herramientas de "fingerprint" web

---

Una de las primeras tareas que hay que hacer, cuando se plantea el análisis de una aplicación de web y de su servidor, es identificar qué tipo de servidor es el que tienes que mirar.

No es suficiente con ver la cabecera HTTP "Server", pues esta puede ser falseada. Por ejemplo, se puede compilar los fuentes de un servidor Apache, y modificarlo para que diga que es un Internet Information Server (IIS), Lotus Domino, o lo que sea. En el caso de Apache 2, esto se puede hacer modificando el fichero "ap_release.h", que tiene las siguientes macros:

#define SERVER_BASEVENDOR "Apache Group"
#define SERVER_BASEPRODUCT "Apache"
#define SERVER_BASEREVISION "2.0.54"

En el trabajo que venía haciendo, se usaba a menudo lo que se denomina herramientas de fingerprint. Estas lanzan una serie de peticiones malformadas (no cumplen con el RFC 2616) al servidor de web, pues cada uno responderá de una manera diferente, o bien peticiones específicas que dependen de la plataforma (como pueden ser peticiones a extensiones ISAPI en el caso de IIS). La herramienta que yo solía usar para estos menesteres es httprint.

Ahora, le ha salido una hermana gemela, con funcionalidad, a priori (no me he leído aún la documentación) similar a la que digo. Se llama httprecon.

Captura de httprecon en ejecución

En base a las recibidas, la herramienta obtiene una probabilidad que indica qué tipo de servidor es el analizado.

Confío en que os guste. Slds!

Papá hax0r doméstico

---

Hoy en la librería me he encontrado con el libro "Técnicas de hacker para padres", publicado por Creaciones Copyright. Habla sobre técnicas y herramientas para controlar lo que hacen los chavales en internet.

El caso es que he estado tentado de comprarlo para mi padre, porque tengo una hermana menor en la edad del pavo y ha palmado cuatro asignaturas, en parte, por culpa de internet, del messenger, etc. Está más que castigada, por supuesto, pero parece que eso no es suficiente... siempre hay un momento en que la familia no está en casa, un descuido, etc... además me gustaría que conocieran algunas de las cositas que se puede hacer para controlar a la nena con el ordenador.

Que les pareca conveniente usarlas o no, es harina de otro costal. Se discutió bastante sobre esto cuando salió en barrapunto hace unos meses. Además, hace poco salió un pequeño artículo de Inteco sobre este tema.

Sociología por un "segurata"

---

Tú que estás leyendo este post: ¿te has planteado cómo piensa la gente, delante de un ordenador, en lo que a seguridad se refiere? Me refiero no sólo al usuario doméstico, sino también informáticos y gente del mundillo de la seguridad. A mi me ha dado por ahí estos días, por algunas cosillas que he leído y oído.

El pensamiento del usuario doméstico ya lo conocemos: aceptar aceptar aceptar aceptar… sin leer nada. Es la idea de mi madre, sin ir más lejos: “del ordenador? ¡Sólo se que tengo que limpiarle el polvo!”. Así resulta que no conoce (el usuario en general, no mi pobre madre en particular) el valor de un antivirus o la necesidad de actualizaciones del sistema operativo, o que pica como un pardillo cuando le llega un email pidiéndole que entre en la web de su banco…

Tenemos también el pensamiento del currito programador o administrador de sistemas, que gracias a, por ejemplo, la consultora “cárnica” para la que puede que esté trabajando y que le tiene abandonado en algún cliente, se aburre soberanamente. Si está pensando “aquí no se hace nada interesante…”, y cree que no va a salir de ahí, ¿por qué va a preocuparse de mejorar, aprendiendo sobre temas de seguridad?.

Otros pensamientos o excusas chulos son los de aquellos a los que se les dice que su software, sitio web, sistema, etc, tiene fallos (por ejemplo en una auditoría), y que básicamente son como las avestruces, que esconden la cabeza:

"No creo que sea explotable: demuéstramelo..."
"¡Tienes que estar autenticado para acceder a esa página!"
"Confío en los administradores de sistemas"
"A nadie se le ocurriría hacer eso"
"Esa función nunca ha dado problemas (en los test, nodo X...)"
"Ese código no estaba previsto que acabase en producción, tenlo en cuenta..."

