lunes, mayo 31, 2021

9 Másters en Ciberseguridad para formarte en 2021: Desde CiberInteligencia a Seguridad Ofensiva

Cómo sabéis, yo estoy colaborando como Mentor del Campus Internacional de Ciberseguridad, y hemos estado trabajando ya en lo hornada de Másters y Cursos Expertos que van a estar abiertos para admisión de alumnos a partir de septiembre de este año, así que si has terminado tu grado universitario y estás buscando especializarte en ciberseguridad, ya puedes buscar tu plaza en uno de estos nueve cursos, donde además yo daré una conferencia para todos los asistentes a ellos.

Figura 1: 9 Másters en Ciberseguridad para formarte en 2021.
Desde CiberInteligencia a Seguridad Ofensiva

El primero de ellos, y que más rápido se queda sin plazas, es el Máster en Ciberseguridad que dirige nuestro compañero Sergio de los Santos, en el que además están como ponente Yaiza Rubio, Felix Brezo, Carmen Torrano o José Torres. Da comienzo el próximo 28 de Septiembre y, como os digo, es uno de los que más rápido se queda sin plazas. Como todos los Másters, cuenta con un Pack de libros de 0xWord como material de apoyo de estudios y Tempos de MyPublicInbox para que puedas estar en contacto con los expertos, tutores y profesores a través de la plataforma.
El segundo de ellos es el Máster en Seguridad Ofensiva que dará comienzo también el 28 de Septiembre, y está pensado para pentesters, exploiters, etcétera. Está dirigido por Juanjo Salvador, y cuenta como docentes con Pablo González autor de los libros de Pentesting con PowerShell, Metasploit para Pentesters, Ethical Hacking o Hacking con Metasploit entre otros dedicados a esta materia, Pablo Sanemeterio o Daniel Echeverry - autor de Python para Pentesters y Hacking con Python. Este es el máster que debes hacer si tu objetivo es encontrar vulnerabilidades en sistemas informáticos de forma profesional.

El tercero es el Máster en Ciberinteligencia, dirigido por Vicente Aguilera, da comienzo el 5 de Octubre, y el plantel de profesores está formado por grandes profesionales en esta materia, como son Selva Orejón, Carlos Seisdedos - autor del libro de "Open Source INTelligence (OSINT): Investigar personas e identidades en Internet", Eduardo Sánchez o la propia Yaiza Rubio, Cruz del Mérito con Distintivo Blanco de la Guardia Civil.


Figura 3: Vicente Aguilera hablando de Ciberinteligencia

El siguiente es el Máster en Reversing, Análisis de Malware y Bug Hunting, también dirigido por Sergio de los Santos y que dará comienzo a las clases regulares el día 5 de Octubre. En él se centran en una de las profesiones más necesarias en los equipos de respuesta a incidentes, en los equipos de investigación y en los equipos de ciberinteligencia de una empresa. El plantel del equipo docente cuenta con Miguel Ángel de Castro, Felix Brezo y el gran Gonzalo Álvarez Marañón entre otros.

El quinto, que también da comienzo el 5 de Octubre, es el Máster en Blue Team & Red Team, dirigido entre dos profesionales que se encargan de llevar el plan de cada uno de los equipos, como son Pablo González y Juanjo Salvador. Los equipos de defensa y ataque de una organización son fundamentales hoy en día, y los que aspiran a entrar en estos equipos deben conocer una serie de disciplinas muy amplia para llegar a ser parte de ellos. Entre el profesorado tienes a gente de primer nivel, como son Fran Ramírez, Rafael Troncoso, Marta Barrios, Carlos García - autor del libro de Hacking Windows -, Rafa Sánchez o Álvaro Nuñez-Romero.
También el 5 de Octubre empezarán dos especializaciones que tienen que ver con la informática forense, el primero es el curso de Experto Universitario en Peritaje Informático Judicial, centrado en el trabajo de peritaje judicial con validez legal de un incidente, y el segundo el Experto Universitario en Informática Forense, con el objetivo de conocer las herramientas y procedimientos tecnológicos para hacer un análisis forense informático. Entre los profesores se encuentra Pilar Vila, autora del libro de "Técnicas de Análisis Forense Informático" de 0xWord,

Por último, el día 14 de Octubre da comienzo el Máster en DevSecOps, dirigido a formar profesionales en una de las áreas más necesarias de los equipos de creación de tecnología, los DevSecOps. Entre el equipo docente contarás con Fran Ramírez, Rafael Troncoso y Elias Grande, que son los autores de uno de los libros de referencia de esta disciplina en Español: "Docker: SecDevOps", además de contar con Javier Espinosa, Pablo González y Daniel Echeverry "Adastra" entre otros. Plantel de lujo.
Como podéis ver, son nueve formaciones para especializarse en una de las áreas de trabajo más demandadas en el mercado laboral. Son profesiones con paro cero si te has formado correctamente, así que si quieres dedicarte a esto, no dudes en especializarte en una de ellas y entrar a trabajar en una empresa cuanto antes. 

Si tienes dudas de qué elegir, también puedes evaluarte previamente con el servicio de Singularity Hackers, que te ayudará a que sepas qué profesión en el área de Cibersegurdiad se adecúa más y mejor a tus capacidades y gustos. Recuerda que las formaciones son 100% Online, y que las plazas son limitadas, así que si tu plan es hacer un Máster o un Curso Experto para entrar en el mercado laboral en un área que te motive, cuanto antes reserves tu plaza mejor que mejor.

