a lo largo del tiempo: conexiones entre nodos, publicación y clasificación de contenidos, detección de comunidades virtuales, etc.

Queremos agradecer su asistencia a todos los que nos acompañaron durante la conferencia, que despertó gran expectación a juzgar por el número de asistentes a la misma.

Tras la pausa para la comida, llegó un momento que seguro era de los más esperados por la mayoría de las asistentes en base a las colas que se formaban con más de media hora de antelación. Nos referimos a la conferencia de Chema Alonso (CDO de Telefónica) titulada "A hacker's gotta do what a daddy's gotta do". Con una duración más reducida de lo esperada (lo bueno si breve...) Chema nos comentó su experiencia personal acerca de cómo los hijos se introducen en la tecnología a edades cada vez más tempranas. Con dos divertidos videos, nos hizo ver como sus hijas le acompañan en algunas de sus experiencias.


Sábado 30 de marzo
El sábado 30 de marzo, únicamente pudimos asistir a la interesante conferencia de Pablo González y Enrique Blanco, del Departamento de Ideas Locas de Telefónica. Nos hablaron sobre IA aplicada a la ciberseguridad, y nos mostraron resultados de su investigación con ejemplos prácticos en vivo. Especialmente llamativo fue lo que llamaron "La estafa del CDO", en la que, tras un modelo entrenado previamente, conseguían suplantar la imagen y voz de Chema Alonso para llevar a cabo una acción maliciosa. También nos ilustraron sobre las famosas GANs (Generative Adversarial Networks) y la elaboración de deep fakes. Los patrones biométricos que pueden identificarse en los videos permiten detectar manipulaciones que pueden derivar en fake news. Se trata de un problema que puede abordarse mediante técnicas de machine learning.

De forma previa a la conferencia de Pablo González y Enrique Blanco, Román Ramírez ofreció un reconocimiento especial a Agux, una de las personas que asiste fielmente a todas las ediciones de RootedCON y que, además, es de los primeros en inscribirse y personarse en los eventos.

Finalmente, queremos felicitar a RootedCON por su X aniversario y el gran éxito conseguido, así como agradecer a los organizadores por permitirnos participar en esta edición y hacernos sentir como en casa.

Autores:
Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader. Director Departamento de Auditoría.
Carlos J. Seisdedos. Responsable Departamento Ciberinteligencia.