Sevilla Sec&Beer

Después de llevar ya más de 10 años en el mundo empresarial debo confesar que creo fervientemente que la magia existe. Y también los magos.

La magia se manifiesta en muchas ocasiones justo después de realizar alguna afirmación sobre una situación de seguridad. Creo que se entiende mejor con un ejemplo.

Alguien de seguridad dice que en cierto sistema hay una vulnerabilidad en el FTP que además es un servicio inseguro. Entonces aparece el mago con su “hechizo” y argumenta que “pero eso está a punto de migrarse”. Con eso… se acaba todo. El hechizo ha tenido su efecto y consigue que nada se haga. Por supuesto, una año después todo sigue igual, el FTP, la vulnerabilidad y sigue “a punto de migrarse”.

Así es la gestión de IT que tenemos. Mientras más gente haya presente más efectivo puede ser el hechizo. Como este de Wally, el “mago” de Dilbert.

Pero bueno, este artículo no iba precisamente de esto, aunque está relacionado. Os quería hablar de un hechizo bastante común: el de los entornos.

En todas las organizaciones siempre hay diversos tipos de entornos: producción, pruebas, preproducción, desarrollo, integración, formación, etc.

El objetivo es disponer de entornos donde desarrollar, probar, romper, integrar, etc. las aplicaciones o nuevas funcionalidades que acabarán en el entorno de producción.

La idea en la mente del personal de IT es que el entorno de producción es estable y está expuesto a los usuarios (internos, de Internet, etc.) y que el resto de entornos están restringidos y son inaccesibles. Por lo tanto, si encuentras una vulnerabilidad o configuración no adecuada en un entorno que no es producción, normalmente no importa. El hechizo en este caso es “es que está en el entorno de [citar cualquier entorno que no es producción]“.

Lamentablemente, la realidad no siempre es como uno se la imagina. Y lo que te encuentras en muchos casos es la siguiente situación:

• Varios entornos comparten redes y, en algunos casos, incluso sistemas.
• Es posible acceder a muchos entornos de prueba, pre-producción, etc.
• Los entornos de formación tienen usuarios/contraseñas predecibles.
• En muchos entornos hay datos reales (a veces antiguos pero reales).
• Las contraseñas, claves, scripts, etc. en el entorno de producción se replican en los otros entornos.

En definitiva, hay una tenue diferencia entre los entornos que, en muchos casos, desde el punto de vista de la seguridad equivale exclusivamente al nombre. Una intrusión en alguno de los entornos (aunque no sean producción) tendrá consecuencias similares. Es más, una vulnerabilidad en un entorno puede servir para afectar al entorno de producción.

A lo que quiero llegar con esto es que hay que evitar ser confundidos por la magia y analizar, realmente, hasta qué punto los entornos que no son producción se encuentran aislados y cuentan con medidas adecuadas de seguridad. Y que tan importante es aplicar dichas medidas a unos como a otros entornos. Tened mucho cuidado con ser hechizados.

¿Y vosotros? ¿Creéis en la magia? ¿Qué otros hechizos conocéis? ¿Cómo se gestionan los entornos en vuestra organización?

Después de casi dos años, o algo así, inauguraremos nueva etapa pronto.

A continuación, os ofrecemos algunas de las novedades previstas que podréis disfrutar muy pronto.

Nuevas secciones

El primer cambio, y más significativo, es la creación de nuevas secciones en el blog. Visto el éxito del Lunes desmotivador, vamos a crear algunas nuevas ‘secciones’ también vinculadas a ciertos días de la semana.

• Lunes desmotivador: esta no necesita presentación. Continuaremos con la sección con nuevas escenas de nuestras películas favoritas.
• Miércoles técnico: los miércoles ofreceremos un artículo sobre algún detalle técnico de implantación de la seguridad. 
• Viernes casual hacking: los viernes toca un poco de relax. Os contaremos los últimos avances en ‘casual hacking’ que vayamos realizando en nuestros ratos libres.

Por supuesto, no todas las semanas habrá todas las secciones (o incluso alguna de ellas ). Pero siendo esto guerrilla blogging, tendréis que estar atentos.

Nuevo tema

Estoy probando nuevos temas de WordPress para cambiar el aspecto del blog. Por ahora me va gustando este. Por favor, si veis alguno que os guste, opinad ahora que todavía hay tiempo.

Más reuniones

Este año intentaremos mantener más reuniones ‘en vivo’ en nuevos lugares de la geografía sevillana. Estamos abiertos a recomendaciones de cervecerías para la celebración.

Nuevo sistema de comentarios

Después de la tralla que nos están dando los spammers en el blog y de haber usado DISQUS en otros blogs. Voy a ver si soy capaz de sustituir el sistema de comentarios. Y esperemos que esto solucione el problema del spam y os permita tener una mejor experiencia al comentar.

