Iskander Sanchez-Rola – S3lab http://s3lab.deusto.es S3lab Security Blog Wed, 06 May 2020 12:51:35 +0000 es hourly 1 https://wordpress.org/?v=5.1.5 Entrevista a Vicente Motos (@hackplayers) http://s3lab.deusto.es/entrevista-vicente-motos-hackplayers/ Mon, 10 Dec 2018 10:23:12 +0000 http://s3lab.deusto.es/?p=10083 Vicente empezó sus andanzas en la seguridad dentro de Thales, y actualmente es team leader en SIA group. Puede que alguno que otro todavía no sitúe a Vicente, pero estoy seguro que muchos de vosotros habéis leído su blog mas de

The post Entrevista a Vicente Motos (@hackplayers) appeared first on S3lab.

]]>
Vicente empezó sus andanzas en la seguridad dentro de Thales, y actualmente es team leader en SIA group. Puede que alguno que otro todavía no sitúe a Vicente, pero estoy seguro que muchos de vosotros habéis leído su blog mas de una vez, me refiero a Hackplayers. Ha logrado ser reconocido como uno de los blogs de referencia de la comunidad, y recientemente han organizado su propia conferencia (h-c0n). Aunque su perfil os puede dar mas información sobre el, os dejamos una pequeña frase con la que se define:

«Consultor de seguridad y hacker ético. Me considero afortunado por trabajar en mi devoción, bastante curioso y sobretodo perseverante.”

1. Echando memoria atrás, ¿qué fue lo que te impulsó, primero a interesarte en la informática, y posteriormente en la seguridad?

Aún recuerdo, siendo bien pequeño, cuándo trajeron a mi vecino el primer ordenador que vi: un Sinclair ZX Spectrum. Me causó tal fascinación que soñaba con programar mis propios videojuegos o modificar los que ya había. Supongo que el simple hecho de conocer la informática me hizo enamorarme de ella.

Respecto al interés en la seguridad en concreto, vino poco después de empezar a trabajar en TI. Yo estaba en la parte de sistemas y parte de mis funciones eran la seguridad perimetral y el hardening de servidores. Documentarme en las distintas técnicas para vulnerarlos y ver ciertos ataques acabó atrayéndome al lado oscuro, aka hacking.

2. Con las bases establecidas, cuéntanos los primeros pasos de Hackplayers (luces y sombras).

En 2008 cree un blog para que un pequeño grupo de consultores pudiéramos prepararnos mejor para el CEH y conocer nuevas herramientas, técnicas, recursos, … en definitiva para mantenernos actualizados. Fue un año después cuando decidí migrar a blogger y aproveché para cambiar también el nombre del blog por su similitud con cierta novela de Ken Follet… ahí nació Hackplayers.

Pronto se convirtió en una inspiración para continuar aprendiendo y seguir siendo autodidacta. Pocas sombras puede haber en el medio que me ha permitido plasmar todas mis investigaciones y recopilar tanta información y que a la postre me ha servido para crecer y ser mejor profesional. Además, con los años Hackplayers se ha expandido en otras redes sociales y me ha permitido conocer y colaborar con mucha más gente convirtiéndose en lo que hoy en día es una verdadera comunidad.

3. Después de más de 10 años y cerca de las 2000 entradas en el blog, ¿alguna que recuerdes con especial cariño?

No es un tópico ni falsa modestia, las entradas que recuerdo con especial cariño son aquellas que han realizado mis colegas, tanto las de los que han pasado por el blog de forma temporal como las de los que todavía están colaborando. Como digo de vez en cuando, el objetivo de Hackplayers siempre ha sido ser un medio abierto y participativo y cualquier aportación siempre la he valorado y agradecido enormemente.

4. Bienvenido al 2018, el año en el que has organizado una conferencia propia. ¿Qué hizo que ese chaval que jugaba con ordenadores, como tú dices, decidiese dar este paso?

Pues la insistencia de muchos de mis compañeros, algunos del trabajo y otros partícipes muy activos en nuestras redes sociales. Ellos me acabaron convenciendo y algunos se apuntaron y forman parte del staff.

He de reconocer que era bastante reticente por el trabajo que supone organizar un “sarao” de estos, sobretodo cuando es la primera vez que lo haces y todo te viene de nuevas. Pero la primera edición salió bastante bien y todo el esfuerzo se vio recompensado. Ahora este año partimos de la experiencia anterior pero seguimos intentando innovar en algunas cosas y así afrontar nuevos retos.

