BANDS: Detección proactiva de amenazas en infraestructuras críticas

jueves, 30 de octubre de 2014

En 1983 una infiltración en el Mando Norteamericano de Defensa Aeroespacial (NORAD), estuvo a punto de desatar la tercera guerra mundial. Por suerte, en el último momento, justo antes de que se lanzaran los misiles nucleares estadounidenses, se descubrió que en realidad todo era una falsa alarma provocada por un muchacho espabilado, que con un ordenador primitivo y un simple módem había quebrantado el más avanzado sistema de seguridad. Solo fue un juego.

En realidad, esto nunca sucedió sino que se trata del argumento de la película de ficción Juegos de Guerra (WarGames, John Badham, 1983). A principios de los ochenta, en aquellos años de pantallas de fósforo verde e interminables líneas de comandos, pudo parecer que estas amenazas informáticas eran simplemente un entretenimiento juvenil, fruto de mentes calenturientas y, aunque resulte un tópico, una vez más la ciencia ficción se adelantó a su tiempo y nos presentó circunstancias posibles dentro de un marco imaginario que se han hecho realidad.

Veintisiete años después, en 2010, los ataques militares a las plantas nucleares iraníes llevados a cabo con el malware Stuxnet se hicieron mundialmente conocidos (incluso para aquellos ajenos a la seguridad informática). Por primera vez la sociedad fue consciente de que las amenazas informáticas no solo comprometen el mundo digital, sino que también son un riesgo, mucho mayor si cabe, para el mundo físico. A partir de entonces la seguridad se convierte en la prioridad para el sector industrial. En el mundo presente, donde todas las infraestructuras están interconectadas, las consecuencias de un ciberataque en infraestructuras críticas pueden ser fatales. De todos modos, y conteniendo el alarmismo, hay que constatar que este ataque contra los sistemas SCADA de Irán fue posible porque nadie lo había anticipado, y por eso las defensas eran mínimas. En la actualidad, los niveles de seguridad han aumentado considerablemente. Entonces, ¿estamos a salvo?

 Mucho se ha avanzado en seguridad industrial de infraestructuras SCADA, incluso se ha legislado normativa al respecto. Aun así, es una necesidad anticiparse al cibercrimen, así que nuevas y más dinámicas estrategias son necesarias, en concreto aquellas que se adapten a la vertiginosa mutabilidad de las amenazas.

Cabe en este punto recordar a quienes ya conocen y también informar a los neófitos acerca de que es SCADA. SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos. Este tipo de infraestructuras consiste en una arquitectura centralizada de computadores. El objetivo es la supervisión y el control remoto y automático de una instalación o proceso industrial. En concreto, permite que un ordenador central reciba información en tiempo real de los dispositivos de campo (sensores y actuadores), y controla el proceso automáticamente. Los protocolos usados pueden ser muy variados (MODBUS, IEC104, etcétera), así como las tecnologías de comunicación (LAN, radio, línea telefónica, etcétera). Otra característica relevante que les hace más o menos vulnerables es que pueden o no estar conectados a Internet. En la actualidad, lo más frecuente es que si estén interconectados con el exterior, puesto que se hace necesario que los departamento de negocio, habitualmente no localizados en la propia industria, tengan acceso al proceso industrial.

Tradicionalmente, la seguridad para las infraestructuras SCADA se ha estado basando en estrategias estáticas que comprenden: la auditoría de la red para eliminar posibles brechas de seguridad; el aislamiento de la red o el bloqueo de intrusión por medio de cortafuegos; y fortalecer la seguridad de los terminales –esclavos o maestros– desconectando servicios innecesarios del sistema operativo, el análisis y resolución de bugs de los sistemas operativos y el uso de antivirus.

Topología BANDS usando Sinfonier


La original solución que propone el proyecto BANDS de Telefónica, incluida en la gama de servicios Saqqara, es la detección de anomalías en tiempo real buscando las secuelas que produce un ataque o cualquier otro tipo de incidente. BANDS está construido sobre la plataforma Sinfonier de procesamiento en tiempo real (tecnología Storm de Apache). BANDS es un sistema de monitorización y detección de intrusión que detecta los eventos inusuales, tanto ataques cibernéticos como errores operativos, y logra este objetivo modelando patrones de compartimiento por medio de la monitorización de todo el tráfico de red en tiempo real. BANDS hace acopio de las tramas IP que intercambian los dispositivos de la red para extraer información de ellas. BANDS no busca la amenaza en sí, que puede haber mutado y ser irreconocible, sino las repercusiones que esta tiene sobre el sistema SCADA. A partir de esta información es capaz de:

  • Construir una topología de la red de acuerdo al comportamiento de cada dispositivo,
  • Detectar si se incorporan nuevos terminales desconocidos a la red o algún terminal asume un rol distinto al que venía ocupando,
  • Identificar el patrón de conexiones, volumen de datos y frecuencia habitual, y alertar si hay cambios en el patrón normal,
  • Alertar de inmediato en caso de que un terminal pierda la comunicación,
  • Monitorizar el comportamiento de los PLCs y detectar comportamientos anómalos tales como comandos no habituales, perdidas de medidas, superación de umbrales o congelación de medidas (esta funcionalidad se logra gracias a que BANDS interpreta protocolos SCADA),
  • Utilizar información externa a modo de contexto para ser utilizada en el proceso de modelado y análisis de las plataformas.

Esto permite conocer de manera inmediata si se ha producido un ataque e incluso posibles errores accidentales como la perdida de conectividad de un terminal.


Proceso de construcción de topologías con Sinfonier

Con el doble propósito de que BANDS no solo permita el procesamiento en tiempo real, sino también la personalización de las detecciones incorporando el conocimiento de las infraestructuras propias de los clientes, el proyecto se ha desarrollado sobre Sinfonier. Sinfonier es una plataforma que posibilita la creación edición y gestión de topologías para procesar flujos de datos por el sistema de computación en tiempo real Apache Storm.

Con Sinfonier, aparte de escalabilidad, dinamismo y tolerancia a fallos, se posibilita la facultad del trabajo conjunto y colaborativo entre Telefónica y sus clientes. Sinfonier permite crear módulos de procesamiento de manera sencilla y fácilmente integrable. Sinfonier ofrece una interfaz web para combinar los módulos de procesamiento –los propios y los genéricos alojados en la comunidad por Telefónica y otros desarrolladores– para así construir topologías complejas a un golpe de click
. De este modo, se propicia que la propia industria para que diseñe a medida su sistema de seguridad de BANDS de acuerdo a sus necesidades específicas. Sinfonier combina un interfaz fácil de usar, modular y adaptable e integrado con otras soluciones avanzadas de seguridad, que sirven tanto como fuente de datos como destino de ellos.
Patrones que BANDS es capaz de reconocer

En resumen, las principales características de BANDS-Sinfonier son:
  • Sistema de computación en tiempo real Storm Apache.
  • Modelado de patrones de compartimiento en tiempo real.
  • Aprendizaje autónomo.
  • Detección de anomalías de red IP.
  • Detección de anomalías de protocolos SCADA (MODBUS e IEC104).
  • Gestión de alertas a través de un portal web.
  • Fácilmente escalable. Cliente final puede desarrollar sus propios módulos de procesamiento o bien los que están disponibles en la comunidad Sinfonier. • Interfaz web para la construcción de topologías de procesamiento.
  • Altamente configurable.
  • Capacidad de procesado de información de otros sistemas o servicios.
  • Disponibles Soportado por comunidad Sinfonier.

