Entrevistas en Microsoft Sessions Latam 2016: Anatomía de un ataque

Durante este mes de Julio realicé el que ha sido mi último viaje a USA para ir a Miami a participar en una jornada de entrevistas dentro del programa Microsoft Sessions Latam 2016. Entre el grupo de entrevistados se encontraba un nutrido grupo de profesionales, entre los que estaba también Belisario Contreras, Cyber Security Program Manager en la Organización de Estados Americanos (OEA). Las sesiones se grabaron el 12 de Julio y se emitieron el día 27 del mismo mes.

Figura 1: Entrevistas en Microsoft Sessions Latam 2016

Ahora están todos los vídeos de todas las conversaciones publicados en la web del encuentro, que tienes disponible en el área de Empresas de Microsoft Sessions. La mía en concreto ha sido publicada en Youtube y la he subido a mi canal por si la quieres ver.

Figura 2: Entrevista en Microsoft Sessions Latam 2016. Anatomía de un ataque

Es solo una sesión de media hora de duración hablando de algunas cosas de las que ya he hablado con anterioridad sobre los atacantes y la gestión de la seguridad. Espero que se te haga amena si pierdes el tiempo en verla.

Saludos Malignos!

Do the Basics: Elimina el Low-Hanging Fruit

Aprovechando que hoy 30 de Noviembre es el Día de la Seguridad Informática os voy a dejar aquí la conferencia que preparé para el ya pasado CyberCamp 2015 titulada "Low-Hanging Fruit". La charla la preparé pensando en todos aquellos que dan recetas mágicas para solucionar los problemas de seguridad de una empresa centrándose en un producto o una solución mágica, cuando la realidad de ser el encargado de llevar la seguridad en una organización es mucho más compleja. 

Figura 1: Do the Basics: Elimina el Low-Hanging Fruit

También la hice teniendo en mente todos los que llevan la gestión de la seguridad de una compañía a base de comprar o poner en su plan del año la tecnología o el proyecto de moda del año, sin haber hecho los deberes básicos todavía.

Do the Basics

Está muy bien que una empresa ponga sistemas Anti-APT que miren los Callbacks o que tengan una Big Data de IoCs (Indicators of Compromise) que cruce todo el tráfico de la red con sistemas en cloud de correlación de eventos, pero antes de eso hay que tener el software actualizado, eliminados todos los bugs sencillos de explotar en tus webs o haber resuelto el problema de la gestión de contraseñas e identidades en tu empresa, que es un problema de hace muchos años.

Figura 2: CyberCamp 2015: Low Hanging Fruit de Chema Alonso

Para eso, la charla comienza hablando de los bugs en software que hemos vivido en los últimos tiempos, como HeartBleed o ShellShock y del equipo de Google Project Zero para buscar "Low-Hanging Fruit" en los proyectos más utilizados en Internet. Dentro de la empresa, me paro a ver como una organización como Department of Homeland Security, de la que se supone que debe ser una de las más fortificadas, tiene exactamente los mismos problemas con Low-Hanging Fruit que el resto de las empresas. Contraseñas por defecto, bugs de SQL Injection, sistemas sin actualizar e incluso problemas de inventariado.

Figura 3: Usuarios del army.mil aún en metadatos de docuemntos PDFs

Años después de la creación del programa CLEAR para la eliminación de fugas de datos en documentos público,  el propio army.mil sigue publicando documentos con metadados que muestran los usuarios de sus sistemas, algo que debería estar erradicado. Eso, sin contar que las empresas líderes que comercializan sistemas DLP (Data Loss Prevention) también tenían fugas de datos en sus documentos públicos.  El vídeo de la conferencia completa lo tenéis aquí mismo.

Figura 4: Conferencia de CyberCamp 2015 "Low-Hanging Fruit" de Chema Alonso

Al final, lo que se trata es de resolver el dilema entre ser Elsa o Anna de Frozen (yeah!). Es decir, Sentirse Seguro como Elsa y con mucho presupuesto comprarse un bonito castillo o Estar Seguro y luchar contra los problemas afrontando todas las adversidades. Gestionar la seguridad es complejo, y para explicarlo utilizo una frase que uso Linus Torvalds hace muchos años en una entrevista: "El tiempo de soluciones sencillas a problemas sencillos hace mucho que pasó". 

Do the Basics (understood?)

