domingo, junio 30, 2013

De seis en seis

Antaño, en este blog que empezó siendo algo para amigos y amigas, solía hacer un resumen cada seis meses de cómo había sido mi vida en ese periodo. No sé la razón exacta, pero empecé a olvidarme de hacer ese resumen donde ponía fotografías de cómo había sido mi experiencia en ese tiempo, y de las aventuras que me habían ido pasando. Hace seis meses, cuando ya tenía en mente el proyecto de Eleven Paths me paré a ver cómo había sido mi último año y lo publiqué todo en un post que llamé "¿Adiós?"

Desde aquel momento hasta hoy, seis meses después, todo ha cambiado mucho. Ahora ya la antigua Informática 64 se ha convertido en Eleven Paths, donde además de tener a mis compañeros he tenido la suerte de poder contratar para trabajar conmigo a grandes profesionales como David Barroso, Palako, Antonio Guzmán, Sergio de los Santos u Olvido Nicolás, que mañana entra a trabajar en Eleven Paths. Ahora esta empresa es el centro de mis esfuerzos y es en la que tengo volcada la mayoría de mis pensamientos.

La editorial de libros técnicos, que se convirtió en 0xWord, sigue creciendo poco a poco. Durante el año 2013 se publicaron un total de 8 nuevos títulos, además de un par de segundas ediciones, y extendimos nuestros acuerdos de distribución a más países en Latino América, llegando actualmente a Argentina, Ecuador, Colombia, Chile y México, además de estar en cauces de ampliar nuevos destinos para cubrir el máximo posible de países.

Otros proyectos personales como Cálico Electrónico continúan su andadura. Acabamos la Temporada 4 de Cálico Electrónico completamente, lanzamos un cómic, y ya estamos trabajando en el primer capítulo de quinta temporada. Seguimos recuperando todo el material posible y publicando nuevas tiras de cómic, además de acabar nuevas aplicaciones móviles que estarán disponibles esta semana.

La herramienta de Recover Messages creció con WhatsApp Anti-Delete Protection Tool, y el número de usuarios de este sistema se ha disparado, superando los más de 165.000 ficheros analizados, algo que nos anima a seguir trabajando en nuevas herramientas forenses en el proyecto.

En este periodo también lanzamos la Evil FOCA, he podido disfrutar de una temporada entera como colaborador de un programa de radio, participé en conferencias como RootedCON, Troopers u OWASP Europa, y por si fuera poco todo lo sucedido en este tiempo, también tuve la suerte de acabar el doctorado, y convertirme en el Doctor Maligno, algo en lo que llevaba tiempo trabajando.

A veces, en el día a día, tengo la sensación de que voy muy despacio empujando todos los asuntos, por eso es bueno pararse cada cierto tiempo - por ejemplo cada seis meses - y echar la vista atrás para ver cómo ha evolucionado todo.

Saludos Malignos!

sábado, junio 29, 2013

Buscando ataques DOS

Una de las pruebas que más preocupa siempre en las auditorías de seguridad es la de los ataques de Denegación de Servicio (DoS). Esta preocupación suele ser porque si el sistema no aguanta, entonces afecta directamente al negocio. Los proveedores de Internet que están dando hosting de servicios profesionales ya tienen obligatoriamente que tener algún servicio serio de mitigación para este tipo de ataques. Como sabéis, uno de los correos que yo leo siempre sobre las cosas que me piden tiene que ver con una petición de este tipo.

Figura 1: Petición de DOS

Mi compañero en Eleven Paths, David Barroso (@lostinsecurity) ha hablado muchas veces de este tipo de ataques, utilizando diferentes medidas de ataque, y de los servicios de CloudFlare para mitigar estas situaciones. Para ilustrar la importancia que cobran hoy en día, siempre pone este vídeo de los servicios DDOS que se anuncian en Internet.

Figura 2: Vídeo de anuncio de servicios DDOS profesionales


Los servicios de una empresa, cuando sean cores, no pueden estar desprotegidos contra este tipo de ataques, y además de las pruebas de pentesting continuo deben realizarse también las pruebas de DDOS. Entre esas pruebas, no solo hay que ver si el sistema aguanta el volumen de tráfico masivo, que para eso ya hay sistemas y soluciones que ofrecen esa protección, sino que hay que buscar los límites de carga de las aplicaciones hospeadas que pueden tirar los servicios.

La idea es tan sencilla como que ciertas operaciones complejas de una aplicación web pueden requerir de mucho trabajo en cuanto a cómputo, memoria o almacenamiento en disco, y con una petición sostenida sin necesidad de que sea masiva, sea posible tumbar el sitio. 

En una instancia de una base de datos configurada sin límites, es decir, con valores unlimited en el tamaño de memoria, el número de threads o el crecimiento de los tablespaces y los datafiles, cae con un ataque de SQL Injection con un simple 'or '1'='1 tras generarse el volcado de una consulta compleja que use varios joins y resulte en varios millones de registros. Si es lanzada cuatro o cinco veces puede conseguir tumbar los límites físico del servidor donde esta siendo hospeda.

Yo sin querer he tumbado alguna instancia haciendo pruebas con las consultas pesadas, y en Marathon Tool fue necesario poner un intervalo de tiempo de descanso para no tumbar las instancias que empezaban a dejar de responder después de tener que merendarse unas consultas de varios milloncejos de registros en consultas con ocho o diez tablas en join

Figura 3: Pausas después de consultas en Marathon Tool

En estos ejemplos que estoy contando existen vulnerabilidades de SQL Injection, pero a veces el bug de denegación de servicio es el más que común cuadro de diálogo de búsqueda. En el caso de la página de búsqueda de sitios web hay algunas de ellas especialmente vulnerables a estos tipos de ataques porque:
1.- Permiten búsquedas que devuelven más datos de los que tienen sentido que se proporcionen a un usuario: Hasta los buscadores como Google o Bing ponen límites de resultados ofreciendo como mucho 1.000 por cada consulta - lo que nos obligó por ejemplo en FOCA a tener un tratamiento especial en los huge domains - . Una sitio web que permite consultas de búsqueda que devuelvan 444.000 resultados está cargando innecesariamente de trabajo al sitio web porque ningún usuario va a revisar todos esos resultados.
Figura 4: Buscador de web devulve 444.882 resultados en cada búsqueda
2.- Permiten lanzar consultas de grandes resultados con una única petición: Muchos sitios web permiten que la consulta se haga con una simple petición GET, lo que facilita sobre manera cualquier automatismo, e incluso el uso de los buscadores como arma de destrucción masiva, utilizando sistemas de amplificación de peticiones como los que mostramos allí. 
3.- No limitan el número de consultas por dirección IP y tiempo: Lo que ayuda a que el ataque sea sostenible el tiempo suficiente como para cargar el sitio web. 
Al final, las pruebas de DOS son más que necesarias en cualquier auditoría de seguridad, así que no debes dejarlas fuera de ellas, porque si no el sistema se puede caer en el momento menos deseado e incluso, alguna vez, por torpeza de los mismos usuarios.

