S3lab http://s3lab.deusto.es S3lab Security Blog Wed, 06 May 2020 12:51:35 +0000 es hourly 1 https://wordpress.org/?v=5.1.5 sudo systemctl hibernate http://s3lab.deusto.es/sudo-systemctl-hibernate/ Wed, 09 Jan 2019 10:55:52 +0000 http://s3lab.deusto.es/?p=10119 Tras 5 magníficos años llenos de posts, llega ese momento que los animales que viven en condiciones extremadamente frías conocen, la hibernación. Muchísimas gracias de corazón a los colaboradores del blog, esta aventura habría sido muy diferente sin la ayuda de

The post sudo systemctl hibernate appeared first on S3lab.

]]>
Tras 5 magníficos años llenos de posts, llega ese momento que los animales que viven en condiciones extremadamente frías conocen, la hibernación.

Muchísimas gracias de corazón a los colaboradores del blog, esta aventura habría sido muy diferente sin la ayuda de cada uno de vosotros. Tampoco queremos olvidar a cada uno de los lectores que han decidido usar su preciado tiempo en leernos post tras post. Gracias a todos, hemos logrado ser nombrados «9 Mejor Blog de Seguridad Informática de habla hispana» (Bitacoras XII), algo impensable en nuestros inicios allá por el 2014.

Ha sido un grandisimo placer.

The post sudo systemctl hibernate appeared first on S3lab.

]]>
Entrevista a Vicente Motos (@hackplayers) http://s3lab.deusto.es/entrevista-vicente-motos-hackplayers/ Mon, 10 Dec 2018 10:23:12 +0000 http://s3lab.deusto.es/?p=10083 Vicente empezó sus andanzas en la seguridad dentro de Thales, y actualmente es team leader en SIA group. Puede que alguno que otro todavía no sitúe a Vicente, pero estoy seguro que muchos de vosotros habéis leído su blog mas de

The post Entrevista a Vicente Motos (@hackplayers) appeared first on S3lab.

]]>
Vicente empezó sus andanzas en la seguridad dentro de Thales, y actualmente es team leader en SIA group. Puede que alguno que otro todavía no sitúe a Vicente, pero estoy seguro que muchos de vosotros habéis leído su blog mas de una vez, me refiero a Hackplayers. Ha logrado ser reconocido como uno de los blogs de referencia de la comunidad, y recientemente han organizado su propia conferencia (h-c0n). Aunque su perfil os puede dar mas información sobre el, os dejamos una pequeña frase con la que se define:

«Consultor de seguridad y hacker ético. Me considero afortunado por trabajar en mi devoción, bastante curioso y sobretodo perseverante.”

1. Echando memoria atrás, ¿qué fue lo que te impulsó, primero a interesarte en la informática, y posteriormente en la seguridad?

Aún recuerdo, siendo bien pequeño, cuándo trajeron a mi vecino el primer ordenador que vi: un Sinclair ZX Spectrum. Me causó tal fascinación que soñaba con programar mis propios videojuegos o modificar los que ya había. Supongo que el simple hecho de conocer la informática me hizo enamorarme de ella.

Respecto al interés en la seguridad en concreto, vino poco después de empezar a trabajar en TI. Yo estaba en la parte de sistemas y parte de mis funciones eran la seguridad perimetral y el hardening de servidores. Documentarme en las distintas técnicas para vulnerarlos y ver ciertos ataques acabó atrayéndome al lado oscuro, aka hacking.

2. Con las bases establecidas, cuéntanos los primeros pasos de Hackplayers (luces y sombras).

En 2008 cree un blog para que un pequeño grupo de consultores pudiéramos prepararnos mejor para el CEH y conocer nuevas herramientas, técnicas, recursos, … en definitiva para mantenernos actualizados. Fue un año después cuando decidí migrar a blogger y aproveché para cambiar también el nombre del blog por su similitud con cierta novela de Ken Follet… ahí nació Hackplayers.

