Hace ya un tiempo que lanzamos para los clientes de Movistar un servicio en el que habíamos estado trabajando mucho en ElevenPaths, se trata de un servicio que intenta mitigar el número de amenazas a las que te conectas desde tu ordenador personal y dispositivos móviles, ya sea mediante la conexión WiFi que va por tu router a la red de Fibra Óptica, como a través de las redes de datos móviles 3G/4G, se llama el servicio Conexión Segura.
Figura 1: Movistar Conexión Segura "Cómo Activar la protección de tu conexión y revisar las amenazas"
Este servicio, como os dije, está incluido en todos los paquetes de Movistar Fusión y Lineas de Contrato Móvil de forma gratuita, así que solo debes activarlo, algo que puedes hacer desde diferentes puntos. Uno de ellos, desde la web de Movistar Conexión Segura, donde solo debes entra y activarlo, sin ningún coste por hacerlo.
Tienes un paso a paso de cómo activarlo en este vídeo que se hizo para explicar con detalle los clics que tienes que hacer, y disfrutar de este servicio de protección extra para todos los clientes de Movistar Fusión o Líneas de Contrato Móvil sin ningún coste adicional, activándolo desde la web.
Figura 4: Vídeo explicativo sobre cómo activar Conexión Segura
Una vez que lo activas, ya no hay mucho más que hacer, el sistema funciona analizando las conexiones que realizas a sitios de Internet y bloquea aquellas conexiones que están dirigidas contra sitios que están descargando malware, lanzando exploits o ataques de phishing.
Figura 5: Protección de Conexión Segura desde la red
Esto es especialmente útil para cuando hay campañas de malvertising que hacen que, por navegar por una simple web que pone anuncios puedas verte afectado por uno de esos anuncios en un ataque de malware. Y contra esos ataques, la protección manual es imposible, porque si han conseguido que navegues a un servidor con un kit de exploits que te afecta, se va a ejecutar automáticamente.
Figura 6: Cuando navegues a una web peligrosa Conexión Segura la bloquea
Por eso, los equipos de seguridad revisan los ads que se meten, por eso los equipos de seguridad en los Security Operation Center denuncian y marcan como maliciosas las URLs que descubren con este tipo de actividades, por eso tener un servicio que compruebe las URLs contra las que te conectas de manera automática es la mejor opción, y por eso Conexión Segura es algo que te ayuda sí o sí.
Revisar las amenazas paradas por Conexión Segura
Pero otra cosa fantástica que te da Conexión Segura, es que aprendes de qué te has librado, o cuáles son tus malos hábitos, o que tienes algo mal en tus equipos y forma de utilizarlos, cuando revisas las amenazas que han sido bloqueadas. Para ello, debes ir a la web de Conexión Segura y hacer login con tus credenciales de Mi Movistar.
Figura 7: Resumen de amenazas de la línea fija (WiFi + Fibra Óptica)
Una vez allí, puedes elegir la línea de teléfono que desees revisar - que será la fija con la conexión de fibra óptica y tu WiFi - o las líneas móviles de tus terminales de teléfono, y ver las estadísticas de amenazas bloqueadas. Es decir, de las que Conexión Segura se ha encargado sin que tuvieras que preocuparte tú en tu equipo.
Figura 8: En la web de Conexión Segura puedes ver las amenazas que han sido bloqueadas en tus conexiones fija y móvil
Además, puedes ver en concreto los sitios, que como os decía pueden venir de sitios a los que navegas de manera involuntaria por un redirect en un anuncio, o por un enlace pulsado en el momento equivocado. Por último, el servicio, permite que configure tus listas blancas a sitios, por si lo necesitas.
De los datos que tengas en tu lista de amenazas bloqueadas, seguro que consigues una buena información para cambiar tus hábitos, para mejorar tus herramientas de protección personal, y, sobre todo, para que entiendas que esos sitios bloqueados por Conexión Segura habrían llegado a tu terminal, y al de tu familia, si no activas este servicio. Y remarco: Es gratuito si eres de Movistar.
Este año hemos acelerado todo lo que tiene que ver con contenido digital, encuentros virtuales, webcasts, webinars, podcasts, etcétera. La tecnología nos ha permitido poder continuar disfrutando de cervezas virtuales, charlas en directo, conciertos desde casa, etcétera. Por supuesto, como muchos, yo echo de menos los conciertos, las conferencias, las quedadas con amigos, y demás actividades en persona, pero mientras que seguimos avanzando en la vuelta a la normalidad, tenemos que seguir andando. Y nosotros hemos seguido activos.
Figura 1: 4º Encuentro Virtual en 0xWord, un CodeTalk 4 Devs & 11Paths Radio con Qustodio
Figura 2: 4º Encuentro Virtual de Autores en 0xWord
Pero para que tengas el resto del contenido generado, te traigo también otro par de vídeos que pueden ser más que interesante. En primer lugar este vídeo en el que Fran Ramírez presenta este CodeTalk4Devs que imparte Diego Espitia sobre cómo sacar el máximo partido a un SIEM Attack Framework.
Figura 3: CodeTalk4Devs "SIEM Attack Framework"
Y por último Gonzalo Álvarez Marañón entrevista a Manuel Bruscas, vicepresidente de producto de Qustodio que además dirige la estrategia que permite a Qustodio garantizar a las familias la mejor experiencia de seguridad y bienestar digital del mercado. La pasión de Manuel es contar historias a través de los datos y, como padre, está firmemente comprometido con la construcción de un futuro digital más seguro para nuestros hijos.
