Rollanwar

21 de julio de 2010

Aplicación de medidas de seguridad pasiva

Como ultimamente no encuentro nada sobre lo que escribir he decidido hacer unos apuntes sobre seguridad informática.

Estos apuntes están dirigidos para el "Módulo Profesional de Seguridad informática" con "Código 0226". Este modulo pertenece a el FP. de grado medio de "Técnico en Sistemas Microinformáticos y Redes" y podéis obtener más información en formato pdf del boe y en formato web de juridicas. Dado que se diferencian ambos texto realizaré una mezcla según mejor me venga.

Estos apuntes están pensados para servir de guia y tratan de cumplir los criterios de evaluación de esta signatura.

Introducción

Para una organización la información es su mayor valor. Sin información las organizaciones no pueden funcionar o funcionan con serios problemas, es por tanto de vital importancia asegurar estos datos para evitar filtraciones, perdidas, etc.

Cuando nos encontramos en un entorno de red, todos los sistemas se encuentran interconectados, por tanto, un ataque a uno de ellos puede afectar al resto.

Dado que es la información un bien preciado para las organizaciones tenemos que asegurarnos que ante un incidente tenemos todos o el mayor numero de recursos y procedimientos que eviten una catástrofe aun mayor. Lo más importante para una empresa es que ante un incidente el problema se solucione lo antes posible. Para un encargado de seguridad la mayor preocupación deber ser minimizar las posibilidades de un incidente así como su impacto.

Para facilitar el trabajo de análisis de la seguridad podemos dividir la labor en distintas partes según queramos enfocar y/o abarcar la labor de asegurar nuestros sistemas.

Si dividimos el problema dependiendo del comportamiento de los elementos que actúan sobre los sistemas podremos diferenciar entre:

Seguridad Pasiva: Al igual que ocurre en la automoción, son elementos de seguridad pasiva todos aquellos elementos que minimizan el impacto de un accidente o incidencia.

Seguridad Activa: Nos referimos a seguridad activa cuando hablamos de elementos que evitan de forma proactiva las incidencia. En caso de detectar un incidente genera un evento para evitar el problema.

Podemos dividir de igual modo según desde un plano material:

Seguridad Física: Es la encargada de asegurar los equipos y sistemas necesarios para que el acceso (físico) solo se realice por personal autorizado. Es la seguridad desde un punto de vista Hardware.

Seguridad Lógica: Es la encargada de asegurar los procesos y aplicación necesarios para que el acceso (lógico) a los datos se realice solo por el personal autorizado. Es la seguridad desde un punto de vista Software.

Dado el funcionamiento de los sistemas actuales de información, la mayor parte de los sistemas de seguridad física son elementos pasivos, del mismo modo que la seguridad lógica es principalmente seguridad activa, aunque no es necesariamente siempre así.

15 de julio de 2010

Proyecto Honeypot

Con el termino Honeypot (Tarro de miel) hacemos referencia a un sistema preparado para simunar una aplicación o sistema vulnerable, facil de explotar. La idea es atraer atacantes a este sistema para poder ver que hacen; de este modo podemos conocer el "modu soperandi".

El proyecto Honepot no solo analiza "tarros de miel", sino que también analiza Darknets (redes oscuras), es decir, redes en las cuales no debería existir ningún trafico, o el trafico solo debe ser privado, bien porque no hay servicios en ellas y ellas no acceden a servicios, bien porque son redes coorporativas que no tienen uso desde el internet global.

IANA es la organización encargada en distribuir las IPs en el mundo.

Una darknet sería, por ejemplo, el rango de IPs "179/8", ya que no están en uso y por tanto no debería nadie de acceder a esta red, sin embargo, existen automatismo que no comprueban esto, e intentan explotar todas las IPs que encuentren accediendo a sitios que no son conocidos o públicos.

Por ejemplo si una empresa de hosting piene 100 IPs de las cuales 50 no están en uso no debería recibir comunicación alguna con estas IPs. Del mismo modo si nosotros tenemos una web "ejemplo.com" con un subdominio "honey.ejemplo.com" pero esta url no es pública, sería lógico pensar que nadie puede obtener esta dirección y por tanto solo nosotros accederemos a este equipo, pero esta dirección puede ser recogida por malware, servidores DNSs, ... y por tanto pude ser accedida por alguien no autorizado.

Para colaborar con el proyecto Honeypot podemos poner nuestro propio "enlace oscuro". Yo he instalado uno, el un subominio y para que los robots y sistemas automatizados accedan a ellos tenemos que realizar algún truco que oculte estas direcciones a todo aquel que no sea una máquina.