Pronto se convirtió en una inspiración para continuar aprendiendo y seguir siendo autodidacta. Pocas sombras puede haber en el medio que me ha permitido plasmar todas mis investigaciones y recopilar tanta información y que a la postre me ha servido para crecer y ser mejor profesional. Además, con los años Hackplayers se ha expandido en otras redes sociales y me ha permitido conocer y colaborar con mucha más gente convirtiéndose en lo que hoy en día es una verdadera comunidad.

3. Después de más de 10 años y cerca de las 2000 entradas en el blog, ¿alguna que recuerdes con especial cariño?

No es un tópico ni falsa modestia, las entradas que recuerdo con especial cariño son aquellas que han realizado mis colegas, tanto las de los que han pasado por el blog de forma temporal como las de los que todavía están colaborando. Como digo de vez en cuando, el objetivo de Hackplayers siempre ha sido ser un medio abierto y participativo y cualquier aportación siempre la he valorado y agradecido enormemente.

4. Bienvenido al 2018, el año en el que has organizado una conferencia propia. ¿Qué hizo que ese chaval que jugaba con ordenadores, como tú dices, decidiese dar este paso?

Pues la insistencia de muchos de mis compañeros, algunos del trabajo y otros partícipes muy activos en nuestras redes sociales. Ellos me acabaron convenciendo y algunos se apuntaron y forman parte del staff.

He de reconocer que era bastante reticente por el trabajo que supone organizar un “sarao” de estos, sobretodo cuando es la primera vez que lo haces y todo te viene de nuevas. Pero la primera edición salió bastante bien y todo el esfuerzo se vio recompensado. Ahora este año partimos de la experiencia anterior pero seguimos intentando innovar en algunas cosas y así afrontar nuevos retos.

5. ¿Podrías describirnos tu día a día? Suena el despertador…

Suena el despertador y le doy al botón para que vuelva a sonar en otros 10 minutos…  En serio, es una locura. Tengo dos niñas pequeñas, cuando me levanto lo primero que hago es vestirlas para llevarlas al cole. Las dejo un poco antes para que desayunen allí y me de tiempo a no llegar muy tarde a la oficina. El trabajo me mola bastante y la jornada pasa rápido. Cuando llego a casa vuelvo a ejercer de papá: baños, cena, cuentos… Mi chica madruga mucho y al final del día me quedo con el saĺón para mi sólo: enciendo el portátil, me pongo una buena serie y casi siempre me dan las tantas. Es raro el día que duerma más de 6 horas… y eso es algo que tengo que cambiar si quiero llegar a viejo…

6. Las 7 diferencias respecto a lo que el Vicente de hace una década pensaba que iba a ser él a día de hoy.

Quizás, hace más de una década eso sí, no sabía si iba a poder acabar trabajando en una de mis mayores aficiones. Antes de ello tuve varios trabajos temporales y las horas se me hacían eternas. Cuando empecé a trabajar en informática, no podía creer que me pagaran por divertirme, y aprendí a valorarlo aún más. Luego, con el paso del tiempo pude comprobar que el esfuerzo y la constancia te suelen llevar a dónde te propones.

Pero no todo fue un camino de rosas. Esos diez últimos años han sido también especialmente duros sobretodo por la enfermedad y pérdida dos familiares muy cercanos. Eso enseñó a valorar aún más cada momento y disfrutar del camino, no sólo de la consecución de los objetivos.

7. La seguridad está en boca de todos actualmente, ¿crees que es una moda pasajera o que las empresas van a apostar fuerte?

Estoy totalmente convencido de que la seguridad no es una moda pasajera, es más, pienso que cada vez será más importante en un mundo más y más interconectado, invadidos por el Internet de las Cosas, con mayor dependencia de las tecnologías en todos los ámbitos de la sociedad.

Ya lo estamos viendo, existe una gran demanda de perfiles de seguridad, tanto ofensiva como defensiva, que las empresas apenas alcanzan a cubrir. No creo que esa tendencia cambie en mucho tiempo así que mi consejo a todos los que están pensando en dedicarse a ello es que no lo duden: se augura un gran futuro para los profesionales de (ciber)seguridad.