Evaluación práctica de BANDS.


Fue llevada a cabo en una central eléctrica, donde quedó patente que este servicio es capaz de dar respuesta a los problemas característicos de un Centro de Control (CC) de producción eléctrica. BANDS fue capaz de detectar el siguiente tipo de anomalías:

  • Detección de interrupción en el reporte periódico y constante de medidas de generación eléctrica enviados desde las centrales al CC.
  • Detección de medidas erróneamente reportadas al CC, tanto medidas congeladas como medidas fuera del rango esperado.
  • Detección de otras situaciones interesantes para el administrador de un CC como son la detección de mensajes extraños, la aparición de nuevos hosts (servidores y centrales) y las anomalías horarias.

Pasando a un plano más específico, BANDS detectó en las instalaciones las siguientes situaciones anómalas. Estas detecciones se produjeron en tiempo real y también mediante un análisis detallado offline del proceso de modelado y sus resultados:

  • Switching de los dos servidores SCADA descubiertos en dos ocasiones. Esto ha dado lugar a una serie de alertas, descartables todas ellas por venir derivadas de dichos cambios de servidor.
  • Descubrimiento de centrales de producción no recogidas en la relación de centrales facilitada a los autores de este estudio. 
  • Además, algunas centrales jamás se han visto intercambiando mensajería con los servidores SCADA más allá de simples intentos de establecimiento de conexión TCP.
  • Pérdida generalizada de reportes de medidas, durante cortísimos periodos de tiempo que en todo caso no parecen afectar al funcionamiento general del sistema SCADA. 
  • Existencia de determinadas medidas congeladas en un valor concreto, durante largos periodos de tiempo.
  • Medidas que sobrepasan los rangos efectivos o aprendidos para cada uno de los tipos de mensaje existentes. Quedaría por comprobar que no sean falsos positivos al enfrentarlos a los rangos teóricos.



Francisco Oteiza 
francisco.oteizalacalle@telefonica.com
Francisco Jesús Gómez 
franciscojesus.gomezrodriguez@telefonica.com
David Prieto
david.prietomarques@telefonica.com



Cómo funcionan las MongoDB Injection

martes, 28 de octubre de 2014

Las inyecciones SQL han sido tradicionalmente uno de los vectores de ataque más utilizados por los atacantes. De hecho, es una de las técnicas más eficaces para el robo y la alteración de información sensible. Sin embargo, no existe (aún) una marcada tendencia hacia la explotación de las llamadas bases de datos NoSQL, o sea, bases de datos no relacionales pensadas para el almacenamiento de grandes cantidades de información. De entre todas estas bases de datos NoSQL, quizá el representante más ilustre sea MongoDB. ¿Es inmune a las inyecciones?



¿Qué es MongoDB?

El nombre MongoDB, viene del inglés "humongous" (inmenso). Es un sistema de base de datos no relacional de código abierto y orientado a documentos. MongoDB se basa en colecciones de documentos Json, lo que le otorga una gran flexibilidad en cuanto a la naturaleza de la información que almacena, puesto que puede haber documentos con diferente esquema dentro de una misma colección.

De MongoDB destaca su gran velocidad y escalabilidad, porque puede manejar sin apenas esfuerzo volúmenes de datos del orden de gigabytes. En los últimos tiempos, su nómina de clientes ha crecido considerablemente; Foursquare, MTV, The New York Times, etc. ya lo utilizan.

¿Es MongoDB vulnerable a inyecciones?

Al no tratarse de una base de datos SQL, podría parecer que MongoDB no es vulnerable a inyecciones maliciosas. Sin embargo, veremos que no es así. Se pueden realizar muchos tipos de inyecciones en MongoDB, aunque la viabilidad del ataque depende en gran medida del driver de Mongo utilizado.

Por ejemplo, en PHP es posible realizar una inyección muy similar a la clásica inyección SQL, alterando la consulta de manera que devuelva todo el contenido de una colección. Imaginemos la típica consulta de credenciales que hay tras un login. En SQL, sería algo como lo que sigue:

SELECT * FROM tUsers WHERE username = ‘username’ AND password = ‘password’

La consulta equivalente en MongoDB sería:

$collection -> find(array( 
 “username” => $_GET[‘username’], 
 “password” => $_GET[‘password’] )); 

El problema es que PHP permite pasarle objetos al driver de MongoDB, sin que tengan que ser necesariamente strings. Explotando esta vulnerabilidad, podemos pasar un objeto que fuerce una condición "true" y provoque el volcado de la colección. Por ejemplo, enviando una petición como esta:

login.php?username=administrador&password[$ne]=1

Obtendríamos una consulta interna de esta forma:

$collection -> find(array( 
 “username” => "administrador"
 “password” => array("$ne" => 1) )); 

Esta consulta devuelve las credenciales de todos los usuarios cuyo nombre de usuario y contraseña sea distinto ("not equal", $ne) de 1, condición que probablemente cumpla cualquier contraseña.

La solución pasa por "tipar" los objetos que se le pasan al driver. El hecho de que muchos drivers de MongoDB admitan objetos no tipados supone una vulnerabilidad.

¿Cómo comprobar si se es vulnerable?

Como no podía ser de otra manera, Faast incorpora entre su batería de plugins, uno capaz de detectar vulnerabilidades de este tipo. Sin embargo, como ya se ha mencionado, la presencia de esta vulnerabilidad depende enormemente del driver utilizado en el dominio bajo análisis.

Existen multitud de drivers para MongoDB. El plugin de Faast está orientado a detectar inyecciones en MongoDB, aprovechando la capacidad del motor Mongo para ejecutar Javascript. Utiliza la técnica de time-based detection para determinar si la URL que recibe como parámetro es vulnerable, aprovechando a su vez el comando "sleep" de MongoDB, que bloquea todas las operaciones de la base de datos durante un determinado período de tiempo.

Por ejemplo, tras recibir la URL, el plugin de Faast realiza dos peticiones independientes, concatenando las siguientes cadenas a la URL original. En la primera se ejecuta un sleep durante 10 segundos, en la segunda, no.

;if(tojson(this)[0] =="{")) {sleep("10000")};
;if(tojson(this)[0] =="{")) {sleep("0")}

Para determinar si es posible inyectar, se compara el tiempo de respuesta de ambas peticiones. Si la diferencia de tiempos es superior a un determinado umbral, se considera positivo y por tanto la URL es vulnerable. Para minimizar la influencia de tiempos de propagación, etc… y evitar falsos positivos, la prueba se repite un número determinado de veces. Será necesario que el resultado de los N intentos sea positivo para considerar la URL como vulnerable.