Por ejemplo:

<a href="http://hp.rollanwar.net/feverishvirgin.php"><!-- awestruck-mosaic --></a>
<a href="http://hp.rollanwar.net/feverishvirgin.php"><img src="awestruck-mosaic.gif" height="1" width="1" border="0"></a>
<a href="http://hp.rollanwar.net/feverishvirgin.php" style="display: none;">awestruck-mosaic</a>
<div style="display: none;"><a href="http://hp.rollanwar.net/feverishvirgin.php">awestruck-mosaic</a></div>
<a href="http://hp.rollanwar.net/feverishvirgin.php"></a>
<!-- <a href="http://hp.rollanwar.net/feverishvirgin.php">awestruck-mosaic</a> -->
<div style="position: absolute; top: -250px; left: -250px;"><a href="http://hp.rollanwar.net/feverishvirgin.php">awestruck-mosaic</a></div>
<a href="http://hp.rollanwar.net/feverishvirgin.php"><span style="display: none;">awestruck-mosaic</span></a>
<a href="http://hp.rollanwar.net/feverishvirgin.php"><div style="height: 0px; width: 0px;"></div></a>

Todos estos enlaces no son vistos por un usuario normal, por tanto quien acceda desde un navegador web no verá nada, sin embargo los robots analizan este código y siguen el enlace. De este modos podemos recopilar direcciones de robots y posibles ataques automáticos.

También podemos donar servidores de correo.

De este modo podemos crear una dirección de correo como "aversicaes@mail.rollanwar.net" o cualquier otra cullo fin es recibir correo no deseado, dado que esta dirección no existe. Cuando donamos un servidor de correo este aceptará todos los correos.

Más Info:
http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

Stop Spam Harvesters, Join Project Honey Pot

10 de julio de 2010

Publicada la Ley sobre ataque informáticos

Como ya comenté hace tiempo en el post "Los ataques informaticos serán delito" en España se pondrán límites a los accesos informáticos con fines de atacar a sistemas.

Esta ley que viene impulsada por la Unión Europea ya ha sido publicada en el BOE (Boletín oficial del estado) y entrará en vigor en Diciembre de este año.

Dado que ya hablamos de esta Ley anteriormente no voy a repetirme, pero quienes estén interesados en saber más pueden ver el siguiente post del Blog "Del derecho y las normas" de David Maeztu.

22 de junio de 2010

Zeus ataca al Banco de España

Tras haber hablado de los CERTs de España, vamos a ver un caso de un phishing contra el Banco de España, distribuido por numeroso spam recientemente.

Se trata de un troyano Zeus o Zbot, este troyano tiene un comportamiento bastante avanzado.

Zeus se trata de un troyano que se vende en kit, es decir, que cualquiera que pague por él (en el mercado negro) puede crear su propia infraestructura de ordenadores zombis.

Este troyano del que existen varias versiones, implementa técnicas como: rootkit, cifrado de contenido,explotación de vulnerabilidades de todo tipo, detección de sandboxes ...

Este troyano en particular se distribuye usando su propia red de equipos zombis para alojarse. Para poder hacer esto hace uso de una técnica conocida como "fastflux".
Para realizar esta técnica tendrémos que tener un dominio y un servidor DNS que nos permita asociar muchas ips a este dominio.
Este servidor DNS, tiene un comportamiento peculiar, cada vez que recibe una petición de resolución devuelve como respuesta un ip elegida de forma aleatoria.

De este modo se puede hacer que un equipo troyanizado forme parte de una red de servidores, con la utilidad de servir malware, actualizaciones, y cualquier otra cosa a el resto de equipos infectados, creando una red muy entramada de miles de equipos.

Ahora la pregunta que todos os haréis, ¿como acabo con este tipo de redes?. Como supondréis eliminar este tipo de redes es arduo difícil.

Para empezar abría que atajar el problema desde la fuente inicial, es decir, el dominio, en este caso ruso, que es usado para distribuir el malware. De este modo evitamos que las personas accedan al malware.

Bajo mi punto de vista debería de investigarse las posibles conexiones que puede haber con los servidores DNS (gracias a los cuales se puede hacer fastflux), en este caso "ns1.growth-property.net" y "ns1.pointstory.net".

Si analizamos el malware, podemos ver que realiza conexiones a otro dominio, este dominio tendría que ser neutralizado de igual modo para poder desactivar el troyano.
Sería muy recomendable seguir analizado el malware durante un tiempo por si descargase alguna actualización que variara su comportamiento.

Este caso es publicado por Hispasec en la "una al día", el día 15, a día de hoy este sitio sigue estando accesible. Vermos cuanto tardan en liminarlo o si no se elimina.

Más información:
http://www.hispasec.com/unaaldia/4252
http://blog.s21sec.com/2009/09/detectando-un-zeus.html

16 de junio de 2010

CSIRTs y CERTs de España

Para quienes no sepáis a que me refiero con CERT o CSIRT, son las siglas de "Computer Emergency Response Team" y "Computer Security Incident Response Team" respectivamente; es decir, son los encargados de gestionar los incidentes de seguridad relacionados con sistemas de computación, equipos y redes informáticas.