5. ¿Podrías describirnos tu día a día? Suena el despertador…

Suena el despertador y le doy al botón para que vuelva a sonar en otros 10 minutos…  En serio, es una locura. Tengo dos niñas pequeñas, cuando me levanto lo primero que hago es vestirlas para llevarlas al cole. Las dejo un poco antes para que desayunen allí y me de tiempo a no llegar muy tarde a la oficina. El trabajo me mola bastante y la jornada pasa rápido. Cuando llego a casa vuelvo a ejercer de papá: baños, cena, cuentos… Mi chica madruga mucho y al final del día me quedo con el saĺón para mi sólo: enciendo el portátil, me pongo una buena serie y casi siempre me dan las tantas. Es raro el día que duerma más de 6 horas… y eso es algo que tengo que cambiar si quiero llegar a viejo…

6. Las 7 diferencias respecto a lo que el Vicente de hace una década pensaba que iba a ser él a día de hoy.

Quizás, hace más de una década eso sí, no sabía si iba a poder acabar trabajando en una de mis mayores aficiones. Antes de ello tuve varios trabajos temporales y las horas se me hacían eternas. Cuando empecé a trabajar en informática, no podía creer que me pagaran por divertirme, y aprendí a valorarlo aún más. Luego, con el paso del tiempo pude comprobar que el esfuerzo y la constancia te suelen llevar a dónde te propones.

Pero no todo fue un camino de rosas. Esos diez últimos años han sido también especialmente duros sobretodo por la enfermedad y pérdida dos familiares muy cercanos. Eso enseñó a valorar aún más cada momento y disfrutar del camino, no sólo de la consecución de los objetivos.

7. La seguridad está en boca de todos actualmente, ¿crees que es una moda pasajera o que las empresas van a apostar fuerte?

Estoy totalmente convencido de que la seguridad no es una moda pasajera, es más, pienso que cada vez será más importante en un mundo más y más interconectado, invadidos por el Internet de las Cosas, con mayor dependencia de las tecnologías en todos los ámbitos de la sociedad.

Ya lo estamos viendo, existe una gran demanda de perfiles de seguridad, tanto ofensiva como defensiva, que las empresas apenas alcanzan a cubrir. No creo que esa tendencia cambie en mucho tiempo así que mi consejo a todos los que están pensando en dedicarse a ello es que no lo duden: se augura un gran futuro para los profesionales de (ciber)seguridad.

8. Has trabajado con muchos e importantes clientes. Sin decir nombres, ¿puedes contarnos alguna situación que te hiciera llevarte las manos a la cabeza?

Cuando trabajas con clientes muy grandes te das cuenta que en la mayoría de las ocasiones su debilidad es precisamente… ser muy grandes. Más de una vez (y más de diez) me he llevado las manos a la cabeza por fallos críticos que son muy muy tontos y muchas veces son debidos a eso: a mayor superficie más fácil es encontrar un servidor desactualizado, un desarrollo discontinuado, una aplicación indocumentada o sin mantenimiento, infraestructura heredada de otras empresas absorbidas, etc. Al final es lo de siempre… la cadena es tan fuerte como su eslabón más débil.

9. Hemos hablado del pasado y del presente, pero ¿qué pasa con el futuro? ¿Nos puedes comentar tus próximos movimientos?

En los últimos años me he dedicado a realizar pentesting, auditorías técnicas y red team. Obtuve el OSCP y me enganché a plataformas como Hackthebox. También he participado en algún que otro CTF y me he dado cuenta que tengo, o que simplemente me apetece, aprender más exploiting y reversing. Además hace siglos que no hago análisis de malware ni forense, y creo que ha llegado el momento de dar un pequeño giro a DFIR.

A partir de enero, tengo la gran suerte de incorporarme a un cliente final para hacer threat hunting así que tendré la oportunidad de aprender cosas nuevas e imagino que pronto se verá reflejado cierto cambio de temática en mis posts de Hackplayers, a ver qué tal…

10. Para acabar, cual ceremonia de premios, minutos de agradecimientos.

Sobretodo a mi chica por aguantar al niño mayor que se cree juaker. Y luego a todos los que han participado y participan de alguna manera en Hackplayers. Especial mención a mis compañeros y ex-compañeros del Red Team que quieren tornar púrpura, a ese dúo calavera que soporta la infraestructura del foro y a ese equipo, también mi equipo, de locos embriagados por el licor de bellota. Y bueno, gracias por supuesto también al equipo de S3Labs de la Universidad de Deusto por esta entrevista y a todos los que habéis aguantado leyéndola hasta el final.