El auge que están viviendo los motores de bases de datos no relacionales, hace que se conviertan en un objetivo prioritario para los atacantes. Aunque las inyecciones SQL siguen siendo frecuentes, ya no representan una novedad en el mundo del cibercrimen, y las recetas y buenas prácticas para evitarlas están muy estudiadas. Sin embargo, las bases de datos NoSQL suponen un territorio nuevo que explorar. Por eso Faast pretende adelantarse a los atacantes y facilitar que se tomen las medidas adecuadas para salvaguardar la integridad de los datos de los clientes.

Cristóbal Bordiú
cristobal.bordiu@11paths.com

¿Quién sale ganando con Selfmite.b?

sábado, 25 de octubre de 2014

Ha saltado a los medios generalistas la noticia de una segunda versión de Selfmite.b (un troyano para Android) que ha sido "perfeccionada" y es más agresiva que su antecesora. Vamos a analizar un poco qué es lo que no han dicho los medios, o por dónde han pasado de puntillas.

Selfmite

En junio apareció Selfmite.a, un malware chino que se esparcía por SMS enviando por este medio un enlace a varios contactos de la agenda. Selfmite.b se ha anunciado como una mejora sustancial de esta primera versión. Según sus descubridores, también "inyecta código en una versión troyanizada de la app legítima Google Plus que aparece tras la instalación". Lo que parece es que está creado a partir de un Google Plus reempaquetado. De hecho, el nombre del paquete, com.google.gsn.plus así lo indica. ¿Por dónde se inició este "gusano por SMS"? Pudo haber una efímera (apenas unas horas) aparición de un paquete con este nombre en Google Play, en lo que pudo ser el primer vector de infección.

Como novedad, el troyano se basa en un archivo de configuración que descargaba de una URL concreta. El mensaje que enviaba por SMS dependía de lo que encontrara en ese archivo de configuración dinámico.

¿De verdad que ha infectado a tantos?

El troyano envía SMS con los enlaces a publicidad a toda la lista de contactos. En bucle. No es un comportamiento discreto, desde luego. Según los descubridores (que no indican cómo se ha realizado el cálculo), se han enviado 150.000 mensajes SMS a causa del troyano... pero solo desde 100 dispositivos infectados, aunque su factura de teléfono habrá sido abultada. Los países más afectados dice que son Canadá, China, Costa Rica, Ghana, India... ¿Cómo lo saben? Selfmite.a contenía un acortador de URLs de Google en su interior. Solo había que mostrar las estadísticas de "hits" en ese enlace. Selfmite.b utiliza servicios de acortación de urls de GoDaddy (x.co). Supongamos que han hecho los mismos cálculos con GoDaddy y esto daría una idea del número de infectados y país desde donde se ha hecho click. Sin embargo, afirmar que los países más infectados son los mencionados puede resultar inexacto. Primero porque el número absoluto no es demasiado (¿100 infectados?) y segundo porque cualquier click desde cualquier ordenador en cualquier país abultaría esas cifras, sin necesidad de indicar una infección real.

Un fallo de Selfmite.a fue usar este enlace acortador incrustado en su código. En Selfmite.b, el archivo de configuración, sin embargo, podía cambiarse dinámicamente puesto que se alojaba en  la dirección IP 209.190.28.50, entre otros datos de configuración. Esta IP pertenece a una empresa, xlhost.com que no ha retirado el archivo hasta después de dos semanas desde que se dio a conocer la noticia. Lo cierto también es que aunque no se retiró el archivo de configuración, los creadores del troyano tampoco lo actualizaron tras ser detectada la muestra, incluso cuando ya los acortadores no funcionaban. En Selfmite.a, la IP era 173.244.174.238, que pertenece al mismo hosting.

Algo interesante desde el punto de vista técnico, es que el malware se registra como administrador de dispositivo en Android, y esto hace más difícil eliminarlo. No se puede "desinstalar" como una app normal, sino que primero hay que quitarle ese "privilegio". También roba datos como el IMEI y otra información.

¿Actuaba según el país?

Han dicho que sí, pero es incompleto. También influye el navegador y en general los términos propios de la empresa de publicidad que gestionaba el link enviado por SMS. Aquí entramos dentro del asunto de la monetización. Todo malware se crea para obtener un beneficio. El modelo de negocio en este caso para Selfmite.b era obtener "comisiones" por instalar programas o conseguir visitas y generar tráfico. El sistema era el siguiente:
  • Instala diferentes iconos en el escritorio del teléfono, tomados de http://209.190.28.50/icon.php.
  • Estos iconos conducen a ditintas URLs que varían según el archivo configurador que se descarga. Estas urls pertenecen a agencias de publicidad que redirigen al usuario a diferentes páginas según varios parámetros. En concreto, las compañías de publicidad han sido las chinas Avazu INC a través de su dominio avazutracking.net y Yeahmobi. Al visitar estos enlaces, por ejemplo, si eres de Rusia, te enviará el APK del market chino Mobogenie, que no es reconocido precisamente por su escrupulosa elección de apps... y sí por sus agresivas campañas de difusión. Si eres de otros países, podrá derivar a servicios que piden permiso para suscribir a servicios premium.

¿Y si eres de España?

En algunos medios se ha dicho que no afecta a España, o que no aparece entre los países afectados. Lo segundo es cierto, lo primero no. Un usuario español podría infectarse perfectamente. En primer lugar porque comenzaría a enviar SMS como cualquier otro (con lo que se benefician las operadoras, pero de forma totalmente colateral). En estos días hemos observado que avazutracking.net se encarga de dirigir a varios sitios, según el momento, el navegador, la hora, el país... y según haya pagado la empresa para anunciarse a través de Avazu. Esta es una pequeña recopilación de "destinos" del servicio de redirección.


  • Puede que intente descargar este apk: http://rtb.impresionesweb.com/apps/bestApps/BestApps.apk. Se trata de una app de mobusi.com, una empresa de publicidad.

  • Puede que intente llevar a una web de suscripción por SMS. Hemos detectado estas dos:

m.es.mobiplus.me/wap/9228/?af=215&af_code=7574325704


http://46premier.mega-cine.com/streaming 

  • Puede que redirija a aplicaciones legítimas de Google Play

    https://play.google.com/store/apps/details?id=com.apusapps.launcher

  • También, puede llevar a apps pornográficas por suscripción.


land.porn4you.mobi

  • Como último recurso, intenta siempre descargar el market de Mobogenie: http://download.moborobo.com/mobomarket/appcoachs/appsflyer/035/MoboMarket.apk 

¿Quién gana con todo esto?