Nuevas colaboraciones

Por otro lado, ya que estamos, esperemos que haya nuevas colaboraciones en el blog tanto de los que ya tienen cuenta para editar como de los nuevos que nos lo solicitéis.

En fin, estos son algunos de los cambios que veréis pronto. Si tenéis alguna idea para mejorar el blog, hacednoslo saber.

Bueno, después de un largo letargo, este es el primer post de 2013, ¿qué te parece?

Intentaré ser breve. El otro día un organismo con el que colaboro sufrió un ataque de phishing. El típico correo que simula muy burdamente provenir de Informática instando a los usuarios a pinchar en un enlace. En ese enlace se solicitan sus datos de acceso al correo que serán utilizados para otras fechorías más tarde.

En este escenario, una vez detectado el ataque, algunas de las acciones tomadas fueron la de bloquear al remitente de correo en el servidor de correo (que era siempre el mismo) y bloquear la página del enlace para que, si el usuario pinchaba, no llegase ‘a ningún sitio’.

Y, digo yo, ¿y si aprovecháramos para concienciar y obtener algunas métricas?

En vez de enviar la página a ‘a la nada’ ¿se les podría enviar a una página concienciatoria y aprovecharla para recopilar métricas?

Veamos cómo podría ser la cosa.

Una vez detectado el ataque de phishing, tomamos la URL a la que envía al usuario y la redirigimos (vía DNS o en el cortafuegos) a una página de concienciación en la que se le indique al usuario que ha estado a punto de liarla y se le recuerda que no debe pinchar en los enlaces de correos, en general.

En el servidor de esta página se mantiene una estadística para detectar cuántos han pinchado en el enlace del correo. Si esta información se correla con todos los que han recibido el mensaje (a partir de los logs del servidor de correo) sería interesante extraer una métrica de cuántos usuarios han pinchado.

Por supuesto, hay que considerar que “puede que no todos hayan abierto el correo” o “puede que algunos hayan accedido desde informática para análisis”, etc. Pero desde luego es un ejercicio interesante a la vez que consigues concienciar a los usuarios que sí hayan pinchado porque no se trata de un simulacro, sino de un ataque real.

Y, visto que hay gente que pica independientemente de lo chungo del mensaje, todo lo que se gane con estas acciones, ahí queda.

A la gente del Sevilla Sec&Beer nos pasa una cosa curiosa. La gente nos asalta por la calle preguntando cuál es el secreto para ser tan versados en las artes de la (in-)seguridad. Cómo puede ser que encontremos tantas vulnerabilidades, adivinemos tantas contraseñas y sepamos tantos acrónimos.

Pues bien, hoy, aquí, en primicia, os contamos nuestro secreto mejor guardado: la fragancia hacker.

Unas gotitas antes de cada auditoría y no hay vulnerabilidad que se esconda ni no conformidad que no se encuentre. XSS, SQLi, XSRF y RFI serán tan evidentes que no te hará falta ninguna cara herramienta de detección automática.

¿Contraseñas? Con la fragancia hacker adivinarás la contraseña de cualquier usuario en menos de cinco intentos, independientemente de la complejidad que haya querido darle.

Te conectarás a redes inalámbricas sin darte ni cuenta. Los terminales públicos te dejarán acceder al sistema operativo con solo pulsar una combinación aleatoria de teclas.

La fragancia hacker no sólo funciona con personas, perfuma tu base de datos de carácter personal periódicamente y nunca tendrás problemas con la LOPD.

Con su aroma, la normativa de seguridad será leída con entusiasmo por los usuarios, que no sólo la cumplirán sino que tomarán parte activa en la gestión de la seguridad.

Eso sí, debemos advertir que la fragancia hacker no está indicada para acometer la implantación del ENS. Al fin y al cabo es sólo una colonia, no hace milagros.

¿A qué esperas? Consigue hoy tu fragancia hacker y llévate de regalo este juego de ganzúas, dos 0days y el after-shave cracker.

Ya a la venta en las reuniones de Sevilla Sec&Beer.

Para estas vacaciones os recomiendo que os pidáis un “juego de seguridad”. La verdad es que yo no he jugado a ninguno, pero me parecen interesantes por su valor educativo y lúdico.

Tras una conversación en twitter, Adam Shostack y Jeremiah Grossman, el primero ha preparado esta lista con los ‘juegos de mesa’ con enfoque en seguridad informática.

Os pongo aquí la lista por aquello de que no quede muy descafeinado el post, aunque tendréis que ir a la fuente para ver más detalles:

• Control-Alt-Hack
• Elevation of privilege: the threat modeling game
• Hacker
• [D0x3d!]
• NetRunner

Particularmente interesante es [D0x3d!] ya que es open source y es posible descargarse las cartas para imprimirlas, mezclarlas y personalizarlas.

