21 oct. 2020

Curso gratuito de actuación ante pérdidas de datos

Por el 21 oct. 2020 con 0 comentarios

Hola lectores. 

Desde hace unas semanas, he visto que de manera periódica uno de mis contactos en Linkedin publicaba lecciones sobre actuación ante pérdidas de datos. Una vez finalizó, contacté con José Alberto (el creador del contenido) para ver si me permitía compartirlo con todos vosotros. Creo que el curso que ha generado puede ser de interés ya que, como sabéis, las pérdidas de datos están a la orden del día tanto en entornos domésticos, como en empresariales. Vivimos en un momento en el que el grueso de la información que almacenamos es digital y está almacenada en todo tipo de soportes, por lo que es más que aconsejable tener cierta formación sobre los dispositivos de almacenamiento y, saber cómo actuar ante una situación de pérdida de datos, es clave.


RecuperaData, ha puesto a disposición de todos en LinkedIn una serie de lecciones, así como vídeos resumen adicionales de cada lección, como soporte de las mismas. Además, para todos los que quieran comprobar su nivel de conocimiento, pueden probar a hacer el examen que han publicado y obtener su certificado.

A continuación, os dejo los links: 

La verdad es que se agradecen iniciativas como ésta, espero que sea de vuestro interés.

¡Saludos! 

Leer más
      editar

20 oct. 2020

Los correos de Hunter Biden: el debate (electoral y no electoral) está servido

Por el 20 oct. 2020 con 0 comentarios

¡Buenas!

Hace unos días que el diario estadounidense New York Post se hacía eco de "los correos electrónicos secretos de Hunter Biden" en los que se publica que supuestamente se habría aprovechado de la posición de su padre Joe Biden, en aquel momento Vicepresidente de los Estados Unidos, para beneficiar a la compañía energética ucraniana Burisma.

Uno de los presuntos correos electrónicos

Según la publicación, estos correos electrónicos provienen del MacBook Pro de Hunter Biden. Este equipo se dejó en una tienda de reparaciones de Delaware en Abril de 2019 por sufrir daños por agua,  el servicio de reparación no fue pagado, ni tampoco se recuperó el disco duro, ni el ordenador, a pesar de los esfuerzos del dueño de la tienda por contactar con el cliente, al que no pudo identificar como Hunter Biden. El FBI confiscó tanto el ordenador como el disco duro en el mes de diciembre de 2019 después de que el dueño de la tienda informara de su existencia, sin embargo, el dueño de la tienda realizó una copia del contenido del disco duro y, al parecer, se la entregó a Robert Costello, abogado del ex alcalde de Nueva York Rudy Giuliani. Este último fue quien entregó la copia al New York Post recientemente, después de que Steve Bannon, ex-asesor de Donald Trump, confirmara la existencia de dicho disco duro a finales de septiembre de este año.

Resumen de los acontecimientos

Pues bien, a raíz de la publicación del New York Post no ha tardado en desatarse el debate en redes sociales sobre la veracidad o la manipulación de dichos correos electrónicos debido a que estos han sido publicados como impresiones en PDF y no mediante los correos electrónicos originales. Diferentes usuarios han compartido capturas de pantalla con los metadatos de los documentos PDF, así como otra información, indicando que estos fueron creados durante el tiempo que el ordenador estuvo en la tienda de reparaciones.

Comentarios en Twitter sobre la fecha de creación de los documentos PDF

La principal duda que se plantean los usuarios es la diferencia entre las fechas de los correos electrónicos, la fecha de creación de los ficheros PDF y el momento en que estos han visto la luz, hecho por el que ponen en tela de juicio la veracidad de dichas publicaciones y sospechan de una posible manipulación de estos. También se comenta el pixelado o la calidad de la imagen de los correos publicados al haber sido exportados a formato PDF. No obstante, también hay opiniones que tratarían de justificar el por qué de estas diferencias.

Encabezado de la impresión PDF del correo electrónico publicado por New York Post

A pesar de las publicaciones anteriores y el espíritu crítico para cuestionar la autenticidad de las publicaciones, no parece que se pueda confirmar o desmentir sin analizar las cabeceras y el contenido de los correos electrónicos originales (siempre y cuando se haya podido garantizar la cadena de custodia) para determinar si estos han sido alterados o creados con alguna intencionalidad determinada, dado que han visto la luz en plena campaña electoral. Sin embargo, se pueden analizar los correos publicados por New York Post (correo 1 y correo 2) con herramientas como Metashield, en las que se pueden verificar si los metadatos difundidos por otros usuarios son correctos o manipulados y, en este caso, coinciden.

