Sistemas de seguridad de última generación

Los contenidos de una asignatura suelen incluir aspectos excesivamente formales-metodológicos. En la vida real, la supervivencia en nuestro mundo profesional requiere de mucha empatía, sentido común y, en muchas ocasiones, unas grandes dosis de simpatía. Tal vez en las titulaciones universitarias se debería plantear alguna asignatura que cubriese los aspectos más personales y variopintos de nuestras vidas laborales desde un punto de vista de las relaciones humanas. En espera de este tipo de asignaturas, podemos empezar por extraer todo conocimiento posible, que existe bastante, de la vida y obra de wardog (por cierto, muy didáctico).

Aunque de todas sus entradas se pueden aprender muchas cosas, en este caso traigo una relacionada con el mundo de la seguridad (entra en el examen de PSI).

Sistema de seguridad de última generación en el ámbito de nuestros teclados

Como ejercicio dejo la libre redacción de un capítulo al estilo Wardog pero en la universidad, en la que se refleje la vida y obra de alumnos y profesores. A ser posible que no se pueda identificar directamente a personas físicas.

Bitácora de PSI.: Ocultación

Sed buenos y no le carguéis el muerto a nadie

¿Puede una página web levantarte dolor de cabeza o quitarte el sueño?

Hace unos años participaba en una discusión sobre la posibilidad de que, bajo ciertas condiciones, un virus informático pudiese dañar algún elemento hardware. Esto también me trajo a la memoria un pequeño programilla con el que, a principios de los ochenta y con mi viejo 8088, por azar conseguí con ciertos ajustes de frecuencia y unos buenos altavoces que todos los perros del barrio se pusiesen a ladrar como locos. Después de un par de pruebas y comprobaciones dejé de molestar a los vecinos y de incordiar a los perros. En la actualidad hay una gran cantidad de dispositivos a la venta disponibles en la red que generan sonidos, muchas veces inaudibles para el ser humano, para distintas tareas con los animales.

Pero bueno, eso forma parte de los maravillosos años como estudiante de informática. Ahora nos podemos llegar a hacer otra pregunta bien diferente, ¿podría un virus informático, página web, vídeo o cualquier otro formato audiovisual producir algún efecto nocivo sobre el ser humano?. Recuerdo una película, aunque no el título, con una temática similar. Películas, siempre tan alejadas de la realidad.

El 5 de marzo Alejo me remitía una noticia “Vulnerabilidad grave en OpenSSL”. Aunque no le presté gran atención la metí en alguna de mis neuronas perdidas. No es temática adecuada en el ámbito de la asignatura de PSI y, en mis campos de interés, hay otros en el orden de preferencias. La generación de fluctuaciones en la alimentación de energía de un dispositivo para obtener una clave no me preocupa demasiado. Pero sin duda alguna es una noticia curiosa.

El 18 de marzo paso un rato entretenido con una entrada de “security art work” titulada “Ataques tempest”. De esta entrada literalmente “Existen varias conjeturas alrededor de dicho término (TEMPEST); se dice que su nombre en clave procede de una operación militar que comenzó por la década de los años 50 en EEUU, en plena Guerra Fría, y que tenía como objetivo el estudio y utilización de las emisiones electromagnéticas no intencionadas de equipos electrónicos para la obtención de información, así como el desarrollo de normativas para su protección ante la posibilidad del uso indiscriminado de este tipo de ataques. Aunque el gobierno de EEUU ha indicado que este término no es un acrónimo y que no tiene un significado en particular, se le han buscado diferentes significados, uno de los más conocidos es Transient ElectroMagnetic Pulse Emanation Standard. Otro término, quizá más correcto para hablar de esta amenaza, es la de Emission Security (EMSEC)”. Tal vez se debería dejar en tempest=tempestad.

Tras algunas búsquedas del tema me paso otro buen rato con una entrada del 20 de marzo de “todo es seguro” titulada “simulacro de tempest”, en la que a modo de prueba, sobre una ISO para vmware, se ejecuta un programilla que saca cuadraditos en pantalla que producen, sobre una radio de las de toda la vida, en AM 1500 Hz, música de Bethoven. Esto se parece algo más, pero en versión no macabro, a la película cuyo título no recuerdo.

Bueno, parece que se ha puesto de moda algo que lleva entre nosotros desde los años 50. Personalmente no tenía constancia de este tipo de ataques, pero nunca es tarde para aprender. Al respecto, los mortales siempre vamos tarde, entre 50 y 60 años de retraso. Pensando en que el ámbito científico militar de EE.UU lleva con esto desde los años 50, habrá desarrollado todo tipo de trabajos de investigación con magníficos resultados que, posiblemente, conoceremos, o al menos hablaremos de ellos, dentro de otros 50 años.

Ante esto nos podemos hacer la siguiente pregunta, ¿puede un campo electromagnético dañar o producir cierto malestar en un organismo vivo?. Obviamente en el caso de altas frecuencias la respuesta es conocida y afirmativa. Otro tema diferente es el caso de las bajas frecuencias. En otras palabras, ¿podría el software+hardware dañar a un ser vivo?. Varios años en un laboratorio de informática médica me ha servido para, como mínimo, interesarme por estos temas. En este sentido, recomiendo el documento titulado “Campos Electromagnéticos y Salud Pública”, de la Subdirección General de Sanidad Ambiental y Salud Laboral de la Dirección General de Salud Pública y Consumo del Ministerio de Sanidad y Consumo. Documento realmente interesante para los que vivimos rodeados de computadores, SAIs, impresoras, grandes servidores, activos de red, inalámbricos, etc., etc. Para que luego digan que no nos merecemos un plus de peligrosidad. Entre los múltiples gráficos disponibles en dicho documento adjunto el siguiente.:

En este trabajo se tratan todo tipo de temas relacionados con campos electromagnéticos y salud. Su principal objetivo es determinar qué condiciones de exposición a Campos Electromagnéticos podrían comprometer la salud o el bienestar de la población, y en qué grado lo harían. Sin duda alguna este documento aporta una gran cantidad de información para tratar de buscar respuestas a la pregunta ¿Son peligrosos para la salud los campos electromagnéticos?

Algunos fenómenos electromagnéticos se pueden describir más fácilmente si la energía no se asocia a las ondas sino a “partículas elementales o fotones”. Esto es lo que en física se conoce como dualidad “onda-partícula” de la energía electromagnética. La energía asociada con un fotón, depende de su frecuencia. Cuanto mayor es la frecuencia de una onda electromagnética (y, por consiguiente, menor es su longitud de onda) mayor es la energía de un fotón asociado con ella. El contenido energético de un fotón a menudo se expresa en términos de “electrón-voltio” o “eV”.

