30 may 2014

Publicado el video de nuestra conferencia en Rooted CON 2014

Buenas a todos, como cada año, Rooted CON ya está publicando los vídeos de las conferencias impartidas en la última edición del congreso celebrado el pasado mes de Marzo.

Este año tuvimos el placer de repetir Pablo González y un servidor, Juan Antonio Calles, hablando sobre ciberguerra con una propuesta Low-cost para combatir en posibles conflictos cibernéticos, al que bautizamos como "nuestra fumada", y de la cual disfrutamos enormemente junto con Alberto desarrollándola, y compartiéndola con todos los asistentes al congreso.

Si no pudisteis venir ya está disponible el video completo de nuestra charla, ¡no os lo perdáis!

29 may 2014

Ciclos de Vida del Software Seguros (S-SDLC) (Parte IV)

Seguimos hoy con la cuarta entrada sobre los S-SDLC en Flu Project. La idea sigue siendo especificar y contar características de estos, y ver qué aportan frente al resto. El sexto S-SDLC que se detalla es Oracle Software Security Assurance. Este S-SDLC está compuesto de un número de actividades que se incluyen en las fases conocidas de un SDLC para garantizar la seguridad del software de la empresa Oracle. Para lograr este objetivo se disponen de 5 elementos o tareas de seguridad en el S-SDLC:

1. Manejo de vulnerabilidades.
2. Eliminación de vulnerabilidad a través de actualizaciones críticas.
3. Buenas prácticas y compartición de éstas en seguridad y codificación segura.
4. Gestión de la configuración de seguridad y herramientas de validación y verificación.
5. Comunicación de fallos de seguridad.

El manejo de vulnerabilidades se realiza en las fases de diseño, implementación y testing. La eliminación de vulnerabilidades se lleva a cabo durante todo el proceso, pero sobretodo en su parte final (puesta en marcha y testing). Las buenas prácticas se dan a los desarrolladores en la fase de requisitos y diseño. La gestión de configuración se prepara al comenzar el proyecto y cubre, fase de requisitos, diseño, implementación y testing. Por último, la comunicación de fallos de seguridad es la respuesta que pone la empresa a los usuarios, es un plan de respuesta ante incidentes cuando la aplicación se libera. 

¿Con qué nos quedamos?

Realmente elegir un modelo puede ser algunas veces algo rígido, por lo que proponemos realizar una mezcla de cosas, y sobretodo ser capaces de amoldar las cosas que nos interesan a nuestra forma de trabajar. Por ello, he visto cómo en muchas ocasiones se aplicaba el de Microsoft, aunque no siempre con todas las tareas debido a los tiempos de proyecto. Por ello, creo que el S-SDLC que cogería como base es el de Microsoft, pero modificando ciertos aspectos que creo que podrían ayudar a la mejora del proceso, al menos de forma práctica.

Mi propuesta es modificarlo de la siguiente manera:


En primer lugar, y tras definir los roles de los participantes en el proyecto, todos deben asistir a la formación en seguridad por parte de expertos en la materia. Siempre habrá una figura de security manager que tomará la decisión final sobre las posibles incidencias en temas de seguridad en el proyecto. Esta figura debe ser alguien experto en la materia y con la suficiente experiencia. El security manager realizará en paralelo con el project manager un seguimiento del proyecto. 

En todas las fases del SDLC se realizará una review de estado, es decir, desde la fase de requisitos hasta la liberación se realizará una revisión de seguridad de todo lo que se tenga hasta ese instante. Además, se extiende el modelado de amenazas a cada una de las siguientes fases  (requisitos, diseño e implementación). De este modo será incremental, y las amenazas pueden ir saliendo en cada fase poco a poco. 

Se realizarán pruebas de pentesting sobre las aplicaciones en 3 fases, después de implementar, en la de verificación y antes de liberar se pasará una nueva prueba de intrusión. Todo esto debe ser guiado por Q&A dónde se integrará un proceso de seguridad, dónde se encuentre la figura del Security Manager, y disponga de un equipo con él para llevar a cabo todo lo necesario en el proyecto. 

Y tú, ¿Cómo llevarías un S-SDLC de la teoría a la práctica?

28 may 2014

La ciberseguridad cada día más importante

El pasado Lunes tuve el placer de participar en el debate sobre Ciberseguridad llevado a cabo por OndaCRO. En este debate participaron Dani Creus (Kaspersky), Marco Gómez (Inteco) y yo. Lo interesante es que cada uno dio su punto de vista, quedándome con la frase de Dani: "Hay que sospechar de aquellos mensajes tan bonitos como para ser verdad".

