15 ene 2021

Ciberseguridad y el cine (Parte 2)

Por el 15 ene 2021 con 0 comentarios

Buenos días lectores. 

Hoy vengo con un post con aroma a nostalgia, ya que os voy a hablar de la película "Hackers". A los que soy más jóvenes, tal vez no os suene, pero fue una película que paso en su momento por los cines sin pena ni gloria, pero que con el paso del tiempo, se ha convertido en película de culto y que merece su espacio en este hilo de post ya que en 2020, se celebró su 25 aniversario y "pasó desapercibido" 

Para los que no la hayáis visto, os dejo esta review de FilmAffinity, dónde desde mi punto de vista, tenéis una descripción muy acertada sobre la película:

En resumen, es una película de aventuras de 1995 con un puntito ingenuo y visionario cuya temática esta llena de pequeños guiños al mundillo de la ciberseguridad y de la informática en general, en un momento en que las redes y la programación estaba en pleno crecimiento. 

Aún hoy, casi 26 años después toca temas de actualidad ya que está en el día a día que a través de la explotación de brechas de seguridad en los sistemas informáticos se puedan producir sabotajes, espionaje, seguimientos, exfiltraciones, secuestros de datos... 

En definitiva Hackers tiene un punto ingenio y divertido, con sus patinetes y sus pulsaciones de teclado a ritmos vertiginosos, pero hace reflexionar sobre lo que está ocurriendo ahora mismo con ordenadores más potentes y más usuarios en las redes, y es que, como en esta peli, la gente sigue siendo completamente ignorante de lo que de verdad ocurre en el "ciberespacio" y continúan poniendo contraseñas débiles (a todo el que le preocupe este tema, os recomiendo este post). 

De hecho, como dijo hace poco su director, empieza a estar "tan de moda" la temática tratada, que 25 años después, puede ser el momento de tener una secuela en la que se traten temas como el Big Data, las fakenews o los leaks de información. La película no es una película de 10, pero si que debería hacer reflexionar sobre lo que nos podemos encontrar en el ciberespacio.

Espero que disfrutéis de la película. 

¡Hasta la próxima!




Leer más
      editar

14 ene 2021

CISSP: Cheatsheets y otros recursos (vol 2)

Por el 14 ene 2021 con 0 comentarios

 Hola lectores. 

Hace un tiempo mi compañero Francisco os trajo un completo post para todos aquellos que os estéis preparando el CISSP, con una serie de Cheatsheets y recursos útiles para preparar el examen. 

Para los que no lo conozcáis, existe un blog en chino e inglés, el blog de  Wentz Wu dónde este instructor del CISSP publica de manera regular y gratuita preguntas del CISSP, qué el mismo contesta y razona.


Por otro lado tiene una serie de publicaciones que personalmente me parecen muy interesantes, ya que recopila los mejores hilos de Reddit que existen para prepararse el CISSP. En ellos, se comenta el proceso que han seguido para preparar el examen, qué documentación se han leído y que test se han realizado, para pasar el examen. En el siguiente enlace tenéis la recopilación de Wentz Wu y un ejemplo de lo que os podréis encontrar en Reddit


Espero que a todos los que os estéis preparando la certificación os sea de utilidad.

Nos vemos pronto. 

Leer más
      editar

13 ene 2021

Jugando con GPOs II - Cómo abusar de una pobre GPO

Por el 13 ene 2021 con 0 comentarios

¡Muy buenas a todos! 

En el primer artículo vimos como activar los logs de un Controlador de Dominio para registrar los cambios que se realicen sobre las GPOs. En esta segunda parte, vamos a aprovechar una mala configuración de una de estas GPOs para ganar acceso como administrador sobre uno de los equipos afectados. Para ello, nuestro laboratorio constará de los siguientes elementos: 

  • Un Controlador de Dominio (DC-01).
  • Una unidad organizativa (OU) llamada Servidores_Web.
  • Un servidor web enrolado en el dominio (WEB-01) y perteneciente a la unidad organizativa Servidores_Web.
  • Un usuario de dominio sin acceso al servidor web (Pitágoras).
  • Una GPO que afecta a los equipos que forman parte de la unidad organizativa Servidores_Web y sobre la que Pitágoras tiene permisos de edición.

Creando la GPO vulnerable

En nuestro Controlador de Dominio crearemos la unidad organizativa Servidores_Web y, dentro, la GPO (GPO_Vulnerable).

Fig 1: Creando la GPO.
Una vez creada, añadiremos la configuración errónea que nos permitirá explotarla, es decir, al usuario Pitágoras le daremos permisos de edición sobre dicha GPO.

Fig 2: Añadiendo a Pitágoras como editor de la GPO.

Por último, añadiremos el servidor web WEB-01 a la unidad organizativa Servidores_Web para que dicha GPO le aplique. 

Fig 3: WEB-01 es miembro del OU Servidores_Web

Con esta configuración, el usuario Pitágoras tiene permisos de edición sobre la GPO GPO_Vulnerable que aplica a los miembros de la unidad organizativa Servidores_Web o, lo que es lo mismo, el equipo WEB-01.

Localizando GPO vulnerables

Imaginemos que tenemos una sesión en el equipo WKSTN-01 (equipo en dominio) como Pitágoras y hemos conseguido cargar Powerview, ¿cómo localizamos GPO vulnerables? 

Para ello empleamos el siguiente comando: Invoke-ACLScanner -ResolveGUIDs| ? {$_.IdentityReferenceName -eq "Pitagoras"}. Con él podremos identificar todas las ACL interesantes del dominio que aplican a nuestro usuario Pitágoras.

Fig 4: ACL interesantes.

Como podemos observar en la imagen anterior, Pitágoras tiene permisos de lectura y escritura sobre cierta política. Para saber qué política es y sobre quién aplica, podemos emplear los siguientes comandos:

  • Get-DomainGPO -Identity '{E2FE8993-F346-41F9-8C27-B1CC4E8C9D40}' | select DisplayName
  • Get-DomainOU -GPLink "{E2FE8993-F346-41F9-8C27-B1CC4E8C9D40}" -Properties DistinguishedName  
  • Get-DomainComputer | where { $_.DistinguishedName -match "Servidores_web" } |select DnsHostName

Fig 5: Enumerando la GPO.

Realizando estos pasos, hemos obtenido la siguiente información: Pitágoras tiene permisos para modificar la GPO GPO_Vulnerable que aplica al equipo WEB-01 que es miembro de la unidad Servidores_Web. Enumeración completada.

Atacando la GPO

Para abusar de la configuración errónea de la GPO, vamos a emplear la herramienta SharpGPOAbuse con la que, con un simple comando, podremos añadir nuestro usuario Pitágoras como Administrador Local de WEB-01. Primero, veamos que no tenemos permisos para obtener una sesión remota desde WKSTN-01 en WEB-01.

Fig 6: Comprobando que no tenemos acceso a WEB-01.

Sin embargo, si abusamos de la GPO con SharpGPOAbuse y esperamos a que se actualice la configuración de directivas de grupo, tendremos acceso como Administrador Local.

Fig 7: Convirtiéndonos en Administrador de WEB-01.

Nota: de media, la actualización de las directivas ocurre cada 90 minutos, por lo que, en este caso, hemos forzado una actualización mediante el comando gpupdate /force en el equipo WEB-01.

Fig 8: Gpupdate /force es mejor que esperar.

En el próximo artículo, analizaremos los logs que tenemos disponibles e intentaremos evidenciar el ataque que acabamos de realizar.