Análisis con Metashield de los correos publicados en el New York Post
Nota: la diferencia en la hora de creación con respecto a otras publicaciones se debe a los distintos husos horarios 

Teniendo en cuenta que las elecciones presidenciales de Estados Unidos se encuentran a la vuelta de la esquina (el 3 de noviembre), no es de extrañar que estas publicaciones sean utilizadas como arma arrojadiza en uno y otro sentido, dado que no sería la primera vez que se emplean filtraciones correos electrónicos para tratar de ganar votos o cambiar el sentido de estos, como ocurrió en las elecciones de 2016 con la denominada injerencia rusa y que, a día de hoy, se sigue utilizando como arma electoral.

Además de lo anterior, las elecciones presidenciales de Estados Unidos de 2016 también son recordadas por el escándalo de Cambridge Analytica, en el que se lanzaron campañas publicitarias en Facebook que buscaban influir en las elecciones explotando información personal y contraviniendo las normas de la red social.

Considerando la importancia que tiene un proceso electoral para cualquier Estado democrático, sea cual sea, queda patente una vez más que el buen o el mal uso de la información puede influir y llegar a ser decisivo en los resultados finales.

El debate está servido.

¡¡Saludos y hasta el próximo post!!

Leer más
      editar

19 oct. 2020

Women in Cybersecurity (Young, educated and ready to take charge)

Por el 19 oct. 2020 con 0 comentarios
Hola lectores. 

Los que me conocéis, sabéis que a mi me gusta la gente con talento (descubierto, o aún por descubrir) y que los equipos con los que trabajo, proporcionen siempre la máxima calidad posible. Por ese motivo, trabajamos con la filosofía de hacer las cosas cómo nos gustaría recibirlas si fuesen para nosotros. Siempre suelo decir, que factores como el género, la raza o la religión, no deberían de intervenir en ninguno de ellos, pero desgraciadamente, todos sabemos que esto no es siempre así. Por este motivo, quiero compartir con vosotros el informe que han elaborado desde ISC2 donde se ve la evolución del papel y la presencia de la mujeres en la ciberseguridad durante 2020. No soy muy fan de los números y las estadísticas en este tema, pero creo que es importante saber que durante 2020 las mujeres entrevistadas ocupan casi el 24% de las posiciones del sector y que es una tendencia en aumento. Sé que falta mucho para que esté equilibrado, pero parece que estamos trabajando en el buen camino, por lo que creo que es importante que todos reflexionemos tras prestarle al informe la atención que se merece y, que nos planteemos cómo podemos poner nuestro granito de arena.


Quiero dar las gracias a womandigital, ya que descubrí el informe a través de su web (desde donde podéis acceder a leerlo).

Espero que os haga reflexionar y nos ayudéis a hacer más fácil llevar la ciberseguridad a la sociedad, con iniciativa como la que planteamos en éste post

Leer más
      editar

16 oct. 2020

Microsoft alerta sobre un nuevo ransomware para Android

Por el 16 oct. 2020 con 0 comentarios

Buenas a todos,

En el post de hoy vamos a hablar un poco de malware, ya que hace unos días, el equipo de investigación de Microsoft 365 Defender descubrió un ransomware para el Sistema Operativo Android que ha llamado mucho mi atención.

Este nuevo malware parece que es capaz de lograr evadir muchas de las protecciones disponibles, con una tasa de detección muy baja. Aunque inicialmente parecía un nuevo malware, se ha descubierto que este ransomware es realmente una variante de la familia MalLocker. Sobre esta familia de ransomware, trataré de hablar en futuros post, sin embargo, creo que es interesante decir que es conocida por usar la ingeniería social al usar la apariencia de aplicaciones populares, juegos crackeados o reproductores de vídeo, lo que hace que se difunda con mucha facilidad.