Os dejo el link del audio de la radio

En el debate se trataron los siguientes temas:

  • El estado actual de las organizaciones y la seguridad a nivel usuario.
  • Recomendaciones que deben tener en cuenta los usuarios al entrar en Internet. 
  • Productos como Latch o Faast que ayudan a mejorar la seguridad en Internet, tanto a personas como a las empresas.
  • Tipos de estafas y ejemplos para tener en cuenta.
  • ¿Concienciación de los usuarios o la seguridad es secundaria para ellos?
Todo esto en un ambiente distendido, realmente me lo pasé bien ;)

Saludos!

27 may 2014

Ciclos de Vida del Software Seguros (S-SDLC) (Parte III)

Retomamos los ciclos de vida seguros del software. El cuarto S-SDLC que veremos y tratamos en esta cadena es el de Writing Secure Code.

En la siguiente imagen se puede visualizar como este modelo se divide en etapas, de las cuales tiene 13, y durante las distintas fases se van realizando etapas para conseguir que la aplicación sea segura. En la etapa inicial se habla de educación al desarrollador en términos de seguridad, esto se realiza justo antes de comenzar las actividades de diseño de la aplicación. Durante esta fase de diseño también se cumplen las etapas de cuestiones relevantes a la seguridad y la realización del modelado de amenazas.

Una vez finalizada la fase de diseño se realiza una revisión del equipo de seguridad del diseño de la aplicación. En la fase de implementación se crean documentos de seguridad, se preparan herramientas y se estudia las guías de buenas prácticas y codificación segura. En la fase de pruebas se utilizan las políticas de prueba seguras, se revisan los fallos encontrados en el proceso hasta el momento y se realiza una revisión externa de la aplicación. En la fase de mantenimiento se realiza una planificación de seguridad que indica como la empresa debe responder.

El siguiente S-SDLC denominado TSP-Secure no tiene mucha difusión, y no se conoce mucho de ello. TSP extiende lo que plantea el TSP, Team Software Process, con el objetivo de conseguir un desarrollo de aplicaciones seguras mediante la intervención en el proceso de la guía ofrecida por CERT. Otro objetivo del TSP-Secure es el de conseguir que las organizaciones puedan mejorar su manera de construir software seguro o de calidad, y que éste sea compatible con el CMMI. 

Los objetivos de TSP-Secure son, básicamente tres, ser capaces de detectar los fallos de seguridad en la generación de código (esto es aplicable al resto de S-SDLC estudiados en la asignatura), ser capaces de responder rápidamente ante la inserción de nuevas amenazas en el código y promover la utilización de prácticas de seguridad para el desarrollo.

El flujo que cumple es el siguiente:

TSP-Secure necesita que se seleccione alguna (o más de una) norma de codificación segura durante la fase de requisitos. Miembros del equipo aplican pruebas de conformidad, en temas de seguridad de la aplicación, como parte del propio proceso de desarrollo, esto se va realizando en cada fase del SDLC, con el fin de verificar que el código es seguro.

El TSP-Secure dispone de planificación, procesamiento, calidad, medición y seguimiento de los marcos de TSP. Esto hace que el desarrollo de aplicaciones seguras se genere satisfaciendo un nivel 3 de madurez en CMMI. 

26 may 2014

Cifrando en Windows. Parte 2

Buenas a todos, hoy continuaremos con la cadena "Cifrando en Windows", que comenzamos la pasada semana hablando sobre EFS.

En este post os hablaremos sobre Bitlocker de Microsoft. Se trata de una funcionalidad nativa de los sistemas operativos Windows de gama alta (Pro/Enterprise), que permite cifrar datos, unidades del sistema, discos extraíbles, etc.

Es una alternativa bastante interesante a TrueCrypt, aunque este último siga siendo más cómodo por ser multiplataforma y tener versiones para Linux, Mac, etc.

Bitlocker se encuentra disponible desde Windows Vista, hasta la última versión de Windows, 8.1.

Para activarse basta con hacer botón derecho sobre una partición y pulsar en "Activar Bitlocker...":
Bitlocker cuenta con varias alternativas para autenticar al usuario en las unidades cifradas:
  • Clear key: contraseña básica para cifrar discos 
  • TPM: Trusted Platform Module. Algunas placas permiten generar a nivel de HW claves criptográficas. Para comprobar si está soportada esta funcionalidad podemos ejecutar “tpm.msc”. Si queréis cifrar una partición de una máquina virtual esta opción no estará disponible.
  • Contraseña de recuperación de 48 dígitos para utilizar en caso de haber olvidado la contraseña .
  • Archivo de recuperación: Idem que en el caso anterior, pero la contraseña será almacenada en un almacenamiento extraíble.
  • PIN (4-20 caracteres): Capa extra de seguridad compatible con TPM, que permite añadir un PIN que deberá ser introducido al iniciar el sistema. 
  • Clave de inicio: Clave almacenada en un USB que deberá estar conectado para arrancar (2º factor de autenticación)
Estas alternativas nos las irá preguntando Windows a través de una serie de formularios:
Nota: Bitlocker no permite cifrar unidades menores a 100MB. Además requiere contar con una partición de arranque "no cifrada".
Bitlocker nos permite cifrar toda una unidad, o solo la parte en uso:
Finalmente, veremos nuestra unidad representada con un candado y una llave:
Eso es todo por hoy,

Saludos!