Figura 4: ElevenPaths Radio "Entrevista a Manuel Bruscas"
Y esto es todo para hoy sábado, que estés en la fase que estés, hay que hacer por disfrutar el día metiendo algo de deporte, algo de ocio, y algo de aprendizaje, así que a disfrutar el fin de semana, hackers!
A finales del año pasado, hubo un ransomware que provocó dolores de cabeza a muchas personas en nuestra península. “Ryuk”, que así se llama ese malware, afectó a grandes empresas, a pequeñas y a particulares. Antes de empezar la beca en Telefónica dentro del equipo de Ideas Locas de Chema Alonso, me documenté sobre este ransomware en concreto, para saber un poco mas acerca de él, de la manera por la cuál se propagaba tan rápido a través de la red, que parecía pura “magia”.
Figura 1: Wake On Lan como canal de control para Botnets
Después de ver cuál era esa “magia” que estaba utilizando, un compañero y yo nos centramos en configurar los equipos de la empresa, para minimizar los riesgos por ese vector de propagación tanto para evitar a este bicho, sino para evitar que al siguiente que le copie el truco.
La “Magia” del vector de propagación en Ryuk
Los más veteranos seguro que se lo conocen, y si has leído las aventuras de Wardog - nuestro querido BOFH - te habrás reído hasta llorar con el uso que le dan a la función de Wake On Lan (WOL), que proporcionan la gran mayoría de tarjetas de red en conjunción con la placa base de los equipos y la BIOS.
Figura 2: El libro de "Wardog y el mundo", nuestro querido BOFH (Bastard Operator From Hell) escrito por el propio Wardog
Esta característica permite al equipo que, aun apagado, pueda recibir un “magic packet” que provoca el arranque del equipo. Esto es lo que permite a los protagonistas de Wardog hacer muchas "cosas malas" a los compañeros de aventuras.
Cómo funciona Wake On Lan (WOL)
Para entender cómo funciona el servicio Wake On Lan, vamos a ver en primer cómo es y cómo funciona este "Magic Packet", del que debes saber que es un paquete que funciona a Nivel de Trama o Enlace de Datos, es decir, en la Capa 2 del modelo OSI y por lo tanto no es enrutable fuera de la LAN (Local Area Network). Es decir, solo se puede enviar por la red local.
Lo que se envía en este "Magic Packet" de WOL es un paquete broadcast, por toda la red, que lleva con contenido - como dato - una dirección MAC. El paquete mágico comienza la trama con la dirección física FF-FF-FF-FF-FF-FF, seguida de 16 veces la dirección MAC del equipo que se quiere encender. En este punto es donde entra la Tabla ARP (Address Resolution Protocol), donde cada equipo tiene una tabla donde se almacena de manera temporal las direcciones IP de las cuales conoce su MAC. Si has leído el libro de Ataques en Redes de Datos IPv4&IPv6 3ª Edición de 0xWord, la conocerás bien porque es fundamental en los ataques de Man in the Middle IPv4.
IP MAC
192.168.1.1 d1:31:54:68:1a:db
192.168.1.3 00:31:64:68:ca:dc
Como resumen de su funcionamiento, supongamos que tenemos dos equipos en nuestra red. Uno es el equipo A y otro es el equipo B. El equipo A quiere mandar una trama al equipo B. Para ello, mirará su Tabla ARP con el fin de poner en la trama la dirección MAC del equipo B. De esta manera, los equipos a los que les llegue esa trama sabrán rápidamente si es para ellos o no, o si deben dejar pasar esa trama y no procesarla.
Para que ese "Magic Packet" de WOL funcione y se pueda llevar a cabo el encendido remoto del equipo se tiene que comprobar unas configuraciones, ya que en función de la BIOS viene habilitado/ deshabilitado por defecto. En mi caso para la prueba de concepto, tenemos que cambiar varias configuraciones de la placa, así que debes mirar cuál es el software de la tuya buscar estas opciones.
Figura 5: Activación de servicio Wake On Lan en BIOS
También es posible, que se tenga una contraseña en la BIOS, antes del arranque del sistema operativo, en mi caso está deshabilitado, pero es importante este apartado, ya que influye en el encendido vía WOL en los sistemas. Como os podéis imaginar, por mucho que el servicio WOL procese el Magic Packet, esta contraseña implicará la interacción manual con el usuario.
Figura 6: Configuración de arranque con password
En otras placas también es necesario configurar las opciones de Advanced Configuration and Power Interface (ACPI) en modo S1 o S3, que dejan el equipo en modo “Stand by” mientras que la memoria será alimentada con bajo consumo. Esto suele dejar algún led encendido visible en la placa.
Una vez configurada la BIOS tenemos que comprobar las propiedades de la tarjeta de red. Desde la opción del Panel de Control de Windows/ Sistema y Seguridad / Herramientas administrativas / Administración de equipos / Administrador de dispositivos, seleccionamos el adaptador de red.
Figura 7: Opciones de Configuración de Tarjeta de Red
Una vez allí, dentro de las opciones de administración de energía del adaptador de red seleccionado encontraremos algo similar a lo siguiente:
Figura 8: Opciones de Magic Packet en Ahorro de Energía
Es conveniente para hacer uso del WOL desmarcar la casilla de que el equipo apague este dispositivo, en mi caso no es necesario, ya que eso lo controla la propia BIOS. Por otro lado también es necesario dentro de las propiedades del controlador, habilitar las siguientes opciones:
Figura 9: Opciones del Magic Packet
La primera es para que quede a al espera del Paquete Mágico WOL. La segunda es para lo mismo, pero atendiendo a unos patrones que se especifican en ese equipo, entre ellos el paquete mágico, TCPv4 SYNC, TCPv6 SYNC y el nombre de la NetBIOS.