Menos comentado, pero también importante, es el pensamiento del aprendiz de hax0r demasiado nuevo, del que acaba de empezar a trabajar en esto de la seguridad informática. Un cliente le ha dicho que "tumbe” sus páginas web y le demuestre que son inseguras... y se lo flipa un huevo.

Entonces empieza a soñar con infectar a la peña con virus, troyanos, usar P2P para hacer el mal, mandar email tipo “spam” con un enlace al sitio del cliente, para generar tráfico al sitio web y ver si provoca un DDOS, por ejemplo. Aunque lo más probable sea que no tenga ni puta idea de cómo hacerlo. Podríamos definir a esa época de flipe como la adolescencia del segurata.

No se tú, que lees este post, pero yo he pasado por todas las fases. Por fortuna, tuve el privilegio de trabajar con gente que me explicó desde el principio qué estaba bien y qué mal, cuándo estaba alucinando y cuándo estaba quedando como un tonto. Espero que los demás tengáis la misma suerte :) .

Phishing news (2)

---

Justo escribo el anterior post y doy con este en el blog de Panda, en el que nos explican que no todos los phishing buscan atacar a los bancos y cajas. Sus objetivos, en general, son cualquier tipo de cuenta online. Por ejemplo, un phishing buscaba engañar a aquellos que contrataban publicidad con Yahoo, para que "renovaran" su suscripción en una web fraudulenta.

Además, aquí se menciona una conferencia en Seúl, organizada por la AAVAR (Asociation of AntiVirus Asia Researchers) que lanza una idea interesante: los juegos online denominados MMORPG (Massively Multi-player Online Role Playing Game), o sea, los juegos tipo World of Warcraft, también son objeto de ataque por parte de hackers, para ganar dinero ilegalmente. Es sabido que en eBay, por ejemplo, se subastan personajes del juego que ya tienen un cierto nivel, o se cambia dinero real por dinero virtual.

subasta de personajes en eBay

Si quereis escuchar la ponencia, está en el blog de Andy.

Slds!

Phising news

Acabo de ver en esta noticia, que Telefónica alerta del incremento brutal de ataques de tipo "phising". Dice que su servicio antiphising contabilizó los siguientes:
- 2004: 33 casos
- 2005: 291 casos (como multiplicar por ocho los del año anterior)
- 2006: 1040 casos
- 2007: 2151 casos

¿Bastante fuerte, verdad? Ignoro si es cierto que son los mejores en cuanto a sus respuestas, porque eweek no indica de dónde saca esa información ni da una comparativa con los demás.

Recordar, además, casos de phishing a entidades bancarias que hemos tenido hace poco, como los que está sufriendo ahora mismo el Banco Santander, o los que sufrieron (y seguro que aún sufren) otras entidades por gracia de un troyano, que redirige al usuario a una web fraudulenta cuando quiere entrar en su banco... . Hay muchos detalles en la asociación de internautas.

Slds!

BlackHat

---

Esta semana, del 25 al 28, tenemos en Amsterdam uno de los mejores ciclos de conferencias y talleres de hacking ético del mundo: las BlackHat.

Me encantaría poder asistir y escuchar de primera mano a los mejores, lo juro, aunque lo más probable es que no me enterara de nada... en cualquer caso cuesta un riñon y parte del otro: entre 1000 y 1400 euros el asistir a las charlas, y entre 1500 y 2100 euros CADA uno de los talleres.

