29 ene 2021

La seguridad de las APPs de mensajería instantánea

Por el 29 ene 2021 con 0 comentarios

Hace algunas semanas, Bernard Meyer, desde CyberNews.com, publicó un interesante estudio que comparaba la seguridad de las principales aplicaciones de mensajería instantánea utilizadas a nivel internacional. El artículo en cuestión podréis verlo de forma íntegra en el siguiente enlace:

https://cybernews.com/security/research-nearly-all-of-your-messaging-apps-are-secure/

En su primer análisis, comentaban que la seguridad de estas aplicaciones por lo general es adecuada, y el 86% de ellas utilizaban algoritmos robustos. Por ejemplo, la mayoría de las aplicaciones trabajan con variaciones de RSA y AES para el cifrado. 

A continuación os comparto el listado de aplicaciones que formaron parte del estudio:

  • Signal
  • Wickr Me
  • Messenger
  • WhatsApp
  • Telegram
  • Wire
  • Viber
  • Cyber Dust
  • iMessage
  • Pryvate
  • Qtox
  • Session
  • Briar
Y finalmente, os dejo con la infografía que publicaron en el artículo de su web:




No dudéis en visitar el artículo original y en agregar a cybernews a vuestros RSS.

Saludos!

Leer más
      editar

28 ene 2021

El voto electrónico en España: ¿llegará?

Por el 28 ene 2021 con 1 comentario

Esta semana, la serie documental Enemigo Anónimo dirigida por Carlos Otto, ha publicado un nuevo capítulo, en esta ocasión con un contenido que habitualmente genera controversia en todo el mundo: el voto electrónico. 

En el capítulo, los diferentes participantes comparten su opinión sobre las bondades y problemas que supondría implantar el voto electrónico en España, tratando el uso de diferentes tecnologías como blockchain, y las barreras que nos encontraríamos para llevarlo acabo, como la brecha digital.

Os dejamos con el capítulo para que lo disfrutéis y saquéis vuestras propias conclusiones:




Saludos!

Leer más
      editar

27 ene 2021

Jugando a Cyberpunk 2077 en la pantalla del coche con Android Auto

Por el 27 ene 2021 con 0 comentarios


Aunque ya llevo algunos meses con un vehículo que dispone de Android Auto, no había encontrado el momento de hacer algunas pruebas para investigar un poco al respecto. Sin embargo, durante este tiempo me he preguntado varias veces cómo aumentar las posibilidades de la pantalla del coche.

La idea es bastante sencilla. No es algo nuevo la posibilidad de hacer stream desde un ordenador. NVIDIA Gamestream permite el stream desde un PC a dispositivos NVIDIA Shield. Sin embargo, existen aplicaciones no oficiales que utilizan un cliente para desbloquear el stream hacia casi cualquier dispositivo. En nuestro caso utilizamos la aplicación más famosa, Moonlight Stream. Así que el primer paso es conseguir hacer streaming de nuestra biblioteca de juegos hacia nuestro dispositivo Android. Para que podáis haceros una idea de cómo todo esto es posible, al final del post deberíamos tener un esquema como el que se muestra a continuación.


FASE 1: Vinculación de Moonlight

Necesitamos tener instalado GeForce Experience en el PC desde el que vayamos a realizar el stream. Una vez dentro del programa, debemos activar Gamestream dentro de la configuración en el apartado de Shield. Por defecto no todos los juegos son compatibles, pero el Gamestream nos permite añadir cualquier ejecutable para que podamos usarlo.

Una vez activado el server de NVIDIA, hemos de instalar el cliente en el dispositivo Android que vayamos a utilizar. Podemos hacerlo directamente desde Play Store o desde su GitHub. Una vez instalado deberíamos probar que la conexión funciona en local. Si todo se ha configurado de forma correcta, bastará con poner la IP local del servidor para acceder a los juegos que haya en nuestro PC desde el dispositivo móvil. Moonlight tiene bastantes opciones de configuración por defecto, y obviamente, para que podamos utilizarlo siempre que tengamos conexión de red móvil, necesitamos acceso externo. Un DDNS (DNS Dinámico), o un dominio que podamos redireccionar a la IP externa de la red donde se encuentra el servidor puede sernos de ayuda. Pero llega la hora de hacer el primero de los dos "disclaimer" del post.

DISCLAIMER I: Usad VPN, usad ZeroTier, pero no abráis los puertos de Moonlight hacia el exterior. A fin de cuentas, funciona como un servicio RDP optimizado para juegos, y permite la interacción no solo con el mando, también con teclado y ratón o incluso táctil desde el propio dispositivo.

Para más información con respecto a como vincular Moonlight con GeForce Experience, tenéis varias guías en el "Quick Guide" del programa.


