Quinta edición de ENISE - 5ENISE

Hoy se imparte en León el último de los tres días del ENcuentro Internacional de la SEguridad de la información (5ENISE), el encuentro ha sido organizado por el Instituto Nacional de las Tecnologías de la Comunicación (INTECO) y varias empresas privadas como empresas patrocinadoras.

Durante estos días se están dando lugar varias charlas y mesas redondas con participantes representativos y reconocidos a nivel internacional. En los siguientes enlaces se pueden ver en detalles los contenidos y participantes:

• Miércoles 26 - Cloud computing: nuevas necesidades y nuevos retos.
• Jueves 27 - Infraestructuras críticas.
• Viernes 28 - Seguridad de la información ante la generalización de los dispositivos móviles.

Servivation está estrechamente relacionado tanto con las tecnologías de Cloud Computing como con la seguridad de infraestructuras críticas. Para mas información sobre nuestros servicios relacionados, podéis visitar los apartados de Virtualización y Seguridad de la sección de Servicios de Sistemas y Tecnología.

La nueva generación de ataques Web

Con la llegada de nuevas tecnologías tales como las nuevas versiones de CSS y HTML, llegan nuevos vectores de ataques que revolucionan el estado de seguridad establecido hasta ahora.

Tanto los desarrolladores que han invertido tiempo en analizar y securizar su código fuente, así como las empresas que delegan la seguridad en dispositivos de defensa perimetral, todos ellos quedan expuestos a estos nuevos vectores de ataques y deben actualizarse con rapidez antes de ser vulnerados por algunos de los nuevos ataques.

Estas nuevas tecnologías ofrecen nuevas funcionalidades que permiten al desarrollador tener más herramientas para interactuar más fácilmente con el usuario. Sin embargo esto siempre va de la mano de una mayor exposición ya que el atacante también dispone de nuevas herramientas para realizar sus ataques.

En el siguiente documento se hace un repaso de los nuevos vectores de ataques para tecnologías Web, con ello pretendemos que vayáis planteando vuestra nueva estrategia defensiva:

http://conference.hackinthebox.org/hitbsecconf2011ams/materials/D2T2%20-%20Shreeraj%20Shah%20-%20Next%20Generation%20Web%20Attacks.pdf

Para cualquier aclaración o duda, estaremos encantados de ayudarte.

Comprometidas 10.000 cuentas de Facebook.

El grupo TeamSwaStika ha comprometido 10.000 cuentas de Facebook y ha hecho pública esta información en Internet.

Las 10.000 cuentas expuestas han sido publicadas en la famosa página PasteBin dividido en dos partes. Dichas partes las podéis consultar aquí:

http://pastebin.com/KYsd0j5B
http://pastebin.com/nN5uDrQS

Si eres usuario de Facebook, te recomendamos que hagas una búsqueda rápida para comprobar si tu cuenta ha sido comprometida. 

El grupo TeamSwaStika, parece ser el grupo mas potente de Nepal en cuanto a ataques informáticos y según comentan su próximo objetivo será la página web del gobierno de Nepal. Estaremos atento a sus próximos pasos.

ITERA - Hacia una estrategia coporativa de Seguridad.

Esta mañana se ha dado lugar un seminario muy interesante sobre como ir hacía una estrategia corporativa de Seguridad:

http://everest.iteraprocess.org/DISENO/D2/espana/seminario_seg_corp/seminario_seg_corp.html

Dicho seminario organizado en el IBM Forum de Madrid, han participado varios ponentes en las siguientes ponencias:

• El futuro de Internet: Retos de Privacidad en la Nueva Era.
• Ariel Súcari – Director de Operaciones @ ItEra España
• Bárbara Navarro – Directora de Relaciones Institucionales @ Google
• Definiendo la estrategia de seguridad corporativa basada en el contexto actual.
• Carlos Ochoa –Sales & Marketing VP @ Sm4rt Security Services.
• Soluciones de Seguridad de IBM, "Secure by design, Innovate with Confidence".
• Jessica Valderrama – Sales Security Leader @ IBM.
• Seguridad y Cloud Computing desde una perspectiva legal.
• Nathaly Rey –Directora General @ ISMS Forum.

No solo se han dado datos interesantes como que este año España ha sufrido una pérdida de 482 Millones de euros debido a delitos informáticos. Sino que se han compartido con nosotros su perspectiva en cuanto a lo que supone una estrategia corporativo de Seguridad.