En estas, sí que se publican las traspas y a veces videos, gratuitamente. Podeis ver el temario, me parecen de particular interés estas, a bote pronto:

- "Spam Evolution": las técnicas que utilizan los spammers, las estrategias que se usan para combatirlo, y cómo evadirlas.
- "LDAP Injection & Blind LDAP Injection": nuevas maneras de realizar ataques de inyección LDAP. (esta es más importante, porque son dos españoles los que dan la charla: Chema Alonso y Jose Parada Gimeno, MVPs de Microsoft).
- "Beating phishers at their own game": tácticas y herramientas utilizadas por aquellos que hacen del phishing su "negocio". Se expone también cómo buscar a uno.
- "0-Day Patch -Exposing Vendors (In)Security Performance": esta nos hablará de la efectividad del proceso de publicación de nuevas vulnerabilidades, cuando se hace coordinándose con el fabricante (se le permite que haga el parche antes de lanzar información sobre la vulnerabilidad en foros y listas de distribución).

Hay muchas más, echadles un vistazo, ¡estas charlas son lo más avanzado en hacking y seguridad!.

Slds

OSVDB

---

Una de las tareas que uno tiene que hacer todos los días al llegar al trabajo, es leer algunas listas de distribución de correo. En ellas te informas de nuevos productos que han salido, nuevas técnicas de hacking, o nuevas vulnerabilidades que han aparecido en los productos que utilizas tú o los usuarios (clientes) a los que des servicios.

De estas últimas, me gustaría destacar una fuente por encima de las demás: el proyecto OSVDB (Open Source Vulnerability DataBase).

Su objetivo es que la comunidad internauta disponga de una base de datos de vulnerabilidades de libre distribución, que sea actualizada con el esfuerzo de toda la comunidad internauta, y que sea independiente de fabricantes y necesidades comerciales. Con 6 años en activo, es un proyecto de referencia en el mundillo de la seguridad informática.

Durante mis últimos tres años de curro, ha sido uno de los sitios con los que me ha tocado trabajar más, utilizando localmente su base de datos en los proyectos en los que he participado, e integrándola en otras aplicaciones. No puedo sino admirar el trabajo que hacen, por lo útil que me ha sido a mí.

Si te interesan estas cosas, y estás empezando, ¡anímate a colaborar con osvdb!. Cada aportación, por pequeña que sea, es reconocida. Profesionalmente sirve para varias cosas. Colaborar en un proyecto libre, sirve para rellenar curriculum y demuestra cualidades valoradas, como la dedicación y el trabajo en equipo. Si además es de seguridad informática, ¡mejor que mejor! :) . Además, tu colaboración será vista por futuros empleadores, que buscarán (100% seguro) información sobre ti en internet.

Slds!

VI Foro de Seguridad RedIris

---

Los días 27 y 28 de Marzo, en Barcelona, el IRIS-CERT organiza un ciclo de conferencias, el VI Foro de Seguridad RedIris. Este año está centrado en la seguridad de aplicaciones web, dado que este tipo de problemas son ahora mismo los más explotados (lo dicen ellos mismos, en su informe anual).

Me hago eco de estas conferencias porque hay dos que me parecen particularmente interesantes: las que hablan de seguridad en web services (en particular, del estándar WS-Security y relacionados), y de recolección de evidencias de intrusión en aplicaciones de web.

De las dos conferencias, se dice lo siguiente en el programa:

Restricción y evidencia en infraestructuras 2.0

La definición e implantación de políticas, guías y procedimientos de codificación no supone la eliminación total de los nuevos riesgos de seguridad en el desarrollo de aplicaciones web 2.0.

Así en el proceso de gestión de estos riesgos es importante considerar las posibilidades de detección y prevención proporcionadas por la infraestructura de sistemas de información en la que se procede al despliegue de los desarrollos web 2.0. Estos elementos de infraestructura constituyen tanto posibles puntos de control, como de recolección de actividad.

