30 jun 2014

Publicadas las diapositivas de nuestra presentación sobre OSINT en el #retoIsaca

Buenas a todos, el viernes tuvimos el placer de participar en el primer #retoIsaca, donde hablamos de OSINT, con nuestra charla: "Open Source Intelligence y la unión de los mundos virtual y físico".

En esta charla compartimos con los asistentes una pequeña introducción a OSINT, y a las investigaciones en fuentes abiertas que podrían realizarse en distintos ámbitos para contestar preguntas como por ejemplo, ¿es seguro éste país para enviar a mis trabajadores? o ¿se habla bien de mi marca en Internet?.

Aprovechamos el artículo para agradecer a Isaca la invitación al evento, y felicitarles por el rotundo éxito del mismo.

A continuación os dejamos con la presentación para los que no pudisteis asistir al evento:


29 jun 2014

Informe Flu - 182


Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

Lunes 23 de Junio
Martes 24 de Junio

Miércoles 25 de Junio



Jueves 26 de Junio
    Viernes 27 de Junio
    Saludos!

    27 jun 2014

    Flu Project en la Pentest Magazine del mes de Junio

    Buenas a todos, en el post de hoy queríamos hablaros sobre la PenTest Magazine, una interesante revista de suscripción en la que mensualmente publican una nueva edición con artículos técnicos sobre todo lo referente a hacking (malware, cripto, auditoría web, ...).

    En la edición del mes de Junio nos han publicado un artículo que enviamos sobre el malware Flu y funcionalidades de inyección de shellcodes en memoria, para realizar la integración con Metasploit (entre otras muchas herramientas).

    Para ver esta nueva edición podéis acceder al siguiente enlace (la revista requiere suscripción):




    Os dejamos a continuación con la carta del Pentest Mag Team:

    Dear PenTest Readers,

    We would like to present a new issue of Pentest Magazine. If you have heard about one of the most powerful tool for Penetration Testing – Kali Linux, but never worked with it, after reading this issue you will be able to start using it. In this publication, you will learn more about:
    1. For beginners: Have your first experience with Kali Linux!
    2. Practical guide about Kali in one article!
    3. Kali Linux loaded with SNMP, which is a small but very useful tools for exploiting.
    4. If you want to learn how to monitor your network, you will find the article describes clearly analysis of different open source network.
    5. Next you will be able to analyze Flu botnet and improve your own malware detection systems.
    6. For professionals: Interested in Social Engineering? Check vulnerability of the systems by taking advantage of tools at your disposal.
    7. Attack scenarios: Get to know about secrets of password security and protect your password on different systems.
    8. Discovering metasploit as the rapid creation of exploits: Use Metasploit for developing and executing exploits against Device Under Test. The author step-by-step describes the use of Metasploit tool. Take this great knowledge with Pentest Magazine!
    Saludos!

    26 jun 2014

    Publicadas las diapositivas de nuestra presentación en el FesTICval 2014

    Buenas a todos, ayer tuvimos el placer de participar un año más en el FesTICVal 2014, donde de 10h a 12h hablamos de seguridad con nuestra charla: "Apatrullando la ciudad… red". En esta charla enseñamos a los alumnos las técnicas de footprint, utilizadas habitualmente para localizar información de interés en fuentes abiertas, exprimiendo buscadores como Google o Bing para encontrar cosas curiosas, como webcams, impresoras conectadas a Internet, datos de organismos, etc. 

    El taller parece ser que gustó mucho, por lo que como prometimos a los asistentes, compartiremos las diapositivas para que podáis disfrutarlas y practicar en casa con los conceptos aprendidos en el taller.

    ¡Disfrutadlas!


    25 jun 2014

    ISACA: concurso de Jóvenes Profesionales y más novedades

    El próximo día 27 de Junio se celebra la entrega de premios del concurso de Jóvenes Profesionales que ISACA ha llevado a cabo estos meses en Madrid. Además, mi compañero Juan Antonio Calles llevará a cabo una charla sobre OSINT correspondiente al ciclo de Ethical Hacking de ISACA. Esta charla se encuadra en el marco de los jóvenes profesionales y es la segunda del ciclo. La primera tuve el honor de llevarla a cabo yo, y fue una experiencia gratificante. En esta ocasión la charla no será en un bar, será en un auditorio, y por desgracia no tendremos el tiempo que se tuvo en la primera charla, ya que por motivos obvios Juanan cuenta con 20 minutos.

    Además, se llevarán a cabo distintas charlas de los finalistas del concurso, los cuales mostrarán sus iniciativas y proyectos. Nosotros hemos participado, pero no hemos tenido la suerte de estar entre los elegidos. Unas veces ganas y otras, simplemente, existen mejores alternativas. Nos llevamos la experiencia del concurso, y las ganas por exponer al mundo ideas, iniciativas y proyectos para llevar a cabo la conciencia de la seguridad a otros rincones.

    ¿Qué más cosas os vienen a corto plazo? Pues como publicó el otro día Juan Antonio el verano no nos hace parar. Este año no podré estar en mi querido FesTICval de la URJC. El trabajo y estudios me lo impiden. Aunque me hubiera gustado poder compartir el tiempo con las jóvenes mentes, e inquitas, que piensan en el mundo de la seguridad como una vía de diversión. Esto siempre es muy atractivo para las personas que nos toca estar delante de ellos.

    Navajas negras o No cON Name se pueden ver a lo lejos. La verdad que tengo ganas de que lleguen y poder disfrutar de los eventos. Esto tendrá que ser en Octubre, pero espero poder disfrutar de talleres y ponencias.

    Personalmente, tengo la ilusión de que tendremos novedades literarias, espero que de aquí a un mes y poco poder daros más detalles. Siempre es un reto escribir, y más en un mundo tan competitivo como es éste. Pronto novedades!

    24 jun 2014

    Auditando eventos de nuestros sistemas Windows. Parte 2

    Buenas a todos, en el post de hoy continuaremos con la cadena sobre auditoría de eventos, hablando sobre las distintas posibilidades que tenemos para salvar los logs "evtx" recopilados en nuestro sistema operativo Windows.