Cuando se estudian los efectos biológicos de radiaciones electromagnéticas es importante distinguir dos rangos de radiaciones: ionizantes y no ionizantes, cuyos mecanismos de interacción con los tejidos vivos son muy diferentes. Tranquilos, las nuestras son no ionizantes.

Las radiaciones no ionizantes comprenden la porción del espectro electromagnético cuya energía no es capaz de romper las uniones atómicas, incluso a intensidades altas. No obstante, estas radiaciones pueden ceder energía suficiente, cuando inciden en los organismos vivos, como para producir efectos térmicos (de calentamiento) tales como los inducidos por las microondas. También, las radiaciones no ionizantes intensas de frecuencias bajas pueden inducir corrientes eléctricas en los tejidos, que pueden afectar al funcionamiento de células sensibles a dichas corrientes, como pueden ser las células musculares o las nerviosas. Algunos estudios experimentales, realizados generalmente sobre cultivos de células, han mostrado respuestas biológicas a radiaciones no ionizantes demasiado débiles para inducir efectos térmicos o corrientes intensas. Sin embargo, la relevancia de estos resultados en lo que refiere a posibles efectos de los Campos Electromagnéticos débiles sobre la salud son muy cuestionables.

En este documento se apunta que un efecto biológico se produce cuando la exposición a los Campos Electrómagnéticos provoca una respuesta fisiológica detectable en un sistema biológico. Un efecto biológico es nocivo para la salud cuando sobrepasa las posibilidades de compensación normales del organismo.

Cuando un sistema vivo es sensible a un Campo Electrómagnético de una determinada frecuencia, la exposición puede generar modificaciones funcionales o incluso estructurales en el sistema. Ante esto debemos preguntarnos, ¿a qué frecuencias somos más sensibles los informáticos?

En este documento también se recoge una revisión de los resultados de las principales investigaciones de los Campos Electromagnéticos referentes a los efectos biológicos sobre el sistema nervioso, cambios en los ritmos biológicos, campos electromagnéticos y cáncer, genotoxicidad, promoción tumoral, etc., etc.

Y con el tremendo sueño que arrastro, y dado que existe una cierta probabilidad de que mi pantalla me esté machacando mi fenotipo, he decidió dejar este interesante documento en la página 22 de sus 75. Mañana volveré a encender mi cacharro para ver si me crece pelo.

--
Como siempre digo en clase, un poco de humor viene bien para todo

SQL injection de última generación

[Gracias Alejo, muy bueno, era lo que necesitaba para alegrar un poco el día]

Por favor, si alguien se llama drop database que no se matricule en PSI.

Alternativas a la informática.: Apaga el cacharro

Se acerca la semana santa y esperemos el buen tiempo. No todo debe ser informática. Demasiadas horas delante de una pantalla genera ciertos dolores de cabeza, entre otras muchas dolencias. Complementar nuestra profesión con actividades al aire libre es la mejor forma de mejorar nuestra salud. Entre las muchas alternativas, la "federación galega de vela" ha creado en distintos puntos de la costa gallega escuelas para la iniciación y práctica de deportes. De todos ellos destacar el windsurf y el catamarán. Probar todo tipo de deportes hasta encontrar un grupo de ellos que se adapte a cada persona es una buena línea a seguir. El Punto Pasión Playa de A Coruña, en el ámbito del Club de Vela Playa de Oza, se encuentra situado en la playa de Oza. La escuela de este club proporciona cursos a precios ciertamente asequibles en estos deportes. Sin duda alguna, una actividad muy recomendable. Destacar también el alto nivel de los profesores de escuela.

- Localización del club de vela playa de Oza
- Información del club de vela

Bitácora de PSI.: Hardening (!el futuro es de los fuertes!?)

Hemos visto las típicas fases de una intrusión, y las características básicas de cada una de ellas. Como en la vida misma, la ocultación es el fenómeno que predomina en todas ellas. Hemos visto algunas forma de ocultar en conejo en la chistera.

Se introducen como mecanismos las medidas básicas de seguridad (técnicas de ocultación, parcheo a todos los niveles, “firewalls”, tcp-wrappers, IDSs, honeys, herramientas de auditoría, de integridad, analizadores de vulnerabilidades, etc.).

La segunda parte de la clase se centra en el reconocimiento de sistemas operativos, iniciando la andadura por los sistemas prehistóricos de reconocimiento ascii, y continuando por los sistemas basados en los protocolos TCP-IP. El conocimiento de los protocolos utilizados por nuestros sistemas, y la forma en la que organizan los datos, es fundamental para poder comprender muchos de los temas tratados. En este punto, utilizamos unos minutos para analizar el protocolo TCP, la forma en la que se establecen y cierran los conexiones y, en general, el funcionamiento de 6 de sus 8 flags (URG, ACK, PSK, RST, SYN, FIN), utilizados en algunos métodos, hoy en día clásicos, de análisis. También se estudia el protocolo TCP, su gestión de errores, congestión y flujo, así como los distintos campos de la cabecera de un paquete TCP. Finalmente se introducen las técnicas clásicas de análisis basada en los “flags” TCP, valores de opciones TCP, tamaño de ventana, etc. En todo momento se analiza la problemática de las técnicas de análisis considerando la existencia de un "firewall" en el camino, y su comportamiento habitual. Para una amplia relación de métodos de análisis http://nmap.org/book/osdetect.html.

No todo son sistemas operativos, el "fingerprinting" a nivel de aplicación proporciona mucha información, tanto jugando con el ascii y las cabeceras, como a nivel de firmas de comportamiento de los protocolos. ¿Qué hacer?.

Hemos jugado un poco con paquetes ICMP. Los "echo request" son muy conocidos, pero existen otros muchos paquetes ICMP.

Se concluye la clase con un aspecto en seguridad no menos importante, el hardening de nuestros sistemas, tanto a nivel de operativo, como de aplicación-servicios o del propio código fuente de nuestos desarrollos, entre otros. Se introducen algunas de las herramientas clásicas de hardening en entornos linux, como bastille-linux, grsecurity, etc.

"Las contraseñas son como la ropa interor. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños" [Chris Pirillo]

He perdido mi pata, ¿qué IP tiene?

Normalmente en nuestros esquemas de red le ponemos patas a los activos de red para enlazar con otras redes. He perdido una y estoy intentando localizarla. ¿Qué IP, o IPs, tiene el posible firewall de nuestra facultad de acceso a su DMZ desde internet?.

Me empiezan a llegar respuestas a la cuestión. ¿Es el firewall de la facultad transparente?. ¿Tiene IP el firewall o actúa como un simple bridge?.

