jueves, 31 de marzo de 2016

Nueva entrada en 1024 Megas: ¿TOR HUELE? - Alternativas a la red TOR

Nuestro compañero @dormidera ha publicado una nueva entrada en su blog 1024 Megas, en esta ocasión nos habla de redes anónimas alternativas a TOR.

 El articulo comienza asi:

Como todos sabemos Tor ha sido durante varios años sinónimo de anonimato, pero con el tiempo han cambiado muchas cosas. Debido a la fama que ha ido ganando cada vez ha "molestado" a mas gobiernos y agencias de seguridad y en respuesta han creado operaciones para desanonimizarlo, pero ese es otro tema que nos daría para otro post.
En el tema de hoy vamos a hablar de otras "redes anonimas" menos conocidas y con menos usuarios, pero no por ello peores ...

sábado, 26 de marzo de 2016

Juegos inocentemente peligrosos

Autor: @raulrenales

Llevaba un tiempo buscando un hueco para escribir este post para el blog de Honey Sec y por fin las vacaciones de semana santa me han dado algunos minutos para poder hacerlo. Primero de todo decir que esta vez no escribo el blog en calidad de persona que trabaja o esta en los alrededores de la seguridad informática, este post lo escribo como padre.

Desde hace un tiempo comparto con mi hijo distintos tipos de dispositivos, siempre desde pequeño le he acostumbrado a jugar y utilizar dispositivos a mi lado, es para él una cosa normal e incluso ahora lo demanda y jugamos juntos a infinidad de juegos. He de confesar que a mi no me cuesta, dado que soy y seré gamer para toda la vida.

El motivo de este post es la cada vez mas frecuente utilización de los inocentes juegos para dispositivos móviles como terreno de captura para los depredadores sexuales que buscan en estos campos abonados nuevas presas que llevarse a su vitrina de trofeos y poder alimentar con ellas sus instintos mas zafios.

El caso fue que hace unos meses descargamos un juego de lanzamiento de penaltis, un juego que sobre el papel no trabaja ninguna temática complicada, tan solo un portero y un delantero que se lanzan penaltis a ver quien es el mejor. El juego es 100% online, osea, los jugadores están repartidos por todo el mundo y cualquiera persona puede participar de él.

El juego en un inicio era altamente inocente, pero poco a poco, aquella inocencia fue tornando según avanzabas a niveles superiores, los comentarios inocentes dejaron de serlo y cambiaron a contenidos de sexo explicito. 

En la imagen se puede ver parte de una conversación publica de índole sexual


Ademas, poco a poco la importancia del juego en si disminuyo aumentando la importancia de los mensajes entre los jugadores, mensajes que en ocasiones eran privados y en otras ocasiones eran de dominio publico.

Aquí es precisamente donde se inicia el problema, porque ese juego inofensivo de tirar penaltis se convierte en un territorio de caza con la simple incorporación de dos o tres herramientas extras al juego.

Una de ellas es la comunicación privada y publica, que permite a los depredadores hacer contactos y utilizar estas comunicaciones para ganarse la atención de los menores. He de resaltar la gran capacidad que tienen estos depredadores para buscar la grieta por donde penetrar en la confianza de los menores, están bien entrenados y el cálido anonimato que les otorga una herramienta como este juego o el mismo Internet les permite llegar muy lejos en determinadas ocasiones.

La otra gran herramienta de la que se valen los depredadores son los sistemas de intercambios de regalos, monedas, créditos, o cualquier bien o servicio que mejore las cualidades del personaje que utilizamos en el juego, que mejor manera de ganarte la confianza de un menor que regalandole cosas.

Pues bien, como era de esperar no paso mucho tiempo sin que en el buzón privado de mi personaje comenzaran a recibirse mensajes de amistad, que en ocasiones eran un simple hola y en otras ocasiones eran invitaciones para formar parte de algo más. Normalmente estas cosas van despacio y se suele tardar en ganarse la confianza de un menor, cuestión que el ciber-depredador sabe y tiene perfectamente estudiado, de tal manera que "corteja" a varios menores en paralelo para aumentar el porcentaje de su "éxito".

A los pocos días de que mi buzón se convirtiera en un hervidero de propuestas, me llamo mucho la atención que en el sistema de mensajes públicos, un grupo de usuarios estaban desenmascarando a uno de estos depredadores, el cual según explicaban en sus mensajes utilizaba varios personajes en el juego y se dedicaba a buscar victimas con las que intentar llegar a una grabación de contenido sexual o algún tipo de contacto intimo con los usuarios.