¡Saludos Malignos!

domingo, mayo 30, 2021

"Vamos a montar una empresa". "Ni de coña".

No tenía ni idea de lo que significaba eso de "start-up". Y llevaba ya varios años con Informática 64. Ni idea cuando lo escuché por primera vez. Tampoco sabía mucho inglés, así que podría significar cualquier cosa en mi cabeza. Había montando con mi colega de toda la vida Informática 64 en el año 1999, pero para nosotros no era ninguna "start-up" de esas que empezaba a tener la gente después. Nosotros montamos una empresa. Para trabajar. Para hacer proyectos. 

Figura 1: "Vamos a montar una empresa". "Ni de coña".

He contado muchas veces esa historia, y es tan verdad como que ahora yo soy el responsable de las start-ups y la innovación en Telefónica. Pero en aquel Enero de 2012 cuando me reuní con un ejecutivo de la gran Telefónica por primera vez en su despacho en el Edificio Sur 3, no tenía ni idea. Yo no sabía muy bien para qué era la reunión, así que la decliné un par de veces porque el que me convocó no sabía decirme en detalle para qué era. Pero una vez allí descubrí que iba a ser una reunión muy agradable porque sólo se trataba de enseñarme, y que le diera mi opinión, su proyecto, llamado, Wayra.

Recuerdo que me preguntó sobre cómo sería el mundo de la tecnología en el futuro, y yo le dije que no tenía ni idea. Que aún me resistía a usar WhatsApp. Y entonces comenzó una conversación que fue más o menos así.

- "¿Has oido hablar de Wayra?". 
 
- "No, ni idea". 
 
- "Es una aceleradora de startups que hemos abierto en Madrid". 
 
- "No me enterado. En mis RSS no me ha salido nada." 
 
- "Bueno, pues es una aceleradora de startups, ¿sabes lo que es?". 
 
- "No. Lo siento. Es la primera vez que lo escucho. Yo soy más de seguridad informática y hacking". 
 
- "Us una empresa que se dedica a incubar a startups para que crezcan". 
 
- "Lo siento, pero es que no sé tampoco qué es una startup." 
 
- "¿Pero tú no tienes una startup?". 
 
- "¿Yo? No que yo sepa". 
 
- "¿Pero Informática 64 no es tuya?". 
 
- "Y de Rodol. Pero eso no es una startup, ¿no?". 
 
- "¿Pero Informática 64 no es una empresa que habéis creado para crecerla?". 
 
- "Bueno, la creamos para trabajar, que teníamos que facturar los proyectos".

Y así fue mi primera entrevista de trabajo, sin saberlo, con quién sería mi jefe durante ya casi diez años. En dos semanas estaría trabajando con él. No acertando ni una sola de las cosas que me preguntó. Pero muchas veces recuerdo con humor aquello. No porque no supiera qué era una start-up, ni un aceleradora de start-up, ni tan siquiera Wayra. Ni estaba en los círculos de emprendimientos, ni de emprendedores, ni tenía idea del ecosistema de fondos, aceleradoras, rondas de VCs, ni cómo se organizaba este ecosistema que hoy, diez años después, conozco algo más.  

Claro, si eso fue en el año 2012, imaginaos la puñetera idea que teníamos Rodol y yo de estas cosas allá por el año 1999, cuando tomando un café en la cafetería La Flecha de Móstoles, le propuse a Rodol montar una empresa. La conversación fue también del estilo de la anterior, y me he reído muchas veces contándolo y recordándolo con él. Hoy, que teníamos casi, casi, casi, la mitad de los años que tenemos hoy.  La charla fue tal que así:

- "Rodol, vamos a montar una empresa". 
 
- "Ni de coña." 
 
- "Que sí Rodol, que tenemos muchos proyectos y podemos montar un equipo chulo." 
 
- "Que no, Chema, que ni de coña me meto yo en una empresa." 
 
- "Que sí, Rodol, hazme caso. Vamos a montarla. Tú y yo." 
 
- "No va a pasar Chema".

Pero sí que pasó.

Y claro que entiendo a Rodol. Ninguno de los dos teníamos puta idea de cómo funcionaba una empresa de verdad. Nuestras experiencias previas habían sido de colegas pagando autónomos y no mucho más. No sabíamos nada de contratos de personal, de gastos de empresas, de escrituras, notarios, y nada parecido. Ni puta idea. Pero... ya lo aprenderíamos.

Al final, lo que hemos llevado dentro han sido ganas de hacer cosas chulas. Proyectos. Emprender cosas no para montar start-ups con el objetivo de ser multimillonarios. Al contrario, montar empresas y proyectos porque molaban, porque podía ser divertido, porque nos ayudaría a ganarnos la vida con algo que nos gustase. Y eso era genial. En un mundo donde Rodol hacía trabajos de repartidor y mil y una otra cosa, y yo tenía que ir a pintar pisos o trabajar en obras de albañilería, el soñar con tener una empresa para ganarnos la vida con la informática, haciendo proyectos de todo tipo... era nuestro éxito.