The post Entrevista a Vicente Motos (@hackplayers) appeared first on S3lab.

]]>
Cómo el hacking podría cambiar la historia http://s3lab.deusto.es/hacking-cambiar-historia/ Thu, 06 Sep 2018 09:55:25 +0000 http://s3lab.deusto.es/?p=9992 Me parece que se me había pasado comentaros pero… Aunque el hacking empezó como una simple diversión para un grupo de jóvenes entusiastas, mucho ha cambiado desde entonces. Hoy en día, todos los países tienen, en mayor o menor medida, un

The post Cómo el hacking podría cambiar la historia appeared first on S3lab.

]]>
Me parece que se me había pasado comentaros pero…

Aunque el hacking empezó como una simple diversión para un grupo de jóvenes entusiastas, mucho ha cambiado desde entonces. Hoy en día, todos los países tienen, en mayor o menor medida, un grupo de respuesta o ataque de este tipo. Los ejemplos más claros serian la NSA y el CERT/CC (en el cual tuve la suerte de poder trabajar temporalmente) de Estados Unidos. Estamos viviendo lo que será recordado como el principio de las guerras digitales, donde los soldados usan teclados en lugar de fusiles automáticos.

Estas afirmaciones no son simples suposiciones o ciencia ficción, ya se han confirmado varios ataques de este tipo, que tenían como objetivo las infraestructuras críticas o datos de inteligencia de diferentes países. El primer caso descubierto fue Stuxnet, en 2010. La finalidad de este malware era hacer explotar los centrifugadores de Uranio de una planta de enriquecimiento nuclear de Iran, modificando los PLCs (Programmable Logic Controllers) de los mismos. Un año después, se descubrió el malware conocido como Duqu. Su objetivo en este caso no era hacer explotar nada, sino que se dedicaba a obtener información que posteriormente podría ser usada para realizar ataques similares a Stuxnet en diferentes sistemas de control industrial.

Tan solo un año más adelante, se descubrieron dos prueba más de estas batallas digitales, los malware Flamer y Gauss. Estos malware dejaban a un lado el apartado industrial y se centraban en obtener otro tipo de información privilegiada. Gauss se focalizaba en el robo de contraseñas y datos bancarios, pero Flamer iba un paso más, monitoreaba todo lo que el infectado escribía, e incluso específicamente guardaba las llamadas realizadas por Skype. Más recientemente, Ukrania ha sufrido dos ataques (Diciembre 2015 y 2016) que tiraron la red eléctrica de determinadas ciudades, utilizando el malware BlackEnergy. El último caso de este tipo apareció en 2017, que el malware Industroyer salió a la luz. A diferencia de los casos previos, este malware es altamente customizable, y permite atacar un gran número de sistemas de control industrial utilizando diferentes protocolos de comunicación.

A pesar de todos estos ataques altamente sofisticados, muchas infraestructuras criticas no están correctamente protegidas, y personas sin un alto conocimiento pueden a llegar a causar grandes problemas. Durante muchos años, este tipo de sistemas basaban gran parte de su seguridad en la conocida como security by obscurity. Principalmente, ocultaban su diseño e implementación para impedir o dificultar los ataques hacia ellos. Aunque basar tu seguridad en este concepto es completamenta incorrecto en cualquier momento, podía llegar a funcionar cuando estos sistemas estaban aislados, pero en la época de la hiperconectividad, esto no tiene ningún sentido. Actualmente existen varios buscadores de dispositivos conectados a la red, que permiten localizar sistemas vulnerables (o sin contraseña) en cuestión de segundos, sin la necesidad de realizar costosos escaneos globales.

Parece que las batallas digitales no son casos aislados, y que cada vez son más comunes. Si quieres estar preparado, te recomendamos empezar ha preocuparte por estas cosas, porque se dispararán varios unos y ceros durante las próximas décadas.

El que avisa no es traidor.

The post Cómo el hacking podría cambiar la historia appeared first on S3lab.