Inicio de la conversación en la que se explica como al inicio es una persona muy amable, pero que una vez que se gana la confianza el hace algo sucio ...

Mensajes en los que se indican las identidades del depredador en el juego

Mas cuentas relacionadas con el depredador


Algunos datos sobre el depredador, 30 años de edad.


Evidentemente el objetivo del depredador era obtener algún tipo de contenido (Vídeo o imagen) con el que pudiera seguir intimidando al menor y llegar así mucho mas lejos en sus planes con el consecuente peligro para el menor.

En estos casos las cuentas denunciadas fueron canceladas, pero no fue el único caso de denuncia publica dentro del juego de casos parecidos. 

Tampoco tengo mucha fe en que el cancelar las cuentas eliminen el problema, 5 minutos mas tarde el depredador puede tener tantas cuentas como quiera del mismo juego.


Responsabilidad

Es muy evidente que si pensamos en el grado de responsabilidad del usuario del juego o del fabricante, quien tiene la sarten por el mango para solventar este tipo de problemas en el juego esta en el lado del creador del mismo.

He utilizado infinidad de juegos que contienen comunicación entre jugadores, la cual se ciñe a frases pre construidas que ilustran el estado de animo de los jugadores o son utilizadas para coordinar una estrategia dentro del juego. Es muy evidente que este modelo es muy aburrido desde el punto de vista de la restricción, pero funciona perfectamente para evitar el intercambio de mensajes que terminan en un punto muy diferente al que el juego marca en su desarrollo. Mediante estos sistemas de "Comunicación Controlada" se evita que el depredador de rienda suelta a su labia, obtenga información de los menores, se gane su confianza, etc ...

Por otro lado, como comentamos anteriormente, otro de los puntos donde el fabricante tiene que poner algo mas de imaginación es en el sistema de intercambio de objetos, bienes, regalos, etc ... Entiendo muy bien la postura de los creadores de juegos sobretodo cuando hablamos de monetizar los juegos, donde estas estrategias son perfectas para obtener pequeños micro pagos que otorguen los beneficios a los fabricantes. Me parece muy interesante que se limite el traspaso de objetos, servicios, monedas, créditos, etc entre usuarios, eliminando asi otro camino de entrada para el depredador.

Y por ultimo, no olvidar la responsabilidad de los mayores (Concienciación), los padres, que debemos estar vigilantes sobre las actitudes de nuestros hijos, enseñarles los peligros y las maneras de actuar en la mayor cantidad de casos posibles y explicarles con total naturalidad que no todo el mundo es bueno o interesante. Si no sabes como hacer esto, te aconsejo que visites las próximas conferencias de X1redMasSegura o que asistas a una de las charlas del gran Angelucho, estoy seguro que todas tus dudas se despejaran.

BONUSTRACK

Si eres adulto o adolescente y piensas que este post no va contigo, en próximas fechas hablaremos de los mismos peligros en las aplicaciones de citas online o en algunas redes sociales, veras que paralelismos podemos encontrar. No relajes tu actitud y como dice Angelucho "se tu mejor antivirus".


domingo, 20 de marzo de 2016

HoneyPentester: Herramienta de Auditoría y Seguridad Informática ¿Legal?

Autor: Jacob Peregrina (@tecnoiuris_es)


Este podría ser el titular a través del cual, desde Honey_Sec, diéramos a conocer que fruto del trabajo desarrollado en los diversos cursos y talleres realizados dentro de la asociación, habíamos creado y puesto a disposición de cualquier usuario una nueva herramienta diseñada especialmente para la auditoría y seguridad informática en general: HONEYPENTESTER.

De momento no es así, aunque no se descarta esta posibilidad; ahora bien, ¿nos estaríamos metiendo en algún tipo de problema con la justicia?

Y nos preguntamos esto, porque tras la última reforma del Código Penal se ha introducido un nuevo delito que hace pesar la sombra de la ilegalidad sobre este tipo de herramientas empleadas para realizar pruebas de penetración a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso al mismo, su funcionalidad y datos y que se pueden utilizar para la comisión de delitos.