Existe un organismo que intenta agrupar a los principales CERTs y CSIRTs regionales, tanto públicos como privados. El FIRST (Forum of Incidence and Response Security Teams) tiene como principal misión la colaboración entre los distintos CERTs y CSIRTs públicos y privados.

En España tenemos 5 CERTs/CSIRTs miembros del FIRST:

Iris CERT: http://www.rediris.es/cert/ Encargado de la detección de problemas que afecten a la seguridad de las redes de centros de RedIRIS.

e-LC CSIRT: Empresa privada dedicada a incidentes relacionados con cajas de ahorros.

CCN CERT: https://www.ccn-cert.cni.es El "Centro Criptológico Nacional" se encarga de la cooperación y ayuda a todas las administraciones públicas.

Inteco CERT: http://cert.inteco.es Encargada en materia de seguridad para PYME y ciudadanos.

esCERT UPC: http://escert.upc.edu/ Está encargada de ayudar y asesorar en temas de seguridad informática y gestión de incidentes en redes telemáticas.

Pero no son los únicos CERTs o CSIRTs existentes en España. Algunas comunidades autónimas y/o regiones tienen sus propios equipos, aunque no pertenecen al FIRST como csirt.ecija.com o sirtcv.es entre otros.

15 de junio de 2010

Listando contactos en Android con "Android.Contact"

Como prometí en el primer post sobre Android hoy voy a esplicar un poco de código de Android.

En este ejemplo podremos ver como se obtiene datos de contactos con una API menor de 5, es decir para los moviles con Android 1.x y actualmente se encuentra deprecated (obsoleta), en general esto quere decir que en un futuro será eliminada. Pero no obtante este no es el caso, ya que esta API continuará activa, pero sólo devolverá datos de la primera cuenta de Google creada.

Para el API 5 se creó la clase "ContactsContract", más reciente, que permite acceder a múltiples cuentas y agregar contactos que tengan un apoyo similar.

Para este ejemplo vamos a usar un "Cursor" para acceder a los datos, la clase "Contacts.Phones" para obtener las constantes para acceder a los datos de la agenda. Por supuesto, para poder leer esto es necesario tener permiso para leer la agenda. (Puedes descargar el codigo desde http://pastebin.com/AMGkjhzz)

@SuppressWarnings("finally")
public static boolean isContact(String num, ContentResolver contentResolver) {
 /**
  * Dado un numero de telefono num, retorna si está o no en la agenda
  * Para poder acceder a estos datos es necesario tener permiso de leectura de contactos.
  * ("android.permission.READ_CONTACTS" en AndroidManifest.xml)
  * @param num Numero de telefono
  * @param context Contexto con permisos de leectura de Contactos
  */
 boolean ret = false;
 try{
  Cursor cur = contentResolver.query(Contacts.Phones.CONTENT_URI, null, null, null, null);
  int index = cur.getColumnIndex(Contacts.Phones.NUMBER);
  while (!ret && cur.moveToNext())
   if (num.equals(cur.getString(index)))
    ret = true;
  cur.close();
 } catch (Exception e) {
  e.printStackTrace();
 } finally {
  return ret;
 }
}

Más Información:
http://developer.android.com/guide/appendix/api-levels.html

ContentResolver

6 de junio de 2010

Verano de rol

Aunque parezca mentira cuando empezé este blog tenía ganas de escribir cosas de rol, y no solo de informática y seguridad.

Tras varios meses de vida por fin hoy vamos a escribir este primer post sobre los próximos eventos roleros en Andalucía.

Las primeras jornadas a las que tengo intención de ir son las Ex-mundis.
Estas jornadas se celebran en Almería, concretamente en "Purchena" del 30 de Julio al 1 de agosto.
Además este año cumplen 10 años organizando estos encuentros, todo un logro.
El año pasado desafortunadamente coincidieron con las ERA (Encuentros Roleros Andaluces) y no puede ir.

Y la semana siguiente a las Ex-mundis tenemos en Granada las JLA (Jornadas Lúgicas Andaluzas).
Las JLA son organizadas por la misma organización que otros años hiciera las ERA (antes mencionadas) este año las ERA han mutado en JLA.
Este año las JLA se celebrarán en "Maracena" en lugar de Granada capital como ocurria con las ERA. Pero lo más destacables es que este año el alojamiento es gratuito.
Estas jornada como ocurrian con las ERA se celebran durante 4 intensos días, del 5 al 8 de Agosto.

Bueno espero que este sea el primero de muchos post sobre rol.

Más información:
Exmundis:
Web: http://www.exmundis.org/
Usuario Tuenti: http://www.tuenti.com/#m=Profile&func=index&user_id=68788926

JLA:
Web: http://jornadasludicasandaluzas.isgreat.org/
Página Tuenti: http://www.tuenti.com/#m=Page&func=index&page_key=1_148_61008280