FASE 2: Mirroring en el HeadUnit vía Android Auto (Necesita ROOT)

DISCLAIMER II: No es seguro utilizar un dispositivo Android con Root de forma habitual como nuestro smartphone principal. Existen muchas aplicaciones que pueden parecer inofensivas, pero que una vez tienen permisos suficientes pueden realizar procesos maliciosos. Para las pruebas se ha utilizado un dispositivo alternativo, ya que necesitamos permisos de superusuario para poder hacer mirroring desde Android Auto. Si aún así decidís hacerlo, podéis usar Magisk

Android Auto, al ser una extensión del sistema para vehículos, ha de cumplir una serie de certificaciones bastante exhaustivas sobre el uso que pueden tener las aplicaciones desarrolladas para él. Obviamente, jugar a videojuegos o ver videos mientras conduces no debería ser posible. Sin embargo, mi pregunta es, por qué no se ha limitado un uso ampliado de las funciones de Android Auto a cuando el coche esté en marcha. ¿Por qué no puedo usar una pantalla de tamaño considerable mientras estoy parado con mi coche?.

Para conseguir el mirroring necesitamos modo desarrollador en Android Auto y dos apps que usan root:

AA-Phenotype-Patcher(GitHub)

Esta aplicación permite parchear 3rd party apps como AAMirror para que puedan ejecutarse en Android Auto. Para poder aplicar el parcheo a una aplicación, debe haber sido instalada previamente.

AAMirror (GitHub)

Por otro lado, esta app permite hacer mirroring tanto de la pantalla como del audio, incluyendo el control del dispositivo desde la propia pantalla táctil del Head Unit. Debemos activar el envío de audio desde esta aplicación para que el audio se envíe al equipo de sonido del vehículo.

Android Auto funciona mediante un Head Unit, es decir, el software que reside en el vehículo no es más que un cliente que se conecta al servidor que levanta la aplicación en nuestro dispositivo móvil. Así que, realmente no es necesario ningún tipo de procedimiento adicional desde el propio vehículo, porque es en el servidor donde se ejecutan las aplicaciones. 

Una vez tengamos todo el setup preparado, tendremos acceso al mirroring de la pantalla del dispositivo accediendo a la aplicación AAMirror desde la pantalla del Head Unit. Conectamos un mando vía bluetooth, arrancamos Moonlight y ponemos la IP o el dominio de nuestro servidor de Nvidia Gamestreaming. Y voilá, podemos jugar a toda nuestra biblioteca de juegos desde Android Auto. 


Por supuesto, incluiremos este tipo de problemas en los controles de Infotainment de OMSP (Open Mobility Security Project):

https://github.com/zerolynx/omsp/tree/master/document/Infotainment


|Disfrutad de CyberBug! 😋



Leer más
      editar

26 ene 2021

Laboratorio Virtual de Ciberseguridad Industrial

Por el 26 ene 2021 con 0 comentarios


Buenas a todos, en el post de hoy quería compartiros el blog de un amigo y antiguo compañero, Rodrigo Cantera, dedicado a la ciberseguridad industrial:


En su blog, Rodrigo está compartiendo con la comunidad una cadena muy interesante para todas aquellas personas que tengan interés en comenzar en el mundo de la seguridad en entornos OT, montando su propio laboratorio de pruebas.

La cadena tendrá 9 posts, y por el momento ya están disponibles los 5 primeros dedicados a la instalación del enrutador, un PLC, el Scada, la simulación de procesos y el despliegue de una máquina de ataque:

Despliegue y configuración del Laboratorio Virtual de Ciberseguridad Industrial
  1. Instalación y configuración de router pfSense
  2. Instalación de OpenPLC y ScadaBR
  3. Simulación del proceso físico en Factory IO
  4. Programación de la lógica de control en OpenPLC
  5. Instalación de la máquina atacante
  6. Programación de un HMI básico con ScadaBR
Atacando los Sistemas Industriales
  1. Reconocimiento: Análisis del tráfico de OpenPLC con Wireshark
  2. Explotación: Inyección de paquetes Modbus TCP
  3. Otros tipos de ataque

¡No dejéis de seguir este interesante blog!
Leer más
      editar

25 ene 2021

TOP 15 de Amenazas de ENISA - Ataques a Aplicaciones Web

Por el 25 ene 2021 con 0 comentarios

Continuamos con los informes del TOP 15 de amenazas de ENISA, y en este caso le toca a los ataques contra aplicaciones web

En el informe de ataques web no se revelan grandes novedades, y podemos decir que seguimos con prácticamente las mismas problemáticas de siempre. La mayoría de sitios web requieren de bases de datos para almacenar y entregar información, y de ahí que las inyecciones SQL siguen siendo una de las vulnerabilidades más atacadas. Otro ejemplo que se mantiene arriba son los ataques de tipo Cross-site Scripting (XSS), utilizados para inyectar código malicioso que buscan robar información de cookies o provocar redirecciones maliciosas. Por otro lado, cada vez más empresas hacen uso de APIs y sin embargo, no siempre se protegen adecuadamente, aunque nos encontramos ante problemas de sobra conocidos.