8. Has trabajado con muchos e importantes clientes. Sin decir nombres, ¿puedes contarnos alguna situación que te hiciera llevarte las manos a la cabeza?

Cuando trabajas con clientes muy grandes te das cuenta que en la mayoría de las ocasiones su debilidad es precisamente… ser muy grandes. Más de una vez (y más de diez) me he llevado las manos a la cabeza por fallos críticos que son muy muy tontos y muchas veces son debidos a eso: a mayor superficie más fácil es encontrar un servidor desactualizado, un desarrollo discontinuado, una aplicación indocumentada o sin mantenimiento, infraestructura heredada de otras empresas absorbidas, etc. Al final es lo de siempre… la cadena es tan fuerte como su eslabón más débil.

9. Hemos hablado del pasado y del presente, pero ¿qué pasa con el futuro? ¿Nos puedes comentar tus próximos movimientos?

En los últimos años me he dedicado a realizar pentesting, auditorías técnicas y red team. Obtuve el OSCP y me enganché a plataformas como Hackthebox. También he participado en algún que otro CTF y me he dado cuenta que tengo, o que simplemente me apetece, aprender más exploiting y reversing. Además hace siglos que no hago análisis de malware ni forense, y creo que ha llegado el momento de dar un pequeño giro a DFIR.

A partir de enero, tengo la gran suerte de incorporarme a un cliente final para hacer threat hunting así que tendré la oportunidad de aprender cosas nuevas e imagino que pronto se verá reflejado cierto cambio de temática en mis posts de Hackplayers, a ver qué tal…

10. Para acabar, cual ceremonia de premios, minutos de agradecimientos.

Sobretodo a mi chica por aguantar al niño mayor que se cree juaker. Y luego a todos los que han participado y participan de alguna manera en Hackplayers. Especial mención a mis compañeros y ex-compañeros del Red Team que quieren tornar púrpura, a ese dúo calavera que soporta la infraestructura del foro y a ese equipo, también mi equipo, de locos embriagados por el licor de bellota. Y bueno, gracias por supuesto también al equipo de S3Labs de la Universidad de Deusto por esta entrevista y a todos los que habéis aguantado leyéndola hasta el final.

The post Entrevista a Vicente Motos (@hackplayers) appeared first on S3lab.

]]>
Blockchain. ¿Tecnología revolucionaria o hype? http://s3lab.deusto.es/blockchain-revolucionario-hype/ Fri, 09 Nov 2018 13:45:30 +0000 http://s3lab.deusto.es/?p=10067 Estoy convencido que a poco que sigáis el mundo tecnológico habréis oído durante el último año o puede que antes, esa maravillosa tecnología conocida como blockchain destinada según muchos a revolucionar ya no el mundo de la ciberseguridad sino cualquier

The post Blockchain. ¿Tecnología revolucionaria o hype? appeared first on S3lab.

]]>
Estoy convencido que a poco que sigáis el mundo tecnológico habréis oído durante el último año o puede que antes, esa maravillosa tecnología conocida como blockchain destinada según muchos a revolucionar ya no el mundo de la ciberseguridad sino cualquier empresa tecnológica o no. Pero, ¿cuánto hay de cierto en esto?

Blockchain, por sí mismo, no es más que una implementación moderna del concepto “cadena de hashes”, autodenominada cadena de bloques. Consiste en algo tan sencillo como obtener un hash o función criptográfica resumen de un conjunto de eventos (normalmente transaccionales), de tal modo que el receptor de la transacción puede ver si los hashes concuerdan en destino y origen y, por tanto, se mantiene la integridad de la transacción. En otras palabras “que nadie ha metido mano en el proceso”.

