Reto ISACA: Juego de Troyanos

En la anterior entrada comenté que había sido seleccionado para la entrega de premios del Reto ISACA 2015, así que esta semana pasada ha sido, a la vez que muy intensa, muy gratificante, ya que en este segundo intento he conseguido ganar el Reto, aunque sinceramente el nivel ha sido bastante alto y tiene pinta que en las próximas ediciones el nivel será aún mayor.

Realmente llevaba desde principios de año pensando sobre qué podría presentar en esta II edición del Reto ISACA, cuando de repente un día una de las sondas Ariolo me alertó sobre una alarma de Zeus DGA que me abrió los ojos y dije, ¡¡ya está!! hablaré de Domain Generation Algorithm. Hemos discutido varias veces en la oficina de cómo los fabricantes de equipos de seguridad elaboran y mantienen las listas negras y listas de reputación de dominios y direccionamiento IP, y de cómo catalogan y categorizan cada uno de los dominios y direcciones IP. Es muy complicado pensar que existe un departamento dedicado a realizar esta categorización, y que por tanto debe existir un sistemas que analice y categorice automáticamente los dominios y direcciones IP para indicarnos cuáles son maliciosos y cuáles no. Y como todo en este mundo, debe haber alguna manera de saltarse estos sistemas. Entender la novedosa técnica de DGA que utilizan malware como Zeus y Cryptolocker para evadir las listas negras hizo que desempolvase los apuntes y me pusiera a desarrollar mi propio troyano DGA, que una vez terminado me asusté al ver que tan solo un antivirus de la plataforma VirusTotal lo detectaba como troyano, y que por tanto no sólo había conseguido saltarme las listas negras, sino también los antivirus. Esta hazaña hizo que fuese uno de los finalistas del Reto y que finalmente me llevara el premio.

En esta segunda edición del Reto ISACA las propuestas mejor valoradas han sido las siguientes:

• "Juego de Troyanos", David Romero Trejo (Ganador)
• "Un framework libre para la investigación de usuarios en fuentes abiertas", Yaiza Rubio and Félix Brezo (Finalista)
• "SecDevOps Modelo de seguridad para entornos ágiles y continuos", Román Mesa (Finalista)
• "SOHO Routers: from Internet of Things to Insecurity of Things", José Antonio Rodríguez García, Álvaro Folgado Rueda e Iván Sanz de Castro (Premio Accésit)
• "Cloud Computing Systems for Cracking", Elías Grande Rubio, Alberto Pérez Reyes y Jesús Javier Sánchez Villamor (Premio Accésit)
• "Estudio de las metodologías de análisis de riesgos para infraestructuras críticas", Pablo Castaño (Premio Accésit).

Como ganador del concurso he obtenido un premio en metálico de 1.000 €, además de un curso completo de preparación a una de las certificaciones de ISACA (CISA, CISM, CGEIT, CRISC, COBIT5 o CSX), más el pago de la tasa de examen.

Muchas gracias a todos por asistir al acto de entrega de premios y muchas gracias a ISACA por este tipo de iniciativas que incentivan la innovación y fomentan la cultura en Auditoría, Seguridad de la Información y Gobierno de las TIC entre los jóvenes profesionales.

Un saludo amigos y recuerda, deja un comentario con lo primero que te sugiera.

Acto de Entrega de Premios #RetoISACA

El Comité de Jóvenes Profesionales de ISACA Madrid ha seleccionado mi propuesta como finalista en el II Reto ISACA 2015. Estoy enormemente orgulloso de poder tener la posibilidad de compartir mis conocimientos e ideas con la comunidad ISACA el próximo miércoles en Madrid, y estoy completamente seguro que el nivel de las ponencias de este año serán tanto o mejor que las del año pasado, así que espero estar a la altura en esta nueva edición con mi ponencia “Juego de Troyanos” donde veremos las sofisticadas e innovadoras técnicas de evasión que los ciberdelincuentes utilizan en la actualidad.

El programa del evento es el siguiente:

• Bienvenida: ISACA Madrid, Departamento de Seguridad Nacional, INCIBE
• "SOHO Routers: from Internet of Things to Insecurity of Things", José Antonio Rodríguez García, Álvaro Folgado Rueda e Iván Sanz de Castro
• "Un framework libre para la investigación de usuarios en fuentes abiertas", Yaiza Rubio and Félix Brezo
• "SecDevOps Modelo de seguridad para entornos ágiles y continuos", Román Mesa
• "Juego de Troyanos", David Romero Trejo
• "Cloud Computing Systems for Cracking", Elías Grande Rubio, Alberto Pérez Reyes y Jesús Javier Sánchez Villamor
• "Estudio de las metodologías de análisis de riesgos para infraestructuras críticas", Pablo Castaño

Serán presentaciones de 20-25 minutos, a cargo de de todos los ganadores, finalistas y accésits, reflejados aquí en orden aleatorio.