Algunas de las tendencias detectadas fueron:

  • Cada vez más empresas (63%) ya hacen uso de firewalls de aplicación (WAF) para la protección de sus webs, y muchas están preparándose para desplegar este tipo de tecnologías (27.5%).
  • Se produjo un incremento de un 52% de ataques en tan sólo un año
  • Y algo que todo pentester sabe, el 84% de las vulnerabilidades detectadas se trataría de errores de configuración, seguido de fallos de tipo XSS y problemas con los mecanismos de autenticación.

En cuanto a los vectores de ataque específicos usados para vulnerar webs, según un estudio de Akamai, el primer vector de ataque sigue siendo la SQLi, seguido por LFI, XSS y otros fallos de autenticación y de gestión de sesión, aunque los Path Traversal siguen estando muy presentes según diferentes estudios. 


Como vemos, la única sorpresa es que no hay sorpresas, nos encontramos cada año con los grandes conocidos. En cuanto a las medidas de prevención propuestas, técnicas y propuestas habituales, como son:

  • Validación y control de las entradas, escapar el input del usuario, utilizar sentencias parametrizadas para evitar inyecciones, etc.
  • Implementar WAFs que permitan prevenir y protegerse de los ataques más comunes.
  • En cuanto a las APIs, principalmente, cifrar las comunicaciones e implementar correctamente las medidas de autenticación y autorización.
  • Muy importante, implementar la seguridad en el ciclo de vida de desarrollo (S-SDLC).
  • Hardening de servidores, y mantenerlos bien actualizados y parcheados.
  • Realización de pentests durante el desarrollo de la aplicación, antes de salir a producción, y realizar nuevos escaneos periódicos a lo largo del tiempo de vida de la aplicación.

Cuando aparecen técnicas nuevas, en ocasiones no queda más remedio que resignarse y adaptarse. Sin embargo, aquí vemos que se trata todo de problemas y soluciones conocidas, así que probablemente esto sea un reflejo de la falta de concienciación en seguridad y de que esta sea una de las tecnologías más presentes en Internet. 

Esperemos que poco a poco vayamos aprendiendo... ¡nos vemos en el próximo post!




Leer más
      editar

22 ene 2021

Amazon GuardDuty

Por el 22 ene 2021 con 0 comentarios

Hola lectores.

En el artículo de hoy me gustaría presentaros el servicio Amazon Guard Duty, ya que muchas organizaciones cuentan con instancias AWS dentro de su organización y suelen estar poco controladas con respecto a otras infraestructuras. 


Para todos aquellos que no lo conozcáis, es un servicio de monitorización de seguridad continua que analiza y procesa las siguientes fuentes de datos: 

  • Análisis de eventos de administración de AWS CloudTrail: todos los accesos y el comportamiento de la infraestructura y las cuentas de AWS. 
  • Análisis de eventos de datos de S3 en AWS CloudTrail: los accesos y la actividad de todos los buckets de Amazon S3. 
  • Análisis de registros de flujo de VPC y de registros de DNS: los registros de flujo de VPC y las solicitudes y las respuestas de DNS para identificar comportamientos maliciosos, no autorizados o inesperados en las cargas de trabajo y las cuentas de AWS.

Con las fuentes de información sobre amenazas y a partir de sus sistemas de inteligencia artificial, hacen que sea capaz de identificar actividades inesperadas, no autorizadas y potencialmente maliciosas dentro del entorno de AWS de una organización. Actualmente en AWS hay información muy interesante, que muchas veces está mal protegida y accesible por actores maliciosos. En definitiva, esta herramienta nos permite detectar si existe una escalada de privilegios, un uso de credenciales expuestas, comunicaciones con direcciones IP o dominios maliciosos, o incluso instancias EC2 comprometidas que estén minando bitcoins o sirviendo malware en vez de realizar sus funciones.

Internamente, la aplicación se encarga de monitorizar los patrones de comportamiento de los sistemas de la organización dentro de AWS en busca de signos de compromiso, como puedan ser el levantamiento de instancias en una región que nunca se ha utilizado, la llamada a APIs inusuales, o los cambios de políticas de contraseñas a niveles menos restrictivos y que reduzcan la seguridad de la contraseña.

Esta información es muy interesante para que los equipos de seguridad tengan notificaciones automáticas que posteriormente validarán. 