Como supongo que os imaginareis, garantizar la integridad es realmente en muchas aplicaciones que requieren de asegurar cada paso. El mejor ejemplo serían las transacciones bancarias y, de hecho, es donde más se aplica. El problema viene cuando supuestos expertos en ciberseguridad en jornadas, desayunos empresariales, y en definitiva cualquier evento y/o “sarao” relacionado hablan y hablan de las bondades de esta “nueva” tecnología revolucionaria tiene para cualquier negocio, desde una PYME tecnológica hasta, si me apurais, una panadería.

Ante la pregunta, ¿necesito blockchain en mi negocio? La respuesta normal es un rotundo NO. No lo necesitas. Si tienes una empresa que fabrica tornillos y garantizar la integridad de tu BBDD es garantizar un excel enlazado de datos de producción recogidos a mano, es mejor que mejores tu captura de datos. Si tu BBDD está en local y no la tienes distribuidas por todo el globo, tampoco te hace falta. Y qué te igual esas supuestas bondades que “expertos” en foros están contando. No conocen ni tu negocio ni muy probablemente el concepto de cadena de hashes o alternativas – que se venían usando antes de este hype – como esquemas compartición de secretos (por cierto, inventado por un ganador del premio Turing, Adi Shamir, nada menos).

Así que ya sabéis, blockchain en bancos y procesos distribuidos críticos que necesiten una trazabilidad. Para todo lo demás, decid de primeras NO al blockchain. En algunos casos tendrán razón, pero en otros tantos no.

The post Blockchain. ¿Tecnología revolucionaria o hype? appeared first on S3lab.

]]>
La carga de binarios en Linux http://s3lab.deusto.es/carga-binarios-linux/ Sun, 14 Oct 2018 16:36:42 +0000 http://s3lab.deusto.es/?p=10045 Se puede decir que los ejecutables son una representación estática de un programa y que en el momento en el que se ejecutan, el kernel utiliza la información incluida en esos ficheros para crear una representación dinámica, más conocida como

The post La carga de binarios en Linux appeared first on S3lab.

]]>
Se puede decir que los ejecutables son una representación estática de un programa y que en el momento en el que se ejecutan, el kernel utiliza la información incluida en esos ficheros para crear una representación dinámica, más conocida como la imagen del proceso. Antes de poder ejecutar un binario es necesario cargarlo en memoria y el encargado de hacerlo es el loader, que generalmente es parte del sistema operativo.

En los sistemas basados en Linux, que utilizan el estándar ELF  como formato binario, la imagen del proceso se crea cargando e interpretando los segmentos especificados en las cabeceras. Pero antes de hablar sobre el proceso de carga es necesario saber que al crear un ejecutable que utiliza dynamic linking (que son la mayoría de los programas), las bibliotecas compartidas necesarias se ubican y se enlazan en tiempo de ejecución, por lo que el linker añade un campo a las cabeceras del programa del ejecutable de tipo PT_INTERP, indicando al sistema la identidad del linker dinámico (a veces también llamado intérprete) que típicamente es /lib64/ld-linux-x86-64.so.2.  Por otra parte, en el periodo conocido como link-time, el programa (o biblioteca) se construye combinando secciones con atributos similares en segmentos. Normalmente, todas las secciones ejecutables y de datos de sólo-lectura se juntan en un mismo segmento, mientras que el resto de secciones de datos y BSS (variables no inicializadas) se combinan en otro segmento. Estos segmentos típicamente se conocen como segmentos de carga porque es necesario cargarlos en memoria en el momento de la creación del proceso, al contrario que otras secciones como la tabla de símbolos (.symtab) o la información de debugging (.debug_info).