Probando Wake On Lan
Una vez tenemos preparada la configuración del equipo que queremos “despertar” desde otra máquina en local, en mi caso un Ubuntu, podemos utilizar el siguiente comando para arrancar el equipo de manera remota con el servicio Wake On Lan.
Si conocemos la dirección IP exacta podemos sustituirla por el 0/24, si no se apoyará en la Tabla ARP para encontrar dicha dirección IP asociada a ese adaptador de red.
Esto funciona para encender equipos remotamente, dentro de una misma red, pero si lo que se pretende es encender remotamente un equipo a través de Internet usando el protocolo Wake On Wan debemos enrutar el paquete mágico desde Internet a nuestra red LAN.
Configuración de WOL a través de Internet
Para hacerlo funcionar, es necesario configurar nuestro router para que cuando reciba el Magic Packet, normalmente como un Datagrama UDP al puerto 7 o 9, lo enrute hacia la dirección IP del dispositivo que queramos encender. Al estar el equipo apagado, cuando el router trata de reenviar el paquete mágico a la dirección IP del equipo destino, no hay nadie que le conteste diciendo “yo tengo esa dirección IP” en la resolución ARP, con lo cual, el router no sabrían cuál es la dirección MAC a donde debe reenviar el paquete.
Esto se soluciona añadiendo en la Tabla ARP del router una entrada manual y estática con la información del equipo al que se quiere habilitar WOL desde Internet. Cómo la Tabla ARP por defecto es dinámica, y se mantiene viva, únicamente almacena las asignaciones de conexiones más recientes. Esto quiere decir que aunque la introduzcamos a mano se borrará al cabo de un tiempo - salvo si la damos de alta como entrada estática -, o se borrará en el siguiente reinicio del router.
Para solventar esto, será necesario configurar la entrada en el archivo de inicio del router, para que cada vez que se encienda, se cargue el comando con los parámetros anteriores nuevamente en la Tabla ARP. Es posible configurar entradas ARP estáticas, a través del modificador “arp –s”, no obstante, igualmente solo será válida hasta que se reinicie el router, por lo cual seguirá haciendo falta añadir esa línea en un archivo de inicio por lotes para dotar esta entrada en la Tabla ARP de persistencia en el router.
El último problema que debemos resolver es la dirección IP de nuestro router, a la que debemos enviar el paquete mágico. Si se trata de una dirección IP fija, no hay problema, pero si nuestro proveedor de Internet, nos la cambia a menudo, se trata entonces de una dirección dinámica, que es lo habitual.
Si esto es así, para no perder el rastro no nos queda otra que utilizar el servicio de un DNS Dinámico, como puede ser “DynDns”, que es gratuito y permite definir un dominio que apunte y mantenga constantemente la dirección IP de nuestro router, por mucho que ésta cambie. Una vez tenemos todo configurado podremos utilizar una web como depicus para despertar nuestro equipo remotamente a través de Internet.
Notas Finales
Como conclusión esta función es muy útil en ciertos aspectos, si se necesitan encender todos los equipos de una red para hacer alguna gestión en ellos, o se necesita en un momento concreto tener disponibilidad del equipo para trabajar remotamente y no tenerlo encendido siempre. Y esto, para los responsables de grandes plantas de equipos y servidores físicos en Data Centers puede ser de gran utilizad. Pero...
...pero si no tienes un uso claro de este servicio, ten en cuenta que es una característica que las Botnets de malware pueden utilizar para tener la persistencia que necesitan y realizar ataques a tu organización in que lo sepas. Cuando no haya nadie en la oficia y los equipos estén apagados arrancan el equipo que quieran, se arranca su malware en el equipo, y hacer las acciones maliciosas que necesiten en tus sistemas.
Así que, como recomendación de seguridad, si no es estrictamente necesaria esta utilidad, es conveniente dentro de las opciones de fortificar tus equipos Windows, verificar que por defecto está deshabilitado el “Magic Packet” en el adaptador de red, y así reducimos un vector de riesgo que pueda ser, o esté siendo, utilizado por un malware.
Autor: Víctor Rodríguez Boyero, Security Researcher en el equipo de Ideas Locas de Telefónica
Comenzando el mes de Junio, se van a realizar dos Cursos Online de HackBySecurity que comienzan el día 3 y 9 de Junio para los que queráis formaros en Ethical Hacking, Pentesting y Seguridad en Cloud, disciplinas muy demandadas hoy en día en el mercado laboral.
Figura 1: Cursos Online de Hack By Security para Junio
Estos dos cursos, tienen un descuento de verano con el cupón VERANO50 que si lo utilizas te dará un 50% de descuento, y llevan incluidos cada uno de ellos un libro de 0xWord, y 200 Tempos de MyPublicInbox.com para todos los alumnos, que se entregarán nada más registrarse en el curso. Las formaciones que tienes en Junio son:
- CSIO (Curso de Seguridad Informatica Ofensiva) : A partir del 3 de Junio da comienzo en este curso online de seguridad informática ofensiva donde el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.