Lo que es novedoso y llamó mi atención de esta variación respecto a sus antecesores es la forma en la que muestra al usuario el típico mensaje de rescate. Los antiguos ransomware de Android utilizaban el permiso “SYSTEM_ALERT_WINDOW” para mostrar el mensaje de rescate, fijándolo en una ventana que permanecía delante de cualquier otra pantalla, dejando el terminal inutilizado. En cambio, esta nueva versión hace uso de varios componentes de Android para generar su mensaje:

  • Notificacion.Builder: Clase para la construcción de notificaciones.
  • setCategory(“call”): Método que permite asignar una categoría a la notificación. En este caso como llamada entrante (voz o video).
  •  setFullScreenIntent(): Método que lanza un intento de iniciar la notificación en pantalla completa el lugar de publicarla en la barra de estado. Su uso se debería limitar a notificaciones con prioridad máxima como una llamada telefónica o una alarma.
  • onUserLeaveHint(): Método de la clase Activity que se llama cuando un objeto de dicha clase (una actividad) está a punto de pasar a segundo plano como resultado de la elección del usuario.
    • Una actividad en Android, es una tarea que puede hacer el usuario a través de una pantalla. De manera muy rápida y vaga, pero para que se entienda, cada actividad es una pantalla de la aplicación.

De esta manera, el ransomware primero crea una notificación nueva con la categoría para llamadas entrantes (“call”), conectándola con la futura actividad “ransomActivity” y con el método para el intento de pantalla completa. A continuación, podéis ver el extracto de código:

Creación de la Notificación

Actividad del ransomware

Después, crea una actividad para que se active cuando el usuario interactúe y sobrescriba la función onUserLeaveHint(), consiguiendo que cuando la pantalla vaya a pasar a segundo plano se lleve automáticamente a primer plano. Estas acciones en conjunto consiguen que se active una ventana emergente de forma automática que muestra las instrucciones de pago.

En el siguiente enlace, podéis leer la investigación al completo realizada por el equipo de Microsoft.

En el próximo post hablaremos sobre más detalles técnicos como su ofuscamiento y parte de su funcionamiento.

¡¡Saludos!!


Leer más
      editar

15 oct. 2020

Adiós OSCE, ¿hola OSCX?

Por el 15 oct. 2020 con 0 comentarios
¡Muy buenas a todos!

Hace un par de meses, el equipo de Offensive Security publicaba que hoy, 15 de octubre de 2020, sería el último día de vigencia del curso CTP y, por consiguiente, de su certificado OSCE.
Fig 1: Nunca te olvidaremos.
Para aquellos que no lo conozcan, el curso CTP (Cracking the Perimeter)  es era el curso introductorio desarrollado por Offensive Security para adquirir conocimientos relacionados con el exploiting, tanto en Linux como en Windows (más este último que el primero). 
Fig 2: Índice de contenido del OSCE.
Como era de esperar, este curso fue desarrollado hace miles de varios años y nunca había sido actualizado (algo común en Offensive Security hasta hace pocos meses), por lo que era cuestión de tiempo que ésta situación se produjera. 
Fig 3: Nuevas versiones; todas han salido en 2020.
Desde mi punto de vista, el contenido del curso solo necesitaba un ligero lavado de cara y una adaptación a los sistemas operativos de la actualidad; no había necesidad de retirarlo, ya que el contenido técnico (casi en su totalidad), era, es y será siempre el mismo para una introducción al exploiting. No obstante, siendo realista, cabe recordar que todas las máquinas del laboratorio eran Windows XP, Windows 7 y Windows Server 2003, junto a una Backtrack para realizar los ataques...tal vez no haya sido tan mala idea.
Fig 4: Mírala que maja, si hasta te instalabas el GUI a mano.
Por último, en este mismo comunicado, destacan que su vacío será ocupado por dos nuevos certificados que se anunciarán antes de fin de año, uno relacionado con exploiting en Windows y otro, relacionado con pentesting avanzado.

¿Mis apuestas? 
  • Pentesting Avanzado: Algo relacionado con Red Team, seguramente simulando el CRTO de Rastamouse (del que ya hablamos hace unos meses), los ProLabs de HTB o los Red Team Labs de Pentester Academy.
  • Windows Exploiting: Un nuevo OSCE actualizado adaptándose a los nuevos entornos Windows y dejando atrás los maravillosos Windows 7, XP y Server 2003 del OSCE.
Y vosotros, ¿qué opináis? ¿Jugada maestra de marketing o golpe de efecto sobre el mundo de las certificaciones de seguridad?
Fig 5: All in.
Happy Juancking!
Leer más
      editar

14 oct. 2020

Microsoft Azure Audit Program

Por el 14 oct. 2020 con 0 comentarios
Hola lectores.
 