A grandes rasgos, el proceso de carga de un binario ELF se descompone en las siguientes tareas:

  • 1. En primer lugar, se examinan las cabeceras para verificar que el fichero en cuestión tiene un formato ELF compatible.
  • 2. Se recorren las entradas de las cabeceras del programa comprobando si se ha especificado un intérprete (PT_INTERP).
  • 3. Para establecer la memoria virtual, se recorren todos los segmentos de tipo PT_LOAD en el fichero y se mapean dentro del espacio de direcciones del proceso. Después se configuran las páginas inicializadas con ceros correspondientes al segmento BSS. También se configuran otras páginas especiales como las páginas de objetos compartidos dinámicos virtuales (vDSO).
  • 4. Una vez que el código del programa se ha cargado en memoria y como en este caso suponemos que utiliza dynamic linking, el ELF handler también carga el intérprete en memoria. El proceso es prácticamente el mismo que el seguido para cargar el programa original y que hemos explicado en el punto anterior.
  • 5. Por último, la dirección de inicio del programa se configura como el punto de entrada del intérprete en lugar del programa en sí mismo. Esto implica que la ejecución empieza con el intérprete, que se encarga de satisfacer los requisitos de enlace del programa desde el espacio de usuario, es decir, busca y carga las bibliotecas compartidas de las que depende el programa y trata de resolver los símbolos no definidos a las definiciones correctas en dichas bibliotecas. Una vez se ha finalizado este proceso el intérprete puede iniciar la ejecución.

Para una explicación más detallada de este proceso con referencias al código del kernel por favor visitar el arituclo de LWN.net.

The post La carga de binarios en Linux appeared first on S3lab.

]]>
Automatic Heap Layout Manipulation via #UseSec18 http://s3lab.deusto.es/heap-manipulation-usesec18/ Tue, 25 Sep 2018 15:36:40 +0000 http://s3lab.deusto.es/?p=10029 La generación automática de exploits es un concepto que se ha estudiado durante los últimos años, enfocándose sobre todo en buffer overflows localizados en la pila. El objetivo principal de estos trabajos consiste generalmente en desarrollar algoritmos que producen control-flow

The post Automatic Heap Layout Manipulation via #UseSec18 appeared first on S3lab.

]]>
La generación automática de exploits es un concepto que se ha estudiado durante los últimos años, enfocándose sobre todo en buffer overflows localizados en la pila. El objetivo principal de estos trabajos consiste generalmente en desarrollar algoritmos que producen control-flow hijacking exploits en base a valores de entrada específicos (que también se han podido descubrir de forma automática) que provocan la corrupción de un puntero a instrucción almacenado en la pila. Sin embargo, llevar a cabo el mismo concepto en el heap presenta distintos desafíos.

Investigadores de la universidad de Oxford han presentado este año en USENIX Security Symposium un estudio en el que describen un método para automatizar las manipulaciones necesarias del heap layout para explotar buffer overflows (o underflows) en el heap. El enfoque propuesto trata de buscar los valores de entrada necesarios para colocar el origen de un buffer overflow/underflow en el heap junto a objetos que a un desarrollador de exploits o un sistema de generación automática de exploits le interesa leer o corromper. En el artículo se presentan dos sistemas:

  • SIEVE: Un framework para construir benchmarks que permite una evaluación flexible y escalable de nuevos algoritmos de búsqueda o algoritmos existentes en distintos allocators, secuencias de interacción (series de llamadas a funciones de allocation o deallocation), o nuevos estados iniciales del heap.
  • SHRIKE: Un sistema de manipulación automática del heap layout en el intérprete de PHP para construir control-flow hijacking exploits. Principalmente se divide en tres fases: (1) un componente que identifica fragmentos de código PHP que proporcionen distintas secuencias de interacción; (2) un componente que identifica estructuras que pueden ser interesantes para leer o corromper como parte de un exploit y un medio para desencadenar su allocation; (3) un procedimiento de búsqueda que junta los fragmentos que desencadenan las interacciones para producir programas candidatos.

La evaluación la dividen en dos grupos de experimentos: primero con una serie de benchmarks sintéticos (construidos con su propio framework de evaluación) compuestos por distintas combinaciones de estados iniciales del heap, secuencias de interacción, tamaño de los buffers de origen y destino, y allocators (tcmalloc v2.6.1, dlmalloc v2.8.6, avrlibc v2.0); y en segundo lugar, con tres vulnerabilidades reales conocidas en el intérprete de PHP (CVE-2015-8865, CVE-2016-5093, CVE-2016-7126).
~

The post Automatic Heap Layout Manipulation via #UseSec18 appeared first on S3lab.