- CNCC (Ciberseguridad y Normativa en Cloud Computing): El 9 de Junio da comienzo este curso, centrado en formar profesionales que sepan de seguridad en entornos de Cloud Computing. La computación en la nube ofrece inmensos beneficios potenciales en agilidad, flexibilidad y economía. Las organizaciones pueden moverse más rápido (ya que no tienen que comprar y aprovisionar hardware, y todo está definido por software), reducir el tiempo de inactividad (gracias a la elasticidad inherente y a otras características de la nube), y ahorrar dinero (debido a la reducción de los gastos de capital y una mejor vinculación entre la demanda y capacidad).
El objetivo de este curso es proporcionar un lenguaje común y la comprensión de la computación en la nube para profesionales de la seguridad, destacando las diferencias entre la nube y la computación tradicional, y ayudar a orientar a los profesionales de seguridad hacia un enfoque de la adopción de la nube nativa que resulten en una mejor seguridad (y esos otros beneficios), en lugar de crear más riesgos. Todos los asistentes recibirán el libro de Pentesting con Kali 2ª Edición-.
Estas dos formaciones te ayudarán a ponerte al día para entrar al mercado laboral en el área de seguridad informática, una de las profesiones más demandadas hoy en día.
En estos tiempos complicados que nos ha tocado vivir es cuando más que nunca tenemos que utilizar todos los recursos que tengamos a nuestro alcance para resolver los problemas que más nos afectan y sobre todo, ayudar a los demás. El movimiento Maker (nuestro compañero Sergio Sancho Azcoitia del equipo de Ideas Locas enCDCO ha sido uno de ellos) se movilizó en su día para crear las viseras que utiliza el personal sanitario para protegerse, justo cuando más lo necesitaba por falta de stock.
Figura 1: Raspberry Pi, Machine Learning & Teachable Machine: Cómo detectar si lleva puesta la mascarilla con Visión Artificial
La tecnología está cada vez al alcance de todos y ese es justo el objetivo de este artículo, poner a disposición de todos, las herramientas más avanzadas al menor coste posible para poder contribuir a encontrar soluciones que nos ayuden a superar esta pandemia. Por cierto, si quieres iniciarte en el mundo Maker, el libro de nuestro buen amigo y compañero Álvaro Núñez-Romero, es un excelente punto de partida.
Esta vez, vamos a exportar todo ese conocimiento a la Raspberry Pi para crear un simple detector de mascarillas. Este es el listado de materiales y el precio de cada uno seleccionados en Amazon. Debes tener en cuenta que la crisis actual del Covid-19 también ha afectado a la fabricación de componentes electrónicos y, por lo tanto, se ha notado un incremento en coste de estos.
Eso sí, si te buscas las piezas con tiempo en varias tiendas, y compras una carcasa más barata - sin ventilador de refrigeración, por ejemplo, puedes conseguir que el proyecto completo salta por unos 70 €. Aparte de estos componentes, hemos utilizado también un par de leds con sus correspondientes resistencias y un breadboard para las pruebas.
Figura 4: Aspecto final de nuestra Raspberry Pi montada con la cámara
Una vez tenemos acceso a la Raspberry Pi (es recomendable conectarla a un monitor HDMI en vez de conectar en remoto, por ejemplo por SSH), instalaremos los siguientes componentes (primero, como suele ser habitual en entornos GNU/Linux, actualizar la Raspberry Pi):
build-essential libsdl-ttf2.0-0 python-pygame festival
En este punto, ya deberíamos de tener la cámara active, Podemos probarlo con el siguiente comando:
raspistill -t 0
Tensorflow y rpi-vision
Como vamos a utilizar la Raspberry Pi exclusivamente para este proyecto, no vamos a crear un entorno virtual para su ejecución, pero si la compartes con otro tipo de aplicaciones no estaría mal crear uno. El servicio que vamos a crear es un ejemplo claro de cómo utilizar técnicas de Machine Learning a Ciberseguridad, en este caso para detectar medidas de seguridad personal, pero tienes muchos más ejemplos en nuestro libro.
Dicho esto, el siguiente paso en nuestra PoC será instalar algunos componentes fundamentales como Pillow (gestión de imágenes), numpy (librería matemática) y pygame (librería para la creación de videojuegos que nos permitirá gestionar más fácilmente la cámara):
pip3 install Pillow numpy pygame
El siguiente paso será descargar las utilidades de rpi-vision. Podemos hacerlo desde varios repositorios, nosotros hemos utilizado el siguiente:
De esta forma ya tenemos las utilidades principales preparadas (luego volveremos a ellas para realizar algunas modificaciones). La Raspberry Pi utilizará Tensorflow 2.0 para ejecutar el modelo que le vamos a introducir. Para asegurarnos que funciona bien (aunque con versiones superiores también funciona), hemos descargado e instalado la versión 2.0.0 de Tensorflow. Estos son los pasos que realizar:
2) Al ejecutarlo descargaremos la versión 2.0.0 de Tensorflow para la Raspberry Pi. Una vez descargados tenemos que proceder a su instalación de la siguiente manera:
3) Finalmente haremos un reboot y ya tendremos todas las herramientas preparadas.
Creación del modelo con Teachable Machine
Antes de continuar con la Raspberry Pi, el siguiente paso será entrenar nuestro modelo. Para ello utilizaremos, como hemos comentado antes, Teachable Machine. El entrenamiento básico que hemos realizado consta solamente de dos de muestras, con y sin mascarilla. Para ello hemos generado 467 imágenes sin mascarilla en diferentes posiciones (giros, barbilla arriba, abajo, perfil, etcétera) y, por otro lado, 450 muestras con la mascarilla puesta (con las mismas posiciones variadas).
Figura 6: Captura de las muestras con Teachable Machine.