En concreto nos estamos refiriendo al artículo 197 Ter del Código Penal:

“Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:

a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”

Teniendo en cuenta que este artículo podría ser objeto de una Tesis Doctoral y centrándonos únicamente en la cuestión que nos ocupa, cual es, la creación de una herramienta de pentesting, de una primera lectura observamos tres requisitos en la tipificación del delito:

a)  No estar debidamente autorizado: Dado que no existe una norma, desconocemos quién ha de otorgar este tipo de autorización, si se trata de una autorización gubernamental o administrativa o si se está haciendo referencia la falta de autorización como principio eximente de la responsabilidad penal de la empresa (siempre y cuando la producción se lleve a cabo en un entorno empresarial)

b)     Intención de facilitar la comisión del delito: ¿Cómo se acredita o descarta esa intención?

c)    Que el programa informático esté concebido o adaptado principalmente para cometer delitos. Es este un concepto tan maleable que se puede pensar que una herramienta de pentesting por la mera posibilidad de ser utilizada para la comisión de delitos ha de soportar un encaje penalmente reprochable.

Nos encontramos así ante unos elementos claramente subjetivos, indeterminados y de difícil interpretación que crean una gran inseguridad jurídica.

Dado que a través de nuestro Código Penal no somos capaces de delimitar si HONEYPENTESTER nos llevaría a todos los socios de Honey_Sec al Hotel Las Rejas y siendo éste fruto de la trasposición a la normativa nacional de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, vamos a ver si en ella queda algo más claro el concepto de la actividad delictiva o no en cuanto a la creación de herramientas de pentesting.

Lamentablemente nuestro legislador en el art. 197 ter ha hecho una trascripción casi literal de lo establecido en el artículo 7 de la Directiva y por tanto poco aclara al respecto.

“Artículo 7 Instrumentos utilizados para cometer las infracciones

Los Estados miembros adoptarán las medidas necesarias para garantizar que la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición de los siguientes instrumentos, sin autorización y con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas en los artículos 3 a 6, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad:

a) un programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas en los artículos 3 a 6;

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”

Sin embargo, en los Considerandos de la Directiva, concretamente en el 16 y 17, encontramos algunas “pistas” sobre la interpretación que ha de darse a lo establecido en el mencionado artículo 7, si bien tampoco son definitorias:

(16) Dadas las diferentes formas en que pueden realizarse los ataques y la rápida evolución de los programas y equipos informáticos, la presente Directiva se refiere a los «instrumentos» que pueden utilizarse para cometer las infracciones enumeradas en la presente Directiva. Dichos instrumentos pueden ser programas informáticos maliciosos, incluidos los que permiten crear redes infectadas, que se utilizan para cometer ciberataques. Aun cuando uno de estos instrumentos sea adecuado o incluso especialmente adecuado para llevar a cabo las infracciones enumeradas en la presente Directiva, es posible que dicho instrumento fuera creado con fines legítimos. Teniendo en cuenta la necesidad de evitar la tipificación penal cuando estos instrumentos sean creados y comercializados con fines legítimos, como probar la fiabilidad de los productos de la tecnología de la información o la seguridad de los sistemas de información, además del requisito de intención general también debe cumplirse el requisito de que dichos instrumentos sean utilizados para cometer una o varias de las infracciones enumeradas en la presente Directiva.

(17) La presente Directiva no establece responsabilidades penales cuando se cumplen los criterios objetivos de las infracciones enumeradas en la misma pero los actos se cometen sin propósito delictivo, por ejemplo cuando la persona de que se trate no sabía que el acceso no estaba autorizado o en caso de intervención autorizada o de protección de los sistemas de información, o cuando una empresa o un vendedor designen a una persona para probar la solidez de su sistema de seguridad. En el contexto de la presente Directiva, las obligaciones o los acuerdos contractuales tendentes a restringir el acceso a los sistemas de información en virtud de una política de usuarios o de las condiciones de prestación del servicio, así como los conflictos colectivos de trabajo en relación con el acceso a los sistemas de información de un empresario o con la utilización de los mismos con fines privados, no deben acarrear responsabilidad penal cuando se estime que el acceso en dichas circunstancias no está autorizado y, por tanto, constituye la única base para incoar una acción penal. La presente Directiva se entiende sin perjuicio del derecho de acceder a la información, establecido en el Derecho nacional y de la Unión, pero al mismo tiempo no sirve de justificación para un acceso ilícito o arbitrario a la información.

Ciertamente tampoco es que se nos ofrezca una respuesta clara a la pregunta objeto de este post, no obstante, con la lectura de estos considerandos, advertimos la intención del legislador de evitar la tipificación penal cuando estos instrumentos se han creado y comercializado con fines legítimos en cuyo caso además del requisito de intención general debe cumplirse también el requisito de que dichos instrumentos sean utilizados para cometer una o varias infracciones.