Espero que a todos los que tengáis AWS os haya resultado de interés. En el próximo post hablaré de como adaptar GuardDuty con la matriz ATT&CK de Mitre. 

¡Saludos!

Leer más
      editar

21 ene 2021

Jugando con GPOs III - Cómo detectar ataques sobre GPOs en tu Directorio Activo

Por el 21 ene 2021 con 0 comentarios

¡Muy buenas a todos!

Como ya comentamos en el primer artículo de esta serie, Windows permite activar el registro de modificaciones, creaciones y eliminaciones de las GPO de manera nativa en cualquier Controlador de Dominio. Esto nos permitiría, entre otras cosas, detectar posibles cambios no esperados en las GPO desplegadas en el Dominio. Dicho esto, visto lo que hemos reflejado en el artículo anterior, ¿con cuanto detalle podremos llegar a detectarlo con estos logs? Veámoslo.

Supongamos que conocemos conocemos lo que ha pasado con exactitud: El usuario Gauss ha creado una GPO (con permisos laxos) llamada GPO_Vulnerable y la ha asignado a la unidad organizativa Servidores_Web. Por otro lado, Pitágoras, usuario sin priivlegios, ha abusado de dicha política para añadirse como administrador local de WEB-01 y , posteriormente, se ha conectado por Powershell Remota.

Detectando el despliegue

1. ¿Cuándo y quién creó la política GPO_Vulnerable?

Sencillo, el evento 5137 tiene la respuesta. La GPO con ID {E2FE8993-F346-41F9-8C27-B1CC4E8C9D40} fue creada por el usuario Gauss (Domain Admin), el día 22/11/2020 a las 8:08 AM.

Fig 1: Contenido del evento 5137.

2. ¿Es una política transversal para todo el dominio o solo aplica a un grupo o unidad organizativa específica?

En este caso, el evento 5136 nos da la respuesta. El campo gPLink nos indica que se ha registrado el enlace de esta política a todos los miembros de la unidad organizativa Servidores_Web.

Fig 2: Contenido del evento 5136.

3. ¿Dónde podemos confirmar que estos datos son ciertos?

Para confirmar que lo que acabamos de observar en los logs es correcto y no hemos sido engañados, podemos acceder al Group Policy Management.

Fig 3: El ID único pertenece a la GPO_Vulnerable que, a su vez, aplica al OU Servidores_Web.

Detectando el abuso

4. ¿Quién ha abusado de la GPO?

De nuevo, el evento 5136 tiene la respuesta. Nuestro querido amigo Pitágoras ha modificado la política GPO_Vulnerable aunque, poco más podemos intuir.

Fig 4: Contenido del evento 5136 tras la modificación de Pitágoras.

Nota: Este evento es un tanto traicionero porque bajo el mismo identificador puede registrar cambios de mucha índole; enlace de política a un nuevo grupo o unidad organizativa, una manipulación vacía (abrirla y cerrar simplemente en el gestor de políticas) o, como en este caso, una modificación por parte de un usuario no deseado. ¡Mucho ojo con lo que parseais! 

5. ¿Cómo podemos saber qué cambios se han realizado sobre la GPO?

A nivel de detección, creo poder afirmar que con los logs de Windows no hay manera de saberlo con exactitud. Sin embargo, suponiendo que el atacante sea algo chapuzas, siempre podremos revisar la configuración actual de dicha política. Como podemos ver, Pitágoras ha modificado las características de la política para que se añada como usuario administrador cada vez que se despliegue.

Fig 5: Caracteristicas de la GPO.

Jugando a correlar

Como hemos comentado en el apartado anterior, no hay manera de detectar los cambios realizados sobre la GPO mediante el análisis del evento 5136. Sin embargo, Windows posee otros muchos logs interesantes que podemos emplear para hacer lo que tanto gusta en los SOC: CORRELAR.

6. ¿Qué podemos correlar?

Como mostramos en el artículo anterior, SharpGPOAbuse nos permite, entre otras cosas, añadir nuestro usuario como administrador local de las máquinas afectadas por la GPO vulnerada. Como bien sabemos, Windows tiene activado por defecto los eventos de seguridad que registran, tanto la adición de usuarios a grupos administrativos (evento 4732) como la creación de una sesión remota (evento 4624) y el cierre de esta (evento 4634). Si analizamos los logs del servidor WEB-01, podremos ver lo siguiente:

  • El usuario Pitágoras ha sido añadido al grupo de Administradores local por un proceso ejecutado por SYSTEM (la GPO).
Fig 6: Contenido del evento 4732.
  • Unos segundos después, Pitágoras ha iniciado sesión en dicho servidor.
Fig 7: Contenido del evento 4624.
  • Una vez dentro, ha listado los usuarios pertenecientes al grupo de Administradores locales (net localgrup Administrators).