En principio, este entrenamiento ha sido suficiente pero claro, cuantas más muestras (como, por ejemplo, con otras mascarillas de colores, otras posiciones, etcétera) mejores resultados obtendremos, pero a su vez, perderemos agilidad en la ejecución en la Rasbperry Pi.
Figura 7: Exportación del modelo Tensorflow desde Teachable Machine
Una vez realizado el entrenamiento, el siguiente paso será exportar el modelo creado. Para ello, utilizaremos el botón “Export Model”, seleccionamos la pestaña “Tensorflow” y finalmente la opción “Saved Model”. Al pulsar en el botón “Download my model”, obtendremos el fichero con la extensión .h5 que será el que utilizaremos en nuestra Raspberry Pi.
Preparación del código principal y activación de los leds
El siguiente paso y final, será importar dicho fichero .h5 (aunque lo empaquetará como un fichero .zip) con el modelo entrenado en la Raspberry Pi. Esto es algo trivial ya que tenemos en rpi-vision un fichero Python que realizará todo el proceso. La única modificación que hemos realizado al fichero pitft_teachablemachine.py del repositorio (dentro de la carpeta tests), es incluir la activación de los leds.
Por supuesto, esto es una tarea sencilla, pero simboliza lo fácil que sería activar cualquier otro tipo de dispositivo como por ejemplo un altavoz, un relé, un panel led para mostrar mensajes, etcétera. Antes de nada, vamos a explicar cómo activar los dos leds, algo muy sencillo. Primero añadimos el import:
import RPi.GPIO as gpio
Utilizaremos los puertos GPIO 11 y 13 de la Raspberry Pi y la activación de los leds los haríamos dentro del bucle for que se encuentra en la línea 95, de la siguiente manera:
for p in prediction:
label, name, conf = p
if conf > CONFIDENCE_THRESHOLD:
print("Detected", name)
gpio.setup(11, gpio.OUT)
gpio.setup(13, gpio.OUT)
if name==’Sin_Mascarilla’:
gpio.output(11, True)
gpio.output(13, False)
elif name==’Con_Mascarilla’:
gpio.output(13, True)
gpio.output(11, False)
persistant_obj = False
last_seen.append(name)
last_seen.pop(0)
…
De esta forma, cada vez que se detecte la etiqueta “Con_Mascarilla” o “Sin_Mascarilla” activará un led y apagará el otro. Y ya está. Ahora ya sólo queda probar todo el sistema y ver si funciona en la Raspberry Pi.
Ejecución de la PoC en la Raspberry Pi
El primer paso será copiar el fichero con el model (.h5) a la Raspberry Pi (por ejemplo, con scp) y lo copiaremos en la carpeta rpi-vision. Finalmente, ejecutaremos como root el siguiente comando:
Una vez ejecutado (tardará un poco en levantarse) podemos empezar a hacer las pruebas, simplemente al colocarnos delante de la cámara, debería de detectar y mostrar en pantalla la etiqueta “Con_Mascarilla” o “Sin_Mascarilla”:
Figura 9: Ejecución y salida de la PoC en la Raspberry Pi
Además de la salida por pantalla, también veremos como se activan los leds. El de color verde cuando llevemos la mascarilla y el rojo cuando no. Por supuesto, esta PoC no es perfecta, pero cumple decentemente con su cometido.
Figura 10: PoC de reconocer si lleva la mascarilla en
Raspberry Pi usando Machine Learning & Teachable Machine
De hecho, podríamos ampliar las muestras de entrenamiento en el modelo y de esa forma obtener una salida mucho más precisa, eso sí, deberíamos de utilizar otro modelo de Raspberry Pi con más memoria, pero sobre todo con más CPU (Raspberry Pi 4 por ejemplo). En el vídeo de la Figura 10 mostramos cómo es la ejecución real de proceso de detección.
Notas finales
Al principio, nuestra idea utilizar Pose en esta PoC, ya que nuestra primera aproximación era crear un detector de caídas (por ejemplo, para personas mayores). Pero nos encontramos con el problema de la limitación de procesamiento de la Raspberry Pi, lo que hacía que se ejecutara bastante lento. Pose registra más información que la captura de imágenes y esto genera un modelo más pesado que el anterior.
Además, registrar los puntos de las articulaciones es un proceso más complejo de procesar. De todas formas, aquí tenemos todo un campo de exploración, siempre teniendo en cuenta las limitaciones de la Raspberry Pi. Por ejemplo, podríamos conectar otro tipo de sensores para dar más potencia a la detección como un altavoz y un micrófono, detección de guantes, etcétera.
El objetivo final de esta PoC es sencillamente demostrar que es posible integrar tecnología muy potente, como el Machine Learning, en dispositivos IoT los cuales suelen tener una tecnología más modesta. De esta manera, aumentamos las posibilidades del IoT para resolver problemas que antes parecían imposibles de solucionar. Y como decíamos al principio, si además lo utilizamos para un bien social (ya sean monitorizar a nuestros mayores o simplemente detectar si alguien lleva o no mascarilla), pues mucho mejor.
Hoy os traigo una entrevista con Marta Beltrán, que fue mi profesora en la URJC cuando después de haber hecho la Ingeniería Técnica de Informática de Sistemas en la EUI-UPM, me apunté a hacer la Ingeniería Informática y Máster y el Doctorado en la URJC. Durante los años en que estuve haciendo el doctorado, Marta Beltrán fue una de mis tutoras, y me guió en todo el proceso - que ya os conté cómo fue en un artículo largo y detallado -.