CAMC tiene premio pero, ¿estás seguro que es transparente?

¿Cómo podemos saber qué firewall tiene?. [Pregunta teórica, no hacer físicamente nada]

¿Qué diferencia existe entre un firewall funcionando en modo NAT, "router" o transparente?

Prácticas PSI.: Movimiento de tropas cerrado

Se ha cerrado el movimiento de alumnos entre grupos de prácticas atendiendo al solape de horarios con otras asignaturas. Los grupos quedan.:

Prácticas del martes.- 21 soldados.
Prácticas del miércoles.- 35 soldados.
Prácticas del viernes.- 23 soldados.

El miércoles será un poco saturado, con algunos grupos de dos, pero bueno, no hay que buscar tres patas al gato, sabiendo que tiene cuatro.

Por cierto, los voluntarios del miércoles que se han cambiado a alguno de los otros grupos se encontrarán una grata sorpresa debajo de la almohada (frase cifrada).

Prácticas PSI.: Reorganización del batallón (34 son multitud)

Después de reorganizar los grupos de prácticas para gestionar los múltiples solapes con otras asignaturas, en estos momentos las divisiones quedan organizadas de la siguiente forma.:

Prácticas del martes.- 21 soldados.
Prácticas del miércoles.- 34 soldados.
Prácticas del viernes.- 24 soldados.

Sigo buscando voluntarios para misiones especiales en el grupo del martes y, en menor medida, del viernes. Interesados mandar paquetes formateados en la forma de un correo electrónico.

Bitácora de PSI.: Cuidado con la avispa (ver 2.0)

Entre otras muchas cosas, se presenta el proyecto de seguridad en aplicaciones web OWASP. También se pregunta por la mascota de dicho proyecto. Hormigas!!!, más bien avispa (-:

Recomiendo la lectura de OWASP TOP 10-2010 (the ten most critical web application security risks) (son 20 páginas). Puedes ampliar mucha de esta información en otros recursos OWASP o en diversas fuentes.

También se incluye una referencia a la ofuscación de URLs como complemento a una entrada de "security art work" dedicada al XSS.

Hemos visto las típicas fases de una intrusión, y las principales características de cada una de ellas. Como en la vida misma, la ocultación es el fenómeno que predomina en todas ellas.

Se introducen y definen las medidas básicas de seguridad (técnicas de ocultación, parcheo a todos los niveles, “firewalls”, tcp-wrappers, IDSs, honeys, herramientas de auditoría, de integridad, analizadores de vulnerabilidades, pen test, etc.).

En cuanto a la formación que todo profesional debe seguir a lo largo de la totalidad de su existencia, es bastante lamentable asistir a cursos de empresa, repletos de profesionales, y comprobar la forma en la que muchos de ellos se enfrentan a sus complejos; o se limitan a callar, y por lo tanto pierden la característica natural de la curiosidad, del aprendizaje, o por el contrario, se dedican a hacer intervenciones orientadas a tratar de demostrar lo guapos, altos y superdotados que son.

Afortunadamente también existen profesionales con una constante curiosidad por la tecnología, con ganas de "saber" y "saber hacer", que se enfrentan a los problemas con una gran naturalidad y sentido común. Sin duda alguna, nuestro objetivo principal debe ser el llegar a ser uno de ellos. Aunque viendo el comportamiento de muchos de los alumnos de PSI, cada día tengo más claro que han llegado a este nivel. Cuando decidí plantear pruebas-propuestas optativas en máquina no me imaginaba una respuesta como la que estoy teniendo. Es de agradecer. ¿En qué momento perdemos esas ganas de saber?. Tal vez cuando nos percatamos que ascender en nuestros entornos profesionales depende mucho más de otros factores, que de las habilidades-capacidades técnicas-profesionales. Y recuerda que este camino no es fácil, y aunque en algún momento nos podamos desviar de la senda hacia el "lado oscuro", no dudar nunca en volver a ella lo antes posible. Siempre hay muchos caminos, y el más corto suele ser el más aburrido.

Para terminar, se ha hablado de un informe de seguridad remitido por John Isiman, colaborador de la asignatura, en el que analiza la problemática existente en muchas redes de comunicaciones. Como ejercicio, plantead mecanismos de seguridad para la problemática propuesta por John.

--
Los mecanismos de seguridad son como las telarañas, que atrapan a los mosquitos y dejan pasar a las avispas

Botnets en tamaño mini (Expertos en seguridad muestran lo simple que sería crear una botnet de smartphones)

Estamos acostumbrados a ver botnets en el ámbito de los computadores, en el sentido estricto de la palabra. Aquí nadie se salva, y la alta conectividad de los smartphones, unido a lo que hace que todo "cacharro" funcione, un sistema operativo (symbian, iphone, android, etc.) + unas aplicaciones instaladas y, o, instalables, sirve para el desarrollo de nuevas botnets ("estas de bolsillo"). Información disponible en http://bit.ly/9UrhRG.

Me imagino que pronto tendremos, más bien debería decir tenemos, botnets formadas por smartphhones; xbox, play, wii, psp y demás familia; decodificadores de televisión, etc.

[Gracias Alejo por la info.]
[Obs.: Incluyo la noticia bajo etiqueta DDoS. Aunque una botnet puede ser utilizada para otras muchas cosas, no generaré nuevas etiquetas]

Informáticos y sociedad

En algunas ocasiones se trata de vender una imagen de nuestro colectivo un tanto -----.
A la cabeza me vienen varios anuncios de televisión en los que aparece un informático. Y habitualmente, la imagen que nos adjudican es un tanto vomitiva. Los informáticos somos "bichos" con muchas inquietudes, tal vez por tener una profesión integrada en la totalidad de profesiones y disciplinas existentes en la actualidad. Recordad que en este sentido tenemos mucho poder. Pero también estamos integrados en otras muchas actividades (no vivimos detrás de un teclado), tanto culturales, como deportivas, científicas, etc. Aquí os traigo una de las muchas, y que tiene una cierta relevancia. Más información en http://ecdc-fge.blogspot.com/2010/03/actuales-miembros-del-ecdc-localizan-en.html

No estaría mal que nuestras asociaciones denunciasen algunos de esos anuncios patéticos.