Fig 8: Contenido del evento 4799.
  • Por último, cerró sesión.
Fig 9: Contenido del evento 4634.

Recapitulando

Hemos podido compensar la falta de información proporcionada por el evento 5136 (modificaciones sobre GPO) con otros eventos proporcionados por Windows. Gracias a esto, podemos asegurar con total certeza que el usuario Pitágoras modificó las características de la política GPO_Vulnerable para añadirse como Administrador local en todas las máquinas a las que les aplica esta GPO (en este caso, WEB-01). Tras desplegarse la política, Pitágoras se conectó de manera remota al servidor web, listó los usuarios pertenecientes al grupo de Administradores y, acto seguido, se desconectó. Todo detectado con los logs de Windows.

Para terminar, me gustaría destacar que aunque esto parezca un caso de uso bastante real y sencillo, el número de eventos generado por Windows es bastante alto en cuanto a modificaciones de GPO se refiere. En este labo, se generaron una media de 300 eventos sin prácticamente actividad, por lo que, imaginad lo que puede generar en un entorno productivo

Postdata

Como nota final, si nos topáramos con alguien travieso que decidiera borrar una GPO, también existe un evento que lo registra, el 5141. Nadie se salva 😈.

Fig 10: Contenido del evento 5141.

Nos vemos en el próximo artículo. Happy Juancking!

Leer más
      editar

20 ene 2021

Attack Guardduty Navigator

Por el 20 ene 2021 con 0 comentarios

Hola lectores. 

Hoy os traigo una interesante herramienta para mapear de manera visual los findings de Amazon GuardDuty con la matriz ATT&CK de Mitre. 


La herramienta está disponible en el siguiente enlace de GitHub y es de Anthony Randazzo, experto en Blue Team, con bastante enfoque a Cloud y en especial, a AWS, al que os recomiendo seguir para estar al tanto de las últimas novedades. 

En resumen, la herramienta nos permite ver los resultados de una manera visual y adaptada a la Matriz ATT&CK, lo que nos permite mapearlo frente a un estándar reconocido en el sector. Y es que tal y como reconoce el propio autor de la herramienta,  es muy interesante saber que donde nos encontramos con menos información y más desconocimiento en el mundo cloud, no es en la detección de amenazas en sí (que también lo es), sino en el propio mapeo que se hace de estas amenazas frente a estándares que nos permitan tener claro qué es lo que tenemos bajo control, y qué es lo que aún se encuentra sin supervisión y puede afectar negativamente a las entidades. Herramientas como Attack Guardduty Navigator nos permiten empezar a tener visibilidad en este punto.  

No podemos olvidarnos de que todavía hay mucho que aprender sobre los atacantes (y más aún en AWS y en la nube en general), por lo que todo lo que nos permita poder detectarlos, es una oportunidad de reaccionar a tiempo para las organizaciones.   

Espero que tengáis oportunidad de probar esta interesante herramienta y que sea de vuestro interés. 

Leer más
      editar

19 ene 2021

El avestruz enterrando la cabeza: ¿desde fuera habría sido lo mismo?

Por el 19 ene 2021 con 0 comentarios



Buenas a todos los lectores de Flu. Hoy quería hablaros en nuestro blog de un tema que por desgracia se repite no solo en nuestro sector, el de la ciberseguridad, sino en muchos otros en general, el de las personas que no quieren ver ni asumir la realidad del mundo que les rodea. Imagino que muchos de vosotros lo sufriréis habitualmente, tratando con gente que prefiere cambiarse de acera cuando llega la responsabilidad, no sea que les salpique y se les pegue algo, y que adoptan habitualmente la mentalidad de si no miro al problema, igual se soluciona solo. Estas actitudes pueden funcionar en organizaciones grandes y en puestos de poca responsabilidad, donde las decisiones de un empleado son de poco calado y las repercusiones, también. Pero por desgracia, a partir de determinados puestos las decisiones que se tomen pueden afectar a muchas personas, y más en grandes organizaciones que dan servicio a miles de empresas y particulares. 

Si sois asiduos a la prensa internacional, todos los días siguen cayendo hackeadas decenas de empresas de gran envergadura, donde los recursos (por su capacidad económica) no deberían ser un problema. Vivimos en un escenario de ciberamenazas creciente, donde los actores maliciosos se siguen profesionalizando, pero en el que las empresas siguen fallando en los mismos aspectos. ¿Cómo es esto posible?