Hoy en día, con mucha perspectiva de años detrás, sigo aferrándome a aquella sensación. A mis amigos de siempre que me recuerden de dónde vengo, qué no siempre fue así. Que me obliguen a mirar al pasado para que esté feliz de haber logrado el sueño de ganarme la vida con la informática. Y que me obligue a seguir haciendo cosas, proyectos, empresas o start-ups. Por el camino hicimos Informática 64, 0xWord, ElevenPaths, todos los proyectos en Telefónica con Aura, Movistar Home, Living Apps, LUCA, y ahora MyPublicInbox

Y no teníamos ni puta idea de nada.

De nada. Y tampoco teníamos a nadie que nos enseñara. Ibamos aprendiendo cada día. Hacíamos, hacíamos, hacíamos, probamos, cambiamos, peleamos, sufrimos, y seguimos aprendiendo. Hoy, en los nuevos proyectos, en las nuevas iniciativas, sigo manteniendo esa idea de pelear, hacer, probar, cambiar, hacer, y aprender cada día un poco más.

Y no os cuento esto solo por casualidad. Os lo cuento porque creo que es una pena que tengamos tan pocos emprendedores en este país. Claro que hay emprendedores, no me malinterpretéis. Tenemos un buen número de referencias que son para quitarse el sombrero. Pero nos faltan muchos más, y creo que falta un poco de empujón en mi querida Universidad, y en los centros de enseñanza media. 

Sí, sé que nos falta mucho con medios privados y con una administración pública más ágil, y lo sé por experiencia propia, porque recientemente tenido la experiencia de esperar 4 meses para recibir las escrituras del registro de una start-up en Madrid. Cuatro meses esperando a poder operar y facturar porque tenía que pasar por el registro de Madrid. El ecosistema para emprender no está hecho para que sea un camino de rosas. Falta financiación, apoyos por doquier, no todos quieren que cuando alguien monta una empresa le vaya bien, y mil una más trampas. Y hay muchos impuestos y gastos al inicio que no suelen ayudar a montar una empresa. Totalmente de acuerdo.

Pero aún así, lo que más nos falta son emprendedores que con veinticinco años estén emprendiendo, haciendo cosas para cambiar cosas. Sin tener ni puta idea de cómo será el futuro, ni conocer todos los detalles que tiene montar una empresa. Pero con ganas. Porque hayan tenido referencias, porque en la universidad les hayan empujado a ello. Porque quieran seguir su camino. Y mientras que crezcan, que aprendan y cambien nuestra sociedad.

Si tenemos una sociedad donde empujamos a los jóvenes a buscar seguridad, competir por un puesto de funcionario o por un contrato en una empresa que dure lo más que se pueda, no vamos a tener locos de esos que se arruinan, que se forran a ganar pasta con ideas locas que han resultado ser útiles en la sociedad de hoy en día, y que ayudan con la riqueza que generan con sus nuevas empresas a que nos vaya mejor a todos. 

Por supuesto, emprender no es fácil, y más vale que tengas aguante, que te guste la adrenalina, y tengas muchas ganas. Porque va a ser un viaje... ouh, yeah! No porque un día digas "voy a montar una empresa" o, perdón, "una startup", todo el mundo te vaya a ayudar. Ni de broma. Sorprende ver la gente que te ayuda y sobre todo la que no te ayuda y no te apoya cuando comienzas una andadura así, pero es el precio que tiene el controlar cómo quieres ganarte la vida, para hacer con algo que te guste mucho creándolo tú mismo. Solo eso. Que no es poco.

¡Saludos Malignos!

sábado, mayo 29, 2021

Tango Attack: Cómo atacar (y proteger) dispositivos IoT RFID

La tecnología RFID o Radio Frecuency Identification es una tecnología Wireless compuesta por dos componentes: Tag y Reader. El Reader es un dispositivo que tiene una o más antenas y emite señales de radio recibidas por el RFID Tag. El Tag es un objeto pequeño incorporado a un producto, animal o persona con el objetivo de identificarse ante el Reader. Aunque supongo que lo sabréis, vuestro pasaporte tiene un tag RFID… pero no juguéis y lo toquéis mucho o tendréis problemas con la ley.

Figura 1: Tango Attack: Cómo atacar (y proteger) dispositivos IoT RFID

La gran diferencia entre RFID y los típicos códigos de barras es que los primeros son identificadores únicos, además de poder identificarse a mayor distancia y sin visibilidad completa. Por el contrario, estos suelen ser más caros.

Figura 2: Tag y Reader en tecnología RFID, y ordenador con la base de datos.