El lugar del evento es el Edificio MAPFRE VIDA (Sala Moda Shopping), Avenida General Perón, 40. 28020 MADRID

Un saludo amigos, y si quieres pasarte aquí tienes más información.

Innovación, sí pero con seguridad

Innovar es tener una nueva idea o mejorar los procesos o dispositivos existentes irrumpiendo en las necesidades del mercado o la sociedad. Desde mi punto de vista los analistas y desarrolladores de software son personas innovadoras al crear nuevos sistemas que hasta entonces eran inexistentes, pero también los delincuentes informáticos se pueden considerar innovadores al estar buscando y desarrollando continuamente nuevas técnicas para saltarse las medidas de protección.

Allá por el año 2004, mientras las compañías innovaban con nuevos productos y los delincuentes intentaban evadir los sistemas de seguridad, comencé a estudiar Ingeniería Técnica en Informática de Sistemas en el Centro Universitario de Mérida, donde aprendí a desarrollar aplicaciones y a conocer el funcionamiento de los sistemas operativos gracias a asignaturas como Laboratorio de Programación, Estructuras de Datos y Algoritmos, Análisis y Diseño de Sistemas o Estructuras de Almacenamiento de la Información. En un principio todas muy abstractas para mí, que después con el paso de los años fui asimilando. Posteriormente, en el 2007, las ganas por seguir aprendiendo hizo que me fuese a la Politécnica de Cáceres para continuar con la Ingeniería Informática, donde tuve asignaturas como Ingeniería del Software que me enseñaron todas las fases de un proyecto. Sin embargo, durante la carrera tan sólo tuve una asignatura relacionada con la seguridad, llamada Seguridad y Protección de la Información, donde aprendimos principalmente criptografía, y por supuesto ninguna relacionada con la innovación, esa palabra abstracta tan difícil de interpretar.

En la actualidad cada vez es más necesario tener conocimientos sobre seguridad informática para desarrollar aplicaciones difíciles de comprometer, ya que éstas pueden alojar datos de carácter personal o información sensible y confidencial, que ante un ataque, si los datos son expuestos, pueden acarrear grandes problemas para la compañía, o si las aplicaciones desarrolladas controlan sistemas críticos SCADA pueden llegar incluso a afectar considerablemente a la salud de la ciudadanía. Es por este motivo por el que las Universidades cada vez están más preocupadas por enseñar a sus alumnos las nuevas técnicas de defensa y protección para desarrollar aplicaciones seguras ante ataques, apoyándose en proyectos como OWASP que proporcionan artículos, metodologías y herramientas que permiten a los desarrolladores elaborar aplicaciones seguras ante ataques de SQL Injection, XSS, CSRF, etc.

Los avances en innovación tecnológica están proliferando el número de sistemas, además de cambiando la forma en la que desarrollamos y aprendemos, pero no olvidemos que en materia de seguridad los ciberdelincuentes siempre estarán por delante en innovación, buscando fallos en el software y en los protocolos de comunicaciones para evadir los sistemas de protección.

Un saludo amigos y recuerda, los comentarios te esperan para cualquier idea que te surja.

NOTA: El próximo jueves 18 realizaré una demostración práctica de ataque en el Centro Universitario de Mérida. Si quieres pasarte, aquí tienes la información.

HTTP/2

Hace ya algún tiempo que Google anda tras la mejora del protocolo web HTTP para darle un empuje significativo, con la idea de incorporarle mejoras de seguridad y rendimiento. Inicialmente Google desarrollo el protocolo SPDY o Speedy, y tras su éxito, mejorando el rendimiento de las comunicaciones entre el servidor web y los clientes, el grupo IETF ha estandarizado el protocolo SPDY por el nuevo estándar HTTP/2.

 

Este nuevo protocolo incorpora tres ventajas significativas:

1 - Multiplexación de conexión asíncrona: Es posible realizar múltiples solicitudes en paralelo, independientemente del número de peticiones, acelerando la entrega de los recursos solicitados. Es decir, se puede realizar varias solicitudes de distintos recursos en una sola petición web y además, la respuesta de varias peticiones pueden ser asíncronas, llegando por ejemplo primero la última petición que se solicitó.