En nuestro día a día tratamos con muchas organizaciones, unas más grandes y otras más pequeñas, y algo que observas tras varios años en esto es que todas ellas acaban cometiendo los mismos errores (a su nivel, lógicamente). Como ya uno empieza a ser perro viejo, durante los pentests y con cuatro ataques contados, acabas comprometiendo a una gran parte de las organizaciones desde el primer día de trabajo, consiguiendo ser administrador de toda la red y de los entornos cloud a los pocos días. Es decir, lo que viene siendo que esa organización contaría con un catálogo de malas prácticas de seguridad. Todo aquel que tenga dos dedos de frente, o que sepa un po-qui-tín de seguridad, se lleva las manos a la cabeza cuando ve los resultados y las conclusiones de un informe de estas características, ¿verdad?. Pero no son 4, ni 5 las veces que han llegado los responsables y han lanzado la frase dinamitadora de… 

 “Ya, pero desde fuera no habría sido lo mismo…”

...

...What?

Vamos a obviar por un segundo que se comprometieron cuentas de usuario mediante phishing. Vamos a obviar que existía la posibilidad de conectarse de forma remota, y que, de hecho, fueron técnicas utilizadas durante el ejercicio (cough, cough, Covid?). Incluso obviaremos que recientemente se hizo otro ejercicio similar, 100% desde el exterior, sin compartir nada de información, y que el resultado fue el mismo: compromiso total de la organización. Vamos a obviarlo todo y vamos a hablar, otra dichosa vez del…

“Modelo de Compromiso Asumido”

 
Do you feel special?

¿Qué dice el Modelo de Compromiso Asumido? Pues básicamente que no me cuentes milongas. Que por mucha confianza que tengas en tu perímetro, los atacantes pueden y podrán comprometer dicho perímetro. Que antes o después, te van a comprometer. Y que, de hecho, puede que ya estés comprometido y ni te hayas enterado. Que tu distinción entre lo externo y lo interno está a un phishing (o a un click) de desvanecerse. Que el empleado descontento existe y no es un factor de riesgo teórico. Que sigue siendo una de las principales preocupaciones de las empresas porque es uno de los mayores riesgos que existen. Que hemos participado no en uno o dos, sino en muchísimos proyectos en los que el vector de entrada había sido, precisamente, un empleado de la compañía. Sí, de esos que tienen ordenador corporativo, cuenta de dominio, y las contraseñas de la casa. Esos que incluso, intentan usar keyloggers físicos en el ordenador del jefe. Por no hablar de que no hace falta tener aprendices de brujo en casa, sino que es suficiente con encontrar a alguien que esté dispuesto a hacerse el tonto, y en un despiste, pinchar un USB en el ordenador del compañero que le cae mal. Y que si tu empleado no es tan bueno como este de Tesla, que rechazó un soborno de un millón de dólares, lo mismo la sorpresa es mayúscula.

El modelo de compromiso asumido nos obliga a un importante cambio de mentalidad. Nos obliga a dejar de confiar ciegamente en las redes, aplicaciones, servicios e identidades, internas o externas, percibiéndolas como no tan seguras e incluso, potencialmente comprometidas. 

Este modelo nos fuerza a mejorar nuestras capacidades de detección, respuesta y recuperación ante las amenazas. Nos obliga a crear un entorno altamente restringido que limite enormemente las capacidades de movimiento al adversario. Dejamos de invertir el 100% de nuestras capacidades en prevención de la brecha, para invertir en reducir el tiempo desde que se produce dicho incidente hasta su detección. Y, muy importante, nos ayuda a responder de forma rápida y adecuada, sin alertar al atacante y permitir que adapte sus técnicas en el proceso.

Estamos en 2021, seguimos con las mismas historias que hace 5 años (o más), y luego nos preguntamos por qué salimos en el telediario. Pues eso.

¡Saludos!

Leer más
      editar

18 ene 2021

TOP 15 de Amenazas de ENISA - Phishing

Por el 18 ene 2021 con 0 comentarios

 Continuamos con los informes del TOP 15 de amenazas de ENISA, y en este caso le toca al phishing


Como ya sabéis, el phishing es una técnica que busca robar información sensible o datos de autenticación a la potencial víctima a través de ingeniería social, generalmente, mediante correos electrónicos que parecen llegar de un origen legítimo. Sin embargo, es importante saber que el origen de estos ataques no es únicamente el correo, ya que los mensajes nos pueden llegar por SMS, a través de mensajes en redes sociales, software de mensajería como WhatsApp, etc.

El spear-phishing es la variante más peligrosa de este ataque, en la que se realiza un ataque dirigido contra personas concretas que previamente han sido investigadas, con el objetivo de aumentar las probabilidades de éxito del atacante.

Muchas veces el adversario busca explotar la respuesta emocional de sus víctimas, por lo que dentro del contexto de la concienciación, la simulación de ataques de phishing debe incluir este tipo de técnicas para preparar a los empleados de la organización.