En cuanto a tipos de Tag, existen de tres tipos:
  • Pasivos: Con una distancia útil de 3.3m, son los más baratos.
  • Semi-pasivos: Hasta 10m útiles de comunicación, se utilizan para seguimiento o "tracking" en el mundo del comercio.
  • Activos: Alcanzan más de 10m útiles, se utilizan para hacer seguimiento o "tracking" de objetos de gran valor o personas.
Este tipo de sistemas tiene distintos problemas de seguridad en caso de no ser configurados de forma correcta, pero nos fijaremos únicamente en los siguientes supuestos:
  • Confidencialidad: En caso de no estar cifrados, el atacante podría con un reader RFID capturar el valor del ID al vuelo, sabiendo qué elemento es el capturado en caso de tener acceso a la base de datos.
  • Privacidad: En caso de no tener aleatoriedad en la comunicación, el atacante podría localizar el objeto en todo momento, ya que la comunicación se repetiría.
  • Autenticación: En el supuesto anterior, el atacante podría reutilizar la llamada del RFID anterior para hacer que el tag se identifique las veces que desee, como en el ejemplo que nos contaba nuestro compañero Sergio Sancho con la clonación de alarmas RFID.
  • Integridad: En caso de que el tag no tenga protocolos de chequeo de la información recibida, el atacante podría realizar un Man in the Middle y modificar al vuelo la información.
En estos sistemas existe un balance coste-beneficio asociado a los protocolos de criptografía a utilizar, igual que pasa en los dispositivos IoT: no hace falta que se proteja de la misma forma tu pasaporte que la marca de medicamentos de Ibuprofeno. ¿O sí, ya que puede ser información sensible? Esta pregunta es la que deben responder los fabricantes.
Figura 3: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Ahora os hablaré de un protocolo llamado David-Prasad, y aunque no se utilice en los dispositivos anteriormente comentados, nos hará entender la problemática del asunto. En este repositorio que hicimos con María Teresa Nieto, podéis ver la implementación de todo lo que voy a explicar. 

Protocolo David-Prasad

En este protocolo, el Tag y el Reader se intercambian 2 bloques de información (Reader->Tag, Tag->Reader), enviando el Reader los mensajes A, B y D y el Tag los mensajes E y F. Pero primero veamos un esquema de qué información tiene cada uno, que se ha transmitido previamente por un canal seguro una única vez.

Figura 4: Esquema Reader-Tag en protocolo David-Prasad

Como observamos, tanto el Tag como el Reader tienen K1 y K2 (dos claves de cifrado simétricas y aleatorias) y PID2, un pseudónimo del identificador del Tag que permite a ambos saber quién es a quien se quiere identificar, que se inicializa de forma aleatoria.

Figura 5: Generación de A, B y D en el Reader

Entonces el Reader genera dos números aleatorios n1 y n2, y construye los mensajes A, B y D tal y como se explica en la Figura 5 y los envía al Tag como se ven en la imagen siguiente.

Figura 6: Esquema Reader-Tag en protocolo David-Prasad, step A,B,D

El Tag recibe los mensajes y calcula los valores n1 y n2, que no los conocía y han sido generados en esa ejecución por al Reader. Como el XOR es una operación reversible, y dado que el Tag conoce PID2, K1 y K2, puede saber n1 y n2 con las siguientes operaciones:

Figura 7: Fórmulas de recuperación de n1 y n2

Además, debe comprobar el mensaje D para ver que nadie ha modificado ninguno de los bits de la transmisión de información:

Figura 8: Formula de comprobación de D

Ahora es cuando el Tag debe enviar, también cifrado, su ID. Esto lo realizará con dos mensajes, E y F siguiendo el esquema de comunicación que hemos descrito.

Figura 9: Fórmulas de los mensajes E y F

Figura 11: Esquema Reader-Tag en protocolo David-Prasad, step E,F

A partir del intercambio de estos mensajes, el ID del Tag ya puede calcularse con la siguiente fórmula descrita aquí:

Figura 12: Fórmula de recuperación de ID

Además, se chequea que n1 y n2 hayan sido transmitidos correctamente con el mensaje F. Por último, se recalculan los pseudónimos para que los siguientes mensajes no tengan la misma información:

Figura 13: Cálculo de pseudónimos

Hasta aquí, ¡guay! El protocolo parece seguro ya que tiene aleatoriedad y cifrado, además de utilizar operaciones no lineales y no tiene pinta de ser fácil de romper… ¿o sí? Hace ya un tiempo unos investigadores fueron capaces de romper el protocolo a partir de la estadística, utilizando un ataque llamado Tango Attack. Las matemáticas, como siempre, rompiendo criptografía. Un clásico. 

Ataque Tango Attack

Esta investigación se basaba en la escucha de distintas iteraciones para romper el protocolo y encontrar los valores de K1, K2 e ID. Es decir, si Charlie escucha las conversaciones (mensajes A, B, D, E y F) durante un tiempo, éste será capaz de encontrar los secretos compartidos y suplantar al Identificador, por ejemplo. Veamos como:

  • Los bits de los mensajes no son completamente aleatorios, ya que las operaciones AND, por ejemplo, hacen que estos estén sesgados a ciertos valores.
  • Aunque n1 y n2 sean distintos en iteraciones consecutivas, podemos explotar la periodicidad de algunos valores.
  • Los investigadores estudiaron qué combinaciones XOR entre A, B, D, E y F daban mejores estimaciones de K1, K2 e ID a partir de la distancia Hamming media entre el estimador y el objetivo.
Para apoyar mi explicación con imágenes, utilizaré los apuntes del investigador y profesor de la UC3M Pedro Peris, experto en Criptografía LightWeight. Si realizamos distintas simulaciones con K1, K2 e ID diferentes, y calculamos la distancia de Hamming con las estimaciones, encontraremos una tabla parecida a:

Figura 14: Tabla Distancia de Hamming por algunas de las posibles combinaciones de operaciones XOR entre A, B, D, E y F. L es el estimador y en las distintas columnas está la media de la distancia y su desviación típica.