En ningún momento estamos afirmando o insinuando que los programas o páginas anteriores hayan realizado una actividad ilegal o estén al tanto del troyano. Eso sí, parecen empresas de publicidad "agresiva" que recompensa a quienes les envíen visitas más ajustadas a su "target", lo que resulta inevitablemente en un ecosistema no demasiado escrupuloso en el que no importa de dónde vengan los usuarios, solo que vengan. Todo esto es un efecto colateral del troyano pero que les beneficia. Lo más probable que haya ocurrido, es que estén afiliadas a la empresa de publicidad por enlaces y poco más. Les reporta tráfico, que es lo que desean. El creador del troyano, por su parte, también puede que gane por cada click o instalación que culminen después de seguir el enlace.

Archivo de configuración de Selfmite.b
También se benefician las empresas intermediarias cuyos enlaces aparecen en el archivo de configuración redirigiendo a la publicidad, en este caso Avazu (dueña de avazutracking.net) y Yeahmobi. Ganan igualmente Mobogenie y el creador del troyano... como curiosidad, todos son chinos. Investigar sobre estas compañías en cualquier buscador remite habitualmente a usuarios descontentos a los que los "servicios" de esta empresa les resultan, como mínimo, agresivos.

Extracto de código de Selfmite.b

Tampoco significa que Avazu o Yeahmobi estén al tanto del troyano. No es más que la explotación de un esquema típico de publicidad. El único culpable real es el programador del malware. De hecho, con la ayuda de algunas pistas del archivo de configuración (donde aparece su número de afiliado a la plataforma de anuncios Yeahmobi, entre otros datos), se podría llegar a descubrir a dónde van los beneficios económicos del malware por publicidad y de ahí, qué otras apps existen que hayan podido ser creadas por el mismo autor.

Pero aun así, en realidad, todos salen ganando menos el usuario infectado. ¿Significa eso que la empresa de publicidad ha creado el troyano? Ni mucho menos. Esto es tanto como alimentar el antiguo mito que aseguraba que las casas antivirus creaban las muestras. Este troyano parece más bien una prueba de concepto, muy mejorable, destinado a mantener un esquema de adware que, como consecuencia deseada o no, da un empujón al negocio de una empresa de publicidad.

También es importante destacar, que, al margen de los titulares escandalosos, el peor efecto para el usuario ha sido el envío de SMS indiscriminado y el robo de información, que ocurre sin que sea consciente.

Sergio de los Santos
ssantos@11paths.com

Latch Plugins Contest o cómo desarrollar un plugin para Latch

miércoles, 22 de octubre de 2014

Como anunciamos el jueves pasado en el evento Security Innovation Day, desde ElevenPaths hemos lanzado un concurso que busca desarrollar plugins innovadores y de utilidad para Latch. ¡Participa en Latch Plugins Contest y gana hasta 10.000 dólares (en Bitcoins)! Además, si eres estudiante, podrás optar a una beca de trabajo en ElevenPaths.

Si quieres participar pero tienes dudas sobre cómo hacerlo, no te preocupes, vamos a ponértelo fácil. Explicamos las consideraciones básicas para crear un plugin (en general) para Latch. Aquí mostramos las instrucciones genéricas a modo de guía, pero la parte creativa, será lo que premiemos.

Premios y fecha límite para presentar el plugin

A continuación te damos algunas pistas sobre cómo desarrollar un plugin para Latch:


  • Antes de nada, elige una aplicación y comprueba si permite crear plugins.
  • Investiga, busca y documéntate en Internet, fundamentalmente en los repositorios de la aplicación en la que deseas ejecutar el plugin. Puede que alguna empresa o particular ya lo haya desarrollado.
  • Conoce el listado de los principales plugins disponibles para Latch, desarrollados por ElevenPaths. Atención: puede que existan más plugins para Latch que hayan podido desarrollar empresas o particulares ajenos a ElevenPaths. 
  • Estudia la documentación referente a la aplicación. Es básico conocer su funcionamiento para saber si es factible la creación del plugin y cómo debe ser su estructura.
  • Crea un proyecto y asígnale un nombre con referencia al plugin que vas a desarrollar. En él se incluirá todo el código del plugin. Si además, tiene un nombre adecuado, permitirá a los usuarios diferenciarlo de otros plugin que ya existan y facilitarles la integración.
  • Genera el código necesario para crear el plugin en el proyecto creado anteriormente. En este paso es donde ocurre el desarrollo del plugin. Es necesario tener en cuenta que:
    1. Muchas aplicaciones incluyen hooks (ganchos), esto es, funciones que pueden invocar a plugins. Se pueden utilizar para integrar el plugin en la aplicación. La aplicación, antes de ejecutar determinadas acciones, comprobará si algún hook está invocando a algún plugin en concreto, y si lo hiciera, lo ejecutará. Recuerda averiguar antes si la aplicación incluyen este tipo de hooks.
    2. Muchas aplicaciones utilizan una base de datos para almacenar información y utilizarla posteriormente. Un plugin puede aprovechar esta base de datos para incluir información disponible para la aplicación en la que se va a integrar.
    3. La API de Latch incluye toda la documentación necesaria para que un programador sepa cómo comunicarse con el servicio de Latch y qué datos debe intercambiar con el servicio según las tareas que tenga ejecutar el plugin. El estudio minucioso de la API te permitirá conocer qué estructuras tienes que utilizar para desarrollar correctamente el plugin.
    4. Para acceder a la API y SDKs de Latch disponibles en los lenguajes de programación PHP, Java, Ruby, Python, C, .NET, PowerShell y NodeJS, es necesario registrarse como Desarrollador de Latch. ¡Es fácil y gratuito! Desde la web de Latch, accede al Área de Desarrolladores y créate una cuenta de Desarrollador de Latch. Dentro de tu cuenta de Desarrollador deberás crear una Aplicación, en la que se incluirá un Application ID y un Secret, fundamentales para identificar tu aplicación en el servicio de Latch y así poder realizar las pruebas pertinentes con el plugin que estés desarrollando.
    5. Genera los archivos de licencia necesarios en los que se indican las condiciones legales del uso del plugin. En este caso, los plugins presentados deben tener licencia LGPL 2.1 y ser gratuitos.
    6. Crea un archivo readme.md o readme.txt donde incluyas toda la documentación que explique cómo integrar el plugin en la aplicación, así como toda la información relevante para quien lo vaya a integrar: requisitos de instalación, consideraciones a tener en cuenta, etc.

Plugins realizados y documentación

Si quieres conocer los plugins y su documentación desarrollados hasta la fecha, accede al Github de ElevenPaths. Una vez allí, puedes descargar y analizar el código fuente de todos los plugins actuales para Latch. También puedes consultar los manuales de integración de los plugins de Latch, entrando en el Área de Desarrolladores. En el apartado "Documentación y SDKs" encontrarás la sección de "Recursos" desde la que puedes acceder a toda la documentación de los plugins ya subidos.

¡Mucha suerte!