Figura 2: Con Marta Beltrán el día de mi investidura como Doctor Honoris Causa
Como os podéis imaginar es imposible para mí, después de una relación de cooperación y trabajo de tantos años hablar de Marta Beltrán sin contar sus virtudes. Una de las profesoras titulares más jóvenes en la universidad, brillante, trabajadora. alegre, detallista - como tutora y correctora de un paper siempre es como un artista buscando mejoras - y siempre con ganas de empezar un nuevo proyecto.
Como muchos me habéis preguntado por el Grado de Ingeniería en Ciberseguridad, hoy he preferido preguntarle a ella y que sea la propia coordinadora de él la que explique los detalles de este proyecto tan bonito y transformacional en el sistema educativo universitario. Espero que os guste la entrevista.
Saludos Malignos!
Entrevista a la Doctora Marta Beltrán
1.- ¿Cómo describirías el Grado de Ingeniería en Ciberseguridad?
El Grado de Ingeniería en Ciberseguridad se trata de un título de 4 años, una ingeniería tecnológica similar al Grado de Ingeniería Informática o al Grado de Ingeniería del Software más tradicionales pero con la ciberseguridad como hilo conductor desde el primer cuatrimestre de primero, de manera que no se entienda la seguridad como un añadido, algo que se aborda al final, sino como algo que se debe incorporar en la tecnología desde el diseño y que por lo tanto se debe estudiar y comprender desde el primer momento.
2.- ¿En qué se diferencia de un Grado en Ingeniería Informática?
Más o menos la mitad de las asignaturas son específicas de ciberseguridad, se introduce la Informática (software, hardware, redes, etc.) siempre en paralelo a la Ciberseguridad. Tenemos un grupo de asignaturas con un perfil más defensivo (protección y detección), otras con un perfil más ofensivo (técnicas de hacking, pen-testing) y otras con un perfil de gestión (estas son las menos, pero tenemos en el plan de estudios análisis de riesgos, auditoría).
3.- ¿Podrías describirnos algunos de los Trabajos de Fin de Grado que van a hacer los alumnos?
Todavía no, nuestros alumnos de la primera promoción no han llegado a cuarto curso, así que todavía no tenemos temas propuestos para ellos, nos falta un curso entero para llegar a ese momento. Pero sí te puedo contar cómo trabajaremos.
Los alumnos acordarán un tema de su interés con un profesor de la Escuela, que será su director. Este tema tiene que gustarles de verdad, ya que el TFG son 15 créditos y se van a dedicar a él muchas horas. Por eso dejaremos que los alumnos sean proactivos y que puedan proponer temas " a su medida" dentro de varias áreas temáticas. Si además el alumno tiene un mentor dentro de nuestro programa de mentoring o un tutor de prácticas en empresa que quiera hacer labores de co-dirección, podremos plantear temas asociados con la empresa y con la labor que el alumno realiza o realizará en ella.
4.- Con esos mimbres, ¿qué tipo de alumno se suele apuntar a ese grado?
Personas apasionadas por la tecnología, a las que les encanta cacharrear, saber cómo funcionan las cosas, investigar, romper y volver a construir, los problemas abiertos, las escenarios complejos. Y sobre todo, a las que no les da miedo seguir formándose toda su vida, ya que escogen una disciplina exigente y que evoluciona muy rápido. Suele ser gente a la que le gusta mucho aprender.
5.- ¿Cómo fue el proceso de hacer a un “hacker” Doctor Honoris Causa?
Los departamentos y escuelas de la universidad pueden proponer a personas con las que han tenido o tienen una relación estrecha que por su trayectoria creen que se merecen esta distinción. En tu caso, nuestro departamento tenía clara la propuesta y la universidad la apoyó sin fisuras, ya que la persona lo merecía 🙂
Y además, tenía todo el sentido para nosotros, dada la apuesta que hace años se está haciendo en la URJC por la Ciberseguridad a todos los niveles. De alguna forma, era cerrar un círculo que comenzó hace mucho tiempo...
6.- No has parado de investigar desde que te conozco, ¿en qué andas ahora?
Ya me conoces, en mil cosas a la vez... Sigo trabajando en sistemas distribuidos, así que en temas de seguridad en Cloud, Fog, Edge e IoT. Estoy en varios proyectos muy interesantes, tanto de I+D pura como de innovación con empresas. Sigo avanzando en temas como la gestión de identidades y accesos, que es una línea que llevo desarrollando varios años ya. Y estoy empezando a tener resultados interesantes en temas de seguridad adaptativa (risk-based), remote attestation y detección de anomalías. En los próximos meses se irán publicados los artículos y patentes de todo lo último y te cuento más, no quiero hacer mucho spoiler.
7.- ¿Qué le recomendarías leer a un alumno que va a entrar en primero de ese Grado de Ingeniería en Ciberseguridad para ir preparado?
Un poco de todo. La verdad es que el primer cuatrimestre de primero tenemos una asignatura que se llama Introducción a la Ciberseguridad que les da un panorama muy completo de lo que van a estudiar el resto del grado y que homogeneiza el nivel con el que entran. Intentamos no dar nada por hecho.
Pero si quieren avanzar un poco por su cuenta, nos viene genial que sepan algo de programación cuando entran y que hayan leído algo básico de ciber o hecho nuestro MOCC de MiriadaX.
Cultura general, vocabulario y conceptos básicos que les ayudan a ubicarse un poco más rápido. También está bien que hayan leído blogs como el tuyo o de personas reconocidas en el sector que les puedan dar diferentes visiones de la profesión y que les vayan familiarizando con tecnología, problemas típicos, contexto.