25 may 2014

Informe Flu - 177


Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

Lunes 19 de Mayo
Martes 20 de Mayo
Miércoles 21 de Mayo
Jueves 22 de Mayo
    Viernes 23 de Mayo
    • El viernes iniciamos la cadena Cifrando con Windows. Parte 1, en la que os hablamos sobre la tecnología EFS.
    Sábado 24 de Mayo
    • Ayer os mostramos el Resumen gráfico de nuestra charla sobre Ciberguerra y Ciberespionaje en X1RedMasSegura y que nos dedicó Hacking Mom. ¡Gracias!
    Saludos!

    24 may 2014

    Resumen gráfico de nuestra charla sobre Ciberguerra y Ciberespionaje, por Hacking Mom

    Buenas a todos, en el post de hoy hemos querido compartir con todos vosotros el resumen gráfico que nos dedicó HackingMom (Blanca Tulleuda), compañera de la organización de X1RedMasSegura (¡un fuerte abrazo!), junto con las geniales caricaturas que nos hizo Marisa Babiano,  sobre nuestra charla Ciberguerra y Ciberespionaje que impartimos en las Jornadas X1RedMasSegura, y en la que explicamos en un nivel básico la investigación que presentamos en RootedCON 2014:


    Saludos!

    23 may 2014

    Cifrando en Windows. Parte 1

    Buenas a todos, en el post de hoy vamos a iniciar una nueva cadena en la que hablaremos sobre las distintas alternativas que tenemos en Windows para cifrar y proteger nuestros archivos y directorios ante posibles intrusos (EFS, Bitlocker, TrueCrypt, Sophos Free Encryption, y un largo etc.).

    La primera alternativa que trataremos es Encrypted File System, también conocido como EFS. Se trata de un sistema de archivos que opera únicamente sobre NTFS, y permite cifrar archivos a nivel de sistema.

    Aunque no es muy conocido por los usuarios (pero sí por los admins), EFS está disponible desde Windows 2000.

    EFS es transparente al usuario, y su configuración es tan sencilla como indicar a un directorio o archivo que será cifrado con esta tecnología.

    EFS utiliza una clave única (FEK, File Encryption Key) por fichero para cifrar y descifrar, que es almacenada en la cabecera del archivo.

    La FEK a su vez es cifrada con la clave pública del usuario, que es generada de forma transparente para el usuario la primera vez que se cifre un archivo o carpeta. Esta clave pública es almacenada en el repositorio de certificados

    Por motivos de seguridad, Windows nos pedirá que estos datos sean almacenados de manera segura en un dispositivo extraible:

    Con estos sencillos pasos ya tendréis vuestros archivos y/o carpetas cifrados, de una manera rápida y cómoda.

    Nos vemos en el próximo post,

    Saludos!

    22 may 2014

    Gestión de sesiones en auditorías

    La gestión de sesiones puede pasar desapercibida para muchos usuarios, pero es un punto en el que el pentester debe analizar e intentar jugar con ello. Se pueden enumerar un listado de pruebas que se debe realizar a las famosas cookies para comprobar que las sesiones se están realizando de manera segura. Es algo procedimental, aunque siempre hay un toque de experiencia y olfato para llevar a cabo esto. 

    En primer lugar hay que hablar de los flags secure y HTTP-only. El primero de ellos debe ser enviado desde el servidor al cliente cuando éste inicia sesión mediante el protocolo HTTPS. Este flag indica al navegador que solo puede realizar navegación en este servidor si la comunicación va cifrada. En caso de detectar que un servidor cuando asigna la cookie no está enviando el flag y la conexión debe ser segura, se debe apuntar como fallo de seguridad. En segundo lugar el flag HTTP-only, el cual ha sido trabajado con anterioridad. Este flag evita que código script pueda acceder a la cookie, solo siendo el navegador el que puede hacerlo. La falta de este tipo de mecanismo de seguridad haría que la cookie pudiera quedar expuesta, de manera más o menos sencilla.

    ¿Intuitivos? La verdad sí, pero no siempre están bien configurados, y es algo que se puede encontrar en las auditorías. Tenemos que tener en cuenta que este tipo de cosas pueden generar agujeros o fallos de seguridad en nuestras aplicaciones web. 

    ¿Qué mas tenemos que mirar? Comprobar es la validez de una sesión desde distintas direcciones IP. Este hecho es más común de lo que se puede pensar y se debe valorar en su justa medida. Quizá no hay que ser extremista con esto, pero siempre tener a mano esta opción y valorando la criticidad de la aplicación. 