En la tabla anterior podemos encontrar algunas combinaciones interesantes que nos pueden servir para estimar K1, por ejemplo. Estas simulaciones se han realizado con K1, K2 e ID enteros de N bits. Utilizando el mensaje D tenemos, por ejemplo, una distancia de Hamming media de 34 bits. Eso quiere decir que si suponemos que D es K1, podemos saber que, aproximadamente, 34 bits los tendremos erróneos de los 90, mejorando en 11 bits si hiciéramos esta suposición con un número aleatorio de 90 bits.



Figura 15: Estimaciones para secretos K1, K2 e ID

Cogiendo las estimaciones que más número de bits realizamos bien, es decir, las que tienen menor distancia de Hamming, y negando las estimaciones que más número de bits realizamos mal, o lo que es lo mismo, los que mayor distancia de Hamming, podemos encontrar esas combinaciones que mayor número de bits nos hace conocer, como vemos en la Figura 15.

Figura 16: Para el caso ID y mensajes A, B, D, E y F de 8 bits, podemos estimar correctamente ID con sólo dos iteraciones

¿Y cómo escogeremos el secreto estimado en función de nuestras aproximaciones? Con la moda por cada una de las posiciones de bit. Si entre nuestras estimaciones, para la posición X, se repite más el valor 1, supondremos que el secreto en la posición X será un 1, y viceversa. Veamos el ejemplo de la Figura 16.

Figura 17: Número de iteraciones (eje x) vs Distancia de Hamming entre estimación del ID y el propio ID (eje Y) con 32 bits

Para una clave de 8 bits, con únicamente 2 sesiones (se intercambian Tag y Reader dos pares de ABDE y F) somos capaces de romper el protocolo. Para el caso de 32 bits, el que hicimos en nuestra implementación en el repositorio, podemos ver que aunque se necesiten más, podemos seguir rompiéndolo (Branch master).

Figura 18: Una simulación de los valores K1, K2 e ID y sus respectivas estimaciones con 32 bits.

Vosotros, lectores, podríais pensar que el caso de que se hagan tantas lecturas (en nuestro caso anterior con 20/25 es suficiente) es algo inviable. Pero no es así. Supongamos una situación como esta: la tarjeta de tu universidad está equipada con un dispositivo RFID. Toda la Universidad está diseñada para que en cada una de las salas haya distintos lectores RFID para poder hacer seguimiento de tarjetas en caso de que exista algún caso de Covid-19

La idea sería que si has estado en la misma sala que Paco, y Paco da positivo, tanto tú como él tenéis que hacer cuarentena. Teniendo en cuenta que se realiza, como mínimo, una lectura por cada entrada a una sala de la universidad, que entras y/o sales del aula 2 veces por clase y tienes 5 clases por día… Con que el atacante esté en la sala 2 días, ya podría tener 20 mensajes tuyos y poder suplantar tu identidad.

Protección contra el Tango Attack

¿Pero, si no me puedo fiar del cifrado ni de la frescura del protocolo, cómo podemos defendernos en esta situación? En nuestro repositorio realizamos una defensa muy sencilla que evita cualquier estudio estadístico de los mensajes, y está basado en otra operación poco costosa de realizar, como es la rotación. El protocolo David-Prasad es ultra-ligero, por lo que cualquier tipo de operación sumamente compleja para engañar a posibles adversarios haría imposible de implementarlo en nuestro dispositivo.

Si habéis leído detenidamente (que espero que sí), os habréis fijado que para que se realice este tipo de ataque se necesita estimar los mensajes por posición de bit. Si sincronizamos Tag y Reader para que sepan que se están rotando los mensajes N posiciones, y Charlie no sabe cuánto se están rotando en ese momento, seremos capaces de intercambiar mensajes de la misma forma sin ser susceptibles a este ataque.

Únicamente rotando el mensaje E por el módulo L de PID2 (que va cambiando en cada iteración) éramos capaces de defendernos de este ataque estadístico para el ID. Imaginemos que PID2 = 2 y L = 8 en esta iteración, y el mensaje E es 00101100
  • Tag genera E: 00101100
  • Tag calcula cuanto tiene que rotarlo: PID2 % L = 2
  • Rota E a derechas (2 posiciones) y lo envía: 00001011 (este mensaje es capturado por Charlie)
  • Reader recibe E rotado y lo rota a izquierdas (PID2 % L = 2 posiciones): 00101100
Charlie conoce los bits del mensaje rotado de E de esa iteración, pero como E irá cambiando cada sesión y también PID2, Charlie no podrá averiguar el mensaje original. PID2 es un secreto compartido por Tag y Reader en cada una de las sesiones, por lo que podríamos seguir enviando mensajes sin problema. Si aplicamos esta defensa y simulamos 100 iteraciones obtenemos las siguientes estimaciones con 32 bits:

Figura 19: 100 sesiones con defensa de Rotación de E

Como vemos, aunque la rotación de E no permita que el adversario conozca el valor de K1 y K2, sí que evitamos que robe el ID aún y escuchando 100 sesiones. Si hiciéramos lo mismo para los 5 mensajes intercambiados, algo que a nivel de programación no es complejo, podríamos ser capaces de evitar cualquier tipo de estimación estadística parecida tanto para ID, K1 y K2.

