jueves, 31 de mayo de 2012

Algunos hackers buenos



Algunos crecimos con el Spectrum, con apenas 8 años leyendo el manual de instrucciones el cual incluía un pequeño tutorial de programación en Basic, tecleando aquellas instrucciones sin saber muy bien lo que hacíamos. De vez en cuando destripábamos algún radio-cassette para ver qué tenía dentro, aunque no entendiéramos muy bien qué era aquello. Tras unos cuantos años de "descubrimiento personal" y de "buscar tu sitio en el mundo", descubrimos ezines como SET, el potencial de Google como fuente de información, blogs como Security by default o El lado del mal, nos apuntamos a cursos, acudimos a eventos y congresos, ponemos cara (e incluso tenemos el privilegio de conocer) a gente como Alejandro Ramos, Chema Alonso (y perdón por la redundancia), Pedro Sánchez, y muchos otros grandes profesionales de la seguridad informática como Jose Selvi, Rubén Santamarta o Martín Obiols, por citar a unos pocos.

Como decía, algunos soñamos con que gente de esta talla nos diga "¡que pasa, hacker!" algún día. A otros nos llaman "hacker" una pequeñísima minoría... y otros sentimos que, cuantos más manuales leemos, RFC's, howto's y especificaciones técnicas entre muchas otras lecturas, más ignorantes somos.

Pero cuando te encuentras ante una lectura como la que os dejo a continuación, no te importa que de repente alguien te diga "¡friki!", no te importa ser parte de esa mayoría que al mirar hacia arriba ve un mar de gente de la que aprender, no. Simplemente... te sientes orgulloso de ser así.

Publicado por en No hay comentarios:

miércoles, 30 de mayo de 2012

Flame: Flame



El título de la entrada no es caprichoso, y es que está dando mucho que hablar la última "super-ciberarma" (como algunos la han calificado) descubierta: Flame.


Según Kaspersky, quien ha descubierto el hallazgo y lo ha bautizado con este nombre, se trata de un malware del mismo tipo que Stuxnet (2010) o Duqu (20011). El primero, recordemos, se centraba en atacar sistemas scada y propagarse (en concreto se descubrió por el ataque a una central nuclear de Irán), focalizando su acción en una región específica. El segundo se centraba más en robar información de la máquina infectada, y su focalización era global, a diferencia de Stuxnet. Ambos estaban dotados de una sofisticación y complejidad especiales, no vistas hasta entonces, lo que desató las sospechas de que ambas "herramientas" estaban financiadas por algún gobierno.


Además, los analistas de Kaspersky Lab añaden que analizar por completo a Flame les llevaría unos 10 años, ya que su complejidad supera con creces a la de su predecesores:
It took us half a year to analyze Stuxnet (...) This is 20 times more complicated. It will take us 10 years to fully understand everything.
Por describir un poco este malware, podemos decir que su tamaño es de nada menos que 20mb con todos sus módulos, de los cuales 900kb sería la ocupación del núcleo. Es este último el que descarga los módulos necesarios para su funcionamiento, quedando así evidenciada la existencia un backdoor que abre el troyano, y su objetivo son misiones de inteligencia y espionaje, aparentemente en la región de oriente medio.


Lo que lo hace tan sofisticado es, sobre todo, su poder de configuración para objetivos concretos, a modo de toolkit, aunque tiene otras características que llaman la atención: hace uso de bluetooth para identificar y comunicarse con otros dispositivos, algunas partes del código están escritas en LUA (lenguaje de programación muy utilizado en videojuegos), tiene capacidad para grabar conversaciones a través del micrófono del sistema, o hacer capturas de pantalla sólo cuando ciertas aplicaciones específicas están en uso (como por ejemplo aplicaciones de mensajería instantánea), por citar algunas.


Se han encontrado hasta cinco tipos diferentes de cifrado en el código, y se ha visto que hace un uso intensivo de ofuscación de código, lo cual dificulta enormemente su análisis. Además, es capaz de infectar un sistema Windows 7 totalmente parcheado, lo cual quiere decir que muy posiblemente haga uso de uno o varios exploits que aprovechen vulnerabilidades hasta el momento no publicadas (0-day).


Los medios de infección son varios, mediante phising, visita de una web, un usb o un pc infectado de la misma red.