    Determinar los límites y cierres de la sesión. Es importante comprobar que el servidor haya realizado correctamente esta acción, para que las cookies no puedan ser reutilizadas en otro espacio o tiempo.

    ¿Qué información debe tener una cookie? Existen casos en el que en la cookie viaja información que no debería. Imaginaros que en la cookie se envía un user y un hash, ¿Puede ocurrir? La verdad es que sí. Hay que evaluar cada parámetro de la cookie para verificar que no se envían parámetros no deseables, ni hay fácil manipulación de la cookie. 

    Por último, se debe tratar un aspecto matemático, y en ocasiones difícil para ciertos informáticos, como es la predictibilidad en la generación de valores en las cookies. Algunos de los parámetros deben ser totalmente aleatorios, y esto en algunas ocasiones no se cumple, por lo que obteniendo diversas cookies se puede encontrar un patrón por el que se puede predecir el valor de la cookie.

    Estos son algunos consejos sobre cookies y sesiones en auditorías. Siempre un checklist a mano sobre lo que mirar no está de más, para no dejarnos nada!

    21 may 2014

    Los niveles de integridad de Windows. Parte 2


    Buenas a todos, hoy vamos a continuar con la cadena sobre los niveles de integridad de Windows, alterando los niveles de integridad de una aplicación.

    Para modificar los niveles de integridad de un objeto, Minasi tiene una herramienta muy interesante llamada chml.exe, que podéis descargar desde el siguiente enlace:


    Chml es una herramienta de consola muy sencilla de utilizar. Si queremos modificar por ejemplo el nivel de integridad del software Thunderbird a “Bajo” deberíamos utilizar el parámetro -i:l, de "low".



    Al haber disminuido su nivel de integridad, Thunderbird no tendrá un nivel suficiente para acceder al programa de descompresión configurado por defecto en el sistema, y no podrá descomprimir su contenido y por tanto instalarse, emitiendo un error:



    Si de nuevo modificásemos su nivel de integridad a “Medio”, comprobaremos como efectivamente ahora sí que podría ejecutarse:




    Como veis, con este sencillo ejemplo hemos aprendido el funcionamiento de los niveles de integridad de Windows. Una capa más de seguridad a la hora de bastionar nuestros sistemas.

    Saludos!

    20 may 2014

    Resumen de las Jornadas X1RedMasSegura 2014

    Buenas a todos, el pasado sábado finalizaron las Jornadas X1RedMasSegura 2014. Este año se celebraba su segunda edición, con 7 talleres para ciberabuelos, padres, niños, profesores, discapacitados muy capaces, empresarios y 2 días de jornadas con numerosos ponentes de excepción.

    Tras concluir el congreso podemos sacar muchas conclusiones, que iré desgranando a lo largo de esta entrada, pero hay una con la que me quedaré y que creo que ha marcado un hito histórico hasta la fecha para toda la comunidad de seguridad. Una de nuestras premisas cuando arrancamos las Jornadas X1RedMasSegura el pasado año, era demostrar que todos tiramos del mismo carro, hackers, fuerzas y cuerpos, ciudadanía, etc. Ejemplo de ello es que en la organización estamos un grupo de amigos de diversos grupos, Ángel, Blanca, Josep, Fernando, Longinos, Pablo y un servidor (cuerpos policiales, hackers, padres/madres, abuelos, ...). Por ello, quisimos iniciar las jornadas con una representación de cuerpos policiales, contar con charlas de numerosos expertos durante las jornadas y talleres, y concluir las jornadas con una mesa redonda de CONs, como representación de los hackers. Al inicio de las Jornadas, tuvimos el honor de tener a D. Arsenio Fernández de Mesa, Director General de la Guardia Civil. D. Arsenio, en su discurso de inicio hizo referencia a las conferencias de 'Hackers' representadas en las jornadas (nuestras CONs), mencionando su necesidad, y comentando que por desconocimiento, la figura de los hackers se equipara a la del delincuente informático, pero que lejos de ser así, los hackers son personas preocupadas por mejorar la seguridad informática buscando vulnerabilidades en los sistemas y aplicaciones para que sean solucionadas lo antes posible, antes de que causen un perjuicio grave para la sociedad. 




    Y han sido muchos los diarios que se han hecho eco de las palabras del director, y del buen hacer y éxito de las Jornadas, algo que nos enorgullece enormemente:
    Tras la inauguración cambiamos la corbata por la camiseta corporativa de X1RedMasSegura, y arrancamos las conferencias con una serie de ponencias de gran interés para que la ciudadanía pueda navegar y sentirse segura en Internet.

    Arrancó el ciclo de conferencias Oscar de la Cruz, hablando del Grupo de Delitos Telemáticos y de la línea de denuncia, comentando como reportar un problema y denunciarlo de una manera correcta y segura.