Happy Juancking!

Leer más
      editar

12 ene 2021

Clickbait: Las cifras de los ciberataques nos mienten... ¿o no?

Por el 12 ene 2021 con 1 comentario

Buenas a todos. Durante los últimos años cuando se hablaba sobre los ciberataques sufridos por las empresas, la ciudadanía ha sido testigo de una guerra de cifras, un aluvión de datos que, de ser realidad, significarían que casi la totalidad de nuestro tejido empresarial habría sido comprometido. ¿Es esto cierto? En parte sí, porque hoy en día rara es la persona física o jurídica que no se encuentra, como mínimo, en una lista de spam, en un leak de alguna red social, etc. Sin embargo, debemos de ser cautos y consecuentes con nuestras afirmaciones, dado que sembrar el miedo sin criterio no hace ningún bien a nadie, y podemos ocasionar que las empresas y la ciudadanía en general se precipiten en la toma de decisiones desacertadas. 

Los titulares de clickbait son maravillosos para ganar visitas o clientes, siempre y cuando lleven una verdad y un fundamento en su interior, pero afirmaciones como que el 91% de las empresas españolas han sido hackeadas durante 2019, como leía en la publicidad reciente de una empresa de nuestro sector, 91, así, sin anestesia y sin argumentos, creo que aportan poco, o nada.

"91" es un número entero muy concreto, un nº que se repite de forma constante en numerosos artículos generalistas de prensa desde el año 2014 (que yo haya encontrado, puede ser que hasta anterior).

¿Casualmente todos los años hackean el 91% de las empresas? ¿Cuál es la fuente original? ¿Cuál fue la población consultada? ¿Cuáles fueron las preguntas?

Encontraréis miles de cifras diferentes de cientos de estudios. Por seleccionar uno al azar, en ese año concreto, 2019, Ponemon Institute afirmaba que el 72% de las empresas habían sido hackeadas "a lo largo de su historia", y un 60% habrían sufrido un ataque en 2019. Hay nada más y nada menos que un 30% de gap. No sé Rick...


Buscando una cifra parecida, en 2018 la propia Forbes esperaba que 9 de cada 10 empresas fuesen hackeadas durante 2019, y viendo que ya ni las grandes se libran, podrían tener hasta razón. Pero es imposible comprobar este dato por más que nos empeñemos.

Uno de los grandes problemas es que la mayor parte de los ataques no se denuncian, por lo que no hay datos realistas. Y las encuestas que se realizan son, en su mayoría, en poblaciones muy limitadas y, por ello, se producen estas diferencias tan radicales entre los resultados de unos estudios y otros.

Si nos dirigimos hacia datos de verdad, como el Séptimo estudio sobre cibercriminalidad en España, con datos oficiales extraídos del Ministerio del Interior, vemos que se denunciaron 218.302 delitos relacionados con tecnología en 2019, lo que supuso un aumento en las denuncias del 35,8% frente a 2018, lo que podría justificar un aumento en los ataques, o un aumento en la concienciación de la sociedad, que se esté animando a denunciar. Sin embargo, estos datos solamente nos permiten inferir hipótesis puesto que 1) hablan de personas físicas y no de empresas (exceptuando los contados casos en infraestructuras críticas) y, lo más importante, 2) las empresas apenas denuncian, para evitar el escarnio público y su derivado daño reputacional.

Por concluir, y lo que vengo a decir con este post, es que está muy bien hablar de cifras, porque es necesario y ayuda a entender la magnitud del grave problema al que nos llevamos enfrentando varios años, pero que lo hagamos con el máximo criterio y rigor, con estudios formales, serios y por supuesto, citando siempre a las fuentes originales para que el lector pueda decidir si la cifra se la cree o no y si le aportará en una posible decisión.

¡Saludos!


Leer más
      editar

11 ene 2021

Ciberseguridad y el cine (Parte 1)

Por el 11 ene 2021 con 0 comentarios

Buenos días. 

Espero que durante las navidades hayáis tenido la oportunidad de descansar y desconectar, porque es algo que a todos nos hace falta. Por mi parte, tuve algo de tiempo libre y aproveché para disfrutar de uno de mis hobbies favoritos, el cine. Tranquilos, que no vengo a ponerme en "modo cinéfilo" y hablar de cine de autor, ni de temas películas que nada tengan que ver con el objetivo de este blog. La idea de este post, es tratar películas que tratan temas de actualidad dentro del mundo de la ciberseguridad, ya sea de manera directa, o de manera indirecta. Creo que es un tema importante y que se merece un pequeño hueco en este blog. Espero que lo acojáis con cariño y que por lo menos, a algunos de vosotros os llame la atención. 

La idea de hablar de cine y de este post en concreto, surge después de ver este anuncio de la campaña European Cybersecurity Month (ECSM) de ENISA. 

Los que nos dedicamos a esto, solemos decir que para la sociedad en general, la línea divisoria entre el mundo real y el mundo ciber prácticamente no existe y aunque se trata de algo que se ha tratado muchas veces, creo que el anuncio deja ver el problema, pero "Hater" (disponible en Netflix), lo aborda de una manera interesante y que expone la gran relación entre el mundo ciber y el mundo físico. 


Para los que no conozcan la película, os pongo algunos extractos de una crítica sobre la misma

"...La película Hater de Netflix es un claro retrato de la situación actual de la opinión pública. Somos bombardeados diariamente con miles de mensajes que pretenden apelar a nuestras emociones e influenciarnos. La mayoría de ellos son titulares sensacionalistas o noticias falsas, y su vehículo perfecto son las redes sociales. ¿Lo más siniestro? Hay empresas que se dedican a esto. El puesto de trabajo de Tomek en Best Buzz consiste en construir una estrategia a través de las redes sociales para desprestigiar a quien el cliente diga. El fin es inmoral, los medios aún más. Para conseguirlo, fabrican diariamente una gran cantidad de perfiles falsos que sirven para difundir bulos..."

La película retrata de una manera bastante acertada el mundo de las fakes news y el peso que se le da a la información sin llegar a ser contrastada. Si alguien tiene interés en este tema, aquí os dejo un post sobre el peligro de los bulos automáticos. Por otro lado, nos deja ver lo fácil que es actualmente tanto a nivel ciber, como a nivel físico, conseguir tecnología que nos permita espiar a otra persona y sacar beneficio de la información obtenida.

Espero que os guste!

Leer más
      editar

29 dic 2020

¡Hoy @FluProject hace 10 años!

Por el 29 dic 2020 con 0 comentarios

Buenas a todos, ¡hoy hacemos 10 años! Ahí es nada... ¿verdad? 10 años fantásticos tratando de acompañaros cada día durante el desayuno, con noticias y artículos de ciberseguridad para todos los niveles.


Desde aquel 29 de diciembre de 2010 que lanzamos el sitio web www.flu-project.com han ocurrido muchas cosas. Más de 2.200 artículos, 4,5 millones de visitas en el blog (desde que migramos a blogger) y más de 8 millones desde el inicio del proyecto, con picos de 20.000 visitas en un único día, eventos innumerables, herramientas con millones de descargas como Liberad a Wifi (que paramos de contar en más de 2 millones...), Flunym0us, Anubis o el propio troyano Flu, en su versión Open Source,


Pero Flu Project no son solo números, Flu es una gran familia. En este blog se iniciaron y han compartido su conocimiento muchos referentes a día de hoy como Hecky, Chema García, Dan1t0, Nicomda, Un tal Anonymous en el PC (Germán), Marc Rivero... entrevistamos a decenas de expertos como David Kennedy, creador de SET (Social Engineering Toolkit) y tuvimos colaboraciones de numerosos cracks. A lo largo de los años y tras 2 migraciones, hemos perdido algunas imágenes, pero os animo a visitar posts de hace 8 o 9 años y descubriréis verdaderas joyas de la historia de la ciberseguridad en España.