Qué hemos presentado en el Security Innovation Day

lunes, 20 de octubre de 2014

Eleven Paths y Telefónica presentaron el pasado viernes, en el marco del Security Innovation Day, las principales líneas estratégicas en ciberseguridad y nuevos productos y servicios en este mismo entorno, que pretenden ser el punto de referencia para todos sus clientes. En resumen, han sido: un acuerdo estratégico con Microsoft contra el crimen digital; la integración de SmartAccess, empresa española líder en soluciones de firma digital; o el lanzamiento de Path5, un nuevo producto de ciberinteligencia para el entorno móvil, son algunas de las novedades más destacadas.

Path5

El tándem ElevenPaths/Telefónica centra sus esfuerzos en el desarrollo de productos innovadores y únicos en el mercado. La prueba de que esos esfuerzos dan resultados es el lanzamiento de Path5, un nuevo producto de ciberinteligencia para luchar contra las amenazas del mundo móvil.

Path5 es un producto de ciberseguridad desarrollado por ElevenPaths que permite y facilita a los profesionales y expertos en seguridad, la investigación en entornos de aplicaciones móviles mediante su tecnología patentada de big data y motor de correlación. Además, ofrece una solución integral que mejorará el análisis e investigación para dar respuesta a cualquier acción fraudulenta en la que haya podido utilizarse algún componente móvil. Path5 permite a los analistas rastrear la actividad de estos componentes móviles creados por desarrolladores y predecir otras actividades similares de estos desarrolladores. Y también permite fijar alertas que detectan la actividad fraudulenta de estos desarrolladores. Todo esto convierte a Path5 en una solución ideal para los equipos de seguridad, legales y de marketing de las empresas, o analistas de tendencias en aplicaciones móviles. Path5 complementa la actual oferta de soluciones especializadas de seguridad que Telefónica ofrece a empresas.

SmartAccess

Telefónica también anuncia hoy, de acuerdo a su estrategia de ampliar su presencia en el mundo de la seguridad, la integración de las soluciones y equipos de desarrollo de SmartAccess, una de las empresas de certificación digital y biometría en dispositivos móviles más innovadoras del momento, en ElevenPaths.

SmartAccess desarrolla soluciones orientadas a la identidad digital y a la firma electrónica para crear un entorno seguro, reduciendo, además, los costes asociados al uso del papel (contratos, albaranes, facturas). La firma biométrica no sólo suprime el papel sino que permite al cliente tener a su alcance el consentimiento inmediato de cualquier transacción que quiera ofrecer a nivel mundial. Estas soluciones se comercializarán dentro del portfolio de soluciones de seguridad de Telefónica.

Acuerdo con Microsoft

En el ámbito del Security Innovation Day de Telefónica, también se ha desvelado el acuerdo firmado con Microsoft a nivel mundial para compartir en tiempo real los datos del programa de inteligencia aplicada al cibercrimen, fundamental para los clientes de ambas compañías, ya que el intercambio de información comercial es crucial para combatir el cibercrimen ahora y en el futuro.

La Unidad de lucha contra el crimen digital de Microsoft, tiene una amplia experiencia en erradicación de malware y programas dañinos, mientras que Telefónica y Eleven Paths aportan una dilatada experiencia en la búsqueda avanzada de amenazas malware y otros tipos de ciberinteligencia.

Latch

Por último, Telefónica también presentó en su evento de Ciberseguridad las últimas mejoras que ElevenPaths ha introducido en Latch, la aplicación que permite a los usuarios gestionar cuándo y qué servicios online están disponibles.

El avance más significativo en el ecosistema Latch es la presentación de una pieza nueva en la infraestructura Latch, llamada Latch Satellite. Este componente que permite tener instalado en la propia organización del servicio que integra Latch, un servidor de Latch que mejora enormemente los tiempos de respuesta y aumenta la capacidad de realizar grandes volúmenes de peticiones de estado de cualquiera de sus aplicaciones, ya sean internas o externas.

Desde ayer están disponibles nuevas versiones de la app de Latch en los stores oficiales de Android, IOS, Windows Phone y FirefoxOS. Como novedad se presenta la app de Latch para BlackBerry.

Security Innovation Day 2014: Where Security Meets Innovation

miércoles, 15 de octubre de 2014

Security Innovation Day tendrá lugar mañana 16 de octubre en el Auditorio de Telefónica, donde a partir de las 15:00h, y con emisión en directo y en streaming a más de 20 países de todo el mundo, os contaremos las ultimas tendencias, innovaciones, y lanzamientos en exclusiva.

Desde Telefónica y ElevenPaths trabajamos (y lo seguiremos haciendo) para ofreceros la mejor oferta en seguridad, poniendo toda nuestra experiencia y capacidad de innovación en vuestras manos con el objetivo de ofreceros servicios pioneros en el mercado.

En esta segunda edición, os presentaremos algunos de los retos de innovación en Seguridad TIC a los que nos enfrentamos, derivados de las nuevas tendencias en ciberataques así como nuevos mecanismos y herramientas de protección.

Nuestro máximo experto en la materia, Chema Alonso, será el encargado de desvelar entre otras sorpresas, el lanzamiento en exclusiva de "Codename Path 5", la nueva herramienta de ciberseguridad y ciberinteligencia desarrollada por ElevenPaths para luchar contra cibercriminales.

Estos son sólo algunos de los éxitos recogidos del año pasado:
  • Más de 35 impactos online en los principales diarios de información económica, general, tecnología y medios regionales.
  • Coberturas offline en los principales diarios económicos Cinco Días y Expansión.
  • Audiencia: 4.098.100 online más 372.000 offline. 4.470.100 personas.
  • Amplia cobertura en blogs.
  • Repercusión internacional con conexiones en 20 países.


¡Esperamos poder seguir cosechando muchos más juntos! ¡Nos vemos en Security Innovation Day!

Seguimos avanzando con Latch. Novedades

martes, 14 de octubre de 2014

Desde la última versión de junio de 2014, hemos seguido trabajando en nuestra herramienta Latch. Se han producido novedades y mejoras en todos los aspectos del ecosistema Latch. Algunas se presentarán en el Security Innovation Day esta semana. Vamos a resumir un poco en qué consisten.

Mejoras en la web

Las últimas incorporaciones al portal Latch han sido numerosas:
  • Hemos creado una página en la parte interna de la web desde la que los desarrolladores podrán comprar, gestionar, ver los detalles y actualizar su suscripción de Latch. Desde ahí es posible elegir el plan que mejor se ajusta a sus necesidades, según el número de cuentas o las funcionalidades que precisen. Como consecuencia de esto, hemos actualizado el Contrato de Servicio de Latch para desarrolladores. La cuenta Community que permite utilizar Latch de forma gratuita, lo seguirá siendo como hasta ahora.
  • Hemos rediseñado algunas páginas, entre ellas la correspondiente a la edición de aplicaciones. Además ahora, cuando un desarrollador necesita un plugin, accede directamente a su descripción, a los requisitos necesarios, al código fuente y al manual de integración desde la misma página.
  • Los usuarios de Latch ahora pueden proteger su propio acceso a su cuenta con Latch, de la misma forma que protegen el resto de sus servicios. 
Creación y mejora de plugins y SDKs.
Plugins de Latch disponibles desde el área de desarrolladores

Según va creciendo la demanda de Latch, vamos ampliando el número de SDKs y plugins. La última creación ha sido el SDK de Node.js y los plugins de Moodle, SugarCRM y Passport.js. También hemos unificado los plugins de SSH, OpenVPN y Ubuntu en uno solo que se puede integrar con los sistemas operativos basados en UNIX. Además hemos finalizado el desarrollo de dos plugins de Windows, uno orientado a usuarios particulares y otro a administradores de dominio.