    Continuó nuestro compañero de la organización de X1RedMasSegura, Angelucho, hablando de la "Cara B" de Internet, que con mucho humor y chascarrillos, enseñó algunas de las cosas turbias que los internautas se pueden encontrar si se descuidan en el camino.

    La siguiente charla la protagonizó nuestro amigo y blogger de Flu Project, Marc Rivero, que viajó desde Barcelona, para hablar a los asistentes sobre la seguridad y los peligros de las redes wireless.

    Tras Marc llegó el turno de Pablo F. Burgueño, quién a parte de protagonizar un streaptease en el escenario, para cambiarse la camisa por la camiseta de X1RedMasSegura, habló sobre cómo desaparecer de Internet. Una charla muy valorada por el público.

    Después llegó el turno de Israel Córdoba y su charla Lo que pasa en Las Vegas... y en Internet también.

    La penúltima de las conferencias del viernes fue protagonizada por Josep Albors, de ESET España, quién nos habló sobre cómo protegernos de las amenazas de Internet.

    El cierre de la jornada lo llevó a cabo Lorenzo Martínez desde el otro lado del charco, quien por videoconferencia nos habló sobre SCAM, con un interesante caso real que el mismo había sufrido.


    El segundo día de las Jornadas fue iniciado por nuestro compañero de la organización Loginos Recuero. Habló magistralmente de malware, exploiting, etc. "for dummies", para ilustrar a los asistentes lo peligroso que es utilizar software pirata, y validarlo con "keygens" descargados de cualquier sitio de Internet.

    Tras Longinos llegó el turno de Daniel y Marta, quienes nos hablaron de seguridad bancaria en su charla El commerce en tus manos: Compras 2.0, una de las charlas más valoradas de las Jornadas.

    A continuación Juan Luis G. Rambla nos habló sobre la seguridad en el Internet de las Cosas, y nos mostró casos tan curiosos como neveras que envían SPAM.

    Tras Juan Luis, Pablo y un servidor hablamos sobre ciberguerra y ciberespionaje, para mostrar a los asistentes lo sencillo que podría llegar a ser que los terminales móviles de cualquier ciudadano fuesen espiados, y utilizados en caso de una potencial ciberguerra.




    El cierre de la primera parte del día lo hizo Chema Alonso, hablando de Latch, y explicando su uso a los asistentes.

    A continuación tuvimos el placer de tener al maldito jabato, Ángel Álvarez, que se dio una paliza de kilómetros para acompañarnos en estas jornadas tan especiales para nosotros, y hablar sobre la lógica en la red.

    Siguió nuestro amigo y partner de camisetasfrikis.es, Dani Martínez, con una charla sobre navegación segura, cargada de bromas como ya nos tiene acostumbrados :)

    El cierre del ciclo de conferencias lo realizó Juanillo, Juan Garrido, hablándonos sobre las nubes y la seguridad en el cloud.


    Al final del evento teníamos preparada una Mesa de CONs, moderada por la gran Pilar Movilla, y en la que estuvo acompañada por ConectaCon, HackRon, Navajas Negras, No cON Name y RootedCon.



    Tras cada conferencia, la gran Marisa Mabiano nos tenía preparada una caricatura a color a todos los ponentes, un genial regalo que quiso tener con X1RedMasSegura. #GRACIAS

    También tuvimos a lo largo de los últimos meses un concurso de infografías, que finalizó en las jornadas con la elección de las ganadoras:





    No podía despedirme sin dar las gracias a nuestros patrocinadores, que nos han apoyado en TODO, y han hecho posible este evento:


    Todos ellos han colaborado con la causa, unos han pagado los viajes y hoteles de los ponentes, otros han pagado los piscolabis, otros han dado regalillos para los casi 400 asistentes, que hemos tenido entre talleres y Jornadas. Hayan dado lo que hayan dado, lo importante es que han querido sumarse a X1RedMasSegura. GRACIAS:


    Y por supuesto, a todo nuestro STAFF, GRANDES protagonistas, que nos han ayudado 24h al día, durante estas dos semanas, a hacer posible el evento. Y a Luis Delgado y Victor, que han trabajado en cuerpo y alma desde la sombra para que el streaming, sonido, video, luces y la comodidad de todos los asistentes en el evento fuesen un éxito.

    Para finalizar, os dejamos a continuación con el discurso de bienvenida que lanzamos desde la Organización de X1RedMasSegura, y que refleja todas nuestras motivaciones en seguir impulsando X1RedMasSegura.



    Muy buenas a todos y bienvenidos a la segunda edición de las Jornadas X1RedMasSegura. Es para mi un honor y un placer representar a todo el colectivo que formamos X1RedMasSegura. Un colectivo formado por grandes amigos y magníficos profesionales que por H o por B, han visto sus vidas entrelazadas al mundo de Internet. Esa motivación unida a las ansias de compartir el saber de manera altruista, hicieron nacer en 2013, aprovechando el día Internacional de Internet, la primera edición de las Jornadas X1RedMasSegura.