    Aunque es obvio, muchos administradores aún no ven los beneficios de replicar los logs en un lugar diferente al de la máquina auditada. Uno de los beneficios más importantes es evitar que un usuario malicioso pueda manipular y/o eliminar los logs. Otro beneficio podría ser evitar su eliminación por fallos humanos, o por su sobrescritura si se saturase demasiado el visor de eventos.

    Lo más interesante para almacenar y gestionar estos logs son las soluciones SIEM, que recogen, analizan y priorizan los eventos de seguridad dentro de una red. 

    Existen varios tipos de soluciones para salvar y analizar estos logs, desde los colectores de logs más simples hasta las soluciones más completas, que ayudan a implantar SIEM de acuerdo con las "mejores prácticas" y en cumplimiento de las normativas y estándares de seguridad más exigentes, tipo ISO 27001, PCI-DSS o Esquema Nacional de Seguridad y LOPD (en España).

    La pega de los SIEM es que suelen ser productos caros, y aún desplegando alguna solución gratuita, suelen ser complejos de instalar y administrar, y por tanto los hacen inaccesibles para las pequeñas empresas, que no cuentan con los recursos mínimos necesarios para afrontar estos gastos en seguridad (aunque sean muy necesarios)

     Por ello, una de las soluciones que se acaban implantando es el desarrollo de pequeñas soluciones "caseras" para recolectar estos logs y clasificarlos, para así cumplir con los estándares de seguridad y garantizar el control adecuado de nuestros sistemas.


    Una de las soluciones caseras podría ser el siguiente BAT, que hemos desarrollado para recolectar los logs "evtx" de un PC Windows, y enviarlos mediante SCP, con la herramienta PSCP, a un repositorio montado en un servidor Linux:

    del /Q "%SYSTEMDRIVE%\Logs\" /S
    rd /Q /S "%SYSTEMDRIVE%\Logs\"
    md "%SYSTEMDRIVE%\Logs\"
    copy %SYSTEMROOT%\System32\winevt\Logs "%SYSTEMDRIVE%\Logs\"
    set seg=%time:~6,2%
    set min=%time:~3,2%
    set hor=%time:~0,2%
    set dia=%date:~0,2%
    set mes=%date:~3,2%
    set ani=%date:~6,4%
    pscp.exe –pw SUSTITUIR_POR_CONTRASEÑA -scp -r "%SYSTEMDRIVE%\Logs" SUSTITUIR_POR_MAQUINA@SUSTITUIR_POR_IP:/home/USUARIO/%ani%-%mes%-%dia%[%hor%:%min%:%seg%] 

    En dicho bat, simplemente tendréis que sustituir la dirección IP donde se encuentre la máquina Linux y el usuario y contraseña de la misma. Os recomendamos crear un usuario con permisos limitados y de uso exclusivo para esta tarea, por si el bar cayese en malas manos

    También es interesante (e indispensable en muchos entornos), cifrar el bat, para evitar que nos roben las credenciales del repositorio Linux. También podríamos utilizar certificados en lugar de usuario y clave para conectarnos a la máquina Linux, dependerá del entorno con el que contemos.

    Y para no realizar todo este proceso manualmente, podemos crear una tarea programada, que se ejecute diariamente.:
    Eso es todo por hoy, nos vemos en el siguiente post,

    Saludos!

    23 jun 2014

    Auditando eventos de nuestros sistemas Windows. Parte 1

    Buenas a todos, en el post de hoy comenzaremos una pequeña cadena de posts para hablaros sobre la auditoría de eventos de los sistemas operativos Windows.

    La auditoría de eventos de seguridad de Windows es una funcionalidad del sistema operativo muy eficaz que os ayudará a mantener la seguridad del mismo, controlando aquellas situaciones anómalas que puedan suceder en el entorno, dejando evidencia de todo ello en una serie de ficheros que podréis salvar por si en el futuro fuese necesario recuperarlos, como por ejemplo durante un análisis forense pericial.

    Las directivas de auditoría nos permitirán especificar las categorías de eventos de seguridad que deseamos monitorizar (o auditar en términos de Microsoft). 

    Desde el visor de eventos del sistema podremos acceder a los registros de seguridad:
    Si por ejemplo nos interesase monitorizar una carpeta, en la que los usuarios de nuestro sistema almacenan información crítica, y así controlar que ciertos usuarios no visualicen, copien, alteren o eliminen sus contenidos, puede ser interesante habilitar la auditoría de eventos sobre la misma.

    Para activar la auditoría de eventos de seguridad sobre una carpeta basta con acceder al menú de propiedades de la carpeta (botón derecho del ratón), y pulsar sobre "Opciones avanzadas". A continuación haremos clic sobre la pestaña "Auditoría":

    Por razones de seguridad nos solicitará permisos de administración para realizar la activación:
    Ahora agregaremos una nueva auditoría y seleccionaremos el tipo, carpetas y archivos a los que afectará y los permisos:

    Si todo ha ido bien, desde el visor de eventos del sistema podremos controlar todos los eventos que afecten a nuestra carpeta:

    Entre otras cosas, esta funcionalidad de Windows no permitirá auditar los siguientes eventos:
    • Auditar eventos de inicio de sesión de cuenta 

    • Auditar la administración de cuentas 

    • Auditar el acceso del servicio de directorio 

    • Auditar eventos de inicio de sesión 

    • Auditar el acceso a objetos 

    • Auditar el cambio de directivas 

    • Auditar el uso de privilegios 

    • Auditar el seguimiento de procesos 

    • Auditar eventos del sistema
    Si nuestros equipos son muy activos es probable que tengamos miles de eventos diarios, por lo que será interesante acertar con la política de almacenamiento de los logs, no sea que perdamos evidencias que en el futuro podrían llegar a ser indispensables:


    Los logs, se consolidan en la carpeta System32\winevt\Logs (captura realizada sobre Windows 8.1):


    En el próximo post os enseñaremos algunos trucos para salvar estos logs y liberar espacio de nuestras máquinas.