8.- ¿Cómo llegaste tú al mundo de la ciberseguriad?
Por casualidad. Como decía antes, siempre he trabajado en sistemas distribuidos. En mi tesis trabajaba con clusters heterogéneos, luego me pasé arquitecturas Grid y luego a Cloud. Cuando conectas cientos o miles de nodos y los pones a trabajar todos juntos, siempre surgen problemas de seguridad. Y así fue como poco a poco me fue picando el gusanillo intentando apagar fuegos y resolver problemas que iban surgiendo.
La gente que me he ido cruzando en el camino y los proyectos en los que he tenido la suerte de involucrarme también me han influido mucho y terminaron por convencerme de dedicarme a ello al 100%. Es un campo que me encanta, nunca te aburres.
9.- En ese grado hacen hasta una CON de hacking todos los años,¿no? Cuéntanos en qué consiste.
Sí, llevamos ya dos años organizando las HackOn. Los alumnos del grado dedican su tiempo y su esfuerzo a organizar una CON de un día en la URJC con mi ayuda. Son abiertas, puede venir quien quiera siempre y cuando quede plaza. Se invita a profesionales de reconocido prestigio en el sector y con diferentes perfiles a dar una charla o a organizar un taller. Hay que darles las gracias porque la CON se organiza sin presupuesto, por lo que vienen generosamente, nos regalan su tiempo. Y de toda la organización se encargan los alumnos del grado: programa, web, publicidad, registro, logísitca.
La verdad es que está siendo toda una experiencia para ellos, no sólo aprenden de ciber con la propia CON, sino también de todas muchas cosas como voluntarios de organización. Un evento que acoge a varios cientos de personas no es fácil de gestionar y ellos están funcionando muy bien. Esperamos que en el 2021 podamos celebrar la tercera edición, ya veremos cómo nos organizamos, pero estáis invitados.
10.- ¿No tiene la URJC mala fama, le compensa a alguien recién salido del instituto estudiar el Grado en Ingeniería de la Ciberseguridad allí?
Es una pregunta que me hacen mucho ¿me conviene estudiar allí, no me encontraré con que el título luego no está bien valorado por las empresas? En nuestra escuela, la ETSII, tenemos una empleabilidad muy alta, nuestros alumnos están muy demandados por las empresas y además su formación es muy valorada. Esto es un hecho objetivo que se comprueba año tras año en todos los informes independientes que se van publicando.
Otro aspecto importante es la apuesta por la Ciberseguridad que se ha hecho desde la universidad con este título en concreto, que en España es pionero y que está funcionando muy bien. Se puede comprobar quiénes somos los profesores que lo hemos impulsado y valorar nuestra trayectoria como docentes, investigadores, divulgadores, innovadores, etcétera.
Pero además no sólo tenemos el grado, también el Máster, el MOOC, las HackOn, aquí hay todo un ecosistema de personas colaborando y esto permite organizar muchas actividades en nuestros campus, no sólo tenemos las clases. Esto nos ha permitido también lanzar un programa de mentoring específico para nuestros alumnos del grado: todos tienen asignado un mentor en una empresa del sector en los dos últimos cursos de su carrera.
Y si todo esto no fuera suficiente, lo mejor es hablar con nuestros alumnos directamente para que les cuenten su experiencia de primera mano. ¡Creo que ellos son nuestros mejores "vendedores"!
Hace un año saltó a la fama este tipo de técnica llamada Password Spraying. Desconocida para el gran público, pero utilizada por muchos para atacar organizaciones, para atacar servicios web, Active Directory, y otros muchos tipos de servicios que una organización puede tener. Además, con la heterogeneidad de los servicios y la distribución del perímetro de una organización en Internet, se puede hacer complejo para una empresa controlar ciertas cosas.
Figura 1: Password Spraying: Cómo funcionan estos ataques a tu identidad digital
Tenemos que entender que el perímetro ya no es un concepto ligado a nuestra “casa”. Nuestro perímetro, así como la Identidad Digital de nuestros empleados, se puede perder en diferentes “nubes” a lo largo de todo Internet. Nosotros, últimamente estamos trabajando con ATT&CK del MITRE para algunas cosas que, espero, pronto podamos contaros. Sea como sea, encontramos la técnica T1110 que está asociada a la táctica “Credential Access” y vemos que está dentro de la categoría de fuerza bruta, aunque hay matices. Password Spraying es una técnica derivada de la fuerza bruta o un caso relativo a ésta.
¿Qué es el Password Spraying?
Seguramente lo que es el término lo has visto en alguna noticia en Internet, pero quizá no has parado a explorarlo. La idea es muy sencilla: se dispone de un gran número de usuarios y de una sola contraseña. Con estos usuarios se va probando todos con la contraseña que se tiene. Esto, que tiene un nombre tan molón de Password Spraying es lo que Chema Alonso contaba en el año 2012 en el artículo de "Tus passwords son Suprayectivas".
Para realizar el ataque, en lugar de una contraseña, en algunas ocasiones, también se puede tener un pequeño grupo de contraseñas. Como se puede entender por el contexto es cómo lanzar un “spray” con una contraseña y ver qué se puede obtener entre la lista de usuarios. Esta técnica complementa la teoría de las contraseñas más utilizadas cada año, es decir, basándose en la teoría de contraseñas que más se repiten, la técnica busca encontrar ese servicio con ese usuario que utiliza dicha contraseña.