A nadie se le escapa que el cloud computing se ha convertido en "la nueva normalidad" para cualquier empresa que dependa de la tecnología, independientemente de su sector. Esto es gracias a su velocidad, flexibilidad y capacidad de escalado. Pero nosotros nos dedicamos a la seguridad, y por ese motivo sabemos que es muy importante que las empresas sepan cómo mantenerlo de una manera adecuada, y para ello, la auditoría es un elemento clave. 

Un equipo de expertos de ISACA Internacional ha desarrollado un programa de auditoría de Microsoft® Azure (en el siguiente enlace podéis ver nuestro hilo sobre Azure)  para ayudar a los auditores a medida que evalúan la idoneidad y la eficacia de los servicios de Microsoft y para poder garantizar que la implementación de Azure respalde de forma segura los objetivos operativos y de cumplimiento de las organizaciones. 



 El programa de auditoría de Azure (que podéis consultar aquí) cubre las siguientes áreas: 
  • Gobierno
  • Configuración y gestión de redes 
  • Gestión de identidades y accesos 
  • Seguridad de recursos 
  • Registro y seguimiento 
  • Respuesta a incidentes de seguridad 
  • Controles de cifrado de datos 

El documento, conformado por un PDF y un EXCEL, está disponible de forma gratuita para los miembros de Isaca, o por $49 para el resto de interesados.



¡Espero que sea de vuestro interés!

Leer más
      editar

13 oct. 2020

Congreso #CiberTodos 2020

Por el 13 oct. 2020 con 0 comentarios
Buenos días lectores. 

Desde hace unos años estoy involucrado con el capítulo de Madrid de ISACA, tratando de echar una mano en todo lo que sea necesario. Por este motivo me gustaría apoyarles desde Flu Project con su iniciativa: “La ciberseguridad: una responsabilidad de todos", más conocida como “CiberTodos”.

Para los que no lo sepáis, este mes de octubre es el Mes Europeo de la Ciberseguridad (aunque ya es una iniciativa global), impulsado por ENISA (organización de la que ya os hablé en éste post) y CiberTodos, es la manera que tenemos desde ISACA Madrid para poner nuestro granito de arena. 

Cada año acuden a CiberTodos cerca de 250 profesionales del sector, pero este 2020, debido a la situación de pandemia mundial en la que nos encontramos. se ha decidido optar por un modelo virtual, totalmente gratuito, que se celebrará los días 1, 8, 15, 22 y 29 de octubre, en horario de 18:00 a 20:00 CE. Este modelo está cosechando grandes resultados, tanto de audiencia, con más de 2500 personas conectadas, como de valoración por parte de los asistentes, por lo que os esperamos en la próxima sesión.

Para todos aquellos que no conocíais esta iniciativa, a continuación os compartimos los videos de las dos primeras sesiones:  

Si estáis interesados en conocer más sobre esta iniciativa, en el siguiente enlace tenéis toda la información oficial del mismo.

Espero que os sea de interés, ¡nos vemos en Cibertodos!


Leer más
      editar

12 oct. 2020

Luchando contra el ransomware: nomoreransom.org

Por el 12 oct. 2020 con 0 comentarios

¡Buenas!

Hoy queremos hablaros de una iniciativa que promueve la lucha contra el ransomware: No More Ransom! A lo largo de este complejo 2020 continúa el auge de las ciberamenazas y, en muchas ocasiones, los cibercriminales se aprovechan situaciones y narrativas relacionadas con la pandemia que estamos viviendo para tratar de infectar nuestros equipos con malware y, en este sentido, el ransomware puede ser uno de los que puede causar un mayor impacto.

https://www.nomoreransom.org/

Como muchos sabréis, el ransomware es un tipo de malware que cifra la información (personal y profesional indistintamente), impidiendo el acceso a esta, pudiendo bloquear el acceso a los usuarios en los sistemas afectados y solicitando el pago de un rescate para poder acceder a ellos. Las consecuencias de este tipo de ataques pueden ser desde pérdidas millonarias por la paralización de los servicios, hasta el cierre de un negocio si no se han tomado medidas de seguridad que puedan mitigar el impacto en el caso de producirse una infección, como por ejemplo, la realización de copias de seguridad. Habitualmente se suele combinar este tipo de malware con otros que permitan exfiltrar la información, de manera que los ciberdelicuentes puedan realizar extorsiones y amenazas de publicar la información extraída en el caso de que no se pague el rescate y filtrando muestras de este contenido para ejercer presión.