    Este colectivo se encuentra formado por:

    • Blanca TULLEUDA
    • Josep ALBORS
    • Longinos RECUERO
    • Fernando de la CUADRA
    • Ángel-Pablo AVILÉS
    • Pablo GONZÁLEZ
    • Y por un servidor, Juan Antonio CALLES

    Todos, sin excepción, hemos dedicado nuestro tiempo libre, escaso en muchas ocasiones, para que podáis disfrutar cada segundo de estas Jornadas, y os llevéis por nuestra parte uno de los mejores regalos que un ser humano puede hacer, nuestra experiencia.

    Nuestro único objetivo es promover el uso de Internet de una manera confiable y segura. Queremos llegar a todos los públicos, independientemente de sus conocimientos técnicos en informática, transmitiéndoles el uso adecuado y responsable de los recursos disponibles en la red, con el fin de evitar que sean víctimas de abusos fraudulentos, estafas, acoso, grooming, y tantos otros problemas que cualquier navegante puede sufrir en Internet si no cuenta con unos conocimientos adecuados. Para esta labor, las Jornadas X1RedMasSegura 2014 vuelven a contar con un cartel de expertos, que mostrarán a todos los asistentes a lo largo de las distintas ponencias, las verdades de la red y brindarán consejos de gran utilidad que todo navegante debería conocer.

    Las Jornadas X1REDMASSEGURA son gratuitas y tienen un fin social, todos los participantes, desde el comité organizador hasta los colaboradores, ponentes y patrocinadores, participan sin ánimo de lucro.

    En estas Jornadas hemos querido reunir a profesionales del mundo de la seguridad y el hacking ético, a representantes de las principales conferencias de seguridad del panorama español, a madres y padres, a ciberabuelos, a niños, a cuerpos policiales, y en definitiva, a toda persona y colectivo que ha querido poner su granito de arena en levantar este castillo, que tanto sudor y esfuerzo nos está llevando construir, para mostrar al mundo entero, que todos, tanto nosotros como vosotros, tiramos del mismo carro.
    Si no tirásemos todos juntos de este carro, nos pasaría como al pobre burrito de la foto, el solo no puede tirar de tan pesada carga. Pero si todos hacemos el esfuerzo de navegar en la misma dirección, de remar juntos, de limar asperezas y arrimar el hombro, estamos seguros que ese carro se hará cada vez más ligero, y transportar esa carga se convertirá en un juego que todos podremos disfrutar.

    Queríamos agradecer a todos nuestros patrocinadores el haber hecho posible este evento. En ningún momento hemos pedido dinero a ningún patrocinador, simplemente hemos pedido la voluntad. Voluntad que se ha visto transformada en unas organizaciones que han cedido sus instalaciones para la realización de los distintos eventos, en billetes de tren para traer a los ponentes que viven fuera de Madrid,  en catering para que podamos merendar y desayunar mañana todos juntos y compartir un buen rato hablando, en regalos para todos vosotros. En resumen, nos quitamos el sombrero ante todos ellos, por unirse a esta iniciativa en la que tanto cariño estamos poniendo.


    Para finalizar, os hemos preparado un video a modo de keynote, con fotografías de lo que han sido los 7 talleres que hemos realizado en las últimas dos semanas, talleres para ciberabuelos, padres, niños (los cuales han puesto voz a la música del video durante el taller musical coordinado por David), profesores, internautas base, empresarios y discapacitados muy capaces. Cómo diría un viejo amigo Guardia Civil, y aprovechando que tengo el enorme placer de estar sentado junto al Director General de la Guardia Civil, NO HAY MAYOR SATISFACIÓN QUE LA DEL DEBER CUMPLIDO, y os aseguro que estamos muy satisfechos.



    19 may 2014

    Ciclos de Vida del Software Seguros (S-SDLC) (Parte II)

    En el artículo de hoy seguimos avanzando en otros S-SDLC que podemos encontrar y utilizar en nuestros ciclos de vida de desarrollo de software. En el artículo anterior se presentaban los conceptos y el S-SDLC de Microsoft, el cual es uno de los más utilizados. 

    McGraw's

    Propone unas prioridades para las tareas de seguridad y de este modo saber qué cosas tenemos que proteger primero o tener en cuenta. A continuación se exponen las tareas por orden de prioridad:
    • Revisión de código (code review). Tarea de análisis de código estático, el cual debe ser escrito teniendo conocimientos de seguridad y buenas prácticas de programación. Fase de implementación.
    • Análisis de riesgo. Esta tarea es ejecutada en tres fases y es de vital importancia en la toma de decisiones del proceso. Fase de requisitos, análisis, diseño y testing.
    • Test de intrusión (Pentesting). Tanto en la fase de testing como la liberación de la herramienta, este tipo de tareas pueden descubrir comportamientos anómalos en la herramienta. Fase de testing.
    • Test de caja negra basados en riesgos.  Fase de testing.
    • Casos de abuso o fuzzing a los inputs de la herramienta para comprobar su comportamiento. Fase de testing.
    • Requisitos de seguridad por parte de los desarrolladores. Fase de requisitos y análisis.
    • Operaciones de seguridad. 
    • Análisis externo, no obligatorio. Durante todas las fases. 