¡No queremos ponernos nostálgicos, ni enrollarnos mucho! pero han sido 10 años que a Pablo y a mí, personalmente, y a muchos de nuestros colaboradores, nos han cambiado la vida, y es que Flu, en parte, nos ha dado una profesión y nos ha permitido conocer a muchos de los que hoy son grandes amigos con los que compartimos cada día nuestra vida.

Un abrazo muy fuerte de todo el equipo que hoy está detrás del Proyecto Flu, y no dejéis de seguirnos, que este año os tenemos preparadas muchas sorpresas para conmemorar el décimo aniversario que hoy comenzamos.

¡A por otros 10 años!

Leer más
      editar

23 dic 2020

Lo mejor del año 2020, por Juan Antonio Calles (@jantonioCalles)

Por el 23 dic 2020 con 0 comentarios


Muy buenas a todos, 2020 toca a su fin, un año raro donde los haya, con sus cosas buenas, y sus cosas no tan buenas. No quiero reiterarme hablando de la pandemia del Covid, de sus repercusiones negativas para la economía, de los que ya no están y de lo que nos queda por pelear, porque prácticamente la mayoría de la ciudadanía somos conscientes, en mayor o menor medida, de la realidad que estamos viviendo y que vamos a vivir a corto-medio plazo. Es fundamental que la resiliencia y las ganas de salir adelante permeen en la sociedad, y para ello una buena opción es reflexionar sobre lo bueno que nos ha traído este 2020, y es con lo que nos deberíamos de quedar, además de aprender de nuestros errores para que no vuelvan a repetirse en el futuro. Mejora continua, como solemos decir en el sector. 

Como bien sabéis, con ese objetivo de mejora continua precisamente, desde 2013 Pablo y yo tratamos de reflexionar sobre nuestra evolución año a año, y de cómo hemos ido cambiando, desde aquellos jóvenes apasionados de la seguridad que abrieron este blog hace "casi" 10 años, a lo que somos hoy en día:

Año tras año os compartimos nuestros éxitos profesionales, lo que vamos aprendiendo, los eventos en los que hemos participado, las publicaciones que hemos ido haciendo, y un largo etc. Pequeñas batallas, para muchos insignificantes, para otros un mundo, que nos han ido enriqueciendo día a día. Este año querría abordar este post de una forma diferente, dado que mi vida en nada se parece a la de mi yo de hace un año, y mucho menos a la de mi yo de 2010. Hoy, mi día a día se basa en gestionar un grupo de empresas, en analizar financieramente todas ellas mes a mes, en estudiar nuevos mercados, en investigar posibles nuevas entidades o productos en los que invertir y en tomar decisiones de cierto calado que afectan a bastantes personas..., como veis, ¡poco tiempo me queda para investigar en ciberseguridad!

Hace ya 7 años que monté mi primera empresa, y desde entonces he tenido 4 diferentes, todas de bastante éxito y rentables desde el primer mes. Hoy en día coordino 3 de ellas, con un maravilloso equipo de casi 30 personas, que año tras año no para de crecer. De hecho, tenemos 2 vacantes abiertas actualmente y otra que abriremos en breve, para que estéis atentos por si os apetece uniros al equipo. Ellos son precisamente los que todos los días investigan, descubren nuevas vulnerabilidades, se recorren todos los eventos, escriben artículos geniales y hacen todo lo que hacía ese Juan Antonio de hace unos años, y no puedo estar más orgulloso de lo grandes que son todos ellos, tanto a nivel profesional, como personal. 

Aunque tengo poco tiempo para seguir investigando y trasteando, todavía trato de seguir vinculado a la seguridad y en concreto a mis áreas preferidas, la Inteligencia y el Forense, y de hecho, además de mi labor como CEO del Grupo Zerolynx, sigo dirigiendo el departamento interno de Inteligencia y Forense, liderando todas las investigaciones, ratificando informes en los juzgados y ayudando a coordinar a un equipo muy diverso de analistas, forenses, directores de seguridad y detectives, a los que trato de ayudar en todo lo posible para llevar a buen puerto cada caso que recibimos.

Mi día a día en este 2020 se ha centrado por y para el Grupo Zerolynx, mimando cada detalle para tratar de ser disruptivos en un mercado cada vez más colmado, en el que lo verdaderamente diferencial son las personas. Aún así, tuve algo de tiempo para participar en algunos eventos públicos, como la ShellCON, donde presenté junto a mi compañero Jesús una segunda parte de nuestra conferencia sobre Quic, algunas conferencias sobre emprendimiento que tuve el placer de impartir en varias universidades como la UEM o la UPM, varios bootcamps sobre análisis forense, como el de Zerolynx o el de GeeksHub, y algún que otro evento destacado como nuestra primera FluCON, la C0r0n4CON o el taller online que impartí en C1b3rwall, La verdad que, a pesar de que este año no he tenido apenas tiempo para investigar e impartir conferencias y cursos, he vuelto a superar las 30 intervenciones tanto a nivel público, como privado, y es que muchas veces cuando alguien te llama para ayudarles en un evento, es difícil decirles que no.


Este año lanzamos también el proyecto Open Mobility Security Project, un proyecto abierto dedicado a estandarizar un marco de controles técnicos con el objetivo de evaluar la ciberseguridad en todo tipo de vehículos. Llevamos unos meses sin actualizar los controles, pero eso no quiere decir que el proyecto esté paralizado, sino todo lo contrario. Desde la empresa estamos invirtiendo mucho dinero en la ciberseguridad del vehículo conectado, y estamos auditando vehículos muy diversos en estos momentos, y precisamente por ello, no queremos aventurarnos en liberar controles precipitadamente, estamos preparando algo realmente valioso para toda la comunidad y lo lanzaremos a su debido tiempo, cuando su madurez sea la adecuada.


También, este año me hicieron varias entrevistas, pero hay una que me hizo especial ilusión, la de Revista SIC del nº de septiembre que ocupó sus páginas centrales. Pepe y Luis son el alma máter de la revista más popular del sector y dos personas que admiro muchísimo. Llevan 30 años informando de todas las novedades en Ciberseguridad, ahí es nada, y con esta entrevista, dirigida por otro gran profesional como es José Manuel Vera, quisieron reconocer el trabajo de todo el equipo de Zerolynx y su importante peso en el panorama nacional.


De este año también destacaría las intervenciones en el documental de C. Otto de El Enemigo Anónimo, o el reconocimiento que me hizo Microsoft como MVP en Azure, una tecnología con la que trabajamos mucho en Zerolynx y una a la que he dedicado muchas horas este año, tanto por los temas evidentemente profesionales, como por hobby.


Tanto es así, que tenéis una interesante cadena mía en Flu Project que os recomiendo leer si queréis comenzar a formaros Cloud y en Azure:


También este año reconocieron la especialización del Laboratorio Forense de Zerolynx, situándolo en el Top 10 de Europa desde la Enterprise Security Magazine. Un equipo que comienza a ser reconocido por liderar varios casos que han tenido una destacada repercusión mediática.