Saludos Malignos!

viernes, junio 28, 2013

(XML) Forms Data Format

Cuando buscas documentos de un dominio para hacer un poco footprinting y fingerprinting utilizando Google o Bing puedes dejarte en el tintero un par de tipos de documentos que pueden ser más que recomendable utilizar. Son los formatos FDF y XFDF relativos al  popular formato de documentos PDF.

El primero de ellos Forms Data Format es el formato en el que los formularios en formato PDF guardan los datos. Es muy antiguo y se usa para hacer documentos PDF que funcionen como plantillas. El segundo de ellos XML Forms Data Format es equivalente al anterior pero en formato XML. Fácil de entender.

Figura 1: Fichero XFDF que apunta al doc PDF que se usa como plantilla

El problema viene cuando haces un poco de hacking con buscadores, ya que en Google solo saldrán si se buscan esas extensiones, es decir, ext:FDF o ext:XFDF y nunca cuando se buscan los ficheros PDF. En el caso de Bing el problema es el mismo, ya que le buscador no los reconoce como ficheros PDF, así que en las búsquedas de FILETYPE:PDF nunca aparecerán estos ficheros.

Figura 2: Bing no reconoce FDF como un tipo PDF

Como no hay opción de utilizar el comando EXT:FPF o EXT:XFDF en Bing Hacking, entonces estamos obligados a buscarlos utilizando el operador Contains, que tan buenos resultados da siempre.

Figura 3: Metadatos en formato FPF

¿Qué vas a encontrar en estos ficheros? Pues datos de formularios, que evidentemente siempre es jugoso en una auditoría y también metadatos, por lo que afina tu FOCA y haz las búsquedas manualmente que actualmente no busca estos tipos de ficheros.

Saludos Malignos!

jueves, junio 27, 2013

En OS X también hay errores en los errores

Tras llevar un año usando Mac OS X - ahora solo OS X - os conté algunas quejas que tenía yo con la usabilidad del sistema - a la que dediqué un No Lusers - o con la comodidad y seguridad del mismo en redes WiFi, después de años usando Windows. Ahora estoy tan acostumbrado a los dos sistemas que casi me da lo mismo cuál usar. De hecho creo que todos los días utilizo los dos para hacer diferentes cosas según va surgiendo.

Ahora que ya han hecho dos años, os diré que OS X también se cuelga, que las apps también se caen de vez en cuando y que tiene más o menos los mismos problemas que Windows. En mi opinión personal Windows me sigue pareciendo más completo como desktop gracias al modelo de drivers, el registry, y el hardware de los portátiles MacBook Pro me gusta mucho, pero a día de hoy me llevo bastante bien con los dos sistemas operativos.

Además, ahora que Apple en OS X está pensando en abandonar el AFP que da tanto juego en Internet y en las redes WiFi de los hoteles, para pasarse definitivamente a SMB por velocidad y seguridad, y teniendo en cuenta que se puede correr Windows fácilmente sobre los MacBook, esto parece que va a ser como dos hermanos que al final acabarán siendo prácticamente iguales - aunque uno se peine con la raya al lado y el otro con flequillo alborotado.

Como en Windows hay un montón de bromas con los mensajes de error y ya os hablé hace tiempo de los errores en los mensajes de error, y el famoso error de Exchange que no debería pasar, hoy he decidido dejaros un mensaje que me salió cuando movía archivos de un USB HD al HD del equipo. 

Figura 1: ¿Que vas a borrar qué?

Decidme qué habríais hecho vosotros ante tal mensaje. ¿Difícil elección, verdad? Pues yo tuve que tomar una y salvar los documentos... ¿sabéis cuál fue?

Saludos Malignos! 

PD: Le he pedido a John Matherly que meta AFP en Shodan para ver qué sale... Está en ello según parece.

miércoles, junio 26, 2013

Distribuidor de libros 0xWord en México

Llevábamos ya un tiempo con la idea de cerrar un acuerdo con alguna empresa en México para que nuestros libros de seguridad informática y hacking de 0xWord pudieran estar allí. Ahora ya tenemos un acuerdo con la empresa Nala Systems, con lo que podréis comprar los libros en México con un costo un poco más barato al reducirse la cantidad en los gastos de envío. Si quieres ponerte en contacto con ellos para solicitar alguno de nuestros libros - allí no tienen los packs oferta que sólo están disponibles en España - puedes hacerlo mediante el envío de un correo electrónico a la siguiente dirección: ventas@nalasys.mx

Figura 1: Logo de Nala Systems

La forma habitual cuando trabajamos con nuestros distribuidores es que nosotros les enviamos el un pedido de libros cada mes, más o menos, por lo que ellos van recepcionando los pedidos individuales y en la lista de los libros metemos los que hayáis solicitado y os los entregan en cuanto lleguen. De esa forma es más fácil para todos.

Figura 2: Algunos libros enviados a Ecuador

Os recordamos que además de poder comprar en España a través de nuestra tienda de 0xWord, tenemos distribuidores en Colombia, Ecuador, Argentina y Chile, con lo que en cualquiera de esos países los costos de envío serán menores.

Saludos Malignos!

martes, junio 25, 2013

¿Cada cuánto tiempo se debe realizar un pentesting?

Los más experimentados en el mundo de la gestión de sistemas informáticos no publican un nuevo servicio en Internet sin pasar previamente una auditoría de seguridad. Los más inexpertos siguen haciéndolo, como se puede apreciar en casos como la web del Senado de los 500.000 € o el famoso sitio web de la presidencia europea de España en el año 2010. Tras esa primera auditoría, la pregunta que hay que responder es ¿cuándo se debe hacer la siguiente auditoría?