¿Nos tranquiliza lo aquí dispuesto? Pues ciertamente no demasiado, pues si bien nos parece indicar que por sí sola la creación de la herramienta de pentesting con un fin legítimo no se encuentra penalizada esto puede cambiar en cuanto sea utilizada para la comisión de una o varias infracciones penales y todo ello no hay que olvidar que se encuentra envuelto en conceptos jurídicos indeterminados que han de ser sometidos a interpretación y que nos crean una gran inseguridad jurídica.

En definitiva, con la deficiente redacción del artículo 197 Ter, desconocemos a ciencia cierta si la creación de HONEYPENTESTER nos podría acarrear algún susto y muchas de las herramientas existentes tienen que soportar la duda de si son o no delictivas con la consiguiente inseguridad jurídica.

Parece razonable pensar que una de estas herramientas creadas dentro de un entorno empresarial dedicado a la producción de software de auditoría y seguridad informática, en principio, no se crea con la intención de facilitar la comisión de delitos y no es el objeto principal de la herramienta sino más bien al contrario el objetivo es evitar este tipo de delitos.

Lo mismo se puede predicar de herramientas creadas en el seno de una actividad educativa como puede ser la universitaria o el de una asociación como Honey_Sec cuyo objetivo es la difusión y conciencia respecto de la seguridad informática.

Quizá sea más complicado el caso de la creación de una de estas herramientas por una persona de forma autónoma pues no hay, en principio, signos externos que puedan inducir la intencionalidad de dicha creación.

Como vemos, solo uno de los requisitos de la tipificación del delito cual es la intencionalidad de la creación del programa informático ocasiona enormes dudas y a esto hay que añadir el resto de requisitos y principalmente que el programa informático “esté concebido o adaptado principalmente para cometer delitos” pues en la mayoría de las ocasiones estas herramientas de pentesting se pueden utilizar para el bien o para el mal… Pero es más…pensemos en un exploit…

Así pues, parece que tendremos que estar a las distintas interpretaciones jurisprudenciales que, en su caso, lleven a cabo los Tribunales respecto al artículo 197 ter y entre tanto en el caso de creación de estas herramientas u otras similares a fin de evitar problemas se deberá delimitar muy bien a través de indicios y evidencias constatables que su producción responde a fines legítimos y si es posible que se han puesto los medios para evitar que la misma sea utilizada para cometer actos delictivos.

Y aun así…siempre podríamos hablar inducción y complicidad en la comisión del delito…pero esto lo dejamos para otro post.

NOS VEMOS EN LA RED

domingo, 13 de marzo de 2016

Give me your TLS session! (Drown attack)

Autor: Toni Escamilla (toespar.me)
Twitter: @toespar



Marzo, mes valenciano por excelencia, y con ello no solo llegan las fallas, sino también un nuevo ataque criptográfico a HTTPS llamado DROWN Attack (Decrypting RSA with Obsolete and Weakened eNcryption) y que nos permite ser capaces de interceptar y descifrar información transmitida. Realizando varios escaneos, podemos hacer una estimación en la que alrededor del 33% de los servidores HTTPS incluyendo servicios de correo electrónico están afectados por esta vulnerabilidad.

¿A qué se debe la vulnerabilidad?
La mayoría servidores y clientes actuales usan TLS como protocolo de cifrado. Sin embargo, y debido a malas configuraciones muchos servidores todavía soportan SSLv2, protocolo considerado inseguro debido a algunas de sus características. 


¿En qué consiste DROWN attack?
Este ataque permite explotar la criptografía de los años 90 (SSLv2), la cual utiliza un cifrado simétrico muy débil de 40 bits. Para ello, el atacante necesita capturar aproximadamente 1000 intercambios de claves RSA entre el usuario y el servidor vulnerable, independientemente del protocolo de cifrado que se utilice. Una vez capturados dichos intercambios, el atacante deberá realizar unas miles de conexiones SSLv2 y realizar 2^50 operaciones de cifrado simétrico para descifrar una sesión TLS.



¿Cómo se si un servidor es vulnerable?
Un servidor es vulnerable a DROWN si cumple alguna de las siguientes dos características:
  1. Permite conexiones SSLv2
  2. Su clave privada es usada en otro servicio que permite conexiones SSLv2
Si realizamos un simple escaneo en Shodan podremos ver como, en el momento de escribir este artículo, hay casi 5 millones de equipos conectados directamente a internet y que actualmente utilizan el protocolo SSLv2, es decir, cumplen la característica para ser sometidos a este tipo de ataques.