Ponentes: Miguel Suárez Albares y Alfredo Reino, Symantec Iberia

Protegiendo nuestros servicios web

Web Services Security (WS-SEC) nos proporciona un entorno de seguridad sobre mensajes SOAP permitiendo integridad, confidencialidad y autenticación de mensaje, en los cuales podemos utilizar diferentes modelos de seguridad y técnicas de cifrado. Esta especificación nos define un sistema general extensible para relacionar tokens de seguridad con mensajes SOAP. A través de los diferentes perfiles propuestos en WS-SEC, podemos utilizar tokens binarios (binary security token), aserciones SAML (SAML assertion) y tickets de kerberos, entre otros.
En esta ponencia se mostrará una visión completa del estándar Web Services Security deteniéndose en los perfiles más significativos.

Ponente: Cándido Rodríguez, RedIRIS

Actualización: transparencias

Aprendiz de hax0r

---

Cuando uno empieza a interesarse por el mundillo de la seguridad informática, se encuentra con dos obstáculos a superar. Lo primero que queremos saber es de ataques y vulnerabilidades, pero lo que dicen los sitios web y publicaciones serias sabe, a veces, demasiado a formalidad, y no te enseñan realmente "las tripas" de un ataque, de cómo se explota. Si ya sabes un poco, te encuentras con tu pepito grillo particular, que te dice "tío, quieres saber de esto, ¿pero realmente te atreves a correr el riesgo de ir a la cárcel?"...

Por fortuna no es necesario pensar en la delincuencia, ni tener contacto directo con la "hack scene" para empezar a aprender, afilarse uno las uñas y "jeiquear" un poco. No es difícil encontrar aplicaciones de entrenamiento que, en plan tutorial, expliquen las técnicas básicas, como puede ser WebGoat.

WebGoat en acción

Este tipo de aplicaciones están bien como aprendizaje inicial, pero una vez superada, ver otra parecida, con su enunciado y sus pistas para que no te atasques, sabe a poco. "¡Queremos desafíos! ¡Hacer 'trampas' de verdad!". Pero, otra vez, sin que la brigada de delitos telemáticos de la Guardia Civil decida que tiene que buscarnos... .

Hay disponibles también aplicaciones hechas adrede para ser vulnerables, que se pueden descargar desde internet e instalar en un equipo con un servidor de web, destinadas para aprender. Un ejemplo son las aplicaciones que Foundstone presenta como software libre, como son Hacme Bank o Hacme Books, entre otras.

Otra opción, que es el tema de este artículo, es buscar retos hacking en internet, o los llamados "wargames". Se presentan en forma de concurso ("los tres primeros que lleguen al nivel 10 se llevan una camiseta!"), y tienen pruebas chulísimas y técnicamente complejas.

Aquí en España, son conocidos los de elladodelmal, que ya lleva 6 ediciones, y que después explica cómo se superan las pruebas. Estos retos son utilizados en las ponencias que sus autores realizan posteriormente, sobre seguridad informática. El grupo elhacker.net también tiene una zona de wargames, con enlaces a algunos que siguen vivos, y algunos ya desaparecidos.

Por el mundo mundial ("Google dixit"), llaman la atención lugares como hackthissite.org, zero.webappsecurity.com, o smash the stack.

hackthissite.org

Sin pensar en dedicarte profesionalmente a ello, aprender en base a la experiencia, o sea, buscar trabajo en una de las empresas del sector, este tipo de juegos son una manera muy buena de practicar, ver técnicas nuevas, y conocer gente interesada en la seguridad informática.

Slds!

---

(Visto en legalidadinformatica) La última reforma del Código penal, en el artículo 197 de la Ley Orgánica 10/1995, agregó como epígrafe:

“3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.”

ISO 27001 y 27002 en castellano

---

En un blog vecino me he encontrado un par de enlaces interesantes:

• ISO 27001 en español
• ISO 27002 en español

Son dos traducciones no oficiales, pero me parece interesante (y además es gratis).

Slds!

CERTs, CSIRTs, etc

---

Al ver los videos del post anterior, pensé en buscar un poco más de información sobre CERTs. He usado muchas veces este término, he tenido noticia de algunos de ellos, pero nunca me había puesto a hurgar para buscar información en profundidad. Este post es una introducción, a modo de artículo, a lo que hacen, cuáles son conocidos, qué organizaciones hay a nivel europeo y mundial, etc.