Figura 1: XSS de Mr. Bean en la Web de la presidencia de EU 2010

Si eres lector de este blog ya sabes qué es lo que opino yo, pero dejadme que lo argumente de una manera más extensa para poder explicar cómo lo veo yo de forma más pausada.

¿Por qué hacer una auditoría de seguridad informática?

Tal vez parezca una perogrullada esta pregunta, pero seguro que la has escuchado alguna vez si has presentado un presupuesto al comité de la empresa. Tal vez incluso te pregunten si no vale con la auditoría que se hizo la última vez o la que se hizo cuando se puso en producción el servicio:
“¿No hicimos una auditoría y nos dijeron que estaba con una seguridad aceptable?”
Los motivos por los que se hace una auditoría informática suelen ser varios, pero se pueden reducir a dos: Para cumplir con los procedimientos o para evitar fallos de seguridad.

Al lector no experimentado puede parecer que el primero implica al segundo, pero no es así. El primero implica cumplir las normas, y no tener un objetivo que persiga la seguridad del proceso. Para ello se buscan auditorías que se contratan a precio de saldo, con cientos de direcciones IP por jornadas, automatizadas al máximo y aprovechando hasta el último día para cumplir con los procedimientos.

Estas auditorías se pueden hacer por cualquier normativa interna de la empresa, pero generalmente suele ser por cumplir con alguna auditoría externa, tipo ISO 27.001 o PCI-DSS, y los plazos que se aplican tienden a ser, habitualmente, de seis meses a un año, quedándose fuera de la auditoría todo aquello que no se considera “core” dentro de la certificación.

Cuando se suele contratar una de estas auditorías se busca un informe, lo más gordo y rápido posible, que se adjuntará a la documentación del servicio y que suele ser lo más automatizado posible, utilizando escaners de vulnerabilidades y herramientas certificadas para tal tarea. Un tramite automatizado.

Las segundas auditorías, las que se realizan para estar seguro, son de otra forma. Suelen estar impulsadas por los equipos de seguridad y buscan descubrir de verdad cuál es el estado real de la seguridad. Suelen ser incómodas para negocio, ya que si sale algo severo obliga a trabajar a toda la empresa. En ellas se buscan equipos serios, se hacen a veces con equipos en paralelo que buscan a la vez los fallos de seguridad y presentan resultados que permiten a los responsables buscar no solo las deficiencias, sino una garantía de que el resultado al final de la auditoría será bueno.

¿Cada cuánto tiempo se debe hacer una auditoría de seguridad?

Si lo que buscas es una auditoría del primer tipo, como ya he dicho, las normas suelen ser laxas y permiten periodos de un año. Tener un sistema expuesto a Internet durante un año sin realizar auditorías de seguridad – por mucho mantenimiento de sistemas y actualización de parches que se haga – es una temeridad.

Figura 2: Recomendaciones de frecuencia de auditorías según PCI-DSS

Hoy en día, los cambios del software base son constantes, y el entorno sobre el que correo una aplicación web en un instante de tiempo T1 no se parecerá al entorno de software en el que correrá en un instante de tiempo T1+1 año. Durante ese periodo el sistema operativo habrá actualizado cientos de parches, cambiado componentes internos y modificado pequeñas funciones en componentes que habrán sido modificados. Habrá cambiado el software que utiliza el cliente y el software de toda la electrónica de red que conecta desde el usuario final, hasta el almacén de datos.

No solo habrá cambiado el software base, sino que se habrán producido decenas o cientos de cambios pequeños en la web que sumados generarán un cambio sustancial en el código de la aplicación. Se habrán añadido nuevos interfaces de usuario para soportar los últimos gadgets, se habrá cambiado la plantilla de la web para adaptarse a los cambios de diseño y se habrán tocado pequeñas o grandes funcionalidades en la web, que sumados todos harán que el código de todo el sistema se parezca poco al que había en el T1 original.

Pero lo más importante es que durante todo ese periodo habrán sido publicadas tropecientas conferencias de seguridad ofensiva que mostrarán nuevas técnicas de hacking, nuevas herramientas o nuevo conocimiento sobre la tecnología existente, se habrán publicado miles de artículos en blogs, congresos académicos y revistas técnicas y habrán aparecido cientos de vulnerabilidades en el software publicadas en foros, listas de correo o bases de datos de expedientes de seguridad.

La suma de estos tres factores, es decir, el software base de la aplicación web sobre la que corre el servicio, los cambios en el código de la aplicación y el avance del conocimiento en técnicas de ataque, hacen que en un año el resultado de una auditoría web en T1 y en T1+1 año pueda resultar “inseguramente” distinto.

La ventana de tiempo importa

Este periodo de tiempo es lo que permite que cuando se hace una auditoría de seguridad, por regla general, siempre aparezcan cosas de nivel crítico. Es común auditar un sistema y acabar encontrando cosas de alta criticidad. Si has hecho auditorías de seguridad ofensiva, estarás acostumbrado a que en el 90 % de los casos acabes entrando hasta la cocina usando las últimas herramientas que traiga para pentesting Kali, los últimos exploits de Metasploit o buscando fallos de SQL Injection en las últimas páginas web añadidas.

Esta ventana de tiempo es también uno de los elementos que permite que, como decía en la presentación, los ciberespías siempre ganen, ya que si el malo descubre un fallo antes que lo descubra el pentester o el auditor de seguridad, entonces ya habrá ganado.

Pentesting Continuo, Pentesting by Desing

Es por esto por lo que para que un sistema esté “razonablemente” seguro, decía yo que los auditores tienen que ser más rápidos encontrando los fallos de un sistema que los malos explotándolos. Para ello es necesario que cada vez que se cambia el software de base o se realiza un cambio en una aplicación un pentester pruebe todas las técnicas conocidas, además de que cada vez que se descubre un nuevo bug, una nueva técnica de hacking o un nuevo fallo de una tecnología, esta se revise sobre todo el sistema.