En el descanso he tenido la oportunidad de conversar con Antonio Carlos Ochoa,  (que nos ha deleitado con una sesión de hacking en vivo), y me ha transmitido su punto de vista sobre las diferencias entre las empresas latinoamericanas y las empresas españolas respecto a seguridad de aplicaciones web. En su opinión en España no se tiene tanta consciencia sobre el riesgo al que estamos expuestos realmente, como en Latinoamérica. Sin embargo tenemos mas empuje a la hora de probar e implantar nuevas tecnologías, ¿será por esa inconsciencia en cuanto al riesgo?

En general ha sido una mañana muy interesante en la que se ha dejado claro una vez más, la importancia de introducir los roles de seguridad en los entornos directivos para integrar las buenas prácticas en todos los procesos de las organizaciones, en lugar de abarcarlas como algo puntual.

Denegación de servicios utilizando el ancho de banda de Google.

Un mes después de que unos investigadores hubieran publicado una manera trivial de utilizar el ancho de banda de Google para realizar una denegación de servicios (DoS) contra cualquier sitio web, Google, sigue sin corregir dicho problema.

En el enlace original, http://www.ihteam.net/advisory/make-requests-through-google-servers-ddos/, hay un vídeo muy didáctico que muestra como aumenta el tiempo de respuesta de un servidor web atacado con este método a modo de ejemplo.

Hasta el momento tan solo han recibido un correo de Google, diciendo que están analizando el problema. Sin embargo esto abre las puertas, de manera ya demasiado evidente, sobre la utilización de potentes infraestructuras para realizar ataques con diversas finalidades, chantaje, motivaciones políticas, etc...

Cuando el grupo Anonymous dice que acabara con Facebook el 5 de Noviembre de 2011, ¿utilizará este tipo de fallos encontrados en empresas con gran ancho de banda?

Lo cierto es que este tipo de fallos es tremendamente peligroso, debido a su sencillez y la facilidad de permanecer anónimo, ya que en el servidor atacado solo aparecerá la IP de Google.

La cuestión es, ¿que haría una empresa basada en Internet, si sus servicios web fueran "visitados masivamente" por Google, o alguna empresa similar, dirigido por algún delincuente o quizás un extrabajador descontento? ¿Está su empresa preparada para eso?

Robo de credenciales en Twitter

Hemos localizado en nuestros laboratorios un nuevo ataque de phising dirigido a usuarios de Twitter.

El ataque consiste en la recepción de un mensaje privado en twitter, que muestra el siguiente texto: "When I saw this about you i could not stop laughing haha" seguido de un enlace acortado. Pueden existir otras versiones con diferentes textos en ingles.

Tras seguir dicho enlace, se puede observar como nos lleva al siguiente enlace:

twittiler.com/session_timed_out/ que se muestra en la siguiente imagen:

Como se puede observar, puede parecer la página legítima de twitter, pero sin embargo el dominio no es twitter.com sino twittiler.com y hace creer que la sesión ha expirado para inducir a que reintroduzca sus credenciales y así proceder al robo de las mismas.

Dicho dominio fue registrado hace tan solo 4 días:


   Domain Name: TWITTILER.COM
   Registrar: BIZCN.COM, INC.
   Whois Server: whois.bizcn.com
   Referral URL: http://www.bizcn.com
   Name Server: NS7.CNMSN.NET
   Name Server: NS8.CNMSN.NET
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Updated Date: 23-sep-2011
   Creation Date: 23-sep-2011
   Expiration Date: 23-sep-2012

Para poder ver a donde nos lleva, debemos desacortar la URL, utilizando por ejemplo el servicio ofrecido por esta web:
http://untiny.me/
Donde nos muestra la siguiente URL:
http://mj1.biz/1385

Esta url pertenece a un servicio Japones de abreviación de urls. Es con esta medida, con la que los atacantes pretenden que no se puede desacortar automáticamente.