De qué hablamos

Hoy día se utilizan los términos CERT (Computer Emergency Response Team) y CSIRT (Computer Security and Incident Response Team) de forma indiferente, para denominar a aquellos grupos dedicados a estudiar problemas de seguridad (vulnerabilidades) en Internet, proporcionar servicios a entidades que han sido atacadas, así como divulgar avisos de seguridad. Además, proporcionan información que contribuye a mejorar la seguridad de los equipos y redes de las comunidades a las que prestan servicio.

Los servicios concretos que da un CERT, cómo contactar con él, de quién depende, a qué comunidad se dirigen sus servicios etc, está definido en una "carta de constitución", que tiene cada uno. El RFC 2350 es un modelo a seguir para una organización que constituye un CERT. Se puede ver un ejemplo aquí.

CERTs en España

Existen ya varios de estos centros de este tipo en España, tanto públicos como privados. Entre los públicos, destacan los universitarios IRIS-CERT y esCERT. También dos creados en el año 2007, que son el CCN-CERT del Centro Criptológico Nacional, con el fin de dar servicios a las Administraciones Públicas, y el creado por INTECO (Instituto Nacional de Tecnologías de la Comunicación), dirigido a particulares así como a pequeñas y medianas empresas. También existen centros a nivel autonómico.

Los privados corresponden a empresas del sector de la seguridad informática, o a entidades privadas grandes, como es ejemplo el Cert de La Caixa (e-LC CSIRT). Este cert cubre aquellos problemas que podrían afectar a la propia entidad y a sus clientes, en transacciones realizadas online.

¿Y en el mundo?

La labor de un CERT no sería efectiva sin la colaboración con los demás. Ya en 1989, cuando se creó el primer cert del mundo, el CERT/CC, quedó clara la necesidad del trabajo en equipo, por lo que en 1990 fue creado el Forum of Incident Response and Security Teams (FIRST).



Asociados en el FIRST hay ahora mismo 192 equipos de respuesta a incidentes, en 41 países, principalmente en Europa (Alemania tiene 16, Reino Unido 17) y Estados Unidos (62). La mayoría de los países está más o menos al nivel de España, que tiene registrados 4 equipos.

Con este organismo suele colaborar otro a nivel europeo, TERENA, con varias iniciativas, como son su grupo de trabajo TF-CSIRT, y Trusted Introducer. Esta última proporciona servicios a equipos acreditados, como son foros y listas de discusión, compartición de información, etc.

A nivel gubernamental en la UE, la ENISA (Agencia y Red Europea para la Seguridad de la Información), está planificando la creación de un programa, denominado “Sistema Europeo de Alertas e Información Compartida” (EISAS), que aúne los esfuerzos que realizan los centros de alerta de los países de la UE, así como los hechos por los departamentos de delitos informáticos de la Policía de cada país.

Esta misma organización tiene otros proyectos interesantes, como es una guía para poner en marcha tu propio CERT, ejemplos incluidos.



Conclusión

Los servicios de los centros de respuesta a emergencias son aún poco conocidos por los profesionales de la informática, y menos aún por otros tipos de usuarios, debido a que hasta hace poco tiempo, los únicos que había españoles eran de ámbito universitario. Queda aún mucho trabajo por divulgarlos, por ejemplo entre PYMEs, como es el objetivo de Inteco. Las iniciativas realizadas a nivel español y europeo, hacen pensar que este tipo de servicios tendrá un crecimiento elevado a medio plazo.

Referencias

RFC 2828: Internet Security Glossary

RFC 2350: Expectations for Computer Security Incident Response
Forum of Incident Response and Security Teams (FIRST)
ENISA: European Network and Information Security Agency

---

Intentaré ampliar la información puesta aquí, con lo que vea en la guía antes mencionada, y con lo que lea en este otro libro que he encontrado: "Handbook for security incident response teams (CSIRTs)".