Así que, si tienes que gestionar la seguridad de una empresa, que no te metan un Spear Phishing porque no hayas configurado bien el SPF y no hayas puesto un sistema de Antispam robusto. Si te roban los datos de tu base de datos de clientes que no sea porque no has puesto un control de acceso con segundos factores de autenticación en tu plataforma. Si te roban los archivos de tu equipo que no sea porque no tienes el software de tus puestos de trabajo actualizados. Si te ownean la compañía que no sea porque tenías un SQL Injection en la web de una de tus promociones en Internet. No te comas un OWASP TOP 10 que debería sacarte cualquier sistema de Pentesting Persistente.

Figura 5: El Top 5 del OWASP Top Ten

Do the Basics, y luego piensa en los siguientes pasos que deberás ir aplicando en la gestión de tu compañía, mira cosas avanzadas como buscar los Hidden Links de tu red o hacer investigación del malware en tu red,  pero no dejes Low-Hanging Fruit que pueda ser aprovechada por super cibercriminales en un APT o un Script Kiddie con ganas de pasárselo bien con tu empresa. Do the Basics.

Saludos Malignos!

El Departamento de Homeland Security tiene los mismos problemas de seguridad que muchas grandes empresas

La gestión de la seguridad de una organización grande suele ser algo complejo. El volumen de sistemas de información que se manejan crece día a día a una velocidad superior a la que se introducen los mecanismos de gestión y seguridad. Además, la obsolescencia continuada del parque informático, el cumplimiento normativo y legislativo, unido a los incidentes que surgen, hacen que el día a día de un equipo de seguridad de una organización sea una aventura en la que tienen que lidiar con los temas urgentes, los proyectos importantes y la visión a largo plazo. Una aventura que los CISO y los CSO de las organizaciones deben vivir con la cabeza fría para llevar a la compañía dentro de los límites de un "Riesgo Aceptable".

Figura 1: El DHS es como cualquier otra empresa u organización grande

Pero no penséis que esto es solo su trabajo. No, al igual que hay auditores fiscales y contables que revisan todo lo que tiene que ver con el movimiento de dinero y presupuestos dentro de las empresas, también están los auditores internos de seguridad que revisan si el trabajo de los CISO y los CSO está siendo el adecuado o no y si, está alineado y cumple con la normativa global, central o gubernamental. Estos informes suelen, además, sacar del plan de trabajo a los CSO y CISO ya que acaban en los más altos estamentos de la empresa y les rompe la planificación de su trabajo. 

Figura 2: Informe de auditoría de seguridad a los sistemas IT del DHS

En el gobierno de los Estados Unidos también hacen estos informes de auditoría, y han publicado el referente al mes de Noviembre que se ha realizado a los sistemas de información del DHS (Department of Homeland Security), con unos resultados que he visto en tantas y tantas organizaciones que me he sentido hasta "feliz". No feliz en el sentido de que disfrute con que un sistema de seguridad esté mal, sino feliz porque he estado con muchos - y cuando digo muchos, son muchos - CISO y CSO que sufren por las cosas que ellos saben que tienen mal y luchan contra viento, marea y presupuestos por ir avanzando poco a poco. Muchos de ellos, además, sufren pensando que están peor que otros, y ver que el DHS tiene exactamente los mismos problemas, me ha hecho animarme a publicar este artículo para mis amigos CISO y CSO.

Shadow IT - Mal inventariado de activos

El primer punto importante que dice este informe de auditoría seguro que los conocéis muchos. El informe de auditoría hace referencia a que los informes de activos consolidados de las distintas áreas no muestran los mismos activos que el informe del área de seguridad. En esto falla el DHS.

Figura 3: Mal inventariado de activos en los reportes

Esto también se produce porque no hay un sistemas centralizado de inventario o porque muchas áreas en las empresas empiezan a meter lo que se ha dado en llamar Shadow IT, o lo que es lo mismo, del Bring Your Own Device referido al terminal smartphone, muchos departamentos de las empresas empiezan a hacer cosas como Bring Your Own Cloud, Bring Your Own NAS, Bring Your Own WiFi Hotspot, etcétera, debido a que como muchos empleados tienen conocimientos avanzados de tecnología, comienzan a hacerse "sus cosas" cuando las necesitan, generando un problema de seguridad en la organización sin darse cuenta. Esto, por supuesto, da lugar a las famosas Hidden Networks dentro de las empresas.

Defence in Depth - Do the Basics

Si una empresa no está preparada para asumir su siguiente paso en el nivel de madurez de seguridad, entonces va a estar perdida. Siempre contamos que las empresas más inmaduras en seguridad tienden solo a invertir en Prevenir los incidentes de seguridad, por lo que basan muchas de sus inversiones en software de protección perimetral, con la esperanza de poder frenar todos los atacantes fuera de sus sistemas. Es como los padres que quieren proteger a sus hijos de todos los males sin asumir que no van a ser capaces de hacerlo siempre. 

