sábado, junio 24, 2017

Grandes decisiones... o no.

Me han salido canas. Muchas. Como manda el curso de la vida. Me han salido, y puedo ver la diferencia solo mirando las fotos que he publicado por aquí durante las cuatro mil doscientas noventa y seis entradas a las que he dado POST. Me han salido canas, al tiempo que he ido viviendo. Y muchos lo habéis visto. Me habéis acompañado en este viaje de mi vida.

Figura 1: Grandes decisiones... o no.

No está toda mi vida en la red, porque la eclosión de la Web 2.0, con la entrada masiva de las personas con los servicios sociales me pilló ya mayor. Mis padres no subieron nunca fotos digitales mías a una red social para compartir con sus amigos. Mis colegas del colegio nunca tuvieron un grupo de WhatsApp conmigo. No comencé a relacionarme con chicas por Internet, sino al viejo estilo del siglo XX. En las aulas y los bares.

Me hice adulto antes de la eclosión de esa web 2.0. Mis padres no tenían teléfonos móviles para llamarme – ni mucho menos enviarme mensajes – cuando yo estaba de fiesta con los amigos. Rompí con mi primera novia y no tuve que bloquearla en ninguna red social para evitar ver sus mensajes. Fui padre de una hacker preciosa antes si quiera de tener cuenta de Twitter.

Aún así, desde que hace unos doce años abrí este blog – mi entrada de cabeza en la web 2.0 – mi vida se puede seguir prácticamente en Internet. Artículos de mis charlas, comentarios de mis amigos, fotos de reuniones con compañeros, mis primeros trabajos con las técnicas de SQL Injection. Se puede ver lo que fui trabajando para terminar mi carrera universitaria, las charlas en conferencias por todo el mundo. Blind LDAP injection, Heavy Queries, Metadatos, IPv6 attacks, Connection String Parameter Pollution, Latch, Faast, FOCA, Sappo, DirtyTooth, Dust RSS, WordPress in Paranoid Mode, JavaScript Botnets, AURA y no sé cuantas cosas más.

También he ido cambiando en mi trabajo, de Informática 64 a 0xWord, pasando por Talentum, ElevenPaths, Alise Devices, LUCA d3, Telefónica. Viajes por todo el mundo. Países lejanos y cercanos. Cañas en Barcelona. Brisas en el mar de Almería. Cena en The View. Caída en las zarzas con la bici. Asado en Argentina. Conferencia en China. Vinos por Castilla. Charla en Estocolmo. Conferencias en Oslo. Paper defendido en Oporto. Presentación en Varsovia. Charla en San Diego. Viaje a Quito. Visita a las minas de sal en Colombia.

Una noche en la UVI en A Coruña. Un monasterio en Ourense. Concierto de Fito. Amsterdam y la Black Hack. Otra vez Amsterdam con el TechEd para ser MVP. Amsterdam de regreso a otra Black Hack. También por allí con la Hack in the Box. El Museo Van Gogh. Paris. Roma. Bucarest para estar con BitDefender. Charla en Munich. Una Campus Party en Berlín. Una reunión de amigos en Huelva. Snow Board en Baqueria y charla en la universidad de Lleida.

Miro atrás en mi parte de la vida que está volcada en la web y parece que he vivido más de una vida en este tiempo. He bebido la vida a tragos. He corrido para hacer dos cosas en la misma unidad de tiempo. Y he llegado hasta aquí.

Todo lo que he hecho, me ha traído hasta este punto. Como en las películas que comienzan por el final y luego te explican cómo el protagonista ha llegado hasta ese instante. Como si todas las decisiones tomadas, todas las cosas hechas, todas las casualidades sucedidas y habidas en el curso de los acontecimientos hubieran sido un masterplan para tenerme al final aquí, sentando en mi nuevo sofá, escuchando música, con el portátil sobre las piernas cansadas después de haber hecho mis 26 kilómetros mañaneros con la bici en mi ruta.

Todo era un plan para llegar aquí. Aquí comienza la película de verdad. Ya hemos visto el curso de los acontecimientos. Se pueden seguir en la red durante los últimos doce años. Se pueden ver mis aciertos y mis errores. Se puede ver que tengo fans, haters, premios, medallas, página en la Wikipedia, derrotas y victorias. Y ahí estoy. Tecleando letras sobre un documento blanco esperando al final de la película. A que continúe. No me malinterpretéis, yo quiero que esta película sea como la saga de Bond o Dr. Who. Acaba una peli, y comienza otra.

En estos momentos, cuando estás en el cine o en un sofá, llega el estado de excitación. Sentado con las gafas de tres dimensiones. Comiendo palomitas o chuches. Con alguien a tu lado que te da la mano puntualmente. Comentando la película – no muy alto que luego te regañan -. Es ahí cuando esperas que la película se acelere. Tu corazón palpita un poco más. Que algo pase y el prota salve al universo, o salte por la ventana, o muera como en Crank. Es el momento de las decisiones importantes. Matar o morir. Salvar a la chica. Sacrificarse. Cambiar el curso de la historia.

Pero en la realidad no suele ser así.