No quiero extenderme mucho más, ha sido un gran año a nivel profesional y personal, y en el que todos en general hemos tenido que enfrentarnos a las dificultadas del día a día, para nada desdeñables, en un entorno nuevo, en ocasiones hostil, en el que hemos tenido que aprender a "digitalizar" situaciones cotidianas y en un tiempo récord, que hace un año considerábamos imposibles. Brindemos por lo bueno que nos haya traído a cada uno este 2020, y luchemos por seguir adelante para que este 2021 no frene todos nuestros sueños.

¡Un fuerte abrazo a todos y que paséis unas Felices Fiestas!
Leer más
      editar

21 dic 2020

Año 2020. My Backup. Lo mejor del año. @pablogonzalezpe

Por el 21 dic 2020 con 3 comentarios

El año 2020 nos ha cambiado la vida a todos. Nos ha mostrado algo que pensábamos que era imposible y es cómo algo tan pequeño puede cambiar el mundo, cambiar nuestra rutinas, nuestras dinámicas y parar el mundo. Algo a lo que al principio no hicimos demasiado caso paro nuestras vidas entrando en el mes de marzo. La vida no es cómo hace un año cuando Juan Antonio y yo mostrábamos nuestros resúmenes del año. Ha sido un año intenso, con mucho dolor para muchos, hemos visto cómo mucha gente se iba antes de tiempo debido a lo que hemos pasado. Hemos visto cómo amigos han sufrido, cómo familiares han sufrido, independientemente de las edades. 

Sea como sea, al menos yo, he aprendido muchas cosas. He valorado la fortaleza del ser humano al ser capaz de luchar contra un virus que no era una simple gripe. He visto como el ser humano ha sido capaz de amoldarse, continuar con la vida, porque una cosa me ha quedado clara y es que la vida no para. Esto no es un año perdido. Hemos podido hacer muchas cosas. Teníamos una gran nube que anunciaba una gran tormenta, pero desde tiempos incontables el ser humano ha sabido luchar, adaptarse a las circunstancias y ser resiliente. Sí, el ser humano es resiliente. 

Decidí afrontar la vida de otra forma desde marzo. A nivel personal, que nada tiene que ver con lo profesional, tenía unos objetivos. Decidí continuar y pelear por ellos. Sin escuchar a los que dicen "este es un año perdido". Cuando escuches eso, revisa tu fecha de nacimiento del DNI y revisa la fecha en la que te encuentras. No puedes perder un año de tu vida. Debemos seguir adelante, haciendo todo lo que podamos en las situaciones y escenarios en los que nos encontramos. La vida sigue y tus sueños y objetivos siguen estando igual de lejos. Lúchalos. Persíguelos. A veces nos tocará luchar contra los elementos, pero si nos sentamos a esperar ocurrirán dos cosas: perderé tiempo, es decir, la probabilidad de conseguir dicho objetivo y estaré seguro de que no conseguiré mi sueño, ya que si no hay esfuerzo no hay éxito. Nadie nos garantiza el éxito, pero lo que sí nos garantiza la vida y el paso del tiempo es que si no lo lo intentamos no lo conseguiremos. 

Este año que cerramos ha estado lleno de momentos complejos, duros, impensables hace solo 365 días. Nos ha dejado muchos gestos positivos de una sociedad que nos habíamos acostumbrado a otra vida. Para bien y para mal hemos sacado valores y en algunos casos los hemos echado de menos, pero al final la suma de todos es importante para salir adelante. Todos hemos podido aportar nuestro granito de arena. Poder aportar en mayor o menor medida es importante para nuestra sociedad. Ha sido duro ver a algunos que se negaban a aportar o que reflejaban falta de valores. Es duro. Seguramente todos hemos fallado en algún momento durante estos meses, a veces sin saber, sin ser conscientes, creyendo en la teoría del "si no pasa nada", pero por suerte, la mayoría aportamos. 

Seguramente estamos ante el principio del fin. Es lo que deseamos todos. No es mi intención mostraros mucho más sobre mis pensamientos sobre el tema que ha mandado nuestra vida en estos casi 10 meses, pero sea como sea, con la responsabilidad, la empatía, que es lo un componente vital para ser un ser humano, y el respeto saldremos reforzados. ¿Tú cómo quieres salir de ésta? 

Sin más, me voy a la parte de mi resumen anual sobre lo que he hecho en este último año. Un año con dos meses y medio (prácticamente) en un modo "normal" y el resto del tiempo en modo "mequedoencasa". Antes de empezar con el repaso anual, os dejo enlaces a los antiguos ejercicios. Y es que escribir es muy sano. Volcar pensamientos, volcar ideas, volcar sensaciones a una hoja, a un bloc de notas. Por ello, tanto Juan Antonio y yo hacemos esto todos los años desde 2013. Se dice pronto. Principalmente, utilizo estos enlaces para ver mi evolución. Una evolución como persona, con mis situaciones y escenarios que han ido cambiando en los últimos años. Creo que la madurez me ha llegado en muchos aspectos de la vida. Una mini-transformación que puedo ver reflejado en estos ejercicios. Eso sí, siempre aprendiendo, siempre con ganas de hacer cosas, de luchar, de soñar... uno no puede dejar de tener sueños e ilusiones. Y es que la vida cambia mucho en 7 años. Y, simplemente, estoy orgulloso. Contento y feliz. Al final, estar feliz y en paz es algo que buscamos como seres humanos. La gracia está en que para cada uno, eso, son cosas diferentes. Pero es que hay más, a este concepto, también lo podemos identificar por fases de la vida. Y es que no todos estamos siempre en el mismo momento, ni en la misma fase, ni en el mismo escenario. Nuestra felicidad puede variar en función de la fase y momento en el que nos encontremos. Persíguelo.

En enero comenzamos el año con la publicación de un nuevo libro en 0xword. El libro denominado "Empire: Hacking avanzado en el Red Team" fue escrito junto a Sebastián Castro, amigo de Colombia autor del RID Hijacking


El año continúo con las clases en la UEM. Era mi sexta promoción, siempre con ganas e ilusión. La docencia es una de mis pasiones y espero poder estar durante muchos años al pie del cañón. El 22 de enero  se celebró una nueva edición de Ciberseg en la UAH. Llevaba unos años sin estar allí y pude volver a ver a amigos como Manuel Sánchez. En esta charla hablé de la evolución de la ingeniería social y cómo la IA impactaba de lleno en ello, haciéndonos muy difícil el diferenciar lo real de lo que no lo es. 

El fin de semana del 24 de enero estuve en Sh3llcon. Era la sexta edición. Allí hice de todo. Taller de auditoría a BLE, charla sobre deepfakes y preparé un reto del CTF basado en un juego con BLE y una Micro:Bit. He tenido el honor de estar en las seis ediciones de Sh3llcon. Y como bien saben ellos, siempre que quieran estaré. Primero porque es mi tierra, igual que lo es Móstoles. Segundo porque es un placer disfrutar de una de las ciudades más bonitas de España. 

En febrero seguimos con las universidades, clases presenciales, clases online, alguna masterclass y llegó la MorterueloCON. El 29 de febrero estuve dando un taller en MorterueloCON en Cuenca. El taller fue sobre pivoting y las técnicas que podemos utilizar para ir dando saltos. Fue un placer ver a viejos amigos allí como, por ejemplo, a Rafa Otal, Eduardo Sánchez, entre otros. 