    Saludos!

    22 jun 2014

    Informe Flu - 181


    Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

    Lunes 17 de Junio
    Martes 18 de Junio

    Miércoles 19 de Junio

    Jueves 20 de Junio
      Viernes 21 de Junio
      Saludos!

      21 jun 2014

      Resumen de los eventos en los que participaremos en el mes de Junio

      Buenas a todos, este mes estaremos bastante activos en lo que a charlas se refiere, con eventos para todos los días que restan de Junio.

      Del 23 de Junio al 4 de Julio

      Estaremos en el módulo V del Curso de Seguridad del Juan XXIII, hablando de hardening y aseguramiento de infraestructuras TIC. Este módulo pone fin a la primera edición de esta certificación de seguridad, pero posiblemente la repetiremos en el futuro, os avisaremos por el blog por si estuvieseis interesados.

      25 de Junio

      El 25 de Junio de 10h a 12h impartiremos la charla sobre Seguridad "Apatrullando la ciudad… red", en la que hablaremos a jóvenes de institutos madrileños sobre la búsqueda en fuentes abiertas, exprimiendo buscadores como Google, Shodan o Bing para encontrar cosas curiosas, como webcams, impresoras conectadas a Internet, datos de organismos, etc.

      Más información aquí.

      26 de Junio

      El 26 de Junio, a las 18,30 horas, estaremos en el III ESET Security Forum, que se celebrará en la sala Shoko Madrid (C/ Toledo, 86. La Latina. Madrid). En este evento charlaremos durante dos mesas redondas sobre los siguientes temas de actualidad:

      • Derecho al Olvido y la reciente sentencia ganada contra Google (estará Pablo Fernández Burgueño, del bufete de abogados Abanlex que ha llevado el caso)
      • Ciberguerra y leyes de ciberdefensa
      • Innovación y hacking en la Internet de las cosas
      • Protección de menores: ciberacoso, iniciativas y medidas
      • Bitcoins: futuro de la moneda virtual
      Ya no quedan plazas, pero si deseas saber más del evento, te dejamos su página oficial aquí.

      27 de Junio

      El 27 de Junio estaremos en el evento #RetoISACA, organizado por el Comité Jóvenes Profesionales de ISACA Madrid, y al que hemos sido invitados para impartir una charla técnica sobre búsqueda en fuentes abiertas.

      Este es el programa completo del evento:
      • 16:00: Bienvenida
      • 16:05: Mesa Redonda: ISACA Madrid, INTECO, Dpto. de Seguridad Nacional, otros
      • 17:00: Charla: "Open-source intelligence" y la unión de los mundos virtual y físico, Juan Antonio Calles, Director de Zink Security
      • 17:30: Presentaciones Finalistas
      • 19:00: Acto de Entrega de Premios
      • 19:15: Coctel
      Creo que tampoco quedan plazas ya para el evento, pero por si queréis saber más, os dejamos el enlace a su sitio web oficial aquí.

      28 de Junio

      El 28 de Junio estaremos en el encuentro Educa, celebrado en el Palacio de Quintanar, en Segovia, donde nos juntaremos el equipo casi al completo de X1RedMasSegura para hablar de seguridad en Internet (bueno... en realidad es una excusa para pasar el día en Segovia entre amigos y comer cochinillo :))

      Más información aquí.

      Con todo esto creo que descansaremos en verano algunas semanas y cogeremos fuerzas para arrancar el mes de Septiembre con más fuerzas que nunca. Os iremos contando algunas sorpresas que os tenemos preparadas desde Flu Project y Zink Security en los próximos días.

      Saludos!

      19 jun 2014

      CTFs y SQL Injections. Parte II

      Buenas a todos, en el post de hoy daremos solución al pequeño reto de seguridad web que os planteamos ayer.

      El reto consistía en localizar en una página del sitio web, una SQL Injection, con la que podríais realizar un "defacement" de la página, cambiando la imagen de la portada por una bandera.

      Para realizar el CTF nosotros montamos un servidor WAMP, en el que alojamos los dos ficheros PHP y la imagen que os facilitamos, así como la BBDD MySql.

      Si entramos en la raíz del sitio web veremos la siguiente imagen, y debajo de ella un enlace que nos llevaba a lo que parecía un buscador:



      El buscador aceptaba un parámetro, en el cual podíamos indicar un término para buscar en una tabla de la BBDD. Este término era introducido en una búsqueda "LIKE", por lo que si no poníamos nada en el parámetro, nos volcaba directamente todo el contenido de la tabla:





      Para facilitar la búsqueda de la inyección a los estudiantes, se mostraba por pantalla el estado de la query de BBDD.

      En ese mismo parámetro podíamos inyectar cualquier código SQL, incluso ejecutar instrucciones encadenadas. Precisamente es esta la funcionalidad que vamos a aprovechar, con el fin de realizar un UPDATE de la tabla, después de ejecutar la sentencia SELECT:



      Ya tenemos la inyección realizada, como veis el único truco se encontraba en cerrar las comillas del LIKE utilizando un comentario. No os olvidéis del espacio de después del comentario, porque sino no funcionará bien ("--%20"). Para que os coja bien este espacio podéis utilizar "%20".

      Ahora si volvemos a visitar la página de inicio veremos nuestra bonita bandera :)



      Saludos!

      18 jun 2014

      CTFs y SQL Injections. Parte I

      Buenas a todos, a lo largo de esta semana mis alumnos del curso de seguridad del Juan XXIII se han estado enfrentando a un completo CTF, con el que han estado poniendo en práctica los conocimientos adquiridos a lo largo de los últimos meses de clases. 

      El CTF combinaba pruebas de ataques a redes WiFi inseguras, ataques a vulnerabilidades web, explotación de vulnerabilidades de sistemas operativos, malware y criptografía. 

      En el CTF participaban 2 equipos, el equipo Rojo y el equipo Azul. Cada uno tenía una bandera de su color (imagen png), un router WiFi y un servidor. Con todo ello debían montar una red WiFi en la que iban a conectar un servidor Windows, con un apache y un sitio web vulnerable.