]]>
Las VPNs no son capas de invisibilidad online http://s3lab.deusto.es/vpns-no-capas-invisibilidad/ Tue, 29 May 2018 09:31:27 +0000 http://s3lab.deusto.es/?p=9887 Me parece que se me había pasado comentaros pero… Es posible acceder a cualquier contenido a través de una red diferente a la que nos encontramos inicialmente. Con un ejemplo sencillo, si inicialmente nos encontramos en España, podríamos acceder a

The post Las VPNs no son capas de invisibilidad online appeared first on S3lab.

]]>
Me parece que se me había pasado comentaros pero…

Es posible acceder a cualquier contenido a través de una red diferente a la que nos encontramos inicialmente. Con un ejemplo sencillo, si inicialmente nos encontramos en España, podríamos acceder a una página web determinada como si realmente nos encontrásemos en USA. Todo esto gracias a las VPNs (redes privadas virtuales en la lengua de Shakespeare). A grandes rasgos, una VPN nos permite conectarnos a un servidor, este recibirá nuestro tráfico de red, y luego lo enrutará como si fuera el suyo propio. Por tanto, un tercero pensará que dicho tráfico tiene como origen ese mismo servidor, y no nosotros.

Originalmente, las VPNs se crearon con la intención de permitir a las personas que por cualquier situación no se encontraran físicamente en la red de la empresa (e.g., viajes), pudieran acceder a todos los recursos locales de la misma. Actualmente, sin duda ese sigue siendo uno de sus usos, pero su rango de uso ha aumentando considerablemente para el público general. Principalmente, existen dos grupos diferentes: (i) evasión de restricciones, y (ii) acceso seguro en redes hostiles.

Respecto a las restricciones, los ejemplos son claros, acceder a ciertas páginas bloqueadas a nivel empresarial/institucional o acceder a contenido bloqueado en nuestra región. Los casos de personas que usan las VPNs por seguridad, son bastante comunes también. En estas situaciones, las redes hostiles suelen ser redes públicas de cafeterías/aeropuertos o simplemente un ISP en el cual no confiamos demasiado (e.g., por prácticas de man-in-the-middle). Por desgracia, esta última situación está convirtiéndose en algo bastante común en varios países, y hay muchas personas que confían mas en su proveedor de VPN que en su ISP. Existen diferentes tipos de VPNs, pero no todos son igualmente recomendables (si buscamos seguridad y privacidad por lo menos). Comentaremos las ventajas y desventajas de los tipos mas usados en la actualidad por la mayoría de proveedores de VPN:

  • PPTP: Resulta muy sencillo de configurar y está disponible de serie en casi todas la plataformas. Esas son las únicas ventajas que se me pueden ocurrir. La seguridad suele brillar por su ausencia en la mayoría de los casos, y han aparecido un gran número de vulnerabilidades desde su lanzamiento en 1999. Como última contra, resulta bastante sencillo bloquear a través de un firewall básico.
  • L2TP/IPsec: Puede resultar bastante buena opción, ya que tiene una configuración relativamente rápida y, al igual que PPTP, suele estar disponible sin necesidad de ninguna instalación adicional. En el otro lado de la moneda, se encuentran las afirmaciones de Edward Snowden (que apuntan a que el standard ha sido comprometido por la NSA), y el gran porcentaje de malas implementaciones que se pueden encontrar online (usando pre-shared keys). Al igual que en el caso anterior, resulta bastante sencillo de bloquear por un firewall, ya que el número de puertos usados es relativamente limitado.
  • OpenVPN: Personalmente, esta es la opción que mas recomendaría. Es muy segura, altamente configurable, puede saltarse los firewalls fácilmente y como guinda del pastel, es open source. Lo único relativamente negativo, sería el hecho de que no es nativo para la mayoría de plataformas, pero su instalación es muy sencilla y rápida, así que no es nada muy importante.

A pesar de todas las ventajas que puede traer consigo, usar una VPN puede ser peligroso también. Es importante recalcar que la única parte adicionalmente cifrada de la conexión es la de tu equipo a la VPN, una vez allí, todo el tráfico viajará de forma normal. Por tanto, no debemos olvidar que el proveedor de VPN puede perfectamente ver o incluso modificar nuestro tráfico sin gran dificultad. Generalmente, la gran mayoría de proveedores de VPN suelen publicitar que no crean logs de nada, pero hay muchos que no cumplen su palabra. Un caso bastante sonado al respecto, fue el de PureVPN, que permitió el acceso a esos «logs inexistentes» para atrapar a un stalker. Las VPNs gratuitas suelen ir un paso mas, ya que existe la sospecha, y se ha confirmado en algún caso, de que venden los datos obtenidos a terceros (con propósitos publicitarios).