Según el informe, se han producido pérdidas que exceden los 26.000 millones de dólares durante el 2019 a través del compromiso de correos mediante phishing, casi la mitad de los adjuntos maliciosos incluidos eran documentos de Office, y además se produjo un incremento del envío de mensajes del 667% en tan sólo un mes durante la pandemia del COVID-19.

Por primera vez, los servicios de pago han quedado en segunda posición como objetivo, siendo el principal objetivo las plataformas SaaS y de servicios de webmail, siendo uno de los principales objetivos los servicios de Microsoft 365. 


 Además, los adversarios evolucionan y la mayoría de ellos han desplegado sus ataques en webs con HTTPs habilitado, probablemente con el objetivo de engañar al usuario menos preparado.

Como sucedía con el malware, también se han identificado plataformas de Phishing-as-a-Service (PhaaS). Se mencionan más de 5000 kits de phishing detectados que se venden por cifras muy bajas ($50-$80 al mes) listos para lanzar ataques, y que además ya incluyen métodos de evasión mediante la codificación y el cifrado de los contenidos del email.

Las soluciones a este problema se pueden reducir mediante las siguientes aproximaciones:

  • Aumentar la concienciación entre empleados, utilizando campañas de phishing internas para entrenar de forma práctica a los empleados.
  • Usar gateways de seguridad de correo con antispam, antimalware, filtros de contenido, etc.
  • Marcar todo correo que llegue desde el exterior como tal, para dificultar que un atacante pueda intentar hacerse pasar por alguien interno a la compañía.
  • Deshabilitar la ejecución automática de código, macros, carga de imagenes de recursos externos, etc.
  • Implementar correctamente SPK, DMARC y DKIM.

Nos vemos en el próximo post, ¡saludos!

Leer más
      editar

15 ene 2021

Ciberseguridad y el cine (Parte 2)

Por el 15 ene 2021 con 0 comentarios

Buenos días lectores. 

Hoy vengo con un post con aroma a nostalgia, ya que os voy a hablar de la película "Hackers". A los que soy más jóvenes, tal vez no os suene, pero fue una película que paso en su momento por los cines sin pena ni gloria, pero que con el paso del tiempo, se ha convertido en película de culto y que merece su espacio en este hilo de post ya que en 2020, se celebró su 25 aniversario y "pasó desapercibido" 

Para los que no la hayáis visto, os dejo esta review de FilmAffinity, dónde desde mi punto de vista, tenéis una descripción muy acertada sobre la película:

En resumen, es una película de aventuras de 1995 con un puntito ingenuo y visionario cuya temática esta llena de pequeños guiños al mundillo de la ciberseguridad y de la informática en general, en un momento en que las redes y la programación estaba en pleno crecimiento. 

Aún hoy, casi 26 años después toca temas de actualidad ya que está en el día a día que a través de la explotación de brechas de seguridad en los sistemas informáticos se puedan producir sabotajes, espionaje, seguimientos, exfiltraciones, secuestros de datos... 

En definitiva Hackers tiene un punto ingenio y divertido, con sus patinetes y sus pulsaciones de teclado a ritmos vertiginosos, pero hace reflexionar sobre lo que está ocurriendo ahora mismo con ordenadores más potentes y más usuarios en las redes, y es que, como en esta peli, la gente sigue siendo completamente ignorante de lo que de verdad ocurre en el "ciberespacio" y continúan poniendo contraseñas débiles (a todo el que le preocupe este tema, os recomiendo este post). 

De hecho, como dijo hace poco su director, empieza a estar "tan de moda" la temática tratada, que 25 años después, puede ser el momento de tener una secuela en la que se traten temas como el Big Data, las fakenews o los leaks de información. La película no es una película de 10, pero si que debería hacer reflexionar sobre lo que nos podemos encontrar en el ciberespacio.

Espero que disfrutéis de la película. 

¡Hasta la próxima!




Leer más
      editar

14 ene 2021

CISSP: Cheatsheets y otros recursos (vol 2)

Por el 14 ene 2021 con 0 comentarios

 Hola lectores. 

Hace un tiempo mi compañero Francisco os trajo un completo post para todos aquellos que os estéis preparando el CISSP, con una serie de Cheatsheets y recursos útiles para preparar el examen. 

Para los que no lo conozcáis, existe un blog en chino e inglés, el blog de  Wentz Wu dónde este instructor del CISSP publica de manera regular y gratuita preguntas del CISSP, qué el mismo contesta y razona.