2 - Compresión de cabecera y pipelining de solicitud-respuesta: Tiene la capacidad de comprimir las cabeceras HTTP, haciendo que el paquete resultante final sea más pequeño y más rápido de transmitir. Además, basándose en el punto anterior y con total compatibilidad con HTTP/1.1 es posible asignar prioridades a los recursos solicitados, haciendo que se entreguen primero las más prioritarias, independientemente del orden de la solicitud.

3 - Cifrado: Aunque el cifrado es opcional en HTTP/2, la mayoría de navegadores tan solo implementan el nuevo protocolo bajo HTTPs. Por tanto, todas las comunicaciones que utilicen el nuevo estándar estarán protegidas mediante el cifrado de los datos.

Las grandes compañías dedicadas a la entrega de contenido web como Facebook, Google, Akamai, etc están muy interesadas en este nuevo estándar, ya que acelerará la entrega de sus servicios traduciéndose en una mejora de la experiencia del usuario final. A continuación podemos ver una animación del nuevo protocolo HTTP/2:

Un saludo amigos y recuerda, deja un comentario con lo primero que te sugiera.

Seguridad en MPTCP

El estándar MPTCP (Multipath TCP) que comenté en la anterior entrada ha hecho que me interese y me preocupe aún más en su funcionamiento y en los problemas de seguridad que nos podemos encontrar en la implantación de este nuevo protocolo. Este interés me ha llevado a ver la ponencia de Kate Pearce y Patrick Thomas, de la anterior edición de Black Hat, sobre cómo las redes que conocemos actualmente pueden ser evadidas con protocolos como MPTCP.

De forma muy resumida MPTCP tiene dos puntos que afectan considerablemente a la seguridad:

• Fragmentación del tráfico: Hasta ahora veíamos todos los datos de la capa de aplicación en un solo flujo TCP. Mientras que con MPTCP se fragmenta y divide el tráfico en distintos flujos TCP, para proporcionar mayor redundancia y ancho de banda, que serán ensamblados en el destino.
  
  
  ¿Qué problema de seguridad grave nos podemos encontrar con la fragmentación? En primer lugar, los sistemas IDS/IPS no están preparados para agrupar y correlacionar unos flujos con otros y por tanto flujos distintos los tratará como conexiones independientes, permitiéndose el tráfico en la mayoría de los casos sin saltar las alarmas. Y en segundo lugar, los flujos TCP pueden utilizar caminos distintos para llegar al destino, llegando incluso a saltarse los sensores IDS/IPS como podemos ver a continuación:

• Cambio del direccionamiento origen y destino en medio de una conexión: Hasta ahora podíamos diferenciar los clientes de los servidores basándonos en la dirección/sentido de la conexión y además asociábamos conexiones lógicas al direccionamiento IP. Sin embargo con MPTCP las conexiones no se pueden asociar al direccionamiento IP ya que éstas pueden cambiar a lo largo de la conexión, es decir, la comunicación la puede iniciar una IP y luego no aparecer más en la conexión para finalmente terminar la conexión otra IP distinta. 
   
  ¿Qué problema de seguridad grave nos podemos encontrar? Debido a este funcionamiento del protocolo no podemos saber si la conexión la ha iniciado el cliente o el servidor, es decir, ¿cómo sabemos si se trata de una conexión de entrada o salida?

Actualmente aprovechar estas debilidades es complejo; 1º – porque existen muy pocos servicios donde los dos extremos utilicen el protocolo MPTCP y 2º porque la mayoría de cortafuegos están basados en la técnica de Stateful Inspection, manteniendo la tabla de sesiones TCP, y no permitirían este tipo de conexiones, ni legítimas ni ilegítimas, y por tanto sería imposible utilizar este tipo de servicios desde una red protegida por cortafuegos NGFW.

Desde mi punto de vista las comunicaciones Multipath van a revolucionar los modelos de seguridad y redes que conocemos hasta ahora, y por tanto cada vez más dispositivos y aplicaciones adoptarán este nuevo estándar. Así que todos los administradores de seguridad y redes nos deberíamos ir preparando para esta nueva era de la conectividad, ya que entender este tipo de protocolo será muy importante para los nuevos despliegues de redes y la protección de sus servicios.

Un saludo amigos y recuerda, deja un comentario con lo primero que te sugiera.