Finalmente, existe la opción de montar nosotros mismos nuestra propia VPN. Hay muchísimas opciones para ello, como Algo VPN  o Openvpn-install, que permiten hacerlo de una forma bastante rápida y sencilla. Muchos habrán pensado en utilizar esta técnica para realizar algo malicioso, pero realmente tiene mas bien poco sentido, ya que generalmente se podrá acabar localizando el origen de todo si esta es la única forma de anonimización.

El que avisa no es traidor.

The post Las VPNs no son capas de invisibilidad online appeared first on S3lab.

]]>
No mina criptomonedas todo lo que reluce, pero casi http://s3lab.deusto.es/mina-criptomonedas-todo-casi/ Thu, 12 Apr 2018 11:21:23 +0000 http://s3lab.deusto.es/?p=9800 Me parece que se me había pasado comentaros pero… Existe una nueva moda en el mundo del malware, el denominado cryptojacking. En muchas guerras usaban a los prisioneros enemigos para el minado de minerales, este sería un símil de este

The post No mina criptomonedas todo lo que reluce, pero casi appeared first on S3lab.

]]>
Me parece que se me había pasado comentaros pero…

Existe una nueva moda en el mundo del malware, el denominado cryptojacking. En muchas guerras usaban a los prisioneros enemigos para el minado de minerales, este sería un símil de este caso pero trasladado al siglo XXI. Consiste en utilizar los equipos de las víctimas del malware para el minado de criptomonedas. En los últimos tiempos, el ransomware se había convertido en uno de los tipos de malware mas comunes, pero parece que el cryptojacking está quitándole el puesto a pasos agigantados.

Aunque esta técnica resulte completamente nueva para muchos, lleva con nosotros casi desde el principio de las criptomonedas. En cuanto el Bitcoin comenzó a ganar atención publica (allá por 2011), también vino de la mano este tipo de malware. Al principio no resultó muy mediático ni común, pero en 2015 estalló la noticia de que el famoso cliente de descargas uTorrent estaba instalando un software para minar Litecoins. Desde entonces, este tipo de malware no ha parado de crecer, siendo este último año el repunte mas grande.

De todas formas, los usuarios no son los únicos afectados por este tipo de ataques, muchos servidores (especialmente CMSs) han sufrido también el cryptojacking. Uno de los casos mas recientes ha sido el de varios servidores de WordPress. Una vez infectados, se utilizaban tanto para el minado de Monero (una criptomoneda adecuada para este tipo de hardware) como para atacar otros servidores WordPress y lograr mas víctimas. Se estima que únicamente con este malware, el atacante ha ganado mas de 100K dólares en pocos meses.

De todas formas, aparte de los servidores o los diferentes programas de escritorio/móvil, existe una tercera forma de lograr minar criptomonedas en otros equipos, el navegador. Por un lado, es posible lograr dicho objetivo haciendo que el usuario instale una extension maliciosa. Este sería el caso ideal para el atacante, ya que el navegador estará minando criptomonedas siempre y cuando el propio navegador esté en marcha. A pesar de ello, el control sobre estas extensiones ha aumentado recientemente, llegando al punto de que el propio Google ha empezado a borrar este tipo de extensiones directamente. Por otro lado, es posible realizar el minado a través de cualquier web normal mediante JavaScript. Aunque este código tan solo se ejecuta mientras la propia página está abierta, en casos de reproducción de video o lectura de artículos, esto puede ser mucho tiempo. Aun cuando existe la posibilidad de preguntar al usuario antes de comenzar (una forma de monetizar una web sin necesidad de anuncios), parece que la gran mayoría de las veces se realiza sin ningún tipo de consentimiento previo.

El primer cuarto del 2018 ha sido el segundo peor cuarto que el Bitcoin ha tenido jamás, con una caída de mas del 50%. No sabemos si este tipo de situaciones harán que el cryptojacking se reduzca, lo que sabemos seguro es que no será una desaparición rápida (si  llega a bajar a corto plazo).

El que avisa no es traidor.