Con estas ideas es con lo que en Eleven Paths estamos trabajando en hacer de la FOCA una solución “FOCA as a Service”, para revisar la seguridad de una aplicación web constantemente, revisando todos los días todos los fallos conocidos sobre el sistema. Evolucionando el Pentesting Driven by FOCA a un Pentesting Done by FOCA añadiendo día a día nuevas pruebas de auditoría. Es decir, revisando una base de conocimiento K1 sobre un sistema en los instantes de tiempo T1, T2,T3, … Tn, pero al mismo tiempo que se realiza ese análisis constante en tiempo, la base de datos de conocimiento irá creciendo día a día, pasando a ser K2, K3, … Kn a lo largo del tiempo.

Figura 3: Arquitectura versión "alpha" de FOCA as a Service

Esto nos dejaría que un sistema informático deberá soportar el pentesting by desing, permitiendo que se revise el conocimiento de seguridad Kn en un instante de tiempo Tn. Es decir, la auditoría de seguridad de un sistema debe ser algo lineal y constante, que mantenga el nivel de intensidad a lo largo del tiempo.

¿Es sostenible esta revisión continua de la seguridad?

A día de hoy muchos sistemas no están preparados para esta intensidad de auditoría. Ya muchos administradores se ponen nerviosos con pensar sólo en que llega “la semana de la auditoría” o “la noche de la prueba de DDOS”, como para escuchar que se van a estar realizando estas pruebas de forma continuada. Lo sé. Pero es a donde creo que debemos llegar, a que realizar un proceso de auditoría de seguridad continuado sea algo habitual que se realiza antes de publicar el servicio en Internet.

Saludos Malignos!

lunes, junio 24, 2013

DEF CON 21

Del 1 al 4 de Agosto de este año tendrá lugar una nueva edición de las conferencias DEF CON. En este caso es la edición número 21 que se celebrará como es de obligado cumplimiento en la ciudad de Las Vegas y un año más en el Hotel Río.

Figura 1: Banner de conferencias DEF CON 21

La primera vez que fui a estas conferencias fue en la edición número 16 - aquí tienes todos los vídeos de las charlas que he presentado en DEF CON - , y esta será la sexta vez que me pase por allí a dar una presentación y ver a los amig@s de todo el mundo que gracias a estas conferencias nos juntamos al menos una vez al año. El tema de la charla será la Evil FOCA, de la que ya os hablé en la pasada RootedCON, pero con alguna evolución nueva que os contaré por aquí, con la que sacaremos una versión DEF CON 21 de la misma.

Figura 2: El Hotel Rio en el No Lusers 89 dedicado a las WiFi de la DEF CON

Las aventuras de DEF CON son siempre estimulantes, y a pesar de que no se puede contar todo lo que pasa por allí por eso de que sucede en Las Vegas, yo procuro contaros algunas historias como la de la crónica maligna de la muerte de PPTP, las redes WiFi del hotel Río - a las que dediqué un No Lusers -, el espíritu que se respira por allí, o cómo he vivido aventuras en la DefCON 17 cuando casi acabo detenido, de honeymoon con Palako y como el FOCA Team ganó la hack CUP.  Este año espero poder contaros alguna más.

Saludos Malignos!

domingo, junio 23, 2013

¿Qué podría capturar la operación Tempora del GCHQ?

Tras saltar la noticia de que el Global Communications HeadQuarters podría estar intentando Mastering the Internet por medio de la operación Tempora por la que podrían haber hecho un pinchazo de 200 cables de fibra óptica en el Reino Unido el debate recayó sobre qué es lo que podrían tener con ese pinchazo de cables y qué es lo que no podrían tener. Supongo que los más iniciados en el mundo de la seguridad y el hacking tenéis la mente llena de cosas que se podrían hacer desde esa posición privilegiada, pero voy a intentar resumir algunos puntos importantes para el que se haya hecho esta pregunta.

Conexiones entre Europa y América
En primer lugar, hay que hacer entender a la gente dónde está exactamente la situación del Reino Unido en Internet. Aunque Internet es una red global, la distribución de las conexiones no es ni mucho menos tan distribuida como la ubicación de los servidores. Si echamos un ojo a este mapa del año 2011 de Anson Alex se puede ver cómo los cables que conectan Europa y America por debajo del mal, principalmente están entre Inglaterra y Estados Unidos, siendo casi residuales el resto.
Figura 1: Mapa de conexiones submarinas de Internet
Esto le confiere a ambos una posición de supremacía para controlar las comunicaciones que se enrutan entre ambos continentes, por lo que podrían acceder a mucho tráfico que por ellos circulan, especialmente si hablamos de los servicios de las principales empresas tecnológicas americanas.
Correo Electrónico
Lo primero que se viene a la mente es el acceso a los mensajes de correo electrónico que no vayan cifrados extremo a extremo con S/MIME o PGP, ya que los mensajes se envían normalmente cifrados entre el cliente y el servidor saliente, y entre el servidor entrante y el destinatario, pero la comunicación entre servidores de correo electrónico aún sigue haciéndose por el puerto 25 sin utilizar SMTP-S o el famoso Mutual-TLS de los servidores Microsoft que permite el cifrado entre ellos. 
Figura 2: Opción de Mutual-TLS en MS Exchange Server 2010 
Esto permitiría obtener el contenido, los archivos adjuntos y un registro de comunicaciones entre cuentas que podría ser analizado para conocer las personas con las que te relacionas.
Contraseñas de servicios no cifrados
Si el servicio no cifra el envío de credenciales, por supuesto que estas quedarían al descubierto ante cualquier inspección de tráfico que se produjera. A día de hoy este tipo de cuentas son muy pocas, pero aún quedan muchos servicios que reciben los tokens de autentificación sin utilizar ningún tipo de criptografía.
Secuestro de sesiones
Una de las peores cosas que pueden hacerse es robar las cookies de las sesiones de los servicios online. Aún hay un montón de servicios online que utilizan tokens en parámetros GET o cookies no cifradas para el mantenimiento de las sesiones, lo que conferiría a alguien con la capacidad de capturar el tráfico la posibilidad de entrar en las cuentas de todos esos cientes con un ataque de hijacking.
Peticiones de salida en nodos TOR
Si alguien se conecta a través de la red TOR a un nodo de Internet, la última conexión y el contenido que se envía entre el nodo de salida de la red TOR y el servidor en la red Internet estaría desprotegida por el cifrado y podría ser interceptado por un sniffer que estuviera escuchando en ese cable.
Figura 3: La conexión de salida va sin cifrar
Si se monitorizan las salidas, se puede saber mucho de lo que se está haciendo desde la red TOR
Conexiones de actividad desde una huella digital
Si es posible identificar la huella digital de una conexión, se podría conocer la actividad de una determinada cuenta en todo momento, sabiendo a qué se conecta, qué busca en las resoluciones DNS o qué envía a cada servidor.
Llamadas de teléfono VoIP no cifradas
Al igual que el resto de servicios de Internet, las llamadas de Voz sobre IP puede utilizar protocolos cifrados y sin cifrar. Si se usa SIP y RTP sin utilizar ninguna capa de cifrado, todas esas llamadas podrían ser reconstruidas. Esto se explica de maravilla en el libro de hacking y seguridad VoIP de Pepelux.
Figura 4: Arquitectura VoIP común de SIP & RTP sin cifrado