Por otro lado tiene una serie de publicaciones que personalmente me parecen muy interesantes, ya que recopila los mejores hilos de Reddit que existen para prepararse el CISSP. En ellos, se comenta el proceso que han seguido para preparar el examen, qué documentación se han leído y que test se han realizado, para pasar el examen. En el siguiente enlace tenéis la recopilación de Wentz Wu y un ejemplo de lo que os podréis encontrar en Reddit


Espero que a todos los que os estéis preparando la certificación os sea de utilidad.

Nos vemos pronto. 

Leer más
      editar

13 ene 2021

Jugando con GPOs II - Cómo abusar de una pobre GPO

Por el 13 ene 2021 con 0 comentarios

¡Muy buenas a todos! 

En el primer artículo vimos como activar los logs de un Controlador de Dominio para registrar los cambios que se realicen sobre las GPOs. En esta segunda parte, vamos a aprovechar una mala configuración de una de estas GPOs para ganar acceso como administrador sobre uno de los equipos afectados. Para ello, nuestro laboratorio constará de los siguientes elementos: 

  • Un Controlador de Dominio (DC-01).
  • Una unidad organizativa (OU) llamada Servidores_Web.
  • Un servidor web enrolado en el dominio (WEB-01) y perteneciente a la unidad organizativa Servidores_Web.
  • Un usuario de dominio sin acceso al servidor web (Pitágoras).
  • Una GPO que afecta a los equipos que forman parte de la unidad organizativa Servidores_Web y sobre la que Pitágoras tiene permisos de edición.

Creando la GPO vulnerable

En nuestro Controlador de Dominio crearemos la unidad organizativa Servidores_Web y, dentro, la GPO (GPO_Vulnerable).

Fig 1: Creando la GPO.
Una vez creada, añadiremos la configuración errónea que nos permitirá explotarla, es decir, al usuario Pitágoras le daremos permisos de edición sobre dicha GPO.

Fig 2: Añadiendo a Pitágoras como editor de la GPO.

Por último, añadiremos el servidor web WEB-01 a la unidad organizativa Servidores_Web para que dicha GPO le aplique. 

Fig 3: WEB-01 es miembro del OU Servidores_Web

Con esta configuración, el usuario Pitágoras tiene permisos de edición sobre la GPO GPO_Vulnerable que aplica a los miembros de la unidad organizativa Servidores_Web o, lo que es lo mismo, el equipo WEB-01.

Localizando GPO vulnerables

Imaginemos que tenemos una sesión en el equipo WKSTN-01 (equipo en dominio) como Pitágoras y hemos conseguido cargar Powerview, ¿cómo localizamos GPO vulnerables? 

Para ello empleamos el siguiente comando: Invoke-ACLScanner -ResolveGUIDs| ? {$_.IdentityReferenceName -eq "Pitagoras"}. Con él podremos identificar todas las ACL interesantes del dominio que aplican a nuestro usuario Pitágoras.

Fig 4: ACL interesantes.

Como podemos observar en la imagen anterior, Pitágoras tiene permisos de lectura y escritura sobre cierta política. Para saber qué política es y sobre quién aplica, podemos emplear los siguientes comandos:

  • Get-DomainGPO -Identity '{E2FE8993-F346-41F9-8C27-B1CC4E8C9D40}' | select DisplayName
  • Get-DomainOU -GPLink "{E2FE8993-F346-41F9-8C27-B1CC4E8C9D40}" -Properties DistinguishedName  
  • Get-DomainComputer | where { $_.DistinguishedName -match "Servidores_web" } |select DnsHostName

Fig 5: Enumerando la GPO.

Realizando estos pasos, hemos obtenido la siguiente información: Pitágoras tiene permisos para modificar la GPO GPO_Vulnerable que aplica al equipo WEB-01 que es miembro de la unidad Servidores_Web. Enumeración completada.

Atacando la GPO

Para abusar de la configuración errónea de la GPO, vamos a emplear la herramienta SharpGPOAbuse con la que, con un simple comando, podremos añadir nuestro usuario Pitágoras como Administrador Local de WEB-01. Primero, veamos que no tenemos permisos para obtener una sesión remota desde WKSTN-01 en WEB-01.

Fig 6: Comprobando que no tenemos acceso a WEB-01.

Sin embargo, si abusamos de la GPO con SharpGPOAbuse y esperamos a que se actualice la configuración de directivas de grupo, tendremos acceso como Administrador Local.

Fig 7: Convirtiéndonos en Administrador de WEB-01.

Nota: de media, la actualización de las directivas ocurre cada 90 minutos, por lo que, en este caso, hemos forzado una actualización mediante el comando gpupdate /force en el equipo WEB-01.

Fig 8: Gpupdate /force es mejor que esperar.

En el próximo artículo, analizaremos los logs que tenemos disponibles e intentaremos evidenciar el ataque que acabamos de realizar.

Happy Juancking!

Leer más
      editar
< >