      En una página del sitio web había una SQL Injection con la que podían realizar un "defacement" de la página, cambiando la imagen de la portada por su bandera; con el fin de demostrar al equipo contrario que habrían logrado acceder a su servidor.

      El ataque que se debía realizar era muy sencillo. Cada auditor tirará de las técnicas que conoce o con las que está más acostumbrado,  pero como veréis, se puede realizar con una simple instrucción.

      Para los que os encontréis aprendiendo a auditar aplicaciones web, os vamos a dejar la página vulnerable para que podáis descargarla y trastear con ella, y mañana os daremos una posible resolución a esta prueba del CTF.

      Para montar la página web necesitáis un servidor Apache (ya que las páginas son PHP) y una BBDD MySql. En el archivo comprimido que tenéis a continuación encontrarés la BBDD en formato ".sql" y dos ficheros "php", junto con una imagen.


      Ánimo,

      Saludos!

      17 jun 2014

      Abierta la inscripción para el III ESET Security Forum


      Buenas a todos, nuestros amigos de ESET ya están en marcha con el III ESET Security Forum: un foro de carácter informativo y social donde expertos en seguridad participan en mesas redondas para compartir con los asistentes sus puntos de vista acerca de noticias y novedades relacionadas con el mundo de la seguridad y las TIC.

      Esta edición se celebrará el próximo 26 de junio, a las 18,30 horas, en la sala Shoko Madrid (C/ Toledo, 86. La Latina. Madrid). Y en ella se tratarán los siguientes temas de actualidad:
      • Derecho al Olvido y la reciente sentencia ganada contra Google (estará Pablo Fernández Burgueño, del bufete de abogados Abanlex que ha llevado el caso)
      • Ciberguerra y leyes de ciberdefensa
      • Innovación y hacking en la Internet de las cosas
      • Protección de menores: ciberacoso, iniciativas y medidas
      • Bitcoins: futuro de la moneda virtual
      En el evento tendremos el placer de participar junto con otros ponentes de excepción como:
      • Ángel-Pablo Avilés
      • Cesar Lorenzana
      • Román Ramírez
      • Pablo Fernández Burgueño
      • Josep Albors
      • Fernando de la Cuadra
      • Lorenzo Martínez
      • Juan Antonio Calles
      Esta será la agenda del evento:
      • 18:45: Recepción y acreditación de invitados
      • 19:00-20:00: ESET Security Forum 1ª parte
      • 20:00-20:15: Break con bebidas y otras viandas
      • 20:15-21:30: ESET Security Forum 2ª parte
      • 21:30-22:30: Cóctail-cena
      Ya podéis registraros en el evento desde aquí. Las plazas son limitadas, así que daros prisa :)



      Saludos!

      16 jun 2014

      El modelado de amenazas (Parte III)

      Continuamos con la serie del modelado de amenazas en Flu Project. Hoy hablaremos de otras metodologías que se utilizan y complementan en algunas ocasiones a las tratadas anteriormente. Otra metodología de interés para su estudio es CORAS. CORAS, Consultative Objectire Risk Analysis System, es una metodología de la Unión Europea con la intención de dar un framework orientado a sistemas críticos. Lo que proporciona CORAS es un método basado en modelos con el fin de analizar los riesgos. Para cumplir esta función utilizar tres componentes en la metodología:
      • Un lenguaje de modelado de riesgos basado en el UML.
      • Descripción de un paso a paso del proceso de análisis con una directriz para construir los diagramas CORAS.
      • Una herramienta para documentar, mantener y crear los informes del análisis.
      La última metodología que se presenta es Trike. Este framework open source estaba acompañado de una herramienta que intenta facilitar el proceso del modelado de amenazas. La metodología pretende que el analista describa de forma completa las características de seguridad de un sistema, desde el alto nivel hasta la implementación. Trike se quedó en borrador de metodología, por lo que quedó un poco estancada allá por el año 2006. 

      ¿Con cuál te quedas?

      Esto siempre es una pregunta difícil, pero la elegida esta vez es Microsoft Threat Analysis and Modeling. Los pasos de la metodología con mayor detalle son los siguientes: 

      1. Identificar los objetivos de seguridad. Se determinan los objetivos que ayudan a cuantificar el esfuerzo necesario para llevar a cabo lo siguiente.

      2. Crear una descripción general de la aplicación. Se identifican los actores involucrados y características importantes de la aplicación. Esta tarea facilita la identificación de amenazas.

      3. Descomponer la aplicación. A partir de la arquitectura general se identifican los componentes que la forman. Se deben analizar de manera independiente y sobretodo sus interacciones. 

      4. Identificar amenazas. Con toda la información se identifican las amenazas más importantes, deben estar priorizadas anteriormente. 

      5. Identificar vulnerabilidades. Se revisan las diferentes capas de la aplicación y se identifican los puntos débiles de ésta. 

      A través de los flujos de datos se comprende la lógica de la aplicación y se conoce cómo puede afectar al tratamiento de los datos a la integridad de los activos. Se tiene claro que para conocer las amenazas se debe conocer los puntos de entrada a la aplicación, niveles de confianza y activos. 

      Por otro lado, los árboles de ataques permiten identificar amenazas y analizar cuáles son las formas de mitigación. ¿Cómo funciona? En el nodo principal o raíz del árbol se sitúa un objetivo del atacante. Los hijos representan los caminos que tiene el atacante para conseguir dicho objetivo. Los nodos hijo representan métodos y/o técnicas para conseguir los objetivos.

      Una vez se han llevado a cabo los pasos iniciales del proceso, se debe proceder a la clasificación de las amenazas. Deben ser además puntuadas para poder priorizar. Existen dos esquemas, uno de clasificación denominado STRIDE y otro de puntuación denominado DREAD. Estos esquemas pueden variar en función de las necesidades de la organización o del proyecto en el que se lleven a cabo.