    CLASP

    Comprehensive LIghtweight Application Security Process, de OWASP. CLASP es un conjunto de piezas, el cual podría ser integrado en otros procesos de desarrollo de software. Tiene ciertas propiedades como son su fácil adopción a otros entornos y la eficiencia. Su fuerte es la riqueza de recursos de seguridad que dispone, lo cual deberá ser implementado en las actividades del SDLC. Tiene esta fuerza debido a que OWASP está detrás de ello. 

    CLASP se organiza en vistas, de las cuales dispone de cinco. A continuación se enumeran las distintas vistas:
    • Concepts view
    • Role-Based view.
    • Activity-Assesment view.
    • Activity-Implementation view.
    • Vulnerability view.
    Todas las vistas se interconectan entre sí, y este detalle es importante. Los roles dentro de CLASP son muy importantes y existen siete: gerente, arquitecto, ingeniero de requisitos, diseñador, codificador, tester y auditor de seguridad. Se puede ver que la seguridad se encuentra incluida, con una figura importante, dentro del proceso. Todos los roles deben estar en cualquier proyecto, sino no se cumpliría CLASP.

    La vista Activity-Assesment es importante, ya que identifica 24 actividades o tareas que pueden ejecutarse. Son tareas relacionadas con la seguridad del desarrollo del software, como por ejemplo la identificación de una política de seguridad, documentar los requisitos relevantes con la seguridad, realización de code-signing, etcétera. 

    La vista de vulnerabilidades es la encargada de clasificar los tipos de fallos de seguridad que se puedan encontrar en el software. Consta de 5 subgrupos.

    En el próximo artículo seguiremos hablando de otros S-SDLC que nos ayudan en nuestros desarrollos. 

    18 may 2014

    Informe Flu - 176


    Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

    Lunes 5 de Mayo
    Martes 6 de Mayo
    Miércoles 7 de Mayo
    Jueves 8 de Mayo
      Viernes 16 de Mayo
      • El viernes arrancamos las Jornadas X1RedMasSegura, que tuvimos el honor de iniciar con un discurso del Director General de la Guardia Civil, y de cerrar con una mesa redonda moderada por Pilar Movilla, y en la que participaron representantes de algunas de las principales CONs españolas. Pronto realizaremos un completo resumen en el blog
      Saludos!

      15 may 2014

      Ciclos de Vida del Software Seguros (S-SDLC) (Parte I)

      Históricamente las vulnerabilidades en el software han sido muy comunes y han acabado dando mala fama a empresas por su proceso de creación de aplicaciones. Las empresas se han visto afectadas, al menos en la proyección de su imagen, y decidieron tomar medidas para mejorar el proceso de creación de aplicaciones. 

      La conclusión a la que podía llegarse es que la mayoría de vulnerabilidades se pueden solucionar en la fase de desarrollo de los procesos de desarrollo de aplicaciones. Las vulnerabilidades eran errores en la manera de llevar a cabo el desarrollo, aunque en algunas ocasiones no eran errores de fase de implementación.

      El SDLC, o Systems Development Life Cycle, son las tareas básicas que permiten desarrollar software de calidad desde el primer instante del propio proyecto. Es interesante que le sumemos a las técnicas o procesos clásicos de desarrollo una capa de seguridad desde el comienzo de los proyectos. Las propiedades que debe cumplir un proceso de estos sería al menos contemplar los servicios de seguridad como confidencialidad, integridad y disponibilidad.

      El ciclo es totalmente continuo y deberá disponer de iteraciones que deben ser ejecutadas durante la vida del propio software. Obtener un 100% de seguridad es imposible, pero estamos poniendo los cimientos para reducir notablemente el número de vulnerabilidades que se pueden colar en un proceso como éste. 

      Ahora comenzaremos a hablar de distintos tipos de S-SDLC, los cuales iremos viendo a lo largo de otros artículos de esta cadena. 