Bitácora de PSI (ver 1.1).: La trilogía (hosts discovery, port scanning & fingerprinting)

Hemos seguido con una nueva categorización de ataques, pasivos y activos. Se analiza el contenido que circula por nuestras redes, la paquetería (paquete TCP, empaquetamos y desempaquetamo, buenas formas en las conexiones, la pesadilla OSI vs. TCP/IP, paquete IP). Un buen conocimiento de los paquetes, y sus cabeceras, es importante (existe multitud de rereferencias al respecto). Aquí no nos queda más remedio que recordar al amigo Tanembaum, motivo de las pesadillas con el modelo OSI. Pero bueno, todo son bits, más o menos ordenados, y protocolizados por un montón de cabeceras de paquetes y datos. Cifrar adecuadamente la información nos facilitará las cosas, pero no solucionará todos nuestros problemas. Y recuerda que, aunque el 4 es un bonito número, también tenemos el 6, del que no debemos olvidarnos, y también quiere que lo cuidemos y protejamos.

También se han expuesto los pasos típicos involucrados en un ataque. Aunque se hablará más adelante sobre ocultación. Un malo siempre tratará de ocultarse. Se propone una sencilla cuestión en clase como antesala.

En resumen, salimos "nateados" con una IP privada. Las conexiones hacia el exterior serán con IP origen nuestra NAT y destino la máquina a la que nos conectamos. Por lo tanto el servidor exterior verá la IP pública de nuestra NAT. Entonces, ¿cómo es posible que existan páginas web-servicios que obtienen nuestra IP interna?.

Hoy nos hemos centrado en una nueva trilogía.:

- "Hosts discovery"
- "Port scanning"
- "OS fingerprinting"

Hemos visto la problemática, sin desenlace, de la trilogía.

Recomendable algunos artículos clásicos.:

"Hosts discovery with nmap"
"Remote OS detection with nmap"
En castellano, "Análisis activo y pasivo de redes"


Estos tres artículos tienen un buen montón de años, aunque mucho de su contenido sigue vigente en la actualidad. Para una revisión actualizada recomiendo el libro de nmap de Fyodor y, o, http://nmap.org/

Entre las herramientas que han aparecido en clase.:

- nmap
http://nmap.org/
http://insecure.org/

- xprobe2
http://xprobe.sourceforge.net/

- hping2 & 3
http://www.hping.org/

- pads (Passive Asset Detection System)
http://passive.sourceforge.net/

- SANCP (Security Analyst Network Connection Profiler)
http://www.metre.net/sancp.html

- ettercap
http://ettercap.sourceforge.net/

Sin duda alguna, enmascarar nuestros sistemas es una de las distintas posibilidades para jugar al despiste. Dejo al alumno la tarea de bucear sobre este tema. Señalar que existe la posibilidad de cambiar directamente los parámetros de, por ejemplo, la máquina TCP, o el uso de herramientas y parches que automatizan la tarea, facilitando suplantar otras plataformas.

También analizamos los mecanismos clásicas de “Decoy Scan” e “Idle Scan” en el ámbito del "port scanning", como continuación de la clase anterior. Se analiza el "idle scan". Una pila TCP que haga una gestión inteligente de sus paquetes y, entre otros, de sus IP ID, complicará considerablemente el que los sistemas se conviertan en “zombies". Al menos desde el punto de vista de un "idle scan". Unido a esto, el uso de "firewalls stateful", o las medidas para evitar el IP spoofing, constituyen unos mínimos mecanismos. También vemos el proyecto de IP spoofing del MIT. Las cosas mejoran, pero de forma muy lenta.

Como ejercicio dejo que, utilizando vuestros equipos para generar paquetería hacia máquinas fuera de vuestro segmento de red, con IP origen no perteneciente a vuestro segmento, determinar si vuestro activo de red (de tenerlo) tira dicha paquetería.

Respecto a la operativa de un profesional de las TIC, apuntar la problemática existente en la elaboración de cualquier pliego de concurso de infraestructuras TIC, y el proceso involucrado. Sin duda alguna, el uso de normas y estándares en los pliegos es vital para dejarlo todo bien cerrado, y no llevarnos sorpresas. En este sentido, el conocimiento de los estándares y normas de las infraestructuras involucradas es fundamental. Gran parte de vosotros deberá afrontar este proceso más tarde o temprano, sea desde el punto de vista del profesional que tiene que elaborar los pliegos, o del comercial o técnico-comercial que se presenta a los mismos. Recordar que únicamente se deberán considerar factores económicos-técnicos en las decisiones tomadas, otro tipo de actuación te convertiría en un mercenario de la información. Entre las herramientas utilizadas para la toma de decisión, recuerda que las más sencillas, como los árboles de decisión, te pueden ayudar considerablemente. Como es lógico, siempre acompañado de un informe que justifique los pesos y decisiones tomadas.

Prácticas de PSI (movimiento de tropas)

En el proceso de organizar los grupos de prácticas, solicito interesados (4) en migrar del batallón del miércoles al del viernes. También otros (4) para migrar del miércoles al martes. Se aceptarán los primeros 4 de cada por orden de llegada.

Quien me ayuda, le ayudo.

Hacking CambRED 2010

Aquí os dejo el relato de un grupo de participantes en el reto de la CambRED 2010. Como bien dicen al final del mismo "Moraleja.: Si realizas algo, por muy poco que sea, deja constancia de ello". Yo tengo una parecida, "lo que no esté por escrito y firmado, no existe". Aunque en este punto se podría incluir la firma digital como animal de compañía.

Con esta entrada queda constancia de las aventuras y desventuras de EIF, HGR y GRR en el "Masters of Universe ver 2.0". Por cierto, tiene premio vuestra participación y report.
-------------------------------------
En primer lugar, nos decían que entrásemos en la web interna "pestrucha.cambred". En ella nos contaban una historia adaptada de la serie "Masters of Universe". Nosotros teníamos que ponernos en la piel de He-man. Estábamos encarcelados en una celda en el castillo de el malvado Skeletor. Como pone en la web, disponíamos de un panel al cual accedíamos haciendo un telnet a la dirección 172.16.0.200:23.

En él aparecía un menú en el cual teníamos 3 opciones: cambiar la temperatura de la celda, comunicarnos con el carcelero, y salir de la aplicación.

Con la primera opción, poniendo cualquier temperatura aparecia un logo diciendo que nos habíamos quemado; con la segunda intentaba comunicarse, pero daba un error: "proxy failure" y nos decía que contactásemos con el "jailer". Detectamos que el programa daba un error cuando presionábamos enter sin introducir ninguna opción. Por el mensaje de error descubrimos que era código python y se encontraba en "/usr/sbin/skelepunishmentcell".