      STRIDE

      El esquema STRIDE, Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation of privilege, es un método de clasificación de amenazas. Según el método STRIDE el sistema se descompone en componentes y se analiza cada componente para comprobar que amenazas le pueden afectar. Cuando se detectan amenazas se proponen acciones para mitigarlas. El modelo utilizado está basado en patrones, con el que se puede identificar problemas repetibles y organizarlos en categorías. Estas categorías facilitan la descomposición de la aplicación para un análisis mejor. La metodología recomienda la reutilización de información y comunicación entre las partes. 

      A continuación se detallan las partes de STRIDE. Comenzamos por la suplantación de identidad. Se debe prestar atención a las situaciones en las que se pueda llevar a cabo un robo de sesión, validaciones erróneas, sistemas de autenticación, etcétera.

      La segunda propiedad es la manipulación de datos, la cual se debe tener en cuenta que durante la implementación se mejora tiempos de respuesta contra seguridad en la manipulación. El filtrado y validación de datos, tanto enviados como recibidos, de una aplicación se deben tener muy en cuenta ya que son procesos propensos a reclutar amenazas. Un ejemplo serían los típicos ataques web, como XSS, con el que una no validación correcta por parte del servidor hace que la amenaza se convierta en realidad. 

      La tercera propiedad es el repudio. Las aplicaciones deben intentar garantizar el no repudio de los usuarios, por lo que un sistema de seguimiento de acciones realizadas es útil para cumplir con esta premisa. Las aplicaciones y sus características presentan diferentes riesgos, por lo que las medidas de registro de actividades de los usuarios también serán diferentes. En función del contexto de la aplicación se necesitará un sistema de seguimiento más rígido que en otras. 

      La cuarta propiedad es la revelación de información. Cualquier tipo de información que ayude a un atacante indicándole el funcionamiento de la aplicación es un riesgo de este tipo. 

      La quinta propiedad es denegación de servicio. Algunas funcionalidades de las aplicaciones dificultan la optimización de los recursos, para estos casos se debe realizar un uso racional y evitar que la aplicación pueda caer en una denegación de servicio. Se deben estudiar estos casos para evitar estas amenazas. 

      La sexta propiedad es la elevación de privilegios. La aplicación puede tener diferentes niveles de privilegios, en función de distintos roles o tipos de usuarios. Hay que vigilar todas las acciones que conlleven el uso de privilegios y deben ser filtradas a través de una capa de autorización. La validación de privilegios debe ser robusta e impedir la escalada de privilegios. 

      DREAD

      Cuando se ha identificado la lista de amenazas se debe puntuar en función del riesgo que éstas suponen a la aplicación. Con esto se consigue priorizar las actuaciones a llevar a cabo con el objetivo de mitigar el riesgo. 

      La fórmula del riesgo es R = probabilidad de ocurrencia * Daño potencial [ * valor]. En este caso el valor es opcional. Al menos debemos tomar R como la probabilidad de que la amenaza ocurra y el daño que ésta proporciona al sistema. Lo normal es utilizar una escala del 1 al 10 para cuantificar la probabilidad, 1 es poco probable y 10 es altamente probable. Por otro lado el daño se valora igual. Con esto Microsoft clasifica las amenazas en 3 categorías, alta, media y baja, dónde los valores van del 1 al 100 según la fórmula. 

      15 jun 2014

      Informe Flu - 180


      Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

      Lunes 9 de Junio
      Martes 10 de Junio

      Miércoles 11 de Junio

      Jueves 12 de Junio
      • El jueves compartimos con vosotros el post Bloqueando malware con AppLocker, donde vimos como parar amenazas de gusanos tipo Conficker con esta nueva funcionalidad de Windows.
        Viernes 13 de Junio
        Saludos!

        13 jun 2014

        El 28 de Junio estaremos en el encuentro Educa de Segovia

        Buenas a todos, el próximo día 28 de Junio formaremos parte del encuentro Educa, que se celebrará en el Palacio de Quintanar, en Segovia.

        Educa pretende ser un punto de encuentro entre padres, alumnos y educadores, para compartir experiencias y conocimientos con el fin de mejorar la educación de los menores.

        En Educa estaremos el equipo casi al completo de X1RedMasSegura (Angelucho, Fernando, Blanca, Josep, ...) hablando de seguridad en Internet. Ya sabéis que nos gustan mucho estos saraos, y nos apuntamos a un bombardeo, y si además tengo la oportunidad de compartir charla con un gran amigo como es Josep Albors, mejor que mejor :)

        A continuación os dejamos con la agenda del evento:



        Os esperamos en Segovia.

        Saludos!

        12 jun 2014

        Bloqueando malware con AppLocker

        Buenas a todos, en el post de hoy os hablaremos de AppLocker, y en concreto sobre lo útil que puede llegar a ser para bloquear ciertos malware que puedan extenderse por un organismo, como pueda ser el caso de virus como el Conficker.

        AppLocker es una funcionalidad incorporada a los sistemas operativos Windows desde Windows Server 2008 R2 y Windows 7 que permiten crear reglas para permitir o denegar la ejecución de aplicaciones basándose en las identidades de los archivos y especificar qué usuarios o grupos pueden ejecutar esas aplicaciones.

        Mediante el uso de AppLocker podremos controlar los siguientes tipos de aplicaciones: 
        • archivos ejecutables (.exe y .com)
        • scripts (.js, .ps1, .vbs, .cmd y .bat)
        • archivos de Windows Installer (.msi y .msp)
        • archivos DLL (.dll y .ocx)
        En este post vamos a utilizar AppLocker para crear una nueva regla que bloquee el malware flu. Para ello no seleccionaremos la ruta donde se suele instalar, sino que utilizaremos su hash. De esta manera, cada vez que este software intente ejecutarse, aunque tenga otro nombre y se despliegue en otra ruta diferente, va a ser bloqueado. Cierto es que si cambian lo más mínimo el malware, su hash variará y no funcionará nuestra regla. Pero para casos concretos como el de un conficker que se haya colado en nuestra red, y se esté extendiendo viralmente por la red, puede ser de gran ayuda.