La diferencia con la fuerza bruta es obvia: fuerza bruta intenta generar un gran número de credencial en el menor número de cuentas o, incluso, en una sola cuenta. En este cazo la “pulverización” de una contraseña consiste en lo contrario, hacer uso de un gran número de usuarios en diferentes servicios de la organización con una sola contraseña o un pequeño grupo.
Algún caso real de uso
Nosotros utilizamos este tipo de ataques en el Hacking de Web Technologies desde hace muchos años, como habéis visto en el artículo de "Tus passwords son suprayectivas", y en el servicio de Pentesting PersistenteFaast de ElevenPaths lo probamos. Al final, basta con sacar una lista de usuarios - que muchas veces son los mismos que las direcciones de correo electrónico de la empresa - y probar las contraseñas más comunes posibles con la política de contraseñas de la organización.
Pero además hemos visto en varios incidentes de seguridad como ha aparecido la técnica de Password Spraying. A modo de resumen, vamos a ver algunas. En el mes de febrero de 2018, investigadores del FBI comentan que hubo un gran aumento en el uso de la “pulverización” de contraseñas. El departamento de Justicia acusó a 9 personas por delitos relacionados con la intrusión informática. Supuestamente hicieron muchos ataques de este tipo. Viendo los detalles del ataque y la noticia da para pensar del verdadero riesgo del uso de esta técnica. Otro incidente de este tipo fue uno que abarcó a Citrix. El ataque fue contra la propia empresa.
Hoy en día, con todo lo que está ocurriendo con la pandemia del COVID-19 ha surgido una serie de ataques. Algunos hospitales están siendo atacadas con esta técnica. Además, con todo el incremento de recursos remotos que han surgido con la pandemia, el uso de esta técnica ha ido aumentando, por razones obvias. Mayor exposición, mayor riesgo. Así se informa en esta noticia de la Figura 5.
Si vemos el detalle técnico, podemos ver cómo se habla de la técnica Password Spraying y de cómo se está utilizando y, en algunos casos, logrando acceso a los datos y a los sistemas.
Ejemplos técnicos de uso de la técnica T1110 ATT&CK MITRE
Ahora vamos a ver algunas herramientas que pueden ser utilizadas en la parte de Password Spraying. Realmente, la mayoría son herramientas de fuerza bruta en la que se puede hacer uso de un número N de usuarios y un número Y de passwords, donde dejamos Y en 1 o en un valor muy pequeño. Por supuesto, si tienes un entornos Windows, debes aprender a fortalecer bien la política de contraseñas para hacer que sean difíciles localizar "passwords fáciles" y para que el número de logins esté limitado. Es decir, aplicar Máxima Seguridad en Windows a tu política de credenciales.
La primera de las herramientas que vamos a ver hoy es RDPassSpray. Es una herramienta escrita en Python3, por lo que es perfecta si eres de los amantes del Hacking con Python, y que puede ser descargada desde su Github.
Otra herramienta que se puede utilizar, en este caso para el protocolo SMB, entre otros, es la de crackmapexec. Ya la hemos utilizado en este blog recientemente, y le dedicamos dos partes. Aquí, lo curioso es que se puede hacer uso del parámetro -u para meter una lista de usuarios y fijar un password.
En el mundo del Pentesting con Powershell también podemos hacer uso de un script para llevar a cabo Password Spraying. En este Github podemos encontrar la función Invoke-DomainPasswordSpraying. A la función podemos pasarle diferentes parámetros como son los siguientes:
- Fijar la contraseña.
- Un listado de usuarios.
Figura 10: Invoke-DomainPasswordSpraying
- Un listado de contraseñas. Hay que recordar que deben ser muy pocos, ya que si no, no hablamos de “pulverización” de contraseñas.
- Un dominio de Windows sobre el que actuar.
La máquina debe estar en dominio, ya que hace uso de funciones LDAP para conectar con el dominio y sacar información. La ejecución sería cómo la que se puede ver en la imagen anterior.
Una de las herramientas clásicas que permite esto es Hydra. Esta herramienta puede descargarse desde su Github, aunque viene por defecto en la distribución de Kali Linux.
Por último, en este repaso de opciones para hacer Password Spraying en un ejercicio de Red Team o en un Ethical Hacking, llegamos a Metasploit. A través del módulo SMB Login se puede hacer uso de esta técnica.
Mitigaciones
La idea es no utilizar mismas credenciales en diferentes servicios. Esto siempre se comenta, pero la respuesta de los usuarios es: “tengo muchos servicios”. El uso de un gestor de credenciales o de un keychain es una opción más que interesante, ya que se encargan de generar credenciales de forma automática y no las tenemos que pensar. Además, siempre serán credenciales más seguras. Por supuesto, el uso el uso de un 2FA como Latch o Latch Cloud TOTP siempre que se pueda es fundamental.
En la conferencia Chema Alonso da una charla sobre Identidad Digital en la que se centra en esos detalles. El hacer uso de 2FA como Latch nos pueden alertar de un acceso a nuestra credencial y evitar el acceso a nuestra información. Además, hay software que nos permite obtener información tan interesante desde el punto de vista de administrador como la siguiente, por ejemplo en un Active Directory en tu Windows Server 2016.
- Cuentas de administrador inactivas.
- Cuentas con contraseñas expiradas.
- Cuentas con la misma credencial.
- Cuentas sin contraseña.
- Cuentas que van a expirar.
Son detalles importantes y que debemos tener en cuenta para protegernos de algo tan “sencillo” como un Password Spraying.
Para consultas puedes usar el 