Entramos en marzo y como sabéis es la semana de Rooted CON. Como te vamos a echar de menos en marzo de 2021 Rooted. En esta ocasión impartí un par de talleres, el primero sobre Powershell Offensive, el cual celebraba su segunda edición y otro sobre Ethical Hacking. Era mi octavo año impartiendo talleres en Rooted CON, desde 2013. Siempre ha sido un honor y un placer estar. Siempre que ellos quieran, seguiré estando. Además, el sábado 7 a las 10.00 impartí la charla "Hackeando el mundo exterior a través de BLE". Por sexta vez tuve el honor de subirme a ese escenario (realmente no, porque en la historia de Rooted se ha ido celebrando en varios sitios y estuve en ellos) y poder compartir con la gente. La charla la di junto a mi compañero y amigo Álvaro Nuñez. Durante la RootedCON hice una grabación para el programa 'Viva la Vida' de Telecinco. El tema era el malware en los dispositivos móviles y cómo los malos pueden espiarnos.


En RootedCON tuve el honor de poder ver la nueva edición del libro de Metasploit para pentesters. Una edición Gold por parte de la editorial, ya que es la V edición del libro. Se dice pronto ver el número de unidades vendidas, con más de 7000. Es un orgullo, un honor y todos los adjetivos que podáis imaginar haber escrito este libro hace tantos años, que lo hayamos ido mejorando con cada edición y que hoy día sea una edición oro. Gracias 0xword. 
Justo después de RootedCON nuestro mundo comenzó a cambiar. Tuvimos que adaptarnos a una nueva forma de trabajar, en muchos casos, incluso, a una nueva forma de relacionarnos. Estamos en abril. Se nos canceló la ViCON, una CON que se celebra en Vigo y que si todo va bien en 2021 estaremos. No pudimos estar, pero estaremos. ¿Qué puedo decir de Abril? Seguimos con las clases y con la sesión de orientación laboral que desde hace años me toca dar en un Máster. Una sesión diferente, no técnica, un reto para mí. Poder dar mi visión del mercado laboral basándome en la experiencia y en lo que veo, lo que conozco y lo que intuyo. Todo para poder ayudar a los estudiantes.

En abril hicimos la primera FluCON. La celebramos invitando a un gran elenco de profesionales y con el objetivo de que el estar en casa no fuera "tan malo". Dar conocimiento y entretener era el objetivo de la CON y fue una grata sorpresa ver cómo la gente respondió. Aquí os dejo la charla que preparé para la FluCON. Además, tuve la suerte y el honor de poder entrevistar a un buen amigo como Jaime Restrepo @dragonjar. 


Unos días después se celebró la primera edición de C0r0n4CON. Una CON benéfica que tenía como objetivo recaudar dinero para la Cruz Roja. Una gran iniciativa que recaudó casi 40.000 € en su primera edición. 


Llegamos a mayo. Las clases continuaron en el modo online. Tuve una charla en Escuela 42, la cual me parece una "pasada", por su innovadora forma de aprendizaje. Además, comenzamos una serie de encuentros virtuales de autores de 0xword. Fue muy agradable comentar y compartir con otros compañeros, otros autores y cada uno con preocupaciones y puntos de vista que, creo, enriquecen y permiten la difusión de experiencias, opiniones, conocimiento, etcétera. Me quedo con lo de la sociedad de la inmediatez, un buen término que acuña nuestros tiempos. Nosotros apoyamos la cultura del esfuerzo y no tanto la de la inmediatez. Todo requiere esfuerzo y la ciberseguridad más. 





Llegamos a Junio. Empezamos el mes con hack2covid en Chile, con los amigos de la 8dot8. Antes Gabriel Bergel me hizo una entrevista en RadioDemente Chile. En la primera edición de hack2covid impartí la charla "Los niños y los pentesters nunca mienten". Días después tuve la suerte de poder dar una nueva charla en escuela 42, la verdad que siempre es agradable pasar un rato con los chicos/as y ver las ganas que tienen por aprender y evolucionar. 


Por aquella temporada los chicos de infocysec me entrevistaron. Este sitio web de Ecuador es recomendable para echar un ojo y ver el proyecto que están llevando a cabo. La difusión es importante en cualquier lugar y ellos me recuerdan a cuando Flu Project echaba a andar hace ya 10 años. Un buen rato entre amigos con Christian y Miguel. Os dejo por aquí la entrevista. Además, estuve invitado por la Comunidad DOJO de Panamá para impartir una charla sobre ingeniería social. Gracias a todo el equipo y, en especial a Eduardo Snape, por todo el cariño. 


En julio me dieron un gran noticia, la más importante de mi vida. También tuvimos defensas de TFM, ya que es la época en la que muchos alumnos presentan sus trabajos de cara a tener "libre" el verano y no tener que emplearlo en su TFM. Estuve preparando junto a mi compañero y buen amigo Fran Ramírez nuestra participación en Black Hat USA 2020 y en DefCon Edición 28. Por primera vez estaríamos en estos dos eventos. Habíamos estado en 3 BlackHat, pero siempre en la Europe. Es un orgullo poder haber estado en 4 ocasiones en un congreso como BlackHat, es algo que no es fácil, porque allí podemos ver a lo mejor de cada rincón del mundo. Grandes investigaciones, grandes investigadores y para nosotros estar allí es, simplemente, un orgullo. Con perspectiva valorar estos 4 años y el haber conseguido estar allí. Un trabajo de todos. Con pasión se alcanzan las metas. 

También me renovaron en julio el MVP de Microsoft. Desde 2017 tengo el honor de ser reconocido por Microsoft como una persona que aporta a la comunidad en el ámbito de la seguridad. Es mi 4 MVP y hasta julio de 2021, al menos, lo seré. Espero ser candidato al quinto MVP de Microsoft, lo cual sería un hito para mí, ya que no es fácil. Por otro lado, he de decir que mi amigo Juan Antonio Calles, fue nominado para MVP y ha sido su primer año como tal. 

Llegó agosto. El día 5 de agosto estuvimos en BlackHat USA Arsenal mostrando al mundo ATTPwn. Una gran experiencia y, ¿Por qué no estar una quinta vez en uno de los eventos más importantes en ciberseguridad del mundo? Trabajaremos en IdeasLocas para ello. Por otro lado, el día 7 de agosto llegó el momento de DefCon y Red Team Village. Esta charla estuvo más enfocada a mostrar la herramienta y su parte más colaborativa del proyecto. 


El día 12 de agosto la gente de 8dot8 celebrara su ya famosa 8dot8 Las Vegas. Todos los hispano hablantes que presenten trabajo en BlackHat USA o en DefCon tienen un hueco en esta CON. En esta CON especial, que generalmente se celebra en una suite de uno de los hoteles más "potentes" de Las Vegas, se presentan los trabajos en nuestro idioma. 


Durante este mes también participé en la grabación de "Dame dos minutos". Hablé sobre la sociedad actual y tecnología junto a Beatriz Cerrolaza. Os dejo aquí mis dos minutos sobre la sociedad actual y la tecnología.


Y el resto de agosto... descanso! Hay que parar en ciertos momentos del año, para coger ideas, para reflexionar, para descansar física y mentalmente. Este año no se podía viajar con facilidad, ni era recomendable hacerlo, ya que nos tocaba esperar una solución a la pandemia que tenemos encima. Tocó desconectar en casa. 