        Para abrir el menú de AppLocker tendremos que abrir secpol.msc:


        A continuación con el botón derecho del ratón seleccionaremos la opción "Crear nueva regla":


        Y pulsaremos en "Denegar":


        El siguiente paso será marcar "Hash de archivo":


        Y seleccionaremos una muestra del malware, para que calcule su hash:




        Si todo ha ido correctamente, ya tendremos la regla creada, y no volverá a ejecutarse el malware:


        Eso es todo por hoy, 

        Saludos!

        11 jun 2014

        El 27 de Junio participaremos en el evento #RetoISACA



        Buenas a todos, el día 27 de Junio se realizará en Isaca el evento #RetoISACA, organizado por el Comité Jóvenes Profesionales de ISACA Madrid, y al que hemos sido invitados para impartir una charla técnica sobre búsqueda en fuentes abiertas.

        A continuación os presentamos el programa completo del evento:
        • 16:00: Bienvenida
        • 16:05: Mesa Redonda: ISACA Madrid, INTECO, Dpto. de Seguridad Nacional, otros
        • 17:00: Charla: "Open-source intelligence" y la unión de los mundos virtual y físico, Juan Antonio Calles, Director de Zink Security
        • 17:30: Presentaciones Finalistas
        • 19:00: Acto de Entrega de Premios
        • 19:15: Coctel
        Para inscribiros al evento podéis acceder al sitio web de Isaca desde el siguiente enlace:


        No os lo perdáis,

        Saludos!


        10 jun 2014

        El modelado de amenazas (Parte II)

        Hoy continuamos con la serie de modelado de amenazas con el fin de mostrar metodologías que pueden ser utilizadas para ello. La primera que se presenta es la de Microsoft, Threat Analysis and Modeling, aunque se detallará en el siguiente apartado. Esta metodología dispone de 5 pasos, los cuales se presentan a continuación:

        1. Identificar los objetivos de seguridad.

        2. Crear una descripción general de la aplicación.

        3. Descomponer la aplicación.

        4. Identificar amenazas.

        5. Identificar vulnerabilidades.

        Al principio se basaba en el uso de árboles de ataques para luego pasar las amenazas detectadas realizando una clasificación y un ranking sobre éstas. El objetivo era priorizar las actuaciones que eran necesarias en el proceso global para lograr mitigar el riesgo identificado. La segunda versión se puso como objetivo determinar los conceptos de amenaza, ataque, vulnerabilidad, actualizando para ello su herramienta de modelado. Por lo que se entiende que el punto de vista original ha cambiado. 

        Desde un punto de vista de un atacante con esta metodología se intenta identificar los puntos de entrada de la aplicación, activos que deben ser protegidos y los niveles de confianza. Para determinar completamente una amenaza se identifican, se analizan, se clasifican, y se identifican entonces las vulnerabilidades a las que está expuesto el sistema. Para determinar el nivel de seguridad se utilizan casos de uso, se utilizan modelos del sistema y se conocen distintas dependencias entre componentes. 

        Otra metodología es PTA, Practical Threat Analisys. Pertenece a la empresa PTA Technologies y disponen de su propia metodología. Con esta metodología intentan solventar limitaciones de la primera versión de la metodología de Microsoft, según justifican ellos. Su flujo de trabajo es el siguiente:

        1. Identificación de activos. Se determina cuáles son los activos, según una clasificación, y se indica cuáles deben ser protegidos con mayor severidad, priorizando.

        2. Identificación de las vulnerabilidades. En función de la arquitectura, funcionalidad y la lógica del negocio se determina de forma iterativa cuales son las vulnerabilidades.

        3. Definición de salvaguardas. Se establecen las salvaguardas a adoptar en función de las vulnerabilidades y del coste que supondrá su implementación.

        4. Creación de escenarios de amenazas y planes de mitigación. Se identifican los distintos elementos de las amenazas y los parámetros necesarios mediante escenarios.

        Seguiremos avanzando en esto del modelado de amenazas en siguientes entregas de la serie.



        9 jun 2014

        Colaboramos con el FesTICval 2014 de la Universidad Rey Juan Carlos


        Como cada año, la Universidad Rey Juan Carlos de Madrid nos trae el FesTICval, un evento para formar a jóvenes talentos con ganas de aprender sobre el mundo de las TIC.

        Este año estaremos de nuevo prestando nuestro apoyo desde Flu Project y Zink Security, para enseñar a los jóvenes los secretos de la búsqueda en fuentes abiertas, e ilustrarles la cantidad de información que podría recuperarse con un simple navegador web y unos cuantos conocimientos sobre esta interesante temática.

        El FesTICval 2014 será celebrado entre los días 25 y 27 de Junio, y contará con ponencias tan interesantes como las siguientes:
        Miércoles 25 de Junio – Campus de Móstoles

        10h – 12h Seguridad: Apatrullando la ciudad… red

        Objetivos: Flu Project, junto con ZinkSecurity, nos enseñarán la búsqueda en fuentes abiertas, exprimiendo buscadores como Google o Bing para encontrar cosas curiosas, como webcams, impresoras conectadas a Internet, datos de organismos, etc. Se trata de uno de los trabajos típicos que realiza un auditor de seguridad y hacking ético, visto desde un nivel técnico bajo, para que sea comprensible por todos, dando a conocer la profesión.
        Metodología: Tras una breve introducción teórica se irán introduciendo numerosos ejemplos que podrán probar de forma práctica los asistentes en el aula. 

        10h – 11h Experimentos de Física para TIC

        Objetivos: Se trata de descubrir las instalaciones de los diferentes laboratorios de física y explicar su funcionamiento. Acercarse a la física de forma lúdica, desde los experimentos prácticos.
        Metodología: Se hará una corta visita de las instalaciones y luego se presentarán algunos experimentos lúdicos de física, algunos con la participación de los asistentes, con una breve explicación previa de los principios físicos. 