      Microsoft Trustworthy Computing SDL

      Este ciclo de vida es bastante popular y muy utilizado por las empresas que requieren realizar software seguro.En la siguiente imagen se puede visualizar el esquema del S-SDLC:


      Las tareas que se llevan a cabo son las siguientes:
      • En primer lugar se debe formar a los desarrolladores en seguridad para que todos los componentes se desarrollen conociendo las amenazas.
      • Las tareas de seguridad en las actividades de requisitos son: establecer que requisitos de seguridad existen en el proyecto, para ello puede necesitarse la participación de un asesor de seguridad en la implementación del SDL. Se utilizará la figura del asesor como guía a través de los procedimientos del SDL. En este punto cada equipo de desarrollo debe tener en cuenta como requisitos las características de seguridad para cada fase. Algunos requisitos pueden aparecer a posteriori, por ejemplo cuando se realice el modelo de amenazas.
      • Las tareas de seguridad en las actividades de diseño son: los requisitos de diseño con sus necesidades de seguridad quedarán definidos. Se realizará documentación sobre los elementos que se encuentren en la superficie de un ataque al software, y por último, se realizará un modelo de amenazas, dónde pueden descubrirse nuevos requisitos de seguridad. 
      • Las  tareas de seguridad en las actividades de implementación son: aplicación de los estándares de desarrollo y de pruebas. Posteriormente se aplicará software que compruebe la seguridad. Además, se realizarán pruebas de code review.
      • Las tareas de seguridad en las pruebas de verificación y validación son: análisis dinámico sobre la aplicación, revisiones de código desde el punto de vista de la seguridad y pruebas centradas en la seguridad del software. 
      • Se necesita generar un plan de incidentes al final del proceso, una revisión final de toda la seguridad del proceso y crear un plan ejecutivo de respuesta ante incidentes, dónde se obtendrá un feedback de todo lo que ocurre en la liberación del software. 

      En próximos artículos se tratarán otros S-SDLC que pueden ser utilizados hoy en día. 

      14 may 2014

      Los niveles de integridad de Windows. Parte 1

      Buenas a todos, desde el ya casi olvidado Windows Vista, hasta el último Windows 8.1, Microsoft ha introducido una medida de seguridad muy interesante denominada "niveles de integridad" (más info en Mandatory Integrity Control, MIC).

      Explicado a alto nivel, estos niveles de integridad evitarían que un objeto del sistema con un nivel de integridad menor, pueda acceder a otro objeto con un nivel de integridad mayor.

      ¿Para qué sirve esto? Pongamos un ejemplo. Imaginaros que un proceso con nivel de integridad mínimo ha sido explotado, si el atacante quisiese "saltar" a otro proceso con un nivel de integridad mayor, el sistema operativo se lo impediría, por contar con un nivel de integridad que requiere mayor privilegio. 

      Podemos distinguir los siguientes niveles de integridad en Windows:
      • Untrusted
      • Low
      • Medium (por defecto y el más habitual)
      • High
      • System
      Una manera sencilla de visualizar con qué nivel de integridad corre cada proceso, es hacer uso de la herramienta Process Explorer.

      Para que veáis un ejemplo, voy a arrancar el instalador del software Thunderbird y voy a arrancar PE:


      Si os fijáis en la captura, y habilitamos la columna "Integrity" de Process Explorer, veremos como por defecto, este software tiene integridad "Media".

      Una curiosidad que se puede apreciar en la captura, es que el instalador de Thunderbird realiza un proceso de extracción, por tanto, si alterásemos su nivel de integridad, para que sea de nivel "bajo". El sistema operativo le impediría acceder al extractor de archivos, provocando un error y evitando que el software se instalase ¿no?

      En el próximo post ilustraremos esta idea con una interesante herramienta y una PoC. 

      Saludos!

      13 may 2014

      Última plazas: Taller de Seguridad para Empresarios de X1RedMasSegura


      Buenas a todos, mañana tendrá lugar el taller de Seguridad para Empresarios que estamos organizando desde el colectivo X1RedMasSegura.

      El objetivo de este taller es enseñar los principio básicos que toda empresa debería seguir para proteger sus activos ante posibles ataques e intrusiones.

      El taller ha sido posible gracias al patrocinio del Vivero de empresas de Móstoles, que ha cedido el auditorio para su celebración, y a las compañías, colectivos y asociaciones Zink SecurityANCITEESET España, everisX1RedMasSegura, que han colaborado aportando los medios económicos necesarios. 

      La agenda del taller será la siguiente:
      • 17:00-17:20: Registro
      • 17:20-17:30: Presentación del taller, de la mano de Angel Pablo Avilés, Josep Albors y Juan Antonio Calles
      • 17:30-18:00: Aplicación normativa a la tecnología de mi empresa. ¿Un factor habilitador de negocio?, de la mano de Juan Luis G. Rambla (Director de Seguridad de Sidertia)
      • 18:00-18:30: ¿Cómo debo asegurar mi empresa?, de la mano de Juan Antonio Calles
      • 18:30-19:00: Los problemas del malware en las empresas, de la mano de Josep Albors (Director de medios de ESET España)
      • 19:00-19:30: Solución Judicial a incidentes de seguridad en la empresa: casos reales, de la mano de José Luis Narbona (Presidente de ANCITE)
      Aún queda alguna plaza, por lo que si te apetece asistir no esperes más y apúntate, ¡es gratis!


      Saludos!