Reflexiones finales

Los dispositivos IoT y la tecnología RFID han supuesto un cambio a todos los niveles en nuestro día a día. La criptografía, uno de los campos, a mi parecer, más apasionantes de la ciberseguridad, tiene una gran problemática como es el balance seguridad-coste. Especialmente en los casos más mundanos, como sería el tracking de personas en espacios cerrados, deberíamos tener cuidado con cómo implementamos la seguridad de los mensajes intercambiados.

Saludos,

Autor: Bruno Ibáñez, Investigador de Ciberseguridad e IA en Ideas Locas

viernes, mayo 28, 2021

TamoVIP y MyPublicInbox para ampliar la comunicación con perfiles públicos

TamoVIP es una plataforma de vídeos personalizados donde cualquiera puede contactar con su ídolo y conseguir un vídeo personalizado con un saludo, una broma o una felicitación. TamoVIP te ofrece una experiencia emotiva que es además un regalo atemporal para esa persona a la que quieres sorprender o para ti mismo.  MyPublicInbox es la plataforma de comunicación en Internet que permite la interacción con personalidades y profesionales de una manera respetuosa con el tiempo, además de ayudar a todos los perfiles de la plataforma a impulsar su presencia y relevancia en la red.

Figura 1: TamoVIP y MyPublicInbox para ampliar
la comunicación con perfiles públicos

Ahora ambas plataformas han cerrado un acuerdo para facilitar el transito de sus usuarios entre ambos espacios de forma sencilla y agradable, complementado los servicios que los perfiles públicos ofrecen en ambas plataformas y ampliando los servicios de contacto con figuras públicas como Cicinho, Hudson Rodrigues Do Santos o la actriz Carla Fioroni.
Además, grandes figuras de la televisión, el deporte, la música y muchos otros campos tendrán perfiles en ambas plataformas de forma que podrán ser contactados por mensaje y también se les podrá solicitar un vídeo personalizado ofreciendo de esta forma una experiencia más cercana para las personas que quieren tener un contacto directo con sus ídolos. Identificar a los perfiles con presencia en ambos sitios resultará muy sencillo para los usuarios:

• Cuando un Perfil de TamoVIP esté disponible en MyPublicInbox, un botón bajo su foto te permitirá acceder directamente a su Perfil Público desde donde podrás escribirle un mensaje.

• Cuando un Perfil Público sea también accesible en TamoVIP, un botón que te enviará directamente a su Perfil en TamoVIP, desde donde podrás solicitar tu vídeo personalizado.

Así, a través de esta alianza queremos ofrecer una experiencia de comunicación completa que permita un contacto directo y personal entre cualquier fan y sus ídolos, además de expandir el número de perfiles públicos e ídolos en las dos plataformas.


Con TamoVIP fue un flechazo desde el principio. Ambas plataformas nos complementamos a la perfección y sumar nuestras fuerzas da lugar a una experiencia única. Todos seguimos a nuestros ídolos en redes sociales y soñamos con poder comunicarnos con ellos. Tener a un clic la posibilidad de mandarles un correo electrónico para que lo lean y respondan, o de conseguir un vídeo personalizado es una experiencia de comunicación única gracias a nuestras plataformas.

Saludo,

jueves, mayo 27, 2021

Password HashCheck: Comprueba si tu password es (aún) segura (o ya no)

Desde hace ya muchos años, se escucha de forma casi semanal que se ha producido una filtración de datos. No es nada nuevo y lo hemos leído por aquí en muchas ocasiones. Cada mes o cada semana tenemos algún bombazo, y la mas sonada del pasado ha sido la detectada a principios de Abril, que contiene información de más de 500 millones de usuarios. Entre la información filtrada se encuentran datos tan personales y sensibles como las direcciones de e-mail, fechas de nacimiento, nombres y apellidos, números de teléfono, etcétera.

Figura 1: Password HashCheck. Comprueba si tu password
es (aún) segura (o ya no).

Este tipo de problemas de seguridad ocurre con plataformas tan grandes como Facebook, grandes empresas, y muchas otras mas pequeñas. Por ejemplo, al momento de escribir este párrafo algunas de las últimas filtraciones de empresas “menos conocidas” para el gran público que podemos ver en Have I Been Pwnd son: SuperVPN/GeckoVPN, TickerCounter, Oxfam, Travel Oklahoma


Todo esto supone un gran problema para la seguridad de todas las empresas y todos los usuarios. Lo normal sería que cuando esto ocurre se reiniciarán las cuentas, para poder modificar los datos filtrados como, por ejemplo, las contraseñas o los correos electrónicos. El problema viene cuando al usuario no se le dice que su información ha sido filtrada, o que simplemente la propia empresa no sabe lo que ha ocurrido pero la información de sus usuarios ya esta circulando por Internet. Y por eso hemos hecho una herramienta con nuestro querido Python, el lenguaje de los pentesters :).


Si nos vemos afectados como usuarios en este tipo de ataques, los cibercriminales pueden utilizar nuestros correos electrónicos para meternos en listas de objetivos de SPAM, o listas a los que intentar infectar con Ransomware - por eso evitamos utilizar correos electrónicos publicados en la web - o pueden atacarnos por nuestro número de teléfono, o abrirnos cuentas en servicios con los datos personales filtrados. Ninguna de estas cosas positiva.  

¿Cómo podemos evitarlo, o al menos minimizar los riesgos?