En este punto decidimos comprobar ante que sistema nos encontrábamos. Para ello utilizamos un software de fingerprinting como es “nmap” (integrado en Backtrack 4). Esto nos permitió comprobar que se trataba de un sistema Linux que tenia abiertos los puertos 23 (telnet), 22 (ssh), 80 (http) y 3128 (http-squid). En un instante se nos ocurrió aplicar una herramienta que intentaba explotar vulverabilidades del SSH pero lo único que conseguimos fue lanzar un DoS (sin querer) con la consecuente caída del servidor (la siguiente pista indicó que no era necesario tirar el servidor abajo). Más tarde lanzamos 2 herramientas de ataque automatizado (FastTrack e Inguma) que automáticamente buscaban y explotaban las vulnerabilidades de la máquina. No tuvo éxito. Como no conseguíamos obtener información de todo lo que hicimos, avanzamos por otro camino teniendo en cuenta la primera pista. Al conectarnos por ssh a cualquiera de estos puertos, nos pedía una contraseña para el usuario root, la cual era "root" y accedíamos a una máquina con algunas características sospechosas: el ls no mostraba ningún fichero, sólo con ls -lisa. Muchos comandos básicos no existían. Al hacer apt-get install , supuestamente llevaba a cabo la instalación, aunque siempre a la misma velocidad. Pero al intentar utilizarla, daba un fallo de segmentación. Además en "/usr/sbin" no se encontraba el archivo "skelepunichmentcell". Con toda esta información deducimos que nos encontrábamos ante un honey. Por lo tanto el SSH tenía que estar corriendo en otro puerto diferente. El puerto 3128 supuestamente era uno en el cual corría un proxy. Lo que ocurrió antes nos hizo pensar en este hecho e indagar un poco más.

Como sabíamos que root no tenía privilegios de root, anteriormente nos decían que teníamos que contactar con el jailer y en las pistas nos decían que "teníamos que cambiar de personaje", nos conectamos como jailer en el puerto 3128 (ssh jailer@172.16.0.200 -p 3128)
Nos pedía una contraseña y por analogía con la de root, era jailer. Cuando se realizó la conexión comenzó a ejecutarse un programa en el que decía “Torturing prisioner 1…”. En este momento pulsamos “Control+C” para cancelar la ejecución del programa y logramos acceder a una Shell.

Esta máquina ya era una totalmente operativa. Como queríamos llegar a ser el administrador, leímos el archivo group en el que había una lista de 5 usuarios del que "Skeletor" pertenecía al grupo "Grayskull" y junto con la historia supusimos que era el administrador.

Posteriormente accedimos a cada uno de los “home” de los usuarios. En uno de los “home” había 2 archivos con permisos 4755 (con s), los cuales solo mostraban un mensaje al ejecutarlos, por lo que pensamos que podíamos usar la credencial del creador para hacer algo; no conseguimos hacer lo que pretendíamos. En el home de Skeletor, había 2 archivos "how_to_release_heman.txt" y "hints.txt".

En el primero había un texto cifrado, y el segundo decía: "201 tiene algo que decir acerca de un doble 69". Con esta pista pensamos que quizá existía algún archivo relevante con inodo 6969, o algo similar, pero al hacer "ls -Ri / grep 6969" no obteníamos ningún archivo interesante.

Una de las pistas que nos dieron avanzado el concurso, fue un texto cifrado. Lo desciframos buscando un decoder en google y con la opción codificación "base 64" obtuvimos lo siguiente:

$whoami
jailer
$ EDITOR=vim sudo su /dev/release_heman :!bash

Al ejecutar estas instrucciones nos convertíamos en el usuario Skeletor. Una vez aquí, intentamos descifrar el archivo how_to_release_heman para el cual deducimos que teníamos que utilizar openssl, pero no lo conseguimos.

Así que hasta aquí llegamos nosotros. Posteriormente, sólo Jose (el ganador del año pasado) logró saber a qué se refería la pista "201 tiene algo que decir sobre un doble 69". 201 era otra máquina que tenía abierto el puerto 6969, al cual se podía acceder mediante SSH. Mediante esto nos dijo que accedía a algún tipo de certificado. Pero tampoco logró avanzar más.

Al final el ganador del concurso fue el que dio una charla de seguridad y él había descubierto todavía menos información que nosotros, ya que no sabía la existencia de la pista acerca de la 201:6969. Sólo que él envió un reporte de hasta donde había llegado y los demás como no llegaramos al final, no enviamos nada.

Moraleja: Si realizas algo, por muy poco que sea, deja constancia de ello.

O CNTG acolle o 15 de marzo unha xornada sobre seguridade das redes da información

Estimados alumnos, traigo nuevamente esta noticia, al estar próxima la fecha. Si analizamos los actuales temarios de oposiciones al cuerpo de informáticos, ¿qué diferencia apreciamos respecto al de hace unos años?. Efectivamente, epígrafes de seguridad, y más seguridad, en todas partes, y en diversos capítulos. Complementar una titulación universitaria con un variado conjunto multi-institucional de jornadas y formación en seguridad es, sin duda alguna, un valor añadido. Y si además son gratis, contando con que la economía en tiempos de estudiante no suele ser muy abultada, mejor todavía. Aquí os dejo la información de estas jornadas.
----------------
O Centro de Novas Tecnoloxías de Galicia, emprazado no barrio de Conxo de Santiago, vai acoller o vindeiro 15 de marzo unha xornada sobre seguridade da información e nas redes. O contido desta acción formativa, que está previsto que comece ás 16.30 horas e se estenda ao longo de tres horas, incluirá unha parte inicial que xirará arredor do sistema de xestión da salvagarda dos datos, seguindo logo coa definición de activos e a análise de riscos para, finalmente, centrarse na explicación en detalle de diversas ferramentas e servizos de control. A asistencia ao evento, previa inscrición a realizar en liña a través do portal web do CNTG, é libre e de balde, unicamente condicionada ao aforo do local.

O prazo de formalizar a participación no dito curso, que contará con Gabriel Fuster (manager de NetAcad e responsable da formación e a calidade do programa Networking Academy en África) en labores de relator, estará aberto entre os días 26 de febreiro e 11 de marzo.

Segundo informa o CNTG, centro de investigación e divulgación dependente da Consellería de Traballo, a xornada estará dirixida sobre todo a profesionais que estean en situación de desemprego ou ocupados, tanto do sector público como privado, “que teñan responsabilidades ou exerzan ou orienten a súa actividade no eido da seguridade ou da administración de sistemas”, sinala o CNTG.