Novedades en la app

En octubre publicaremos nuevas versiones de las apps en los stores oficiales de Android, IOS, Windows Phone y Blackberry. Hablaremos de ellas en próximas entradas.

En la nueva app se podrán reordenar y renombrar los servicios y operaciones. Además hemos creado la funcionalidad "Autobloqueo por uso", para que el servicio u operación, se bloquee automáticamente después de que el usuario final haya accedido.

Latch Satellite 

Un avance en el ecosistema Latch es la nueva pieza llamada "Satellite". Los satélites Latch son componentes que se hospedan en los datacenters de los servicios que integran Latch, y reciben continuamente actualizaciones sobre el estado de los latches de sus usuarios desde el núcleo central de Latch. De esta forma, la información de ese estado se guarda de forma local y se reduce aún más el tiempo de respuesta, además de posibilitar nuevas integraciones entre Latch y el datacenter del proveedor del servicio.

Mejoras en la LST y en la integración de la API

La herramienta de soporte de Latch (Latch Support Tool), va a permitir a los proveedores del servicio solucionar acciones de soporte, como por ejemplo bloquear y desbloquear los servicios u operaciones de sus usuarios en casos de emergencia, y ver el historial de acciones realizadas por cada usuario. Estas nuevas funcionalidades estarán también disponibles a través de nuevas llamadas a la API en los SDK para los desarrolladores.

Integración y promoción en repositorios oficiales de plugins y librerías

Con vistas a facilitar a los desarrolladores la integración de Latch en sus servicios, poco a poco estamos subiendo los SDK y plugins de Latch a sus respectivos repositorios. Nos estamos poniendo en contacto con comunidades de desarrolladores para facilitarles el acceso a nuestros plugins y a los manuales de integración que acompañan a cada uno. También estamos preparando vídeos subtitulados que explican paso a paso cómo realizar la integración de Latch con los diversos servicios.

¡Gracias a todos por confiar en Latch!

Análisis de metadatos: Extract Metadata vs. Metashield Analyzer

viernes, 10 de octubre de 2014

La recopilación de información se ha convertido en un negocio lucrativo para empresas y supone una interesante estrategia para gobiernos y organizaciones que hacen uso de ella... además de una herramienta útil para atacantes a largo plazo. Una fórmula para mitigar ambos riesgos puede ser cuidar no solo los datos, sino también los metadatos de los archivos que ofrecemos al exterior. ¿Cuáles son? Analicemos dos herramientas online que muestran los metadatos de un archivo. Una de ellas, por supuesto, Metashield Analyzer.

Para poder comprobar la cantidad de metadatos que obtenemos, hemos realizado una comparativa con dos herramientas online gratuitas: Metashield Analyzer y Extract Metadata. La primera es de esta empresa, y con la pequeña comparativa se pretende mostrar por qué pensamos que es más completa. Ambas comprueban ficheros de diferentes formatos y muestran el contenido de la información oculta.

Para la prueba hemos utilizado dos archivos: una imagen tomada con un smartphone y un documento generado con Libre Office y así poder tener una idea del volumen de datos que se podrían extraer de distintos archivos. En el caso de la imagen, la analizamos con la herramienta "Extract Metadata", pero en la página indican que disponen de otra herramienta específica para analizar fotografías online "ExifViewer.org" que también usaremos y esperamos complemente y amplíe la información extraída de la imagen.

El listado de extensiones que analiza Extract Metadata que es bastante amplio. Incluye archivos de audio y algunos de vídeo, pero está limitado a ficheros de menos de 5Mb.


Resultado del envío de una imagen a Extract Metadata

El análisis nos ofrece una serie de datos significativos del dispositivo que realizó la imagen originalmente: tamaño, posición en la que estaba el dispositivo en el momento de la captura, fecha y otros datos técnicos relativos a la toma de la fotografía. En ExifViewer.org, se ofrece algo más de información.

Resultado del envío de una imagen a Exif Viewer

Estos datos en sí no suponen un gran riesgo potencial, pero sí es cierto que ofrecen información sobre un espacio temporal y un modelo de dispositivo concreto como datos más relevantes.

A continuación realizamos la misma operación con el MetaShield Analyzer. Cuando se envía el archivo, un aviso informa de que ninguno de los archivos o metadatos que se extraigan del análisis serán almacenados. El listado de extensiones que pueden ser analizadas es menor, pero la razón es que está orientado exclusivamente al análisis de extensiones de documentos ofimáticos, PDF e imágenes JPG. Acepta ficheros de hasta 35 Mb.

El tiempo de proceso del análisis es algo inferior al empleado por Extract Metadata y la cantidad de datos recibidos superior. También la relevancia de los datos es más significativa, puesto que los metadatos de la fotografía incluyen la geolocalización, por ejemplo.

Resultados del análisis de fotografías con MetaShield Analyzer


Algo interesante es que Metashield Analyzer indica si la imagen ha sido retocada y el programa utilizado para ello, que en este caso es Photoshop en su versión 2014. Este dato es importante y podría indicar una manipulación intencionada de la fotografía.

Vamos ahora a analizar un documento ofimático generado con Libre Office con las mismas herramientas. Usamos la herramienta Extract Metadata y los datos que nos ofrece son:

Resultados de enviar un fichero de Libre Office a Extract Metadata

El análisis nos da unos detalles básicos del usuario creador, la fecha y software utilizado. Si realizamos la prueba con Metashield Analyzer, los datos son más numerosos:

Resultado de enviar un fichero Libre Office a MetaShield Analyzer

La información obtenida nos ofrece datos detallados hasta de una imagen incrustada en el propio documento, impresora con la que se ha trabajado, programa que se usó para el retoque fotográfico, S.O del equipo, ediciones, etc.

Eleven Paths en la 8dot8: Superhéroes

miércoles, 8 de octubre de 2014

El próximo 23 de octubre tendrá lugar una nueva edición de la 8dot8, el congreso que se celebra en Chile durante dos días con diferentes ponentes de Colombia, Perú, Argentina, México, Suiza, España y la propia Chile. En esta ocasión asisten como ponentes los compañeros Pablo González y Claudio Caracciolo.