Cracking de conexiones VPN
Por supuesto, si están realizando interceptación de tráfico, podrían capturar todas las conexiones VPN, registrando el proceso de handshake de conexiones PPTP que utilizasen MSCHAPv2, y crackearlo después con ataques de diccionario o con con el servicio de cracking online que se presentó en DefCON20 de CloudCracker.com, para reconstruir todo el tráfico de una conexión VPN, lo que te dejaría totalmente desprotegido aun con una conexión VPN.
Todo esto más mucho más se podría hacer sin hacer un ataque Man in the Middle o ataques de red en IPv4 o iPv6, es decir, solo escuchando el tráfico. Si ya se empezaran a establecer ataques de interceptación y manipulación del tráfico, la cantidad de cosas que se puede hacer se dispara, así que deberías ponerte las pilas con el cifrado de comunicaciones digitales.

Saludos Malignos!

sábado, junio 22, 2013

Mastering the Internet y la operación Tempora del GCHQ

De forma sostenida y con cuentagotas el periodico The Guardian va soltando las piezas de información filtradas por Edward Snowden. En esta ocasión ha publicado dos documentos relativos a los interese del GCHQ (Global Communications Headquarters) del gobierno británico del que ha dicho que son peor que la propia NSA con estas palabras según el periódico:
"It's not just a US problem. The UK has a huge dog in this fight.
They [GCHQ] are worse than the US."
En esta ocasión, se habla de un documento titulado "Mastering the Internet" donde parece que el GCHQ explica claramente que pretende controlar las comunicaciones de todo el mundo, tanto las que pasan vía teléfono celular como las que suceden por Internet para controlar el mayor número de información posible.

Figura 1: Mastering the Internet del GCHQ

Entre los datos aportados se puede ver que ya en el año 2010 se estaban registrando datos sobre 600 millones de llamadas de teléfono al día, lo que generaría una cantidad de datos brutal por sí misma. Sin embargo, el objetivo era controlar las comunicaciones de cualquier tipo para lo que se interceptaron los cables de fibra óptica que pasan por el Reino Unido para poder analizar el tráfico de Internet.

Figura 2: ¿Por qué no interceptamos todas las señales todo el tiempo?

Para ello se interceptaron más de 200 cables de fibra óptica, pero hasta el momento solo habían podido procesar 46 dentro la denominada operación Tempora, que estaba recogido datos de más de 2 billones de usuarios de Internet, generando un volumen de datos brutal.

Analizar todos esos datos supone un reto técnico per sé, y para ello se compara el trabajo con el de los famosos CodeBreakers de Bletchley Park que tan bien se narra en el libro Microhistorias. En esa época el enemigo parecía más claro al estar el mundo en guerra de forma clara y ahora parece que se espía todo para luchar en esta nueva III Guerra Mundial no declarada que parece que se está luchando por Internet.

Para ver qué significa este volumen de datos, el periodico The Guardian publica una página del documento en la que en las conclusiones de la operación Tempora pone lo siguiente.

Figura 3: Conclusiones de la operación Tempora

En las conclusiones se le insta a la gente a que sea responsable con sus actos, ya que la posición que tiene le permite acceder a información única, y si esto fuera mal empleado tendría poder para hacer mucho daño. Eso sí, que se divierta y de lo mejor de sí mismo.

Figura 4: Noticia de 2012 en la que se anuncia el asesinato de un codebreaker del MI6

Viendo todo esto que está pasando con PRISM, las investigaciones y espionaje a los miembros del G8 y el G20, y ahora el documento de Mastering the Internet y Tempora, no sé porqué, pero me ha hecho recordar la historia del hacker israelita asesinado en su hotel y del codebreaker del MI6 que apareció asesinado tras asistir en USA a las conferencias BlackHat y DefCON, donde solemos juntarnos todos los años...

Saludos Malignos!

viernes, junio 21, 2013

Documental: Acoso en la sombra

Ayer el programa Crónicas emitió el documental "Acoso en la Sombra", dedicado al triste mundo de los depredadores por Internet que acosan la intimidad de las personas por Internet. Delitos como el grooming, el robo de identidad, el acoso o la pederastia se han volcado en la red, creando comunidades virtuales en Internet donde habitan algunas veces con el sentimiento de total impunidad.


El programa trata temas de actualidad que creo que todo el mundo debería tener presente. En él participan víctimas y profesionales que analizan algunos casos reales. Creo que todos debéis ver el reportaje.

Saludos Malignos!

jueves, junio 20, 2013

Why Ciberspies always win

Cómo sabéis, llevamos ya un tiempo trabajando en Eleven Paths, y como siempre que arrancas algo nuevo, lo importante es pararse un poco y pensar. Si he de ser sincero, la historia de Eleven Paths comenzó en las navidades de 2012, así que desde entonces, junto con David Barroso, hemos estado pensando en qué cosas quedan por hacer en el mundo de la seguridad.

De esas reflexiones salieron ideas locas como la de que las nubes se comerán las redes de área local, que la forma de hacer pentesting no puede seguir siendo como es hasta ahora y es necesario cambiar a un modelo de pentesting continuo, lo que exigirá que el diseño de sistemas informáticos deba contar con pentesting by desing, que tu sistema informático no es finito o que en el proceso de hacer las herramientas y tecnologías nos olvidamos de Penny.


De todo esto es lo que hablé en la pasada OWASP EU 2013 en Barcelona y hace unas horas en Perú, así que he decidido dejaros las diapos - full of metadata - para que podáis echarle un ojo rápido si os apetece mientras yo regreso en avión a casa. 