The post No mina criptomonedas todo lo que reluce, pero casi appeared first on S3lab.

]]>
Un simple click puede generar una explosión lógica http://s3lab.deusto.es/click-explosion-logica/ Thu, 15 Feb 2018 10:55:30 +0000 http://s3lab.deusto.es/?p=9711 Me parece que se me había pasado comentaros pero… No todos los malware ejecutan su payload malicioso instantaneamente en cuanto se descargan y ejecutan por primera vez. Muchas veces, estos se mantienen en la sombra y se disparan únicamente cuando

The post Un simple click puede generar una explosión lógica appeared first on S3lab.

]]>
Me parece que se me había pasado comentaros pero…

No todos los malware ejecutan su payload malicioso instantaneamente en cuanto se descargan y ejecutan por primera vez. Muchas veces, estos se mantienen en la sombra y se disparan únicamente cuando una determinada situación ocurre (algo así como una mecha inteligente). Ese tipo de malware se denomina «bomba lógica«.

Unos ejemplos simples de este tipo de malware son las bombas que explotan únicamente en fechas determinadas, o en el caso de dispositivos móviles, las que liberan su payload únicamente cuando la víctima se encuentra cerca de determinado lugar. De todas formas, existen otros tipos de bombas lógicas muy típicas que resultan muy interesantes y que se aprovechan de un fallo en el programa que interactúa con los propios archivos maliciosos:

  • Billion laughs: También conocida como bomba XML, como bien indica su nombre, se utilizaba para sobrecargar parsers XML, generalmente de servidores HTTP. Este ataque explota el hecho de que XML permite definir entidades. Supongamos una entidad (la llamaremos entidad uno) que tiene única y exclusivamente el string «lol«. Posteriormente, crearemos la entidad dos que se definirá como 10 entidades uno, que a su vez están definidas como 10 entidades tres. Siguiendo esta regla hasta llegar a la entidad nueve, finalmente el parser XML tratará una única ocurrencia de la entidad nueve como un billón de instancias de esa risa inicial. Esto ocupará varios gigas de memoria y finalmente la aplicación web no será accesible.
  • Git-Bomb: En este caso, aunque el funcionamiento sea muy similar al del ataque «billion laughs«, en este caso el damnificado será nuestro querido controlador de versiones git. Con tan solo un repositorio perfectamente formado por 12 objetos, se puede lograr esta interesante hazaña. El secreto se encuentra en la de-duplicación de «blobs» de git, que se utiliza principalmente para poder hacer los repositorios más pequeños y permitir usar el mismo blob cuando un archivo se mantiene sin cambios entre commits. Git también permite la de-duplicación de objetos árbol (los cuales definen la estructura del repositorio). Por tanto, siguiendo la técnica de la bomba XML, podemos hacer que git intente crear un billón de archivos con 10 referencias al blob y solamente 10 objetos árbol en total.
  • Zip of Death: Este es uno de los ataques más antiguos de este tipo, pero dirigido al decompresor de archivos. El ejemplo más típico en este caso es el famoso «42.zip«. Se trata de un archivo comprimido de tan solo 42 kilobytes. Internamente este archivo tiene 5 capas de archivos zip anidados en grupos de 16, siendo la capa inferior un archivo que contiene 4.3 gigabytes. Finalmente el sistema intentará descomprimir 4.5 petabytes, lo cual causará más de un error en el equipo. Si algún autoestopista galáctico os pregunta el sentido de la vida, desconfiar de él, no es oro todo lo que reluce.

Las bombas lógicas no son solo algo teórico que los investigadores han imaginado, existen varios casos reales que han supuesto más de un quebradero de cabeza a más de uno. Un administrador de sistemas de Medco Health Solutions y un contratista de  Fannie Mae acabaron bastante tiempo entre rejas por introducir bombas lógicas en sus servidores.

Ejecutar o instalar unicamente cosas de las cuales confieis totalmente su origen y su funcionamiento en vuestro equipo. Si podéis echar un ojo al código en el momento haya alguna duda, estaréis mucho más seguros todavía.

El que avisa no es traidor.

The post Un simple click puede generar una explosión lógica appeared first on S3lab.