        11h – 12h Visita a la Cueva de Realidad Virtual

        Objetivos: Conocer las tecnologías de realidad virtual con experiencias prácticas.
        Metodología: Tras una breve introducción teórica sobre los fundamentos de la realidad virtual y sus aplicaciones, se pasará a realizar unos ejercicios prácticos con los participantes en la cueva inmersiva de realidad virtual. 

        12h – 14h Cómo ser un buen Tester de Videojuegos

        Objetivos: La industria de los videojuegos mueve millones de euros al año. Un buen videojuego se crea a partir de desarrolladores, artistas, técnicos de sonido y probadores. Los probadores analizan los videojuegos en sus versiones más tempranas y finales con el fin de buscar errores, mejoras, analizar la calidad y jugabilidad del juego, etc. El objetivo principal de esta actividad es que los participantes sean capaces de analizar de manera crítica los videojuegos y gráficos del mercado.
        Metodología: Primero habrá una sesión teórica donde se explica qué es un “tester de videojuegos” y los conceptos a analizar dentro de un videojuego. A continuación, los alumnos llevarán a la práctica los conceptos aprendidos jugando por grupos con diferentes sistemas de ocio, y analizando todos los aspectos explicados. 

        12h – 14h Taller de Kinect para XBOX360, de los videojuegos a la ciencia

        Objetivos: Introducir conceptos propios de la visión artificial de una manera didáctica y amena a través de un dispositivo orientado al ocio como Kinect para XBOX 360. En particular, se describirán conceptos de formación de la imagen, formación del color, visión estereoscópica, espectro electromagnético (espectro visible, infrarrojo y ultravioleta), cámara time of flight, movimiento articulado, análisis de la profundidad y técnicas de sustracción de fondo para videovigilancia.
        Metodología: A través de un sistema compuesto por un PC de consumo, una cámara de espectro infrarrojo y un dispositivo Kinect para XBOX 360 se demostrará el funcionamiento de este último de forma grupal en un aula dotada con sistema de proyección. Se prestará especial atención a las partes constituyentes y la física que sustenta al Kinect, dispositivo muy conocido entre la audiencia prevista por su uso en videojuegos. 

        15h – 18h Torneo de Videojuegos

        Objetivos: Pasar un rato divertido jugando a videojuegos en red.
        Metodología: Se hará una pequeña competición con premios para los ganadores. 

        15h – 17h XBOX360 por dentro y reparación

        Objetivos: Las videoconsolas Xbox 360 esconden una arquitectura de última generación que merece la pena analizar. El objetivo de esta charla es que los alumnos vean lo que esconde en su interior una Xbox360, sus componentes y su arquitectura que hacen que sea una de las videoconsolas más vendidas del mercado.
        Metodología: El taller consistirá en una breve explicación sobre la arquitectura básica de los ordenadores. A continuación, se desmontará una videoconsola (de la manera adecuada que no produzca ningún daño a la máquina) para que los asistentes puedan observar en directo qué hay dentro de la videoconsola y cómo repararla. 

        Jueves 26 de Junio – Campus de Móstoles


        10h – 12h Uso sencillo de Kinect con Intrael

        Objetivos: Utilización sencilla del dispositivo de interacción Kinect con un PC, utilizando la herramienta Intrael que facilita su uso.
        Metodología: Los asistentes construirán un sencillo programa que interaccionará con la Kinect. 

        10h – 12h Rebeca a través del espejo: Cómo crear juegos y animaciones 3D

        Objetivos: En esta actividad se pretende acercar el mundo de la programación de videojuegos y animaciones 3D a los jóvenes mediante el uso de un software creado por alumnos de la ETSII.
        Metodología: Los alumnos tomarán contacto con la programación orientada a objetos mediante la creación de videojuegos interactivos y las animaciones 3D (que pueden subir a internet) con un software especialmente diseñado para ellos. Al comienzo del curso se realizarán un pequeño conjunto de tutoriales para familiarizarse con la herramienta y después podrán crear sus propios trabajos. 

        10h – 12h ¿Puedes tocar cosas que no existen? Taller de Tecnología Háptica

        Objetivos: La tecnología háptica permite añadir una nueva dimensión sensorial a las aplicaciones informáticas y de realidad virtual: ya no sólo podemos ver y escuchar, sino también TOCAR. En este taller se mostrará de forma práctica el uso de dispositivos hápticos para interactuar táctilmente con escenarios de realidad virtual y videojuegos.
        Metodología: Una breve charla introducirá la tecnología háptica y su estado de desarrollo actual, incluyendo la investigación puntera que se está realizando en este campo en la Universidad Rey Juan Carlos. A continuación, los asistentes podrán utilizar los dispositivos hápticos con una gran variedad de videojuegos. 

        12h – 14h Taller de Kinect para XBOX360, de los videojuegos a la ciencia

        Objetivos: Introducir conceptos propios de la visión artificial de una manera didáctica y amena a través de un dispositivo orientado al ocio como Kinect para XBOX 360. En particular, se describirán conceptos de formación de la imagen, formación del color, visión estereoscópica, espectro electromagnético (espectro visible, infrarrojo y ultravioleta), cámara time of flight, movimiento articulado, análisis de la profundidad y técnicas de sustracción de fondo para videovigilancia.
        Metodología: A través de un sistema compuesto por un PC de consumo, una cámara de espectro infrarrojo y un dispositivo Kinect para XBOX 360 se demostrará el funcionamiento de este último de forma grupal en un aula dotada con sistema de proyección. Se prestará especial atención a las partes constituyentes y la física que sustenta al Kinect, dispositivo muy conocido entre la audiencia prevista por su uso en videojuegos. 

        12h – 14h Taller de Programación para Móviles ANDROID

        Objetivos: Acercar al alumno a la novedosa y reciente tecnología de desarrollo de aplicaciones para Android. Esta tecnología permite a usuarios sin conocimientos importantes en programación construir de manera visual, rápida y fácil una aplicación informática para tu móvil Android. Se realizan actividades prácticas de tal forma que el alumno genera su propio programa.
        Metodología: Se comienza dando una panorámica breve de las características de los dispositivos móviles y de las principales tecnologías en computación móvil. Después los alumnos desarrollan una actividad práctica en parejas a partir de un material parcialmente realizado. Esta actividad consiste en completar un programa y probarlo incluso en el propio móvil Android del alumno. 