Si alguno los tiene, los compra o se los regalan, que nos cuente qué tal. Por otro lado, si necesitáis jugadores no dudéis en avisarnos y montamos un secandbeer con tablero.

Como se acerca la Navidad, desde Sevilla Sec&Beer aprovechamos para felicitaros y de paso contaros una bonita historia navideña.

Imaginaos que vais a un centro comercial (nada raro en estas fechas). Imaginaos que os pasáis por la sección de informática. Allí hay muchos equipos para que los prueben los clientes que tienen conexión a Internet.

Imaginaos que sacáis un terminal, veis la dirección IP (192.168.1.algo, como no) y se os ocurre probar con la 192.168.1.1. Imaginaos que el router tiene la contraseña por defecto del operador…

En fin, me pregunto qué tendrán conectado a la red inalámbrica… Espero que nada crítico.

Al final acabaremos haciendo una sección como la de Ethernet Exposed de Security by default y es que últimamente hay mucha gente a la que le parece interesante poner quioscos para que los que lleguemos al establecimiento podamos entretenernos en intentar vulnerarlos.

Os pongo algunos casos recientes (sin dar nombres, que luego me riñen).

Equipo para hacer cocinas de empresa sueca

La verdad es que ya ni me acuerdo cómo se conseguía esto, pero ahí está.

Equipo para encuesta de opinión de empresa sueca

Este equipo ya os sonará de la otra vez. Parece que han cambiado el software de las encuestas y que ya no funciona lo que antes funcionaba… pero hay otros métodos para salirse del modo quiosco.

Tienda online en tienda de menaje de empresa gallega

Este caso es especialmente curioso porque se trata de un iPad metido en un marco. No parece que tenga ningún tipo de software de quiosco ni nada. Únicamente que el botón del iPad está algo inaccesible… pero no imposible .

Nuevos desafíos

No todo iba a ser color de rosas. Hay algunos quioscos que permanecen imbatidos. Como el de Nespresso del Corte Inglés, los totems de juego de la empresa esta sueca o algunos de los de la Universidad.

¿Conocéis quioscos a los que os gustaría que echáramos un vistazo? Envíanoslo y veremos qué podemos hacer. ¿Tenéis alguna historia de éxito que queráis compartir con nosotros? Si nos la mandas te la publicamos.

Los que veis la serie Dexter sabréis que uno de sus prácticas habituales, antes de darle matarile al que sea, es comprobar que, efectivamente, se trata de alguien que ha cometido un asesinato. Para ello, entre otras técnicas, suele utilizar la de entrar en su casa utilizando ganzúas para obtener pruebas.

A veces analiza los equipos informáticos buscando alguna evidencia. Y aquí es donde empieza nuestro artículo de hoy.

Por lo general, cuando encuentra un equipo, está suspendido y sin contraseña. Qué conveniente, ¿eh? Claro que no voy a ser yo el que diga que eso es imposible. Sin embargo, es demasiado común que pase en la serie. ¿Es que no hay nadie que ponga contraseña obligatoria para acceder al ordenador tras salir del suspender?

La verdad es que son equipos Mac que lo suelen tener desactivado por defecto (al menos era así cuando yo tenía un Mac). Pero vamos, de una persona cualquiera me lo creo, pero es que Dexter va tras criminales y gente suspicaz… De hecho, en uno de los episodios se trata de un supuesto gurú informático experto en seguridad, ¿y no le pone contraseña a su equipo? Vaaaaaleeee, en casa del herrero cuchillo de palo.

¿Y el caso del propio Dexter? En algún episodio le husmean en el ordenador que… ¡tampoco tiene contraseña! Pero alma de Dios, si es tu típico vector de ataque, ¿cómo es que tú también lo dejas así?

En fin, yo creo que los guionistas deberían actualizarse un poco e incluir algunas variaciones. Veamos qué pasaría si Dexter llega, abre con sus ganzúas y se encuentra que ¡Oh Dios mío! el ordenador tiene contraseña.

Afortunadamente Dexter lleva siempre consigo unos cuantos USB y CDs con varios Linux para este tipo de ocasiones. Arranca con uno de ellos y analiza tranquilamente el disco buscando su querida evidencia.

Sin embargo, siempre está el factor tiempo. El dueño del equipo está a punto de volver y Dexter tiene una enorme potra encontrando la evidencia super-rápido. De nuevo, no seré yo quién diga que esto nunca pasa (que sí que pasa) pero no siempre. Entonces una variación puede ser que, en vez de encontrar la evidencia buscada, Dexter establece una shell inversa desde el equipo de la víctima a algún equipo que tiene por ahí.