Finalmente, y como curiosidad, comentar que este ataque es una extensión del Bleichenbacher attack (1998), cuyas contra-medidas fueron introducidas en SSLv2. Hoy, dos décadas después y con DROWN attack, se ha podido comprobar que dichas contra-medidas son inefectivas.

“Aunque nuestra visión hacia adelante es muy corta, podemos damos cuenta de que hay mucho por hacer” – Alan Turing

Referencias:
  • http://www.elladodelmal.com/2016/03/drown-attack-descifrar-https-tls-por.html
  • https://drownattack.com/drown-attack-paper.pdf
  • https://drownattack.com/
  • http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html
  • http://www.theguardian.com/technology/2016/mar/02/secure-https-connections-data-passwords-drown-attack
  • https://en.wikipedia.org/wiki/DROWN_attack

sábado, 5 de marzo de 2016

¿Recuperar datos o borrarlos para siempre?

Autor: @Dormidera

Entre series, películas y casos judiciales, cada vez está más de moda saber si borramos definitivamente nuestros discos duros al formatearlos. Pero…. ¿Aún se podrían recuperar los datos?

Antes de nada, debemos de saber cómo funcionan los discos duros y que partes tienen.  Principalmente se componen de una pila de discos normalmente de aluminio, que a su vez están divididos en Caras > Pistas > Sectores. Cada disco consta de miles de pequeños elementos capaces de ser magnetizados positivamente o negativamente.



Como la información que grabamos es binaria, solo necesitamos dos parámetros, magnetismo  positivo y negativo, siendo 1 y 0 respectivamente. Pero no todo es saber cómo se graba, hay que conocer como borrar.

Cuando vacías la papelera o formateas un disco duro no eliminas los archivos, simplemente los “huecos” donde están alojados son marcados como “disponibles para grabar” y se borran las direcciones donde se encontraban haciendo imposible que el S.O sepa localizarlos de nuevo. Pero ahí siguen, esperando que nuevos archivos los sobrescriban.

Así que mientras no sobrescribamos el problema no es muy preocupante y seguramente recuperemos todos los archivos, ya que los programas mas usados para recuperar datos no los recuperan porque nunca fueron borrados, simplemente crean las direcciones para que puedas volver a abrirlos ¿Pero y si has sobrescrito?

Prácticamente es imposible eliminar el magnetismo positivo y siempre van a quedar unos “restos” que el cabezal lector de nuestro disco duro no es capaz de leer. Resumidamente,  no es lo mismo grabar un 1 sobre un 0, que sobre un 1 borrado anteriormente. Siempre van a quedar más restos magnéticos si antes había un 1, o más, si anteriormente había otro 1 grabado.

Pero claro, medir esas diferencias magnéticas no es trabajo fácil y los lectores no vienen preparados con esa precisión pero podemos encontrar programas que pueden ayudarnos a recuperar archivos pero resultan casi  inútiles cuando se ha vuelto a sobrescribir en el disco duro, pero no para empresas dedicadas a ello, aunque últimamente hay muchas empresas dedicadas a recuperación de archivos sus precios son elevados y normalmente solo requieren sus servicios para casos judiciales y “accidentes o fallos” en multinacionales.

Ahora viene el caso contrario, ¿qué hacemos cuando queremos deshacernos de los datos de un disco duro? Pues aunque parezca mentira no somos los únicos que alguna vez nos lo hemos preguntado.



Pues es sencillo, la forma más efectiva es formatear y volver a llenar todo el disco duro de datos y repetir. Existen programas, que utilizados de forma incorrecta se catalogan como malware que su misión es llenar el disco duro de datos vanos.  Pero todavía no se sabe a ciencia cierta cuantas veces debemos formatear el disco para asegurarnos o si lo llenamos y formateamos, que siempre va a ser más efectivo que solo formatear y formatear…

Debemos saber que realizar un proceso como los mencionados anteriormente crea un estrés y un desgaste alto para el disco duro y no todos pueden llegar a sobrevivir a un proceso así. Pero siempre nos quedará darles martillazos, quemarlos o taladrarlos, como nuestro querido Elliot, protagonista de Mr. Robot.


Programas más usados para recuperar archivos borrados.