Y llegó septiembre. Cuando llega septiembre es sinónimo de eventos, de muchos eventos en muchas partes del mundo. De mucho trabajo, por eso es recomendable descansar en agosto, todo lo que se pueda. Deciros que eché mucho de menos poder estar en Rooted CON Valencia. Espero que el próximo septiembre podamos estar allí. Con nuestro lab compartiendo. 
Este septiembre llegaba con una charla en DragonJAR CON. En el año 2018 estuve por primera vez en DragonJAR CON, físicamente en Colombia y es una pena no poder haber estado este año allí compartiendo con la gente. 


El 7 de septiembre estuve en el programa de dos amigos. El programa de radio es After Work y podemos escuchar a Pablo San Emeterio y Mónica Valle. Allí hablamos sobre la experiencia que era la BlackHat y la DefCon para los españoles. El programa se puede escuchar en este enlace

El mes de septiembre iba a ser largo en lo que a trabajo se refiere. Un viernes estuve con el amigo S4vitar. Una persona que está modificando algunas cosas en la difusión del conocimiento. En mi opinión, S4vitar ha aportado un aire fresco, juvenil, desenfadado, que cualquier sector necesita. Quizá necesitemos más S4vitars, gente con mucha ilusión, que comparte, que ayuda y que solo busca la propia diversión. Tiene pasión por lo que hace y fue un placer compartir un rato con él. Os dejo la entrevista por aquí. Por cierto, seguramente si salen TOP infuencers, que de vez en cuando salen... S4vitar sería de mis favoritos ahora mismo por cómo influye y aporta ;)


La semana del 21 de septiembre estuve invitado por Yolanda Corral a su 'Palabra de Hacker'. Un espacio de difusión y compartición de conocimientos para todos los públicos. Fue un placer volver a estar con Yolanda, ya que llevábamos algún tiempo sin participar con ella. El tema de esta ocasión fue Zerologon y, sin duda, una de las vulnerabilidades del año.

El 24 de septiembre estuve en EkoParty. Cuando Diego Bruno y Javier Antúnez me comunicaron que volvería a la EkoParty fue una gran alegría. Es una de las CONs que más he disfrutado. Estuve en 2018 presentando un par de temas y he podido volver en 2020. En esta ocasión online. Si tenéis la oportunidad de ir a Buenos Aires a una EkoParty hacedlo. Sin dudarlo. En esta ocasión, impartir un taller sobre ATTPwn orientado al Red Team. 


El 29 de septiembre se celebró la segunda edición de la hack2covid. En esta ocasión hablé sobre el UAC y cómo buscar debilidades para un bypass. Revisando el año, veo que el mes de septiembre fue intenso en muchos sentidos. Al final te queda la satisfacción de haber disfrutado con lo que has trabajado. 

Llegamos a octubre. Volví a una 8dot8 para dar la Keynote. En este caso a la 8dot8 Centro, celebrada en Chile. Fue interesante compartir la previa de la Keynote con Gabriel Bergel y Gianella Marengo. Os dejo el momento y la charla.


El 9 de octubre estuve junto a mi compañero Fran Ramirez hablando en Hacktivity Hungary. Es la segunda vez que el equipo de IdeasLocas estaba en esta CON. El año pasado fue presencialmente, pero en esta ocasión tuvo que ser online. Un día después, salto virtual a LATAM. En Paraguay se celebraba HackDay Paraguay. Allí estuve aportando mi granito de arena. Gracias Victor por tus palabras hacia mí. 


El 17 de octubre estuve en Tizona CON. Una CON que se celebra en Burgos y que fue un placer estar allí compartiendo. Hay que decir que espero que el próximo año pueda ser presencial. Burgos es mucho Burgos. Quedamos para el 2021 y en presencial. Y la semana del 19 comenzó la maratón. Octubre traía muchas CONs y se vio reflejado en esa semana. 23, 24 y 25 de octubre tocaron CON. Hay que decir que gracias al formato Online se pudo estar en todos los lados, ya que si no hubiera sido inviable. Empezamos el 23 de octubre con Open Hacking Guatemala. El año pasado no pude estar con los compañeros de Open Hacking por motivos profesionales, pero en esta ocasión no quería faltar. El 24 de octubre estuve, por fin, en Bit Up Alicante. Llevaba mucho tiempo queriendo estar y por varios motivos no se pudo dar. Al final lo logré. Y para finalizar un puente de CONs estuvimos en Amalia CON en Panamá, de nuevo con el empuje de la Comunidad DOJO. Antes de pasar de mes, también he de decir que por sexto año soy profesor en la URJC, la cual es mi casa, porque es dónde crecí, me formé, conocí, valoré, etc, etc. La asignatura de seguridad avanzada del Máster de Ingeniería Informática es especial para mí, por el reto que supone. Espero que sigamos estando mucho más.

Llegamos a noviembre. Aunque no nombre en todos los meses las clases, ellas han estado ahí, conmigo, en su modalidad online. El 7 de noviembre estuve en HoneyCON. Otra edición y van unas cuantas. Para mí siempre es un honor estar con los compañeros de HoneyCON aportando. El año pasado me dieron una placa que guardo con mucho cariño y las palabras de Raúl Renales hacía mi son siempre muy especiales. Gracias por vuestras palabras, las cuales ayudan a seguir llevando mi granito de arena a cualquier lugar del mundo. El sábado 7 estuve con una charla y el domingo 8, junto a Álvaro Nuñez con un taller. Os dejo por aquí el taller.


El 28 de noviembre estuve en otra CON internacional, en esta ocasión en la NoHat de Bérgamo. Hasta el último momento estuvieron la posibilidad de que los speakers fueran presencialmente, pero no pudo ser. Esperemos que en otra ocasión podamos estar con ellos. La charla era una evolución de un trabajo del año pasado sobre las GANS y los autoencoders, pero mostrando medidas defensivas en las que se ha trabajado en IdeasLocas como parte de innovación. Os dejo la charla por aquí.


Llegamos al último mes del año, ese que aún no ha terminado. Un mes que por una razón u otra, tengo la suerte de disponer con un gran número de vacaciones. Pensar, reflexionar, descansar, coger fuerzas para un 2021 que será exigente. Sin duda es la misión de las vacaciones, pero también disfrutar, porque cada momento es único en la vida. Aunque pensemos que repetimos momentos, cada momento es único y no volverá. Hacia mediados de diciembre estuve colaborando en la segunda edición de C0r0n4 CON, con el mismo objetivo recaudar fondos para la Cruz Roja en diferentes países. Ahí estuve, aportando mi granito de arena. 

Puedo decir eso de... "y eso es todo amigos", pero antes de hacerlo quiero volver a una promesa que hice y que en diciembre toca cumplir. En el artículo "Cuando 24 horas al día no son suficientes" comenté que donaría el dinero que obtuviera ese año por responder peticiones, preguntas, a través de MyPublicInbox. Ahora, a final de año, toca hacerlo. Más de 20 mensajes recibidos este año. Contento por la gente que piensa que puedo ayudarles. También quiero recordar a la persona que pensó en mí para publicar una página en Wikipedia sobre mí, aunque esto no es de este año, pero agradecer a todos los que han aportado/modificado algo de ella. Es algo que nunca pensé tener. Así que a todos esos anónimos: Gracias.


Ahora sí, toca despedir el año. Un año extraño para muchos. Un año duro, muy duro para la gran mayoría. Un año en el que tendremos que recordar a mucha gente. Un año que nos ha cambiado de una forma u otra. Un año que no olvidaremos y que, espero, nos haya hecho mejores personas. Que nos haya mostrado lo bueno que teníamos y nos proporcione las herramientas para hacer del futuro algo mejor. Yo seguiré, a través de la tecnología, aportando mi granito de arena. Con las mismas ganas que siempre. Con las ganas de un chaval que comienza, como las palabras que me dedicaba mi amigo Raúl Renales en un periódico. 