Saludos Malignos! 

miércoles, junio 19, 2013

Tapa la webcam o ponte sexy si usas Adobe Flash Player

Conozco desde hace tiempo el bug de Adobe Flash Player que por medio de un ataque de ClickJacking permitía activar la webcam y grabar al usuario que visita una web con robar solo unos clics para utilizar el configurador de la webcam en el sitio de Adobe. Este bug lo suponía solucionado desde el 2011, pero lo cierto es el descubridor del mismo ha vuelto a alertar de que aún no lo está.

Figura 1: PoC publicada en 2011

Yo he ido a probar la PoC que te tira una foto con un clickjacking de chicas sexies usando un OS X Mountain Lion 10.8.4, Google Chrome 27 y la última versión de Adobe Flash Player... y no lo está. Eso sí, al menos me ha salido la lucecita en el MacBook Pro para que me diera tiempo a sonreir, aunque no me he animado a ello como podéis ver.

Figura 2: Cara con la que he salido cuando he probado la PoC

Dos años parece más que suficiente para que Adobe se hubiera tomado esto más en serio, pero no ha sido así, por lo que se lo pueden estar pasando genial los malos gracias a la colaboración de Google Chrome. Un negativo para el equipo de seguridad de Adobe. Sea cual sea tu versión de Adobe Flash Player estás vulnerable, así que ya sabes lo que debes hacer: Tapa la webcam o ponte sexy para salir en Internet

Saludos Malignos!

martes, junio 18, 2013

Políticos del G8 y G20 espiados por ingleses y americanos

El periódico The Guardian ha vuelto a soltar otra bomba mediática aprovechando las filtraciones de Edward Snowden, el ex-trabajador del CIA - acusado ahora de trabajar para China - que destapó el escándalo del espionaje del programa PRISM. En este caso ha liberado documentación que revela como el GCHQ (Govermnent Communications Headquarters) británico y la NSA (National Security Agency) americana espiaron a los políticos participantes en reuniones del G8 en Londres y el G20 en Sudáfrica, utilizando técnicas de hacking habituales. Esto sí que es un buen incidente de ciberespionaje entre países.

Figura 1: Uno de los documentos que revelan el espionaje en el G20

Según revelan en el periódico, se procedió a poner redes Rogue WiFi en Internet Cafés totalmente interceptadas, a las que se invitaba a conectarse a los delegados de las conferencias. También se espiaban las comunicaciones móviles para saber quién hablaba con quién. Se hackearon terminales BlackBerry para robar correos electrónicos, mensajes e históricos de llamadas. También se habla de ataques dirigidos al primer ministro turco y captura de las comunicaciones del primer ministro ruso Dmitry Medvedev conectadas a un satélite ruso.

Figura 2: Documento que explica los hackeos de las BlackBerry

Entre los documentos se han filtrado informes y conversaciones entre los espías en las que se discute la necesidad de tener los datos de las conversaciones telefónicas en tiempo real, y no solo los registros de llamada, para poder influir en la toma de decisiones que se tomaban en las reuniones del G8 y G20.
"In a live situation such as this, intelligence received may be used to influence events on the ground taking place just minutes or hours later. This means that it is not sufficient to mine call records afterwards – real-time tip-off is essential."

Esto parece sacado de las películas de Hollywood en las que en un torneo de poker los malos preparan sistemas de espionaje de cartas para poder ganar la partida sí o sí. No es de extrañar que todos los hackers y profesionales de la seguridad vayan a conferencias como DefCON y BlackHat sin utilizar ni un solo aparato electrónico en esas zonas. ¿Tendrán un dispositivo especial de espionaje también en ese tipo de eventos?

Saludos Malignos!

lunes, junio 17, 2013

Saltar el passcode de un terminal iOS (iPhone & iPad)

Otro de los temas que se trata en el libro de Hacking iOS: iPhone & iPad tiene que ver con bugs y trucos para saltarse el passcode de un terminal iPhone o iPad. Esto tiene muchas derivadas dependiendo del tipo de dispositivo y la versión del software que esté instalado en él. Tener el passcode de un terminal permite acceder a todo el contenido del sistema operativo cuando no se tiene acceso a un equipo en el que el dueño del terminal ha hecho el "pareado" con Apple iTunes.

Si se tiene acceso al equipo con pairing, basta con conectar el teléfono al equipo y se tendrá acceso a casi todo el sistema de ficheros, con herramientas como iFunBox, pudiendo sacarse la base de datos de WhatsApp o cualquier otro dato de las aplicaciones.

Figura 1: Libro de Hacking iOS: iPhone & iPad

A lo largo del tiempo han ido apareciendo bugs que permiten saltar el passcode, pero no todos ellos permiten acceder a todos los datos por lo que a veces solo se accede a la aplicación de llamar, desde donde se pueden ver los contactos, el historial de llamadas y el carrete de fotos (al poder configurar una foto en un contacto), pero no mucho más. Estas son las alternativas:

Turcos para obtener el passcode en iPhone & iPad
- Exploit Limera1n: Si el terminal tiene un chip A4, es decir, si es un iPhone 4 o iPad 1 entonces se puede utilizar Gecko, una herramienta que permite - haciendo un tethering jailbreak temporal - lanzar un ataque de fuerza bruta en el mismo terminal y obtener el passcode. Se basa en iPhone-DataProtection y tiene el inconveniente de que si el terminal tiene un passcode complejo puede ser un proceso lento. Si has leído la novela Hacker Épico recordarás bien cómo se usa. 
- Bug del teclado virtual en iPad utilizando Teensy 3.0: En iPad, al poner un teclado externo, cuando se fallan varias veces sólo se deshabilita el teclado virtual, pero no el físico. Con un Teensy 3.0 se puede hacer una emulación de un teclado y hacer un fuerza bruta para sacar el passcode. De nuevo, hay que tener en cuenta que si tiene un passcode complejo puede ser largo, y que además, aunque no se deshabilite el teclado virtual, sí que se podrían borrar los datos del terminal después de los 10 intentos. Afecta a todas las versiones de iOS hasta iOS 6.1.3 y todas las versiones de iPad
- Marcas en la pantalla o Shoulder Surfing: Aunque parezca mentira, no hay muchas más opciones de averiguar el valor del passcode que no sea revisar las marcas de dedos en la pantalla - que se puede hacer en valores de passcode simples - , o hacer un poco de cotilleo por encima del hombro. De hecho hay trabajos donde visión artificial como iSpy creado para reconocer las pulsaciones de teclado en iPhone que podrían valer para passcodes complejos. Una forma curiosa de hacerlo ha sido con las Google Glass, que a grandes distancias son capaces de capturar las pulsaciones del passcode.
Figura 2: Shoulder Surfing con Google Glass