El proyecto No More Ransom! fue creado en julio de 2016 como fruto de la colaboración entre la Europol, la policía neerlandesa, y las compañías de seguridad Kaspersky y McAfee, con el objetivo de combatir este tipo de amenazas y proveer a la ciudadanía de herramientas que permitan recuperar y descifrar los ficheros afectados por este tipo de malware sin necesidad de pagar el rescate. Desde su origen hasta el día de hoy se han sumado al proyecto numerosas empresas de ciberseguridad así como Fuerzas y Cuerpos de Seguridad de diferentes Estados, entre ellos España. Es por ello que desde No More Ransom! también se ha habilitado un apartado desde el que interponer una denuncia en el caso de que seamos víctimas de un ciberataque mediante ransomware.

Además, para ayudar a las víctimas, se han puesto a disposición dos herramientas bastante útiles en el caso de que se haya sufrido un ataque con este tipo de malware. La primera de ellas se llama Crypto Sheriff, que es un analizador de evidencias (ficheros cifrados, notas de rescate, direcciones de correo electrónico, carteras de criptomonedas, etc.), mediante el que identificar el tipo de ransomware y mostrar si existe una solución para revertir la situación.

Crypto Sheriff

La otra, se trata de un repositorio de herramientas de descifrado para aquellos tipos de ransomware cuyas claves han sido descubiertas o bien, que se haya encontrado la solución para descifrar los ficheros afectados.

Repositorio de herramientas de descifrado

Para concluir, disponen de un apartado con consejos de prevención que pueden mitigar el impacto de un ciberataque mediante ransomware y que se pueden resumir en los siguientes puntos:

  • No pagar el rescate bajo ningún concepto, pues no suele haber garantía de poder recuperar la información tras realizarse el pago.
  • Realizar copias de seguridad, mantenerlas lo más actualizadas posibles y almacenarlas en una ubicación diferente a la fuente de información original (dispositivo externo, almacenamiento en la nube, etc.)
  • Disponer de las últimas actualizaciones y parches de seguridad en los sistemas y equipos.
  • Contar con un software antivirus actualizado.
  • Mostrar las extensiones de los archivos mediante el menú de configuración de Windows.
  • Desconfiar. Los usuarios finales somos una línea de defensa fundamental identificando ficheros adjuntos potencialmente sospechosos, emails cuya procedencia, aunque confiable, nos pueda hacer dudar, etc.  
¡¡Saludos y hasta el próximo post!!

Leer más
      editar

9 oct. 2020

haveibeenEMOTET: Descubre si tu correo electrónico (o dominio) está involucrado en campañas de malspam con EMOTET

Por el 9 oct. 2020 con 0 comentarios

¡Buenas!

Hoy queremos hablaros del servicio haveibeenEMOTET, que permite identificar si una dirección de correo electrónico o un dominio se ha visto involucrado en la difusión de malspam conteniendo el troyano Emotet. Este malware es una de las amenazas más peligrosas existentes, no solo por su capacidad para robar información sensible, como pueden ser contactos, credenciales y datos bancarios, sino por sus capacidades de evasión, de instalación de malware adicional, de recibir actualizaciones a través de servidores de C&C o de explotar ciertas vulnerabilidades, entre otras. Esta combinación hace que su detección sea compleja puesto que, adicionalmente, es capaz de enviarse a los contactos robados, por lo que puede propagarse de manera indiscriminada en campañas de malspam a correos electrónicos de organizaciones y de particulares.

haveibeenEMOTET

El servicio, lanzado de manera gratuita por los investigadores de TG Soft contiene un buscador en el que se tiene que introducir el correo electrónico o el dominio sobre el que se quiere averiguar si ha estado de algún modo involucrado en un envío o recepción de malspam con Emotet. Igualmente contiene un ejemplo de malspam con Emotet , así como la fecha de última actualización de la base de datos.