[Gracias Alejo por colaborar en la distribución de información en seguridad preseleccionando e inyectando en mi buzón de correo noticias relevantes de seguridad. Son muchas las fuentes que consulto y únicamente tengo 2 ojos, y un montón de neuronas envejecidas. Obviamente se me suele escapar información de la mucha que pulula por la red. Poder contar con gente muy metida en este mundillo y que se acuerda de mí y me reenvía noticias de interés es muy de agradecer]

Ruptura cifra RSA 1024 bits vs. lo verdaderamente importante en la asignatura de PSI

Hoy he recibido varios emails de actuales compañeros de profesión y antiguos alumnos de PSI. En todos los casos me remitían la noticia de la ruptura del RSA en 1024 bits. La noticia no es de una gran relevancia en el contexto de la asignatura. No solemos jugar a distancia con la alimentación de los equipos. Pero el contenido de uno de los mensajes identifica perfectamente el principal objetivo de la asignatura de PSI. Lo adjunto íntegramente.
-----------------
Hola, son un alumno do ano pasado de PSI,
a verdade é que antes de cursar PSI non seguía moito os temas
de seguridade, pero desde entonces ,é dada a súa importancia,
leo bastantes noticias sobre seguridade en informática.
Cerrellando por Internet atopei esta noticia sobre RSA:

Logran romper cifrado RSA de 1024 bits
(en 100 horas)

http://bitelia.com/2010/03/logran-romper-encriptacion-rsa-de-1024-bits

co cal toda a información (importante ou non) encriptada con RSA pode ser lida.
Pode ser interesante as consecuencias que pode traer esto!!!
-------------------

En resumen, el principal objetivo de la asignatura no es que aprendas a utilizar muchas herramientas, que también está bien. Tampoco que aprendas a hacer muchas "perrerías" en las máquinas, que también (siempre en el contexto del aprendizaje de la securización). Que aprendas a defender de la mejor forma posible las infraestructuras TIC que gestiones, que también. El principal objetivo está reflejado en dicho email. Si después de un año de cursar la asignatura de PSI he conseguido, o al menos participado, en que un buen número de alumnos que no seguían las noticias del ámbito de la seguridad, lo hagan, eso supone conseguir el principal objetivo del trabajo en clase.

Bitácora de PSI.: Fundamentalismo (ver. 2.0)

Seguimos con la categorización de ataques. Entre los ejemplos vistos nos hemos topado con dos nuevas siglas, DoS y DDoS. A esto le podemos añadir otras palabrejas como zombies y botnets. Después de hacer las presentaciones, en http://www.zeltser.com/network-os-security/ddos-incident-cheat-sheet.html tienes una pequeña guía general de respuesta a este tipo de incidentes. Como puedes observar en dicha guía, nuevamente se están tomando decisiones en todo momento. En futuras clases volveremos sobre algunos aspectos incluidos en dicha guía.

También hemos analizado un "shell script" orientado a la contención de algunos tipos de ataques DoS. Hemos analizado dicho código y sacado varias conclusiones. Nada es tan fácil como parece a priori.

En muchas situaciones un problema, que puede ser de seguridad, no tiene una solución definitiva, y sí acciones que pueden mitigar los efectos y reducir el impacto. En nuestra profesión, no siempre todo es 0 y 1. Considerando el "shell script" de referencia, se ha dejado constancia de que lo que puede ser una solución aceptable ante un incidente-problema, puede ser nefasto para el mismo incidente-problema, pero en un contexto o entorno distinto.

Nuevamente entramos en la necesidad de tomar decisiones, que requerirán de un amplio conocimiento de los sistemas involucrados, y del entorno en el que actúan. Es aconsejable saber asumir las consecuencias de las decisiones tomadas. El "esto no es mi responsabilidad, no es de mi área", cuando las cosas no salen bien, no es aceptable. O "que listo soy, que bien me ha salido la fotocopia", cuando es un éxito, tampoco es aceptable. Trabajamos en entornos multi-área, en los que la seguridad es un sumatorio de acciones de todas ellas, con independencia de la existencia o no de un responsable-departamento de seguridad que, de existir, debería coordinar acciones en la totalidad de las áreas (pero esto es otra película, que por ejemplo se podría titular tacones lejanos).

Muchas de nuestras máquinas están repletas de "shell scripts". Mira el proceso de arranque de una máquina linux e identificarás en el proceso un buen montón de "scripts". El conocimiento de la programación de "scripts" permite, por un lado, identificar muchos de los procesos que se ejecutan en nuestras máquinas ("shells" de arranque, de estado, etc.) y, por otro, desarrollar distintas herramientas que nos faciliten las tareas de administración, monitorización y control de nuestros sistemas. Por lo tanto, es altamente aconsejable que el alumno se familiarice con la programación de "shell scripts" (no forma parte del temario de PSI, pero cada alumno decide en lo que quiere empelar su tiempo):

* Entre la gran cantidad de enlaces relacionados con "shell scripting" puedes empezar por Writing Shell Scripts, http://linuxcommand.org/writing_shell_scripts.php

* Después de hacer distintas pruebas y algún "shell script", aconsejo que revises alguno de los muchos existentes en cualquier distribución linux. Entre otras posibles curiosidades para hacer pruebas, esta entrada "A web server in a shell script", un servidor web en poco más de 20 líneas http://www.debian-administration.org/articles/371. ¿Qué posibles problemas de seguridad identificas en dicho servidor?

Señalar que existen otras opciones para automatizar tareas de administración, como por ejemplo perl, o directamente con programación C, python, etc., etc.

La seguridad de la información requiere unos ciertos conocimientos en gran cantidad de campos (redes de comunicaciones, protocolos, programación, hardware, electrónica, cacharrería, jardinería, una pizca de pillería, cambio de pañales, fabricación de cafés, etc., etc., etc.).

Otro aspecto de gran importancia introducido en clase está relacionado con el conocimiento que todo profesional debe tener de las infraestructuras de TIC que gestiona-administra. El desconocimiento de lo que se tiene hará imposible su protección. En este sentido, se ha presentado la estructura organizativa de una red de datos, considerando el concepto de "cableado estructurado". En todo momento se ha utilizado el modelo de red de voz y datos de la UDC y la RECETGA, para mostrar ejemplos reales de redes de comunicaciones.

Sobre la Red de Ciencia y Tecnología de Galicia (RECETGA) recomiendo en http://www.cesga.es/index.php?option=com_docman&task=cat_view&gid=14&Itemid=11 la revista dixitos del CESGA. En este enlace están disponibles en pdf los ejemplares anuales de la revista del CESGA. Busca la sección de comunicaciones del último número en el que se haya incluido (por eso de que esté lo más actualizada posible). Podrás encontrar el estado casi actual de dicha red. Para los que tengan sed de conocimientos, recomiendo también las secciones de "Data Storage", de interés para cuando tratemos el tema de dispositivos de almacenamiento y seguridad. Y si después de estos sigues con sed de conocimientos, el apartado sobre el supercomputador finisterrae. Recuerda que el CESGA es uno de los "top ten" de Galicia para desarrollar un futuro profesional en TICs. Para los nostálgicos de las tecnologías, recomiendo la evolución de la RECETGA desde 1993 a 2005 disponible en http://www.cesga.es/content/view/424/21/lang,es/

Por cierto, también aconsejable visitar su sección de ofertas de empleo.