]]>
Todo empezó con el USB de aquél hacker http://s3lab.deusto.es/todo-empezo-usb-hacker/ Sat, 09 Dec 2017 13:48:26 +0000 http://s3lab.deusto.es/?p=9577 Me parece que se me había pasado comentaros pero… Cuando alguien se entera de que su equipo está infectado, automáticamente aparece una pregunta en su mente, ¿cómo ha ocurrido ésto? Primero se piensa en los archivos recientemente descargados/instalados, después en

The post Todo empezó con el USB de aquél hacker appeared first on S3lab.

]]>
Me parece que se me había pasado comentaros pero…

Cuando alguien se entera de que su equipo está infectado, automáticamente aparece una pregunta en su mente, ¿cómo ha ocurrido ésto? Primero se piensa en los archivos recientemente descargados/instalados, después en las páginas visitadas, y si no aparece ninguna respuesta contundente en los dos casos previos, se acaba desistiendo y maldiciendo la situación. Aunque no me atrevería a decir que la tercera opción posible que os voy a explicar sea la más común, sin duda es una. Los USBs son un periférico que puede llegar a tener un gran poder sobre muchos factores de los equipos, ya sea tanto para cosas buenas como por supuesto, para cosas más oscuras.

Gracias a los estragos que causaron los autorun.inf en el pasado (como se puede inferir por su nombre, ejecución automática al ser insertado), muchas personas han aprendido que coger un USB del suelo y ponerlo en el equipo no resulta algo seguro. De todas formas, existe otra manera de lograr objetivos maliciosos haciendo uso de ese querido periférico que muchos ni se plantean. Estos ataques principalmente se aprovechan de situaciones en las que los puertos USB se encuentran al descubierto y que cualquier persona puede acceder a ellos sin levantar mucha sospecha (estando el equipo encendido o incluso apagado). Aunque parezca algo poco común, si pensáis un poco, rápidamente os vendrán muchas situaciones que encajan: oficinas bancarias, centros policiales, consultas medicas… Un atacante malicioso o un hacker podría tomar ventaja e introducir un USB en dicho terminal y crear muchos quebraderos de cabeza al dueño o responsable del mismo.

Empezando por uno de los más conocidos, nos encontramos con el BadUSB. Estos USBs trabajan sobre una premisa muy básica a la vez que ingeniosa. Se basa en hacer que el equipo interprete que al introducir el USB realmente se ha conectado, por ejemplo, un teclado o ratón regular. Posteriormente, se ejecutan unos payloads de pulsaciones pre-programadas (usando un lenguaje de scripting sencillo) a una velocidad mayor que 1000 pulsaciones por minuto. Cada una de estas pulsaciones se considerarán completamente benignas para el equipo, ya que vienen de un teclado «supuestamente» normal. La cantidad de ataques que se pueden realizar son casi infinitos: creación de puertas traseras, envío de archivos confidenciales a servidores FTP, copia de datos personales y cookies… (podéis encontrar ejemplos de payloads en Github). Uno de los USBs más famoso de este tipo es el Rubber Ducky, pero existen varios con funcionalidades similares, como pueden ser Malduino  o USBdriveby.

El robo de información privada o la propia infección del equipo puede resultar aterrador para muchos, pero las posibilidades que dan los USBs maliciosos van mucho más allá. Más concretamente, un atacante podría llegar a «freír», literalmente, nuestro hardware. Así como lo leéis, simplemente insertando un USB, podríamos llegar a quedarnos sin nuestros datos locales (bueno, si no realizamos un trabajo de ingeniería forense). El funcionamiento, al igual que en el caso de BadUSB, resulta sencillo pero muy ingenioso. Cuando el USB es insertado, comienza a cargar los condensadores internos. Tras finalizar la carga, los descarga a través del propio puerto. Este ciclo de carga y descarga se repite varias veces por segundo. El proceso se ejecuta en bucle hasta que el USB es extraído. Las consecuencias son casi instantáneas, el equipo caerá en cuanto el USB sea introducido. El USB no es de un solo uso, se puede usar tantas veces como se quiera en cuantos equipos se desee, ya que realmente no está realizando un trabajo extremadamente perjudicial para los condensadores.

Es muy importante comentar que estos ataques no solo afectan a equipos de sobremesa o portátiles, sino que practicamente todos los aparatos que tienen puertos (e.g., smartphones y tablets) pueden sufrir en una medida u otra alguno de estos ataques, sino ambos.

El que avisa no es traidor.

The post Todo empezó con el USB de aquél hacker appeared first on S3lab.

]]>