La charla de Pablo será "Cyberwar: Looking for… citizen!", dónde se habla acerca de cómo la ciberguerra afecta o es visualizada por los ciudadanos. A lo largo de los últimos años, gracias al abaratamiento de los costes de la tecnología y a la reducción de las tarifas de las conexiones a Internet, el uso de tecnología por parte de cualquier organización y Estado se encuentra más extendida. Toda esta tecnología ha llevado al nacimiento de un mundo digital (estrechamente unido al mundo físico) donde las acciones tienen repercusiones tanto en uno como en otro. Y una de esas acciones podría ser la ciberguerra. Hoy en día, casi cualquier persona puede disponer de tecnología a un coste relativamente bajo, por lo que si se sumase toda esta tecnología ciudadana de bajo coste, podría alcanzarse una potencia a la que por sí solo una entidad no podría llegar.




En este trabajo, se ha realizado un piloto con dispositivos móviles de tipo Android (por su gran cuota de mercado) aunque este modelo es extensible a otros sistemas y componentes. Se ha analizado cómo Internet y las nuevas tecnologías han situado a usuarios con y sin recursos en un plano equivalente, en el que los usuarios con menos recursos puedan alcanzar objetivos en los que en otras circunstancias no serían posibles, gracias a la democratización de la tecnología.




Algunas de las funcionalidades importantes serían, por ejemplo, la posibilidad de poder utilizar en remoto la cámara y el micrófono de los dispositivos que se distribuyen geográficamente y que se puede controlar desde la infraestructura. La posibilidad de disponer en cualquier instante de una cámara o micrófono en un sitio de conflicto es una funcionalidad realmente interesante en un conflicto de ciberguerra. Otro escenario que hace interesante esta funcionalidad, es la utilización de dispositivos en manifestaciones u otros acontecimientos donde se concentran gran cantidad de personas y existe riesgo de acciones violentas. O quizá, solamente obtener una shell con la intención de realizar acciones desde el dispositivo. Al final disponemos en el bolsillo de dispositivos altamente potentes, más de lo que a día de hoy podemos imaginar.

También podremos ver cómo los canales de distribución de apps, App Store, Google Play, etcétera, podrían resultar vías muy potentes para conseguir alistar usuarios a una tecnología de ataque centralizada. A partir de ello, se podrá tratar el tema de qué cosas se pueden hacer desde el terminal en función de los permisos. ¿Suficiente para ceder la tecnología que llevas en el bolsillo ante un posible conflicto?

Claudio Caracciolo hablará de la necesidad que tienen hoy en día los superhéroes para protegerse. En efecto, hoy en día los incidentes de seguridad, como robos de contraseñas, ataques a sitios de terceros en los que el usuario deposita su confianza son cada vez más habituales, por lo que se necesitan medidas que ayuden a fortificar nuestra identidad digital y ser capaces de detectar y protegernos ante estas situaciones.

Además, habrá otros 12 excelentes ponentes con charlas que seguro resultarán interesantes. Os esperamos el 23 y 24 de octubre de 2014 en Santiago de Chile.



EMET, ¿es oro todo lo que reluce?

lunes, 6 de octubre de 2014

EMET, de Microsoft, es una gran herramienta, pero a medida que gana popularidad, parece que se van encontrando algunos fallos, según algunos titulares recientes. ¿Pero qué hay de cierto? ¿Qué tipo de fallos se están cometiendo con EMET? ¿Es tan buena como parece? Analicemos lo que está pasando.

EMET (Enhanced Mitigation Experience Toolkit) es una gran utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales. En resumen, EMET intenta evitar que funcionen los exploits. Hoy en día, cuando DEP y ASLR están activos para la mayoría programas "interesantes" para los atacantes, hay que recurrir a técnicas especiales (ROP para DEP y filtrado de información para ASLR, entre otras) para poder eludirlos. Estas técnicas disponen de varias fórmulas para poder llevarse a cabo, y EMET es un sistema que se instala en el equipo para evitar que estas técnicas conocidas funcionen. Esto hace que sea muy efectivo, puesto que, si bien es imposible evitar las vulnerabilidades y los exploits que los aprovechan, EMET acudiría al rescate para que no funcionasen correctamente.





Tipos de fallos de EMET

Pero toda herramienta contiene errores. Lo primero que hay que distinguir en este caso, es qué tipo de errores o fallos puede sufrir EMET. Mejor dicho, cómo se le puede atacar. Existen dos formas:


  • Deshabilitándolo por completo antes de lanzar el ataque. O sea, incluso antes de lanzar el exploit que se desea, desmontar EMET por completo para luego poder actuar de forma "normal". Esto, habitualmente, debe conseguirse usando una técnica ROP que permita desactivar el programa por completo, incluso antes de que pueda ser protegida esa técnica ROP con el propio EMET. Sería como un "meta-exploit" específico que permitiría ya lanzar cualquier otro exploit de forma "normal".
  • Eludir las protecciones en sí que EMET implementa. EMET ofrece ahora mismo unas 12 técnicas anti-ROP y antiexploit en general. Los atacantes intentan eludir no todo EMET, sino que se trata de "inventar" técnicas ROP más avanzadas, por ejemplo, para que las técnicas anti-ROP de EMET no sean válidas.


En ambos casos el efecto es el mismo: el atacante podrá lanzar ataques... pero la primera es más "apetitosa", puesto que elimina al enemigo por completo y ofrece más margen de maniobra.


Desarmando EMET


Han sido varios los golpes técnicos lanzados contra EMET. Empezó con un tal SkyLined que mostró cómo eludir la protección EAF en EMET 2.0. El primero y más duro vino en 2012, cuando Shahriyar Jalayeri, publicó dos métodos para eludir EMET 3.5 por completo. Aprovechó que la zona de memoria SHARED_USER_DATA está siempre en la misma dirección en todas las versiones de Windows para encontrar un punto de apoyo fijo en memoria y de ahí KiFastSystemCall para hacer llamadas de sistema. Con esto, consiguió marcar la memoria como ejecutable a través de ZwProtectVirtualMemory. Las funciones que se necesitan para culminar el ataque (tipo WinExec) estaban hookeadas por EMET y no podía lanzar el código shellcode... así que desde ahí, desactivaba EMET por completo. Pero no se quedó ahí. Poco después usó KernelBase.dll (que Microsoft olvidó proteger) para (obtenida su dirección base) usar VirtualProtect para eludir las técnicas anti-ROP de EMET.


Arriba, cómo definía Microsoft EMET en 2012. Abajo, cómo lo define en la actualidad

Pero fue resuelto. Más tarde, en su versión 4 de 2013, Aaron Portnoy publicó un método para eludir la mayor parte de las protecciones de EMET, y lo demostró explotando por completo un fallo en Shockwave protegido por EMET.

En su versión 4.1, Dabbadoo a finales de 2013 escribió un artículo muy interesante en el que, si bien no explicaba técnicas para eludirlo, supuso un estudio muy profundo sobre las limitaciones de la propia tecnología y sus puntos débiles, y en él se basaron otros para seguir adelante en la investigación.