Sobre la red de la UDC no tengo constancia de la existencia en digital de información pública sobre la misma, por lo que tendréis que conformaros con el esquema expuesto en clase.

Como se sale del temario de PSI, no entraré en el estudio de la organización de las redes de comunicaciones, aunque si dejaré algunas referencias de interés. Tiene gracia el nombre de cableado estructurado, con las tanganas de cable que se suelen liar en los "patch panels" de los armarios de comunicaciones. Pero bueno, para esto está la teoría del caos.

Como el tiempo es un bien limitado, en el caso de tener que seleccionar entre las fuentes, en estos temas una imagen es mejor que 666 palabras, por lo que me centraría en los enlaces de los videos que adjunto dentro de 3 o 4 párrafos (realmente muy didácticos). Posteriormente, es aconsejable formalizar los distintos temas.:

- Structured cabling, http://en.wikipedia.org/wiki/Structured_cabling

Preferible este enlace a la entrada de la wikipedia en castellano, más extensa, pero con la que no comparto un par de apreciaciones.

En el caso de que el noble arte del idioma de Shakespeare no te atraiga mucho, recuerda que gran parte de la documentación que manejamos en nuestra profesión, no ha sido escrita por Shakespeare, pero casi. Aportando soluciones, en este caso, http://es.wikipedia.org/wiki/Cableado_estructurado

Para terminar, destacar dos magníficos videos localizados en el portal de los portales del mundo audiovisual, muy recomendables para "ver", en el mejor sentido de la palabra, lo que es un cableado estructurado, y sus elementos. Por cierto, son muy didácticos, y de gran interés.:

- Video cableado estructurado (parte 1)
- Video cableado estructurado (parte 2)

En el aspecto puramente técnico, hemos visto la posibilidad de matar conexiones de red, y la forma en la que los procesos multithread suelen atenderlas. También hemos visto la utilidad y forma de hacer un cierto control del ancho de banda de las conexiones, lo que familiarmente llamamos control del "canuto".

Hemos introducido el término "man in the middle" y "spoofing", apoyados por ejemplos. También hemos introducido el concepto de hash y colisiones. Entre las herramientas que han aparecido en la clase de hoy, señalar hping2, scapy y ADM DNS Spoofing. Las herramientas son libres, utilízalas con cabeza, y toma siempre buenas decisiones.

--
"Los estándares son siempre obsoletos. Eso es lo que los hace estándares" [Alan Bennett]

Bitácora de PSI. (fecha estelar 05/03/2010): Sobre las versiones

Durante el curso se irán incluyendo bitácoras de algunas de las jugadas acontecidas. En cada entrada se incluirá una versión. El curso 2008-2009 es la versión 1.0. En este curso podrás encontrar entradas acompañadas de una versión 1.1 o entradas con versión 2.0. Las entradas versión 1.1 reflejan ligeros cambios respecto a la anterior. Versiones de bitácora 2 reflejan cambios sustanciales, que suponen la incorporación-eliminación de nuevos párrafos, etc.

Uso de negrita en las entradas. Si en alguna entrada ves algún párrafo completo en negrita refleja que ha sido incluido con posterioridad para complementar o hacer alguna aclaración o cuestión. De esta forma podrás identificar visualmente cambios que se hayan producido en entradas leídas con anterioridad.

Bitácora de PSI.: Fundamentos (versión 2.0)

Hay varios factores importante a considerar en un profesional de las TIC.:

1.- Una correcta utilización de la información. El exceso mata y el defecto te convierte en un desinformado. Lo hemos ejemplificado con la presentación en clase del contenido de un par de revistas tecnológicas que, bajo ningún concepto, deben terminar en la papelera. Existen contenedores de reciclaje.

2.- Al final casi todo se resume en toma de decisiones, tanto a nivel técnico como de coordinación. Quien no toma decisiones nunca se equivoca, pero nos pagan para tomar decisiones e implementarlas.

Hemos visto tres supuestos reales, los dos primeros incluidos aquí y, el tercero, relacionado con un incidente accidental de corte de líneas. En el desarrollo en clase de estos tres supuestos, ¿qué hemos estado haciendo en todo momento?. TOMAR DECISIONES.

Especialmente en nuestra profesión, existen muchos caminos para llegar de un sitio a otro. Pero como todo en la vida, cada camino supone un tiempo de desarrollo, unos costes económicos y, entre otros, unos resultados de explotación-económicos. La búsqueda de un camino óptimo en estos factores determinará la calidad de los profesionales. Obviamente existen otras formas clásicas de progresar en los entornos laborales, pero esas están fuera del marco de la profesión, tienen otro nombre.

Por lo tanto, el factor humano es fundamental. Tener buenos profesionales que tomen decisiones (más o menos buenas), pero que las tomen desde un punto de vista técnico-económico, es mucho más importante que el disponer de grandes recursos económicos para equipamiento, máquinas, etc. Existen otros muchos factores en la toma de decisiones que, por desgracia, incorporan una gran cantidad de ruido. Recuerda que es ruido, y que todo debe regirse por las dimensiones técnico-económico. Y aunque en algún momento tengas que considerar otros factores, procura ponderar por encima de todo esta simpática pareja. Y no olvides que siempre podrás encontrarte con situaciones similares a la siguiente.

[Fuente del gráfico.: Security Art Work]

Aquí se podría completar la parte de ¿FUNCIONA? - SI. Funciona, correcto, pero ¿quién será el que se adjudique la medalla de tal hazaña?. Prefiero no entrar en este tema al salirse, no del ámbito profesional, pero si del temario de la asignatura. Y además podría dar para organizar una asignatura cuatrimestral. Se le podría llamar, el no-profesional.

Los profesionales que no toman decisiones, nunca se equivocan, y posiblemente asciendan mejor en las empresas. Los profesionales que toman decisiones considerando criterios no técnicos-económicos, no sirven a los intereses de la empresa, únicamente sirven a los intereses de unos cuantos "listillos". En el corto-medio plazo, puede que esto resulte. En el largo plazo esas empresas desaparecerán por falta de productividad y competitividad, especialmente en tiempos difíciles. Siempre que puedas, toma decisiones según criterios técnicos-económicos, y te convertirás en un buen profesional. Podrán ser más o menos acertadas, pero serás un buen profesional. No es tarea fácil, pero el que quiere peces ...