Es una gran pregunta, con una respuesta muy sencilla si se trata de la identidad, y consiste en utilizar una contraseña única para cada servicio que nos registremos y tener todas nuestras identidades protegidas por un 2FA. Para ello, sería lo ideal, si además de esto utilizamos cuentas de correo electrónico distintas en cada servicio cuando las utilicemos como identidad (usuario del servicio), y distinta a nuestro buzón de correo electrónico personal. 


Figura 4: Configurar 2FA con Latch Cloud TOTP en Amazon

En este blog Chema Alonso ha hablado largo y tendido de esto, especialmente en el artículo de "El e-mail ha muerto ¡Larga vida al e-mail!" y en el artículo del lanzamiento de MyPublicInbox en el Día Internacional de Correo. Y para la gestión de los 2FA, lo mejor es utilizar una solución como Latch Cloud TOTP que te permite tener ordenados todos los 2FA TOTP de plataformas y servicios como Facebook, Microsoft, Google, Paypal, WordPress, etcétera.


Si por protección has creado identidades independientes en tus servicios de Internet. Es decir, has puesto diferentes usuarios y contraseñas como debe ser, gestionarlas no es fácil. Pero hay que crear, guardar y acordarse de todas las identidades que tenemos, y para ello existen aplicaciones que nos permiten esto. Las tienes tanto de pago como gratuitas. Entre las mas famosas de código abierto se encuentra Bitwarden, la cual tiene un plan individual muy bueno que te permite tener tus identidades ordenadas y seguras.

Password HashCheck

Lamentablemente de nada te sirve tener tus contraseñas ordenadas y protegidas por ti mismo si ya se han filtrado, por ello hemos decidido crear una prueba de concepto de una herramienta “universal" llamada Password HashCheck para poder buscar de forma segura si nuestra contraseña ha sido filtrada en Internet en alguna de estas grandes filtraciones de datos que ocurren casi continuamente, al estilo de cómo lo hace Apple ahora en su gestor de contraseñas en iOS. En el caso de iPhone, si entras en Passwords y luego en Security Recomendations, podrás ver el selector para comprobar si las cuentas que tienes en tu terminal han sido filtradas y, además, si alguna de tus contraseñas son fáciles de detectar.

Figura 6: Security Recomendations para Passwords en iPhone

Para nuestra prueba de concepto se utilizan distintos servicios como, por ejemplo, “Have I Been Pwned”, para comprobar gracias a su extensa base de datos de filtraciones de identidades si nuestra contraseña se ha filtrado o no, pero ¿qué seguridad voy a tener si os doy la contraseña a vosotros? Buena pregunta. Para ello hemos utilizado el método de k-anonimity, que se resume en, obtener la información necesaria para realizar “algo”, evitando que esa información pueda identificar a un individuo.

Figura 7: Ejemplo de K-anonimity

En nuestro caso, cuando se introduce una contraseña, esta se hashea inmediatamente para no tenerla en texto plano y que cualquiera pueda acceder a ella. Después se obtienen los 5 primeros caracteres de el hash, los cuales son los que se van a enviar a los distintos servicios. Estos responderán con todas las coincidencias que hayan encontrado. Es decir, se devolverán todos los hashes que comiencen por los 5 caracteres que se han enviado.

Una vez se tienen los hash coincidentes, se comprueba de forma local si el hash de la contraseña introducida coincide con alguno de los devueltos, si es así se avisa al usuario de que su contraseña esta filtrada y que debe cambiarla, o por el contrario, se le avisa de que no esta filtrada y de que por el momento esta a salvo. En este vídeo tienes un ejemplo de funcionamiento.

Figura 9: Demo de Password HashCheck

De esta forma podemos comprobar de la forma mas segura posible, y revisable debido a que es una herramienta Open Source, nuestra contraseña para saber si ha sido filtrada o si tenemos que cambiarla debido a que se nos ha filtrado, ya sea a nosotros o porque alguien usa la misma que nosotros y también se ha filtrado. Podéis acceder al código fuente y descargar la herramienta desde el repositorio de GitHub de Password HashCheck en el que se encuentra.

Saludos,

Autor: Guillermo Peñarando Sánchez, Developer en Ideas Locas CDCO de Telefónica.

miércoles, mayo 26, 2021

Robots de combate con Inteligencia Artificial: Machine Learning & Machine Army

Desde hace ya muchos años estamos familiarizados con el concepto Inteligencia Artificial. Primero en el mundo de la ciencia ficción, y luego poco a poco metiéndose en nuestras vidas. Hoy es casi imposible evitar que no interactuemos en nuestras acciones cotidianas - sabiéndolo o sin saberlo - con un sistema que utiliza IA de un modo u otro. La Inteligencia Artificial se puede utilizar con infinidad de propósitos, desde el control de incendios hasta en los asistentes de hogar, como Aura que nos ayudan a gestionar nuestros servicios en el hogar.

Figura 1: Robots de combate con Inteligencia Artificial.
Machine Learning & Machine Army

En el mundo del cine hemos visto muchos casos donde los futuros con la ciencia ficción y la inteligencia artificial nos dejaban mundos extraños, como esos que pinta Pablo Yglesias en su libro de 25+1 relatos distópicos, que nos llevaba a ver robots y máquinas controlando a la humanidad. Ejércitos de robo-soldados controlados por módulos de inteligencia artificial que atacaban a las personas. O mundos como los que pintaba Isaac Asimov con sus robots. De todo ello hablaron nuestros compañeros Fran Ramírez y Enrique Blanco en una charla en la Fundación Telefónica.