Un poco más tarde, Jared DeMott, de Bronium publica en febrero de 2014 cómo eludir todas y cada una de las protecciones ROP de EMET 4.1 y 4.0. Trabajó en modificar ligeramente las técnicas ROP conocidas para poder impedir que EMET detuviese el ataque.

En julio de 2014, consiguen otra vez hacer que EMET deje de funcionar (en contraposición a eludir sus técnicas). Fueron los técnicos de Offensive Security, de Kali Linux. Para demostrarlo, consiguieron que la vulnerabilidad CVE-2012-1876 tuviera éxito en Windows 7 (x86) a través de IE 8.0 y con EMET 4.1.X.

Por aquel entonces ya existía la versión 5 (de febrero), en la que se arreglaban todos estos problemas. Y con ella... lo volvieron a conseguir. Los de Offensive Security pudieron, con pequeños cambios, eludir de nuevo EMET.

¿Entonces no sirve?

En general, mucho. El problema es que EMET funciona en el mismo plano de usuario, y desde ahí es a veces complicado proteger al propio usuario. EMET está creado para mitigar que los exploits funcionen incluso cuando ya se ha sido atacado y explotada una vulnerabilidad. Es una capa más de seguridad. No es infalible porque al fin y al cabo, está basado en una especie de lista negra basada en técnicas anti-ROP conocidas, que son limitadas y aparecen de vez en cuando. Pero es muy útil en varios sentidos:

  • Lo primero es que EMET, con estas limitaciones, cubre una capa en la que no se ha trabajado demasiado todavía: evitar que el exploit funcione. No cubre la detección del malware, del exploit, la actualización, los permisos... sino que funciona en un plano que hasta ahora había sido "olvidado".
  • En general, por ahora, es ignorado por los atacantes. Ningún ataque "in the wild" se ha detectado que se preocupe de si su víctima utiliza EMET o no. Que se sepa, estos métodos descritos no los han utilizado los atacantes indiscriminados y, por tanto, el usuario medio queda protegido con EMET. Sí es cierto que se ha encontrado que algunos atacantes intentan, a través de ciertas técnicas y usando Internet Explorer, enumerar el software que contiene el equipo que potencialmente será su víctima. Y se ha visto que si incluyen ciertos antivirus o EMET, prefieren evitar lanzarse a culminar el ataque. Pero quizás, es muy probable que la razón no es que no sepan eludirlo, sino que prefieren pasar desapercibidos. Una víctima que tenga instalado EMET u otras herramientas avanzadas, es más probable que se convierta en una víctima incómoda que pueda descubrir al atacante. En este sentido EMET, puede actuar con efecto disuasorio, además de sus bondades técnicas.
  • EMET está evolucionando. Aunque en su versión 5, todavía tiene mucho margen de mejora y sigue siendo un programa "poco usado" y para usuarios "expertos". Pero a juzgar por la promoción que le hace Microsoft, mejorará. 
  • EMET incluye otras protecciones, como Certificate pinning para Internet Explorer y ASR... que resultan también muy interesantes.

En resumen. EMET es tan necesario como cualquier otro software de protección que cubra una capa concreta y permita una correcta defensa en profundidad. Con sus virtudes, y comprendiendo sus limitaciones... que deben mitigarse precisamente quizás con la protección de otras capas.

Sergio de los Santos
ssantos@11paths.com

Cómo lanzar escaneos con Faast

jueves, 2 de octubre de 2014

Faast incorpora pentesting 24x7, es decir, añade un modo de pentesting persistente que estará en funcionamiento las 24 horas de los siete días de la semana. Esto supone un gran avance frente a las auditorías de seguridad "tradicionales" que se realizan cada cierto tiempo. A la hora de lanzar un análisis,  Faast permite además varias funciones. Veamos cuáles.

Desde la herramienta Faast podemos lanzar un escaneo con múltiples opciones. Utiliza una interfaz muy clara desde la que es posible seleccionar el dominio a escanear dentro de una lista de los dominios contratados.

Creando un nuevo escaneo con Faast

Esta primera vista permitirá observar de forma rápida y sencilla los dominios disponibles, o utilizar un filtro para encontrarlos rápidamente. Una vez seleccionado el dominio o los dominios para realizar el escaneo, procederemos a seleccionar el modo de escaneo. Primero, tendremos que seleccionar el número de "workers" que se utilizaran en el escaneo. Los "workers" son procesos que ejecutan las tareas propias de Faast. A mayor cantidad de "workers" más procesos se estarán ejecutando a la vez, por lo que el escaneo será más rápido.

Dependiendo del número de activos en los sistemas del cliente, Faast proporciona diferentes configuraciones atendiendo las necesidades temporales-económicas de cada empresa. Estas configuraciones se basarán en el número de "workers" a emplear. Es posible seleccionar de 1 a 100 workers por cada escaneo.

Seleccionando el número de workers

A continuación, se debe seleccionar la frecuencia con la que se realizará el escaneo. Podemos elegir entre escaneo continuo y escaneo no continuo. Faast aporta por primera vez la novedad del escaneo continuo o "pentesting 24x7".

Para lanzar un escaneo no continuo debemos seleccionar la frecuencia o el intervalo de tiempo en el que queramos lanzar nuestro escaneo, conocido como "ventana de tiempo". En caso de que el escaneo no haya podido finalizar en el tiempo definido anteriormente, continuará en el mismo punto donde lo dejó en el mismo intervalo de tiempo.

En esta pantalla se indica qué tipo de test realizar

En el modo continuo lanzará el escaneo nada más definirlo y una vez acabe, empezará de nuevo con los mismos parámetros anteriormente definidos.

Para realizar el escaneo, deberemos especificar los test que queramos verificar y se encargarán de buscar vulnerabilidades en los dominios que hayamos especificado. Se dividen en tres partes:


  • Descubrimiento: Estos test se encargarán de descubrir toda la información pública del dominio.
  • Análisis: Estos test se encargan de analizar toda la información pública obtenida en cada test de la fase anterior, en busca de vulnerabilidades que pueda sufrir el sistema del dominio auditado.
  • Explotación: esta última fase lanza las pruebas de explotación sobre las vulnerabilidades conocidas de los activos y elementos pertenecientes al dominio auditado. Simula la acción de un intruso sobre un activo al que se le ha detectado una vulnerabilidad.

Descripción del análisis

En cada fase podemos escoger los test que queramos lanzar dependiendo de nuestras prioridades o bien, lanzar todos. La penúltima fase antes de lanzar nuestro escaneo consiste en un apartado opcional en el que podremos asignarle una descripción. Por último, se dispone de un apartado en el que indicar el usuario y contraseña en el caso de que nuestro escaneo tenga una parte protegida que queramos auditar. También podremos definir el inicio de sesión a través de una cookie.

El último paso antes de lanzar nuestro escaneo nos mostrará(a modo de resumen) las características de nuestro escaneo. Visto esto bastará con pulsar el botón Hecho.

Confirmación del escaneo y sus datos en Faast

Jaime Ramos
jaime.ramos@11paths.com