]]>
Cómo el hacking podría cambiar la historia http://s3lab.deusto.es/hacking-cambiar-historia/ Thu, 06 Sep 2018 09:55:25 +0000 http://s3lab.deusto.es/?p=9992 Me parece que se me había pasado comentaros pero… Aunque el hacking empezó como una simple diversión para un grupo de jóvenes entusiastas, mucho ha cambiado desde entonces. Hoy en día, todos los países tienen, en mayor o menor medida, un

The post Cómo el hacking podría cambiar la historia appeared first on S3lab.

]]>
Me parece que se me había pasado comentaros pero…

Aunque el hacking empezó como una simple diversión para un grupo de jóvenes entusiastas, mucho ha cambiado desde entonces. Hoy en día, todos los países tienen, en mayor o menor medida, un grupo de respuesta o ataque de este tipo. Los ejemplos más claros serian la NSA y el CERT/CC (en el cual tuve la suerte de poder trabajar temporalmente) de Estados Unidos. Estamos viviendo lo que será recordado como el principio de las guerras digitales, donde los soldados usan teclados en lugar de fusiles automáticos.

Estas afirmaciones no son simples suposiciones o ciencia ficción, ya se han confirmado varios ataques de este tipo, que tenían como objetivo las infraestructuras críticas o datos de inteligencia de diferentes países. El primer caso descubierto fue Stuxnet, en 2010. La finalidad de este malware era hacer explotar los centrifugadores de Uranio de una planta de enriquecimiento nuclear de Iran, modificando los PLCs (Programmable Logic Controllers) de los mismos. Un año después, se descubrió el malware conocido como Duqu. Su objetivo en este caso no era hacer explotar nada, sino que se dedicaba a obtener información que posteriormente podría ser usada para realizar ataques similares a Stuxnet en diferentes sistemas de control industrial.

Tan solo un año más adelante, se descubrieron dos prueba más de estas batallas digitales, los malware Flamer y Gauss. Estos malware dejaban a un lado el apartado industrial y se centraban en obtener otro tipo de información privilegiada. Gauss se focalizaba en el robo de contraseñas y datos bancarios, pero Flamer iba un paso más, monitoreaba todo lo que el infectado escribía, e incluso específicamente guardaba las llamadas realizadas por Skype. Más recientemente, Ukrania ha sufrido dos ataques (Diciembre 2015 y 2016) que tiraron la red eléctrica de determinadas ciudades, utilizando el malware BlackEnergy. El último caso de este tipo apareció en 2017, que el malware Industroyer salió a la luz. A diferencia de los casos previos, este malware es altamente customizable, y permite atacar un gran número de sistemas de control industrial utilizando diferentes protocolos de comunicación.

A pesar de todos estos ataques altamente sofisticados, muchas infraestructuras criticas no están correctamente protegidas, y personas sin un alto conocimiento pueden a llegar a causar grandes problemas. Durante muchos años, este tipo de sistemas basaban gran parte de su seguridad en la conocida como security by obscurity. Principalmente, ocultaban su diseño e implementación para impedir o dificultar los ataques hacia ellos. Aunque basar tu seguridad en este concepto es completamenta incorrecto en cualquier momento, podía llegar a funcionar cuando estos sistemas estaban aislados, pero en la época de la hiperconectividad, esto no tiene ningún sentido. Actualmente existen varios buscadores de dispositivos conectados a la red, que permiten localizar sistemas vulnerables (o sin contraseña) en cuestión de segundos, sin la necesidad de realizar costosos escaneos globales.

Parece que las batallas digitales no son casos aislados, y que cada vez son más comunes. Si quieres estar preparado, te recomendamos empezar ha preocuparte por estas cosas, porque se dispararán varios unos y ceros durante las próximas décadas.

El que avisa no es traidor.

The post Cómo el hacking podría cambiar la historia appeared first on S3lab.

]]>