Slds!

Conferencias Información y Gestión del Riesgo

---

Buscando por internet información general sobre gestión de riesgo (pues curraré en eso ahora, debo ir aprendiendo), me he encontrado con las ponencias sobre Información y Gestión del Riesgo, organizadas por Inteco, que tuvieron lugar el 8 y el 9 de Diciembre de 2007. Están disponibles los videos de las ponencias, y en algunos casos, se puede descargar las transparencias en PDF.

El objeto de estas conferencias fue:

• presentar la metodología que se aplica en cinco países europeos (España, Alemania, Reino Unido, Francia y Austria), casos de éxito y experiencias de análisis de riesgos. En el caso de España, se habla de Magerit.
• las pequeñas y medianas empresas, y el análisis de riesgos. Por qué no lo hacen, qué se está haciendo para que esto cambie, etc.
  

Cada metodología ha sido desarrollada por algún organismo público, así que en primer lugar se presentan las administraciones públicas relevantes. Después una empresa de consultoría o una asociación habla de los problemas con las PYMEs y el análisis de riesgos (por ejemplo, cómo presentarlo para que digan "entiendo que necesito esto" y se atrevan a abordarlo) , y por último, un caso de éxito de análisis de riesgos hecho en una empresa.

En el caso de España, se presentaron tres ponencias:

• CCN-CERT e Inteco: qué son y qué hacen, qué tiene que ver el análisis de riesgos con su trabajo (esta, me pareció particularmente interesante).
  
• Una presentación de una empresa consultora (no diré el nombre), titulada "Risk analysis as the basis for certification".
• El caso de un análisis de riesgos, hecho en Caixa Sabadell, usando Magerit y PILAR.

Para el que no sabe casi nada del tema (como yo), introduce cosas nuevas :)

Hacking macabro

---

Es un poco gore... se ha descubierto que hay fallos de seguridad en implantes desfibriladores, o sea los tradicionales marcapasos. ¡Una vulnerabilidad informática ahora podría matar!.

Visto en las noticias: Corazones "hackeables"

Dicen que el problema es dificilmente explotable, que hay que estar muy cerca de la víctima y que el equipo necesario cuesta un ojo de la cara. Pero espero que a nadie se le ocurra...

el por qué

---

Casi todos los blogs que he leído en alguna ocasión, empiezan de dos maneras: con un post llamado "prueba", y que no suele decir absolutamente nada, o con un post inicial que es una especie de declaración de intenciones. Seré de los segundos.

Hay varios motivos para tener un blog, algunos obvios, otros no tanto. Un motivo es tener online una lista de bookmarks, como la que tendrías en tu navegador, pero a la que puedas acceder desde cualquier parte. Aunque para eso, en realidad no te hace falta un blog, tienes del.i.cious.

Un segundo motivo es acostumbrarse a escribir. Me acabo de cambiar de curro, y en el nuevo, voy a tener que hacerlo en forma de artículos en revistas, o como charlas para mis compañeros en la compañía sobre algún tema técnico en el que yo esté trabajando, y dado que me va en ello dinerito, ya puedo ir espabilando ;) . Será con toda probabilidad sobre algo relacionado con la seguridad informática (de ahí el nombre del blog :) ).

Podría conseguir estas dos cosas, como digo, sin hacerme un blog. Pero entonces, me perdería las cosas chulas que tienen los blogs: lo que otros podrían enseñarme, al añadir comentarios a aquello que escribo, quizás conocer gente, y lo que pueda aportar a otros con lo que escriba aquí. De esto último, espero humildemente que encuentres beneficioso aquello que escribo, aunque en otros sitios puedas encontrar lo mismo y mejor. Como dijo un profe mío de la facultad, cuando empezó su propio blog:

"La competencia es dura: hay auténticos profesionales que escriben (bien) cosas interesantes (a veces). ".

Muchísimas gracias por dedicarme tu tiempo leyendo estas líneas.

Y dicho todo esto, ale, ¡al turrón!

Slds