Os deseo que paséis las fiestas de la mejor forma. Siendo responsables. Siendo felices con lo que podamos hacer y disfrutando del que tengamos al lado. Así lo haré yo. Prometemos mucha más guerra el año que viene, seguiremos aportando y es que eso es lo que hacemos cada uno de nosotros aportar a un todo. Gracias a todos los que me apoyan, amigos, compañeros, familiares y a ti (y a él). ¡A por el 2021!
Leer más
      editar

15 dic 2020

Jugando con GPOs I - Cómo registrar cambios sobre GPOs en tu Directorio Activo

Por el 15 dic 2020 con 0 comentarios

¡Muy buenas a todos!

Hoy damos comienzo a una nueva serie de artículos en Flu, esta vez, sobre GPOs (Group Policy Objects). Durante los próximos tres artículos vamos a tratar los siguientes temas:

  • Parte I: Habilitaremos los logs en un Controlador de Dominio para monitorizar los cambios sobre las GPOs de nuestro Directorio Activo.
  • Parte II: Con los logs activados y actuando como un atacante, explotaremos una configuración errónea de una de las GPO desplegadas (GPO abuse).
  • Parte III: Analizaremos los logs generados en el DC desde el punto de vista de un analista para intentar detectar los cambios realizados por el atacante.

Dicho esto, ¡comencemos!

Fig 1: Una definición de GPO muy intuitiva.

Introducción a las GPO

Según Microsoft, una GPO es una colección de políticas del sistema con nombre único (GUID). En castellano, es un objeto donde podemos definir políticas a aplicar sobre determinados grupos del directorio activo. Por ejemplo, deshabilitar el administrador local de máquina de todos los equipos pertenecientes al grupo Recursos Humanos. 

Bien, como os podéis imaginar, las GPOs son muy potentes; una mala configuración sobre sus permisos podría permitir a un usuario modificar sus políticas y, por ende, afectar a los grupos que cuelguen de esa GPO (imaginad si, en el caso anterior, un usuario pudiera reactivar el administrador local, por ejemplo). Para registrar los cambios sobre las GPOs (modificación, creación y eliminación), es necesario que sigamos los siguientes pasos. 

Nota: Para entrar en detalle, podéis seguir este artículo.

Cómo habilitar los logs

Primero, tendremos que activar los logs de cambios del Directory Service.

Fig 2: Active Directory Service Changes tiene que estar en "Success".

Con esta configuración activa, los cambios sobre las GPOs se empezarán a incluir en los eventos de Windows, sin embargo, de todos los eventos posibles que se pueden generar (5136, 5137, 5138, 5139), solo se registraran de manera automática los de modificación (5136).

Fig 3: Únicos eventos generados tras activar los logs.

Para mejorar esta pobre recolección, tendremos que habilitarlos mediante una entrada específica en su SACL, para ello, emplearemos el editor de ADSI.

Fig 4: Mejorando la generación de logs con ADSI.

Una vez dentro (os vuelvo a remitir al artículo de antes), crearemos las reglas de control de acceso. 

Fig 5: Reglas de auditoría que nos tienen que quedar tras activarlas.

La primera aplicará al propio objeto (Policies) y habilitará el check para registrar creaciones de GPO, es decir. todo objeto creado dentro de Policies (evento 5137). 

Fig 6: Eventos generados por la primera regla.

La segunda, aplicará a todos los objetos que caigan de Policies y registrará el borrado y las modificaciones de las GPOs existentes (eventos 5136 y 5141).

Fig 7: Eventos generados por la segunda regla.

Contenido de uno de los logs generados

Como podéis observar, con los cambios que hemos realizado, ya tenemos capacidad para detectar creaciones, modificaciones y eliminaciones de GPOs. Además, si entramos en el contenido de estos eventos, podremos identificar también el usuario que lo ha realizado, la hora, el GUID de la GPO eliminada... permitiéndonos tener una mayor trazabilidad sobre estos cambios.

Fig 8: Ejemplo de evento de borrado de una GPO.


En el próximo artículo, veremos como abusar de una mala configuración de GPO para adquirir privilegios de Administrador sobre un equipo vulnerable, pero ya será en 2021, porque los compañeros de Zerolynx haremos a partir de hoy un merecido descanso hasta después de las vacaciones de Navidad :)

En unos días contaréis con las habituales reflexiones del año de mis compañeros Pablo González y Juan Antonio Calles. 

Por mi parte, ¡desearos unas felices fiestas a todos!

Y... Happy Juancking!

Leer más
      editar

14 dic 2020

Conclusiones de la 18th ESCAR Europe

Por el 14 dic 2020 con 0 comentarios

 


[English post below]

Hace unas semanas, estaríamos de vuelta del viaje a Alemania para asistir a la 18ª edición del ESCAR Europe. Seguramente muy emocionados compartiendo todo lo aprendido en el congreso, abriendo nuevas oportunidades de negocio surgidas de los cafés de networking y fardando con los amigos de aprovechar la ocasión para visitar ciudades, museos de automoción, circuitos...

En esta ocasión y con mucho criterio, el congreso se ha realizado en modalidad online. Pero esto no significa que haya sido monótono y distante, sino una experiencia alternativa y positiva. Los organizadores han hecho uso de las aplicaciones y plataformas que mejor se adaptan a las necesidades de un congreso, junto a una retransmisión en directo coordinada desde una realización estilo televisión, de tal forma que las ponencias se sucedían de forma ordenada siendo previamente presentadas y comentadas por lo organizadores del evento, sin dejar al margen la interacción con los espectadores.

Las ponencias se dividían en múltiples salas: La sala principal del evento (Talque app) y las salas correspondientes a los patrocinadores (Cisco Webex, MS Teams, Zoom Video...). El problema que se plantea en este formato online y que sería óptimo mejorar de cara a posteriores ediciones, es que no hay tiempo para realizar el cambio de sala. Sería óptimo facilitar un breve intervalo de tiempo que permita cambiar de la aplicación principal del evento a las plataformas secundarias empleadas por los patrocinadores, ya que no hay margen para hacer el cambio de sala entre el final de una ponencia y el comienzo de otra, perdiendo siempre el tiempo de preguntas de la ponencia actual o la introducción de la siguiente.

Si algo caracteriza a ESCAR respecto otras conferencias, es su enfoque sobre ciberseguridad en el sector de la automoción, añadiendo este año pinceladas sobre ciberseguridad en infraestructura ferroviaria. Repasando la temática de este año [1], de nuevo ha sido muy amplia y de gran calidad, actualizada y contando con la participación de profesionales reconocidos en el sector. Se ha podido asistir a ponencias de todo tipo de especialidades técnicas relacionadas con la ciberseguridad en automoción, ya sea normativa aplicable, análisis de riesgos, hardware hacking, monitorización de ECUs y seguridad ante computación cuántica entre otros. En futuros posts comentaremos estas temáticas en profundidad.

Para aquellos que estén acostumbrados a asistir a conferencias técnicas de ciberseguridad, notarán una diferencia muy grande en que gran parte del espacio temporal es ocupado por ponencias de las empresas patrocinadoras, en las cuales explican las novedades introducidas por sus productos y su aproximación a las nuevas necesidades del mercado, generalmente a alto nivel sin entrar en el detalle técnico que nos gustaría conocer.