Así mismo, vemos que Flame tiene también varios vectores de replicación, a otros usb's, otros pc's de la LAN, impresoras con la vulnerabilidad MS10-061, o tareas remotas.


Por ahora, han sido 8 los países infectados por este troyano, destacando Irán, con al menos 189 infecciones. Israel y Palestina en segundo lugar con 98 infecciones cada uno. En tercer lugar está Sudán, con 32 infecciones, seguido por Siria con 30 infecciones, Líbano con 18 y Arabia Saudi con 10. En último lugar está Egipto, con sólo 5 equipos infectados. Estas cifras son sólo referenciales, ya que pueden estar variando ahora mismo, pero sí que da una idea de la focalización del virus en Irán.


Pero lo que realmente hace tan excepcional a este tipo de malware es que pase tanto tiempo inadvertido. Se ha descubierto rastro de la existencia de algunos de los archivos que utiliza con fecha de 2011, según las bases de datos de VirusTotal. Respecto a las muestras encontradas en Irán, en cambio, nos iríamos a 2007. Este hecho pone en jaque a las medidas de seguridad adoptadas hasta ahora, ya que aún disponiendo de la tecnología adecuada, está claro que los algoritmos que hacen uso de ella no son lo suficientemente eficientes; y esto, en última instancia, reside en la mentalidad que tengamos a la hora de diseñar las reglas de un IDS/IPS, firewall, etc (de esto tampoco se libran las empresas antivirus).


Así que, como decía el maestro Tanaka en Contacto sangriento, "ganadora la palmera".


Referencias:
Publicado por en No hay comentarios:

domingo, 27 de mayo de 2012

Master Class Certificación D-Link


Ayer tuvo lugar la Master Class de la certificación D-Link en tecnologías firewalling. Impartido por Chema Alonso en la Universidad Europea de Madrid, empezamos la mañana del sábado repasando conceptos básicos de seguridad informática en general, y de redes y firewalling en particular. La Master Class se centró durante el resto de la mañana en la administración y configuración de los firewalls D-Link, donde no faltaron anéctodas curiosas en clave de humor, como por ejemplo cómo montar Kerberos en una discoteca.

Descanso para comer (no demasiado, que después entra el sueño), despejarse y repasar conceptos y apuntes tomados, para después realizar el exámen de la certificación. No fue fácil precisamente (aunque no soy partidario de este tipo de afirmaciones, ya que depende de quién lo juzgue), pero tampoco fue extremadamente difícil.

Ahora falta esperar los resultados de los exámenes, enviados a la sede de D-Link en Barcelona para su corrección. Si apruebo prometo escribir una entrada al respecto, de modo que si en unos días no escribo nada relacionado, tampoco preguntéis :P.
Publicado por en No hay comentarios:

jueves, 24 de mayo de 2012

The Debian Administrator's Handbook


Escrito por dos desarrolladores de Debian, Raphaël Hertzog y Roland Mas, este proyecto es una traducción al inglés del libro original Cahier de l'admin Debian. Una herramienta imprescindible para cualquier usuario de Debian, desde principiantes (entre los que se incluye el menda) hasta administradores.

Comenzamos este "handbook" de casi 500 páginas con una buena dosis de GNU, el típico ¿por qué Debian? y una vista de pájaro de los subproyectos que contiene, estructura de desarrolladores y un acercamiento al proceso de desarrollo de paquetes (experimental, unstable, testing y stable), siguiendo por la administración pura y dura de cualquier suite de Debian (servidores, escritorios y el resto de proyectos).

Los chicos de Debian handbook se han arriesgado con la traducción, y han hecho un trabajo excelente bajo licencia Creative Commons, siempre en consonancia con la filosofía Free.

Se puede descargar de su página web de forma gratuita en pdf, o bien puedes comprar una copia o hacer una donación.

Hoy en día, que tan de moda está la piratería, el "¿pagar por un programa/juego/película/cd/dvd? que va, si yo lo descargo todo de internet!", he de decir que una cosa es el software libre, y otra muy distinta que se viva del aire (los servidores no se mantienen solos, mucha gente invierte su tiempo en desarrollar software por pasión para que el resto podamos usar libremente sus creaciones, y un largo etcétera del cual soy profano).

En definitiva, que este libro ha venido como agua de mayo para tener una recopilación de todo el "googleo"  y experiencia personal en la administración de Debian.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)