Bugs para saltar el passcode en iOS (iPhone & iPad)
- Bug en iOS 7.1.2 que permite saltar el passcode: Este bug, aprovechando de Siri, permite sacar la aplicación de llamar y ver contactos. 
- Bug en iOS 7.1.1 con Siri que permite acceder a los contactos: Utilizando Siri se puede acceder a todos los contactos con solo utilizar la opción "Otros".
- Bug con Siri, Voice Control y FaceTime en iOS 7.0.2: Por medio de una combinación de llamada de teléfono hecha con Siri, apertura de FaceTime, suspensión y finalización de la llamada, es posible acceder a la app de Phone y llegar a datos de contactos, fotografías, etcétera.
- Falsificación de huellas dactilares en Touch ID: El terminal iPhone 5S permite liberar el passcode y la contraseña de Apple ID haciendo uso de un sensor biométrico de huellas dactilares. Miembros del Chaos Computer Club han demostrado que se puede saltar con una huella dactilar falsa copiada de la víctima. 
- Bug de llamada de emergencia en iOS 7: No permite acceder a los datos del terminal, pero si a hacer llamadas. Basta con poner el número en el panel de llamada de emergencia y darle a llamar hasta que iOS 7 falla, sale el logo de Apple y marca el número solicitado.
- Bug en el Control Center de iOS 7.0: En menos de 24 horas tras la publicación de iOS 7 se publicó cómo saltar el passcode accediendo al Control Center con el dispositivo bloqueado. Pulsando para apagar el terminal y después cancelando la operación al tiempo que se pulsa dos veces en el Home Button. Record Time.
- Bug en la beta de iOS 7: En esta nueva versión se permite acceder a la calculadora con el terminal bloqueado con passcode. Una prueba de concepto demostró que se podía acceder al carrete de fotos y borrarlas o compartirlas en Internet
- Bug de NO SIM en iOS 6.1.3 en iPhone 4: Este fallo se produce a través de las opciones de Voice Control para llamar por FaceTime. Se debe comenzar una llamada y cuando vaya a comenzar sacar la tarjeta SIM. Provocará que se acceda a la aplicación de llamar y contactos, pudiendo accederse al carrete de fotos, pero no a todo el sistema. Tienes un vídeo demostración en el artículo enlazado. 
- Bug CVE-2013-0908 en iPhone 5 con iOS 6.1 a 6.1.2: El fallo se produce forzando un apagado del terminal desde el panel de llamadas de emergencia que se cancela. Luego hay que volver a hacer un intento de llamada de emergencia para saltarse el passcode. Son 7 pasos que tienes descritos en el artículo enlazado junto con varios vídeos demostrativos. En ningún caso se consigue acceder a todo el sistema, y sólo se permite acceder a la app de llamar, accediendo a contactos y fotos del carrete. 
- Bug de NO SIM en iOS 5.0.1 [CVE-2012-0644]: Este fallo se produce en iPhone 3GS, iPhone 4 y también en iPhone 4S con iOS 5.0.1 y permite acceder sólo a la agenda de contactos y el carrete fotográfico. Para ello es necesario que esté la opción "desplazar para responder" activada. Esta opción permite que cuando se previsualiza una llamada perdida se pueda devolver la llamada solo con desplazar el mensaje hacia la derecha. El bug se produce si justo en ese momento se extrae la tarjeta  SIM, ya que se produce otro evento que interrumpe el flujo del programa y permite acceder a los contactos. Tienes un vídeo demostración en el artículo enlazado. 
- Bug de SmartCover en iPad en iOS 5.0: Un fallo gordo que permitía con un sencillo truco que consiste en dar a apagar el terminal iPad con el botón, pero antes de aceptar el apagado cerrar la SmartCover, volver a abrirla, y dar al botón de cancelar el apagado. Esto permite abrir la app que estuviera en primer plano - no permite ver todas las apps -. Tienes un vídeo demostración en el artículo enlazado. 
- Bug de Acceso al carrete en iOS 5 por estación base falsa: Una de las características de iOS 5 es la posibilidad de utilizar el terminal como una cámara de fotos sin poner el passcode. En el carrete sólo se mostrarán las fotos hechas con fecha posterior a la última vez que se bloqueo con passcode el terminal. Utilizando una estación base de telefónica falsa es posible configurar una hora en el pasado, con lo que aunque se bloquee el terminal se podrá acceder a todas las fotos del carrete. En los terminales iPad sin 3G se hace mediante conexiones a Internet.
- Bug de Activator (Jailbreak) en iOS 4.3.3:  Este fallo es similar al que hubo en iOS 4.1, pero en este caso el culpable fue una herramienta que solo puede utilizarse en terminales con jailbreak, que hacía un hooking de las teclas de control por debajo del bloqueo de passcode. Tienes un vídeo demostrativo en el artículo enlazado. 
- Bug de llamada de emergencia en iOS 4.1: El bug permite acceder a la app de contactos, y por tanto realizar llamadas y ver las fotos del carrete de fotos. Basta con hacer una llamada de emergencia y cortarla apagando el terminal. Tienes un vídeo demostrativo en el artículo enlazado.
 Trucos para usar iPhone o iPad sin conocer el passcode
Bug de FaceTime en iOS: Por defecto los terminales iPhone 4iPhone 4S e iPhone 5 con iOS 5 o superior - también en iOS 7 - permiten hacer llamadas por FaceTime e inspeccionar la agenda de contactos. Esto puede hacerse con el servicio de Voice Control desde el menú de llamadas de emergencias o utilizando Siri
Uso de Siri para acceder a datos: El asistente personal Siri en iPhone 4S o iPhone 5 permite acceder a contactos, hacer llamadas por Facetime, acceder al calendario de eventos, las notas o las alarmas. Usando Siri se puede establecer una alerta a las 4 de la mañana, jugar a robar una cuenta de Hotmail o Gmail con estilo y salero o consultar las notas de un OSX sincronizadas con Apple iCloud. Y por defecto se puede usar sin passcode
- Deshabilitar Siri pero no Voice Control: Los usuarios de iPhone 4S, iPhone 5 o iPhone 5S que desactiven Siri tienen que tener en cuenta que tras deshabilitarlo aparece Voice Control, que también permite acceder a contactos y hacer llamadas. Es necesario deshabilitar los dos o solo deshabilitar Siri con la pantalla bloqueada. 
Mensajes de pantalla: Un terminal iOS puede mostrar por pantalla previsualización de mensajes de texto SMS - utilizables para el robo de cuentas Gmail/Hotmail -, mensajes de WhatsApp o de cualquier otra aplicación. Además puede ser utilizado para contestar llamadas, saber cómo se almacena un número en la agenda de contactos o ver qué reproducía el reproductor multimedia. Se pueden hacer ciertas acciones desde el terminal bloqueado aunque no demasiadas.
Acceso al carrete de fotos de iPad: Por defecto los terminales iPad vienen pensados para poder ser también un marco de fotos, y en la pantalla de inicio hay un icono que permite acceder al carrete sin conocer el passcode.  
Este tema, así como el de cómo instalar troyanos y espiar terminales iPhone, cómo usar Siri para robar cuentas de usuarios, como recuperar mensajes borrados de WhatsApp, controlar y espiar un WhatsApp en iPhone o cómo hacer un forense de iOS localizar el malware son solo algunos pasajes de las más de 300 páginas que conforman el libro de Hacking iOS: iPhone & iPad.