El oscurantismo característico de la industria de la automoción se hace notar de nuevo en esta edición. A falta de pocas semanas para que entre en aplicación el Reglamento de Naciones Unidas (WP.29) ECE/TRANS/WP.29/2020/79 [2] que afectará a 54 países miembro, no se ha presentado ninguna ponencia de OEMs que expliquen su visión de cómo se está abordando la nueva normativa, problemas de inconsistencia que puedan haber detectado, nuevas tecnologías y procesos introducidos o algún tipo de comentario que indique qué se está haciendo al respecto.

El hecho de que rara vez se publique un CVE asociado a un vehículo no nos sorprende, pero ver en una gráfica el total de CVEs de las principales marcas de la industria nos debería de abrir los ojos.

En la imagen superior, mostrada en la ponencia Global Automotive Cybersecurity [3], se resume el panorama de vulnerabilidades descubiertas en productos del sector. Como se puede apreciar, el número de CVEs publicados es diminuto en comparación con el mundo IT, de hecho muchas marcas reconocidas no tienen ningún CVE publicado. Este listado es encabezado por Tesla, seguido por BMW y Mercedes-Benz. En mi opinión, que una marca tenga CVEs no es malo, es bueno. Cualquier sistema que disponga de la complejidad tecnológica de un coche es altamente probable que presente vulnerabilidades con el avance de la tecnología, por lo que aceptar públicamente los errores y demostrar su corrección es la mejor forma de exponer que se está tomando la ciberseguridad en serio y se está haciendo un buen trabajo al respecto.

Para complementar las ponencias, se han propuesto tres talleres de una duración de tres horas, de los cuales, he tenido la oportunidad de asistir al taller Automotive Cybersecurity Testing. Éste han sido tres horas de puro marketing del proceso, haciendo una acertada aproximación teórica pero solo incluyendo pinceladas a nivel técnico. No es una sorpresa, ya que la presencia de metodologías de testing de ciberseguridad de vehículos es prácticamente inexistente. De ahí la importancia de participar en el desarrollo del proyecto Open Mobility Security Project [4] y que este sea adoptado como herramienta de referencia.

De cara a la siguiente edición, me gustaría que aumentasen los contenidos a nivel técnico sobre las tecnologías E/E que componen los vehículos y algo menos de procesos a alto nivel, ya que estos pueden llegar a ser repetitivos, pero siempre manteniendo un amplio espectro temático que satisfaga a todos los asistentes.

Para todos aquellos que no hayáis podido asistir y os gustaría poder acceder a los contenidos, en la página web de ESCAR [5], en su área de descargas, con un simple registro tendréis acceso a todos los papers y presentaciones de las pasadas ediciones, en su versión europea y norteamericana. Además, una vez finalizado el congreso, las ponencias pueden ser vistas en diferido en la misma plataforma de streaming empleada, algo muy útil en caso de no poder asistir a dos ponencias solapadas en el tiempo o mismamente si se desea hacer un repaso.

Espero que el próximo año sea posible la celebración presencial del 19th ESCAR Europe y de nuevo podamos compartir allí nuestro conocimiento y experiencia con profesionales provenientes de todo el mundo.

Referencias

[1] https://www.flu-project.com/2020/12/18th-escar-europe.html

[2] http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

[3] Global Automotive Cybersecurity. Upstream Security. ESCAR Europe 2020.

[4] https://www.flu-project.com/2020/03/open-mobility-security-project-omsp-is-released.html

[5] https://www.escar.info/downloads.html


18th ESCAR Europe. Review.

A few weeks ago, we would be back from the trip to Germany to attend 18th ESCAR Europe. For sure sharing excited everything learned in the congress, opening new job opportunities from networking coffees and showing off to our friends the occasion to visit cities, automotive museums, circuits...

On this occasion and with great judgment, the congress was online. But this doesn't mean that it was monotonous and distant, but a positive and alternative experience. Organizers have made use of the best apps and platforms to develop a congress, with a live broadcast coordinated as a tv show in such a way presentations were made in order and previously commented, without leaving behind the interaction of viewers.

Presentations were divided in multiple rooms: The main room (Talque app) and partner's rooms (Cisco Webex, MS Teams, Zoom Video...). The problem with this distribution in an online event and which will be great to improve for next editions, is that there is no spare time to change between room apps. It would be optimum to set some time for it without losing the questions time or the start of the next presentation.

If something is characteristic to ESCAR it is its focus over automotive cybersecurity, adding this year some railway cybersecurity. Making a review of this year's topics [1], as always it was large and with a lot of quality, up to date and having renamed professionals. It has been possible to attend presentations with all kinds of automotive cybersecurity specialties as regulation compliance, risk analysis, hardware hacking, ECU monitoring and security against quantum computing between much more. We will speak in depth about some topics in later posts.

Those who are used to assist to general cybersecurity focused conferences will notice much difference in the format, because partner's presentations take up most of the time, where they explain their new products and their approximation to market necessities, usually without the deep technical detail that we would like.

The obscurantism characteristic from the automotive industry it is noticed again in this year's edition. In the absence of a few weeks to enter into application United Nations (WP.29) ECE/TRANS/WP.29/2020/79 [2], that will affect to 54 signing parties, there wasn't any OEM's presentation explaining it's vision about how it will affect the market, inconsistency problems in the regulations, new technologies in development or some kind of comment about what they are doing about it.

It's not a surprise that rarely an automotive related CVE is published, but looking to a graphic that contains the total of CVEs of main brands should make us open our eyes.

In the picture above, showed in Global Automotive Cybersecurity presentation [3], it is summarized almost every vulnerability discovered in this industry. As you can see, the number of published automotive CVEs is tiny compared against IT's CVEs, in fact many brands have none. This list is headed by Tesla, followed by BMW and Mercedes-Benz. In my opinion, having CVEs is not a bad thing, its fine. Any system as technologically complex as a car will have vulnerabilities over technology development very probably, so publicly acknowledging errors and demonstrating its correction is the best way to show that cybersecurity is seriously taken into account.

Three simultaneous workshops complemented presentations, each one with a duration of three hours. I had the opportunity to assist to Automotive Cybersecurity Testing Workshop. Those three hours have been purely marketing about testing process making a correct theoretical approach but without much technical knowledge. It wasn't a surprise, because vehicle testing frameworks are almost inexistent. There is the importance to involve into the development of the Open Mobility Security Project [4] and that this framework will be adopted as a reference tool.

Facing the next edition, I would like to see more technical content over E/E vehicle components and less high level content about related processes that could be repetitive, but always keeping a large topic content that satisfies all attendees.

For all of you that couldn't assist and would like to view the full contents, with a simple registry in ESCAR's download page [5], you can download all present and past papers and presentations from the European and North American editions. Once the congress has ended, you can review all presentation recordings as well. It is very useful if you couldn't assist or if some presentations were overlapped at the same time.

I hope that 19th ESCAR Europe can take place physically and that there we could share again our knowledge and experience with professionals coming from around the world.

References

[1] https://www.flu-project.com/2020/12/18th-escar-europe.html

[2] http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

[3] Global Automotive Cybersecurity. Upstream Security. ESCAR Europe 2020.

[4] https://www.flu-project.com/2020/03/open-mobility-security-project-omsp-is-released.html

[5] https://www.escar.info/downloads.html

Leer más
      editar
>