El número de decisiones que tienen un impacto grande en la vida de una persona son apenas una decena. El resto del tiempo nos dedicamos a tomar decisiones menores. De hecho, las grandes decisiones de tu vida tal vez las tomaste casi sin darte cuenta, y es con el paso del metraje de tu película, cuando haces flashback, el momento en que te das cuenta de lo importante que fue aquella decisión. El impacto que tiene hoy en día lo que hiciste aquel otro día en el pasado.

Yo hoy he decidido hacer una gran decisión. Me voy a patinar con mi nuevo monopatín y dejo el post técnico que tenía previsto publicar hoy para otro día. Me voy a patinar a la pista donde suelo hacerlo cuando quiero pensar quemando rueda. Es la decisión de este protagonista. ¿Será tan importante? ¿Pasará algo allí? ¿o será solo un rato del protagonista patinado escuchando Spottify sin que nada pase? Solo el curso del metraje nos lo desvelará. En la siguiente entrega sabremos.

Saludos Malignos!

viernes, junio 23, 2017

Brutal Kangaroo y la infección por USB de equipos aislados

Las técnicas de infección de equipos y distribución de malware usando discos USB no es algo nuevo. Se conocía desde antes, pero saltó a los titulares de todo el mundo con la ciberarma Stuxnet, - atribuido popularmente a la NSA - que, en pocas palabras, fue un malware especialmente creado para distribuirse por medio de discos USB hasta llegar a unos equipos muy concretos de una central de enriquecimiento de uranio en Iran.

Figura 1: Brutal Kangaroo y la infección por USB de equipos aislados

Desde entonces, los exploits y los payloads para, desde un disco USB infectar a un equipo y viceversa, desde un equipo infectar a un USB, han ido apareciendo a lo largo del tiempo. Desde payloads para copiar todos los datos que están en un disco USB conectado y llevarlos a la nube, hasta exploits que ejecutan código arbitrario en el servidor por medio de 0days que se han ido descubriendo.

Figura 2: USB Dumping para OS X

Este es un tema que a mí personalmente me gusta mucho, ya que los discos USB pintan en una organización una Hidden Network que puede ser utilizada para filtrar datos o para infectarte equipos mediante un sistema de polinización. Si tienes el mapa de la Hidden Network creada por discos USB en tu organización, probablemente podrás descubrir qué discos son los responsables de las últimas alertas de seguridad en tus sistemas antimalware o por donde te entró un software malicioso en tu organización.

Figura 3: Bug CVE-2017-8484 en ficheros .LNK

Como he dicho antes, desde Stuxnet todo el mundo puso mucha atención a estas técnicas de infección, y los 0days y payloads se han ido desarrollando a lo largo del tiempo. Sobre todo, porque en los equipos denominados Air-Gapped, es decir, totalmente desconectados de cualquier red, hay siempre dos trabajos a realizar. Primero conseguir llegar a él e infectar el equipo para ejecutar código malicioso y llegar a los datos o el sistema de control que protege ese servidor, y segundo, sacar la información o conectarse remotamente con un panel de control remoto.

Brutal Kangaroo de Vault7

Para el segundo trabajo, los estudios han ido apareciendo en los últimos tiempos, y se han utilizado desde sistemas de Radio Frecuencia, hasta la temperatura de máquinas cercanas, para conseguir esa comunicación entre un malware instalado en un servidor Air-Gapped (asilado) y el panel de control del atacante. Sin embargo, parece una canal muy rápido utilizar también el el propio canal USB, y eso es lo que parece que la CIA estaba utilizando.
La herramienta que ha sido publicada por Wikileaks dentro de las filtraciones de Vault7, lleva por nombre Brutal Kangaroo, y es, como se puede ver, un programa que permite implantar en un servidor aislado un software para infectar cualquier disco USB que se conecte al mismo. Brutal Kangaroo no está pensada para infectar al servidor aislado, sino para estar residente en él e infectar todos los discos USB que se conecten. Por supuesto, se podrían instalar las capacidades de este software malicioso también  por medio de un disco USB.

Una vez que el servidor aislado es infectado - al que denominan en la documentación "Emotional Simian", se utilizan varios 0days para Windows que hoy en día están cerrados por Microsoft en todas sus versiones soportadas (nota a esto, versiones soportadas), para infectar los discos USB. La lista de exploits no es muy larga, pero contaba con el 0day de los ficheros .LNK que Microsoft ha vuelto a revisitar hace dos días o con EzCheese que cuenta con soporte para diferentes versiones. En la imagen se puede ver cómo el creador de la instancia puede elegir su target correctamente.
Son más de 150 páginas de documentación, que para los investigadores van a abrir unas cuantas horas de análisis, para entender mejor cómo funcionan las herramientas de ciberespionaje que sacan partido de los 0days y payloads que se van descubriendo.

Saludos Malignos!

Entrada destacada

El creador de WannaCry es fan de Messi, no es muy ambicioso y usa Microsoft Word habitualmente en coreano

Esta semana, nuestros compañeros del laboratorio de ElevenPaths terminaban por publicar su análisis de WannaCry desde el punto de vista d...

Entradas populares