        12h – 13h Visita a la Cueva de Realidad Virtual

        Objetivos: Conocer las tecnologías de realidad virtual con experiencias prácticas.
        Metodología: Tras una breve introducción teórica sobre los fundamentos de la realidad virtual y sus aplicaciones, se pasará a realizar unos ejercicios prácticos con los participantes en la cueva inmersiva de realidad virtual. 

        13h – 14h ¿Real o Modelado?

        Objetivos: Ayudar a los jóvenes a distinguir las imágenes reales (fotografías) de aquellas que han sido retocadas por ordenador o analógicamente, además haremos una breve incursión en nuevas tendencias contemporáneas en el arte en el que el realismo vuelve a ser el motor principal.
        Metodología: Los alumnos participarán en una exposición interactiva a modo de concurso de equipos en el que se les reta para adivinar si las imágenes son reales o han sido manipuladas. Durante el transcurso de la exposición se les contará qué técnicas digitales y de síntesis de imagen se utilizan en películas, juegos de ordenador y fotografías para que sean capaces de distinguir las imágenes reales de aquellas con las que se les trata de engañar. 

        15h – 18h Torneo de Videojuegos

        Objetivos: Pasar un rato divertido jugando a videojuegos en red.
        Metodología: Se hará una pequeña competición con premios para los ganadores. 

        15h – 17h Taller de Montaje de ordenadores

        Objetivos: Conocer la arquitectura interna de un PC, identificación de componentes, procedimiento de resolución de averías y sustitución/ampliación de componentes.
        Metodología: Primero se impartirá una charla teórica en la que se explicarán los fundamentos básicos de la arquitectura interna del PC, y finalmente, se realizarán ejercicios prácticos de montaje y desmontaje siguiendo los procedimientos anteriormente explicados. 

        17h – 18h Seguridad: ¿Cómo gestionar tu identidad digital?

        Objetivos: Que los alumnos conozcan como gestionar su perfil en las redes sociales, temas de seguridad así como qué contenido se debe publicar.
        Metodología: Tras una breve introducción se irán descubriendo los problemas de seguridad más habituales y cómo resolverlos de forma práctica. El enfoque del taller es eminentemente práctico, aunque se utilizarán los minutos iniciales de teoría para que los alumnos puedan entender ciertos conceptos básicos. 

        Viernes 27 de Junio – Campus de Fuenlabrada


        10:30h – 11:30h Medidas de radiación electromagnética. Antenas y Ondas

        Objetivos: Mostrar a los alumnos que los campos electromagnéticos nos rodean, conviven con nosotros. Qué dispositivos generan esos campos electromagnéticos: móviles, microondas, radios etc y qué elementos tenemos para detectarlos: Antenas.
        Metodología: Utilizaremos diferentes dispositivos emisores de radiación electromagnética, y comprobaremos con un analizador de espectros y diferentes tipos de antenas cómo medirlos y qué energía están radiando. Mediante interacción con los alumnos se irá desarrollando este taller. Se darán las nociones básicas de construcción de una antena yagi con una lata de patatas “pringles”, antena utilizada en la emisión recepción de frecuencias WiFi. Si el tiempo lo permite se realizará un enlace WiFi entre antenas utilizando paneles solares como alimentación emulando los proyectos que profesores de la ETSIT realizan en el Alto Amazonas. 

        11:30h – 12:30h Taller Laboratorio de Telecomunicaciones

        Objetivos: Conseguir que los alumnos se familiaricen con un típico laboratorio de Telecomunicaciones. Que manejen de forma básica equipos tales como osciloscopios, generadores de ondas etc, que hasta el momento no han tenido oportunidad de conocer y experimentar por ser instrumentación de gran coste y alta tecnología. (Preferiblemente alumnos de Bachillerato)
        Metodología: Cada alumno (o por parejas) dispondrá de un puesto de trabajo con varios equipos: osciloscopio digital, multímetro, generador de señales y ordenador personal. Se utillizará el osciloscopio para ver varias señales y ondas de diferentes formas, así como el efecto de varios elementos de electrónica que irán conformando circuitos: diodos, condensadores, resistencias….
        12:30h – 13:30h Robots Voladores: principios de vuelo, control y aplicaciones
        Objetivos: Familiarizar a los asistentes con los robots voladores y sus aplicaciones.
        Metodología: La actividad consistirá en un seminario interactuando con los asistentes en el que se explicaran los principios del vuelo y del control de los este tipo de máquinas, seguido de demostraciones con un AR.Drone controlado mediante un iPad o un iPhone. 

        13:30h – 14:30h Registra el ritmo de tu corazón en tu iPhone

        Objetivos: Conocer cómo funciona tu corazón, observar con detalle un sistema wireless que permite registrar la actividad cardíaca eléctrica y enviarla a un Iphone y la posibilidad de probar el sistema: registra tu propio ECG.
        Metodología: Se utilizará un sistema wireless de registro de la actividad cardíaca que dispone de dos elementos fundamentales: (1) uno nodo Shimmer que recoge la actividad eléctrica cardíaca mediante electrodos convencionales y realiza un procesado de señal básico. Este nodo posee un chip Bluetooth que permite enviar la señal eléctrica a un Smartphone. (2) Un Iphone/Ipod que se conecta mediante Bluetooth al nodo Shimmer, recoge la señal de ECG y la representa en la pantalla. La App del Iphone presenta información básica sobre el ECG; delineado de las ondas principales y ritmo cardíaco.

        Cómo llegar:


        Campus de Móstoles, ETS Ingeniería Informática, Calle Tulipan sn, Móstoles.

        • Renfe: Móstoles-El Soto (C-5)
        • Metro: Univ. Rey Juan Carlos (L-12)
        • Bus: Blas&Cia L-522,523,525,526,529H
        Indicaciones de cómo llegar al Campus de Móstoles