Figura 2: Inteligencia Artificial en el cine de Fran Ramírez y Enrique Blanco

Hoy os quería hablar de una de las aplicaciones de la Inteligencia Artificial que ha hecho saltar las alertas al gobierno de mas de uno de nosotros, ya que nos acercan más a alguno de esos futuros distópicos o imaginados de armamento con IA. Es otra forma de aplicar el Machine Learning a Ciberseguridad, es decir, aplicar el Machine Learning para crear un Machine Army.

Figura 3: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Hace unos días se dio a conocer la noticia de que Rusia había comenzado la producción en serie de un nuevo robot de combate basado en un sistema de inteligencia artificial. Esta nueva generación de robots militares no se trata de un prototipo o de un modelo experimental, son robots capaces de actuar de forma autónoma, de hecho, son tan avanzados que no se descarta su posible utilización en el rodaje de películas de acción.


Figura 4: Fedor, robot de combate ruso

El pasado mes de abril el ministro de defensa ruso Serguéi Shoigú dio a conocer este proyecto y afirmó que la nación rusa planeaba ampliar su arsenal de complejos robóticos destinados al uso militar. En ese momento Shoigú solo hizo referencia a robots pesados como los que ya utiliza el ejercito ruso para algunas tareas que ponen en riesgo vidas humanas, como puede ser la desactivación de explosivos o la medición de radiación o contaminación química en caso de sufrir un accidente similar al de Chernóbil

Figura 5: Fedor con armas de fuego

En 2017, Rusia desarrolló el robot humanoide Fedor, capaz de realizar todo tipo de tareas técnicas, desde conducir hasta el uso de herramientas de construcción o el uso de armas de fuego con una puntería asombrosa. La pasada semana el ministro ruso anunció que el país había comenzado la producción en serie de esta nueva generación de robots de combate con aspecto humanoide.


Figura 6: Robot Fedor en acción

Tras conocer las intenciones del ejercito ruso en invertir millones de euros en este tipo de proyectos grandes empresas armamentísticas como Kalashnikov se han puesto manos a la obra en la fabricación de nuevos robots de combate y tecnologías que trabajan con Inteligencia Artificial para mejorarlos. Según un portavoz de Kalashnikov la empresa está desarrollando un nuevo robot centrado en la realización de tareas de reconocimiento y custodia de territorios, algo que nos recuerda a los famosos droides de reconocimiento de la saga Star Wars.

Figura 7: Tanque Uran-9 no tripulado

Uralvagonzadov, otra de las empresas armamentísticas más importantes de Rusia también está trabajando en sistemas robotizados con los que mejorar el tanque T-72B3, uno de los vehículos mas fuertemente armado del ejercito ruso. El T-72B3 es un vehículo de combate no tripulado que actualmente cuenta con dos variaciones, una va equipada con cañones automáticos y la otra con armamento pesado.


Figura 8: Tanque no tripulado Uran-9 en acción

Esta no es la primera vez que Rusia apuesta por la Inteligencia Artificial para fabricar armamento o robots de combate no tripulados, en 2015 el ejercito ruso produjo el Uran-9, un tanque no tripulado de 12 toneladas equipado con ametralladoras, un cañón automático, lanzallamas y cohetes antitanque. A pesar de que el Uran-9 estuviese destinado a misiones de reconocimiento y destrucción de vehículos blindados y se probase durante la guerra de Siria demostrando un gran comportamiento en ambientes hostiles no ha tenido un largo historial operativo.

Durante estos días Rusia se ha convertido en el centro de atención, pero no podemos olvidar que varias de las potencias mundiales llevan años desarrollando robots de combate guiados por Inteligencia Artificial, y muchas personas han visto en robots humanoides como Atlas de Boston Dynamics un autentico embrión para las operaciones armadas en el terreno con robots.


Figura 9: Atlas, de Boston Dynamics haciendo ejercicios

En labores de seguridad, son muchos los avances que se han introducido ya, y hace ya un tiempo la empresa tecnológica Samsung junto con la universidad de Corea del Sur desarrollaron el SGR-A1 un robot centinela que ya se ha utilizado para vigilar la frontera entre las dos Coreas. Este robot puede detectar formas de vida a través de sus sensores infrarrojos y es capaz de disparar sin ayuda de ninguna persona.

Figura 10: Robot centinela SGR-A1 desarrollado por Samsung.

Sin lugar a dudas, esta noticia puede dar un poco de miedo ya que el uso de la Inteligencia Artificial en la industria armamentística cada vez es una práctica más habitual. Esto nos hace darnos cuenta de que algunas novelas o películas de ciencia ficción de hace unas décadas no se alejan tanto de la realidad. Si recordamos al escritor de ciencia ficción Isaac Asimov y sus Tres Leyes de la Robótica entenderemos fácilmente por qué esta aplicación de la Inteligencia Artificial hace que muchos expertos se cuestionen la ética de algunos aspectos de la misma.

Saludos,
 
Autor: Sergio Sancho, Security Researcher en Ideas Locas.