Para poder averiguar la dirección final facilmente se puede ejecutar el siguiente comando:
wget http://t.co/Viw44FC

Donde se puede obtener la siguiente información:
--2011-09-27 10:36:16--  http://t.co/Viw44FC
Resolviendo t.co... 199.59.148.12
Conectando a t.co|199.59.148.12|:80... conectado.
Petición HTTP enviada, esperando respuesta... 301 Moved Permanently
Ubicación: http://mj1.biz/1385 [siguiente]
--2011-09-27 10:36:36--  http://mj1.biz/1385
Resolviendo mj1.biz... 219.94.203.143
Conectando a mj1.biz|219.94.203.143|:80... conectado.
Petición HTTP enviada, esperando respuesta... 301 Moved Permanently
Ubicación: http://mj1.biz/shorten.php?no=1385 [siguiente]
--2011-09-27 10:36:57--  http://mj1.biz/shorten.php?no=1385
Reusando la conexión existente a mj1.biz:80.
Petición HTTP enviada, esperando respuesta... 302 Found
Ubicación: http://twittiler.com/session_timed_out/ [siguiente]
--2011-09-27 10:36:57--  http://twittiler.com/session_timed_out/
Resolviendo twittiler.com... 182.18.27.112
Conectando a twittiler.com|182.18.27.112|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK

Como se puede observar la url final es a twittiler.com que no a twitter.com.

Desde Servivation os recomendamos que extremeis la precaución al seguir urls acortadas, no saber que sitio web estamos visitando nos expone a un alto riesgo de seguridad, tanto por el robo de credenciales, como en este caso, hasta la ejecución de código en nuestros equipos y/o móviles, con el riesgo que esto conlleva.

Si ha sido afectado por este ataque, cambie inmediatamente las credenciales de su cuenta de twitter, escribiendo su dirección directamente en el navegador. Si dichas credenciales son utilizadas en otros servicios como Facebook, LinkedIn, Tuenti, etc.. por favor, modifiquelas sobre todo si utiliza el mismo nombre de usuario, ya que los atacantes podrían probar sus credenciales de twitter con otros servicios.

Estado del arte en Sistemas de Detección de Intrusos (IDS)

El actual estado del arte de los IDS esta lejos de ser tan preciso como otros sistemas de protección. La dificultad de diseñar e implementar un nuevo IDS con mejores resultados depende de numerosas características de las modernas redes de comunicaciones:

• Altas cargas y altas velocidades:
  La posibilidad de disponer de redes de alta velocidad como Gigabit Ethernet y enlaces de fibra óptica, permiten transmitir la información a altas velocidades y no es fácil para un IDS manejar todas esas actividades.

• Procesado en tiempo real:
  
  Las posibles acciones hostiles se realizan en tiempo real y su prevención requiere de un procesado, con el retardo que esto conlleva para todo el tráfico.

• Incremento de complejidad para los usuarios:
  
  El incremento de la complejidad de los sistemas hace que las aplicaciones y servicios sean mas diversos y complejos cada vez. Esto hace que sea muy  dificil para los IDS no solo recoger información estática sobre malos comportamientos sino también identificar desviaciones sobre un comportamiento normal.

• Disminución de la complejidad para los atacantes:
  
  Un incremento de la complejidad para los usuarios, implica una disminución de la complejidad para los atacantes. Por otro lado las técnicas de ataque siempre se han originado de una manera mas rápida y tienen una capacidad para mutar mucho mayor que las defensivas. Además de las herramientas de alta calidad disponibles para atacantes y amplio acceso al conocimiento también debido a las nuevas tecnologías.

Estas circunstancias hacen comprender que no puede existir una única simple solución al problema. Por ello se han diseñado distintos tipos de IDS, con diferentes metodologías, utilizando incluso varios de ellos en sistemas híbridos. Es decir, que los IDS se diseñan en función de lo que se quiera detectar.

Los IDS necesitan un alto nivel de sofisticación para poder llevar a cabo sus cometidos, es por ello que se deban utilizar técnologías basadas en "machine learning", "data mining", "artificial intelligence". De hecho estas tecnologías están mostrando un gran potencial en detección de intrusos. La razón de esto es que es necesario razonamiento y auto-aprendizaje, además de una toma de decisiones dinámica, para poder sobrervivir a este incremento de la complejidad de las tecnologías.

Además de todas estas sofisticadas técnicas, hay otros requisitos. Por ejemplo un mejor IDS debe proveer simplicidad en las operaciones y el manejo a pesar de estar basado en complejas tecnologías. La información dispuesta para los administradores, no debe contener la información literal de los ataques, sino información comprensible para un humano que pueda hacer entender  claramente el ataque detectado. Es necesario una buena interacción hombre-maquina.

Estos son, entre otros muchos, los retos que nos deparan para poder incrementar el nivel de seguridad de las redes de comunicación y conseguir incrementar el nivel de seguridad a pesar de la evolución técnologica, tanto de infraestructuras como de técnicas de ataque.