De esta forma puede entrar posteriormente a investigar con más tranquilidad.

Otra opción es que se deje enchufado un apartito, tipo minipwner, con el mismo objetivo. Por que… ¿cuándo fue la última vez que miraste detrás de tu ordenador, eh? ¿O detrás de tu router?

Otras cosas que podría hacer Dexter, sin necesidad de tener que entrar físicamente en la vivienda del susodicho son, por ejemplo, conectarse a su wifi, desde el coche o desde algún sitio cercano, con una antena buenecita. Ahí los guionistas pueden elegir entre:

• Que la wifi esté abierta
• Que tenga una contraseña por defecto del operador
• Que sea WEP
• Que sea WPA y una contraseña sencilla

Una vez en su red, la víctima puede tener carpetas compartidas (habitual en los Mac), tener una versión vulnerable del sistema operativo, capturar tráfico o inyectarle alguna sorpresita en su navegación para explotar Java, Flash, el navegador…

Por último, otra cosa que puede hacer es buscar su correo electrónico y enviarle, con algún pretexto, algún peyload malicioso en un documento. De forma que explote alguna cosa de su equipo. Primero puede investigar qué software utiliza la víctima mediante ingeniería social (llamadas, correo que incita a pinchar en alguna página controlada por Dexter, correo de vuelta, etc.) y de ahí extraer los datos para probar con documentos de Office o PDF y rezar porque no le pille el antivirus (para eso siempre se puede modificar el payload y tal pero obviemos esto en el caso de la serie que ya es demasiado).

Los guionistas también pueden meter algunas pizcas de concienciación de seguridad haciendo que Dexter haga algún comentario de lo que se encuentra. Algo del tipo “vaya, parece que valora su privacidad” y cosas así.

Bueno, pues ahí queda eso, no sólo de ordenadores sin contraseña vive el hombre. Eso sí, al menos no se lo encuentra con contraseña y la adivina en tres intentos. Eso sí que es un insulto… aunque no seré yo quién diga que eso nunca pasa .

Lo gracioso de los quioscos de información es que siempre hay alguna forma de saltarselos. Seguramente influye el que los pongan donde hay gente aburrida y con tiempo para perder.

Después de algunos otros casos que hemos relatado aquí y otros que no puedo contar tenemos una nueva entrega de quioscos inseguros. En este caso le ha tocado a Adif y a sus puntos de información (information points).

Estos puntos permiten tener acceso a información sobre los servicios de trenes y tal. Se trata de una pantalla  muy grande y táctil. El navegador que utiliza es Google Chrome.

El problema es que es posible salirse del navegador fácilmente. ¿Cómo? Pues si sois de Adif echadnos un correito. Al resto, en el próximo Sec&Beer os lo cuento.

Algunas fotos sobre el tema para abrir boca.

Se trata de un entorno Windows que debe tener una aplicación local con Tomcat y MySQL. Parece que el dispositivo tiene interfaz bluetooth, lo que facilitaría las cosas porque la interfaz táctil era bastante perrillera.

En estos casos recordad que C:\WINDOWS\SYSTEM32\OSK.EXE es vuestro amigo. Aún así, era un dolor hacer cualquier cosa.

Lo curioso de los quioscos es que se confía en que no se puede salir del navegador, por lo que, una vez conseguido, es posible navegar por todo el disco, acceder a la red, navegar por cualquier sitio, tener acceso a aplicaciones locales, etc.

Estos equipos tendrían que estar configurados de forma segura y el usuario debería tener privilegios mínimos y visibilidad mínima del disco local y de la red. En la guía de Windows del CIS hay opciones de configuración paranoica para terminales públicos.

Por favor, aplicad este tipo de medidas cuando tengáis terminales de acceso público. Recordad que siempre hay algún modo de salirse del quiosco.

Un pequeño listado de recomendaciones si vais a hacer un quiosco de acceso público:

• Aparte de la configuración en modo quiosco del navegador, también aplicad restricciones  en el sistema operativo: usuario con privilegios mínimos, limitada visión del disco, etc.
• Limitad la conectividad del equipo a la mínima necesaria. Incluso, si podéis evitar utilizar recursos externos, mejor. Esto es, con un cortafuegos (nada de las limitaciones del navegador o del proxy que puedas quitar).
• Cuidado con el Flash y otros applets similares, que pueden saltarse las restricciones que impongas en el navegador.

Y por último, haced pruebas de seguridad, no puede ser que alguien en cinco minutos consiga saltarselo. Eso significa que nadie lo ha intentado durante las pruebas. Y digo yo, ¿no es uno de los requisitos principales de estos cacharros, que no se pueda acceder al sistema operativo?