Buscador de correo electrónico o dominio

Si introducimos algunos de los dominios de proveedores de correo electrónico de uso común, se obtienen resultados referentes a que ha habido receptores (Recipient), suplantaciones mediante las que se hace creer que el emisor es de confianza (Fake Sender) y emisor cuya cuenta ha sido comprometida (Real Sender).

Dominios de servicios de correo electrónico de uso común afectados 

Igualmente ocurre si introducimos el dominio de un negocio o empresa cualquiera y hay registros en la base de datos:

Dominio involucrado en envíos de malspam con Emotet

Si una cuenta o dominio no se ha visto involucrada en un en un envío o recepción de correo electrónico con Emotet o no cuenta con registros en la base de datos del servicio, nos indicará que no ha sido encontrado.

Correo electrónico no involucrado en envíos de malspam con Emotet

Por último, el servicio cuenta con un apartado de estadísticas con las extensiones de los dominios más utilizadas como emisor, suplantado y receptor.

Estadísticas sobre malspam con Emotet


¡¡Saludos y hasta el próximo post!!

Leer más
      editar

8 oct. 2020

¿Qué dice tu cuenta de Google sobre ti?

Por el 8 oct. 2020 con 4 comentarios

¡Buenas a todos!

En el artículo de hoy vengo a mostraros una herramienta que recientemente ha publicado @mxrchreborn y que abusa de "características" ya conocidas sobre las cuentas de Google. La herramienta en cuestión es GHunt, creada principalmente para realizar tareas de OSINT sobre una cuenta de Google a través de los identificadores de cuentas de Google, también llamados Google IDs.

Actualmente la herramienta es capaz de recoger información como el nombre del dueño de la cuenta, la última vez que el perfil ha sido editado, si la cuenta se trata de un bot de Hangouts, servicios de Google activos, así como información pública sobre sus teléfonos móviles, fotos públicas, reseñas u otras muchas características.

En este artículo además de mostraros la eficiencia de la herramienta, quiero mostraros una guía detallada de como "instalarla" en vuestra distribución de preferida y hacer uso de la misma. Así que antes de nada clonemos el repositorio e instalemos las dependencias necesarias. En primer lugar instalaremos Google Chrome (en mi caso en una distribución basada en Debian) ya que la herramienta hace uso de Selenium para realizar sus funciones:

git clone https://github.com/mxrch/GHunt
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo apt install ./google-chrome-stable_current_amd64.deb

Tras realizar la instalación debemos de fijarnos en la versión de Chrome instalada, ya que es necesario que el chromedriver utilizado en Selenium sea de la misma versión que la instalación de Google Chrome que acaba de hacerse. A fecha de escritura del post, la versión que he utilizado es la 85.0.4183, por tanto, continuamos con el resto de dependencias de la herramienta:

cd GHunt/
python3 -m pip install -r requirements.txt
wget https://chromedriver.storage.googleapis.com/85.0.4183.87/chromedriver_linux64.zip
unzip chromedriver_linux64.zip

Tras instalar estas dependencias debemos asegurarnos que el chromedriver se encuentra en la carpeta del proyecto de GHunt. Siguiendo los pasos anteriores, no debería haber ningún problema :)

Seguidamente deberemos configurar la herramienta, preferiblemente con una cuenta de Google que no utilicemos actualmente o que creemos con el propósito en específico de utilizar la herramienta. Acto seguido debemos obtener las cookies asociadas a la cuenta que acabamos de crear. Para ello, realizamos un inicio de sesión en Google Account y obtenemos los valores de las siguientes Cookies a través de las herramientas de desarrollador.

Para acceder a las herramientas de desarrollador, puede hacerse desde la tecla F12 (por defecto) o haciendo cualquier clic derecho en la página y seleccionando la opción de inspeccionar elemento.

Finalmente, para comprobar si la herramienta funcionaba correctamente, probé a introducir mi email personal, y para mi sorpresa, la posible localización que me ofrecía era correcta :)

Si os ha gustado la herramienta no dudeis en echarle un vistazo y, probadla siempre con cuentas de vuestra propiedad para verificar la información que estáis exponiendo "públicamente".

¡Saludos!

Leer más
      editar
>