Saludos Malignos! 

domingo, junio 16, 2013

Los Vengadores más o menos

Hoy domingo voy a intentar tomarme el día tranquilo viendo las carreras de motos en el Gran Premio de Catalunya, disfrutando desde por la mañana con Maverick Viñales, Luis Salóm y Pol Espargaró para ver si terminamos viendo un carrerón de Marc Márquez, Dani Pedrosa y Jorge Lorenzo luchando con Valentino. Después voy a ver si consigo alguna cadena de TV donde emitan la final del torneo de tenis de Queen's con Andy Murray o el de Halle para ver a Roger Federer sobre hierba, que es un espectáculo digno de disfrutar. Luego, a eso de las 19:00 horas tocará sufrir de infarto en el Palau con la final de ACB entre el Real Madrid y el FC Barcelona Regal, para terminar el día con el partido de España contra Uruguay en la Copa Confederaciones.

Como podéis ver, tengo en mente tener un día de sufrimiento duro, que solo podré soportar gracias un corazón duro que tengo entrenado en mil batallas frente al televisor. Soy un tipo duro. Aprovecharé mientras para intentar reducir también algo el número de correos electrónicos que entre "Preguntas rápidas, respuestas lentas" y el "e-PingPong" ha superado ya el centenar de ellos sin responder.

Dicho hecho, voy a cumplir el ritual de publicar mi post diario en el blog con un dibujo, pero no es un No Lusers de los míos que hace tiempo que no encuentro ni tiempo ni inspiración para la ilustración, sino con uno de un buen amigo que me hizo llorar con el dibujo y la dedicatoria que venía por detrás. Esta es una imagen de la lámina A3 en la que viene el dibujo.

Figura 1: Avengers Informática64 con Perchita, Cálico Electronico, La FOCA y Josemaricariño

Gracias Sorian. Me ha encantado esta mezcla y la dedicatoria más aún.

Saludos Malignos!

sábado, junio 15, 2013

Mea Culpa, Penny

Algo falla en la industria de la seguridad informática. Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en Internet. Algo falla y tenemos que arreglarlo los que trabajamos en esta industria. En mi fuero interno llevo tiempo dándole vueltas a porqué pasa esto, y de todas las casusas enumerables, hoy os quiero hablar de una de ellas: La de olvidarnos de cuidar de Penny.

Figura 1: Penny no se conecta a Internet porque no tiene configurada su VPN

Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una miriada de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso dice muy a las claras que ellos que han conseguido que los usuarios disfruten con la tecnología. 

Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no hemos sabido acertar en la manera de proveer las medidas de protección. Sí, tal vez podríamos decir que es culpa de los servicios de Internet, que deberían preocuparse más de la seguridad, pero muchas de las medidas de seguridad tal y como las entendemos hoy empeoran la experiencia de usuario o exigen un cierto nivel técnico para entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos perdido.

Durante muchos años nos hemos enrocado en definir a  "Seguridad" como una archi-enemiga de "Usabilidad" y hemos zanjado las conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: "Debes buscar el equilibrio entre Usabilidad y Seguridad"... pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.

El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria como Penny de The Big Bang Theory. Y está en Internet. Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de hoy en día. Maneja sistemas informáticos en su quehacer diario y está en riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado sistemas de seguridad... pero para Geeks.

Sheldon se conoce bien las tecnologías de seguridad, pero intenta explicarle tú a Penny todo lo que tiene que hacer para simplemente navegar por la WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el SSID,  luego sigue con el "usa una VPN, desactiva WPS, cambia el cifrado a WPA2-PSK,  cuidado con los Rogue APs si tu equipo es OSX y no valida el BSSID y cuidado con las alertas de certificados en ataques Man in The Middle", para terminar con un "actualiza el firmware". Es virtualmente imposible hacer entender a Penny todas las medidas de seguridad que hay que tomar para simplemente navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.
No tiene sentido.
Algo no hemos hecho bien en la industria de la seguridad si para conectarse al Facebook usando la WiFi, tengo que dar un curso de tecnologías a mi madre - algo que seguramente ni disfrutará - cuando todos los terminales móviles vienen con un botón de "conectar". Nos hemos olvidado de Penny en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma en que funcionan muchas de las herramientas que implementan medidas de seguridad para que sean lo más transparentes posibles, porque yo no quiero saber cómo funcionan todos los controles de seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras que yo estoy cómodo - y que Hugo Teso no esté cerca -.

No quiero tener que configurar los valores del ABS o el ESP cuando me subo en el maligno-móvil. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny qué es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o qué implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no pillar eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar....¿un plugin?

Tal vez nosotros estemos acostumbrados a toda esta terminología, pero Penny no, y tenemos que ver de qué forma es posible ayudar a que Penny a que esté más segura en Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.

Saludos Malignos!