Volviendo a la seguridad, no obsesionarse con los incidentes intencionados, los accidentales existen, y causan gran cantidad de pérdidas y daños. La importancia de ellos depende del entorno en el que nos encontremos y, por lo tanto, nuevamente tomar decisiones acertadas es lo fundamental.

En algunas ocasiones las ideas más sencillas son las que proporcionan las mejores soluciones. El sentido común es la principal herramienta profesional. Bueno, y no profesional también.

Un sistema de detección de incidentes basado en la recepción de llamadas telefónicas de usuarios cabreados no es aceptable bajo ningún concepto. La detección de incidentes, anomalías, etc. debe ser uno de nuestros principales objetivos y, el usuario-cliente, deberá siempre ser el último en percatarse (desde el punto de vista de no degradar el servicio prestado, no desde el punto de vista de la ocultación de la información y los acontecimientos).

Los informáticos tenemos mucho más poder del que, como colectivo, somos conscientes. Otros si se han dado cuenta. Hoy todo depende de la tecnología, y sin buenos profesionales, todos los sectores sociales-productivos se verán seriamente afectados.

Todo lo expuesto se ha visto en el ámbito de los fundamentos de la seguridad y sus categorías de ataques, ayudados por unos cuantos ejemplos de incidentes de seguridad. Esta parte no la incluyo dado que está disponible en infinidad de fuentes de información y referencias en la red.

*) Fotografía de la entrada.: Star Trek. Estos sí que llevan tiempo con su cuaderno de bitácora. Pensando en la problemática general de la toma de decisiones, en cualquier ámbito, un análisis del sistema organizativo-funcional de Star Trek podría proporcionar una estudio muy curioso e interesante en el mundo empresarial, además de divertido. Tal vez alguien de empresa podría planteárselo como tesis doctoral. Pero recuerda, Star Trek es una película de ciencia ficción. ¿La ciencia ficción no se adelanta casi siempre a la realidad?. ¿Qué pasaría en el Enterprise si en todo momento sus personajes estuviesen compitiendo por ascender-promocionar, y utilizasen para ello todo tipo de "estrategias"?. Posiblemente la habrían desintegrado hace un buen montón de años. ¿Qué personaje del Enterprise te gustaría ser?. Tal vez esa debería ser una de las muchas preguntas "chorra" que suelen pulular en las entrevistas de trabajo. NOTA.: Un poco de humor en la vida es una buena herramienta para todo.

Virtualbox

Virtualbox es una herramienta de virtualización a tener en cuenta. Además es open-source.

Más información en http://www.eweek.com/c/a/Virtualization/Sun-VirtualBox-a-Solid-Alternative-to-VMware-Parallels/

y en http://www.virtualbox.org/

Sugerencia fuera del "planning" de la asignatura para los alumnos. Si tienes un entorno de virtualización en el PC de casa fin de la sugerencia, en otro caso, instala por ejemplo un virtualbox y un par que máquinas virtuales en red, con salida "nateada" a internet.

Información sobre instalación de virtualbox y máquinas virtuales en https://wiki.fic.udc.es/cecafi%3Alabam%3Avirtualizacion%3Aindice

Por cierto, ¿qué son los %3A de la dirección anterior?

ILG tiene un pequeño premio. Como bien apunta en su justificación, incluida la falta del carácter hexadecimal A, en http://www.blooberry.com/indexdot/html/topics/urlencoding.htm
tienes la respuesta.

¿Qué es la ofuscación de URL?. "Ofúscame" alguna dirección.
JMSB tiene un pequeño premio.
APG tiene un pequeño premio.
Queda cerrada la recepción de respuestas a esta cuestión.

Posible multa de un cuarto de millón de euros por uso de software ilegal

El Juzgado Mercantil número 2 de A Coruña ha adoptado medidas cautelares contra la empresa de arquitectura A-Cero por supuesto uso de software no autorizado, según informó hoy, en un comunicado, el comité español de la Business Software Alliance (BSA), entidad que agrupa a la industria de software comercial, y que cifra en 254.874 euros el depósito que la empresa tendrá que abonar en garantía de pago ante la posible indemnización que deberían recibir las empresas afectadas si finalmente la sentencia es favorable a los demandantes. Según la BSA, "se trata de uno de los mayores depósitos exigidos hasta el momento en nuestro país a una sóla empresa por presunta instalación y uso de software ilegal". Además, afirma que el Juzgado "ha decretado el embargo de los equipos en los que estaba funcionando el software y el cese de la actividad ilícita". Las oficinas de A-CERO, dedicada a la arquitectura y al urbanismo, fueron registradas en junio de 2009 por orden judicial. La inspección de 33 ordenadores reveló, según el comité español de BSA, el uso presuntamente ilegal de software sin licencia de varias compañías. El informe pericial estimó que el valor del los programas pirateados era de 254.874 euros, "cantidad que ahora debe depositar la compañía a la espera de que se celebre el juicio y se dicte sentencia definitiva", señala BSA en su comunicado.

[Gracias Ana]

WPA cracker en la nube

En el último año he visto unos cuantos servicios en nube orientados a multitud de campos (desktop, sistemas operativos en nube, aplicativo web, etc.). El último que me ha llamado la atención es un servicio de cracking WPA. Sin duda alguna 400 CPUs no son muchas si las comparamos con los 13 millones de computadores de las red de zombies de la noticia anterior. Esos si que podrían dar un buen servicio de cloud, y a precios competitivos (-:
---------------------
WPA Cracker is a cloud cracking service for penetration testers and network auditors who need to check the security of WPA-PSK protected wireless networks.

WPA-PSK networks are vulnerable to dictionary attacks, but running a respectable-sized dictionary over a WPA network handshake can take days or weeks. WPA Cracker gives you access to a 400CPU cluster that will run your network capture against a 135 million word dictionary created specifically for WPA passwords. While this job would take over 5 days on a contemporary dual-core PC, on our cluster it takes an average of 20 minutes, for only $17.

[Fuente.: Segu-Info news]

Detenidos tres españoles de una red criminal que controlaba 13 millones de ordenadores zombis

La Guardia Civil ha detenido a tres personas que gestionaban una red de más de 13 millones de ordenadores zombis (controlados a distancia). Un portavoz de Panda, empresa que ha colaborado en la investigación, ha manifestado que los tres detenidos formaban parte de una red más extensa de alcance internacional. Gracias al empleo de troyanos, los delincuentes se hacían con el control remoto de los computadores y los programas maliciosos instalados en las máquinas les suministraban toda la información que manejaba la víctima en los mismos.

[Gracias Alejo por mantenerme informado de las maldades de la humanidad]