Figura 4: Sistemas operativos sin soporte

Las empresas que están en un segundo nivel de madurez, asumen que los enemigos están en su red e invierten más en Detectar. Pueden ser atacantes que hayan logrado entrar por una red WiFi en una sucursal, por una impresora mal configurada en Internet, o por un simple Spear Phishing a la persona concreta, o directamente un empleado malicioso pero hay que asumir que el enemigo está dentro. Si no has preparado tus sistemas dentro del perímetro para ser "resilliance", entonces será un paseo militar por tu red. 

Figura 5: Software sin actualizar en los puestos de trabajo. Un regalo para un Metasploit

Mi recomendación es que no dejes de aplicar la política de Defensa en Profundidad en tu organización, y comienza por lo más básico. No dejes sistemas sin actualizar constantemente. No utilices sistemas operativos sin soporte y actualiza absolutamente todo el software que corra sobre los sistemas operativos. Si esto pasa, un atacante dentro de un equipo con un Metasploit va a destrozar tu sistema, tu red, y tu empresa como un cuchillo cortando mantequilla caliente. En esto, también falla el DHS, como muchas empresas. 

Procesos & Incident Response Plan

La gestión es importante en la seguridad. De hecho, supongo que estaréis todos hartos de escuchar que la seguridad no es un producto sino un proceso continuo de gestión que mezcla, Tecnología, Personas y Procesos. Si no tienes los procesos de seguridad bien incrustados en tu compañía, va a ser completamente inmanejable gestionar la seguridad y dentro de esos procesos deben estar los relativos al último nivel de madurez de una compañía: Asumir que el riesgo va a convertirse en realidad y tener un proceso para responder a ese incidente.

Figura 6: Malos procesos de gestión de incidentes de seguridad

¿Qué pasa si me roban los datos del servidor central?¿Qué pasa si un atacante encuentra un 0day en mi sistema expuesto a Internet? ¿Cómo voy a responder ante ese problema? Todos los Planes de Contingencia deben tener su Incident Response Plan, para poder gestionar y resolver correctamente el fallo. Las empresas maduras asumen que eso puede pasar y tienen un plan. Nosotros contamos el caso del bug de Jeep que Charlie Miller y Chris Valasek encontraron. La compañía no tenía previsto que apareciera un bug en el software y no contaba con un sistema de actualización, y le ha costado mucho dinero en tener que actualizar el software coche a coche.

Identity & Access Control

Otro de los puntos en el que el informe de DHS ha hecho hincapié ha sido en la mala gestión de la Identidad y el Control de Acceso. Desde contraseñas inseguras, hasta la falta de uso de Segundos Factores de Autenticación en los sistemas de información internos de la organización, pasando por una falta de control de cuentas privilegiadas.

Figura 7: Control de cuentas privilegiadas

Entre las cosas que cita hay una reflexión más que interesante que debería hacerte replantear los procesos legales de tu organización, y es que las cuentas que están autenticadas con usuarios y contraseñas las cataloga de "accesos anónimos", ya que el usuario y la contraseña puede ser robado de tantas y tantas formas que garantizar que la acción que hace una cuenta en un sistema ha sido realizada por la persona a la que se le entregó inicialmente es complicado.

Figura 8: Falta de Segundos Factores de Autenticación

Para eso, el plan incide en el establecimiento de segundos factores de autenticación y el control de cuentas privilegiadas, no solo en los sistemas internos, sino especialmente en los accesos remotos a los sistemas de información. Hay muchas organizaciones que tienen sistemas de información importantes para la empresa puestos en Internet y sin ningún segundo factor de autenticación y/o autorización todavía. Si te interesa este tema, te recomiendo que veas cómo lo vemos la identidad, la autenticación y la autorización en Eleven Paths con nuestras tecnologías.

Continuos Monitoring & Persistent Pentesting: Long Hanging Fruit

Controlar la seguridad de una organización con auditorías cíclicas cada 6 meses o cada año, es algo que deja una ventana de exposición muy amplia. Estas auditorías son una buena verificación de que se están haciendo bien las cosas, si ya has implantado un sistema de Continuous Monitoring que verifique día a día las vulnerabilidades de todos tus sistemas, o un sistema de Pentesting Persistente como nuestro Faast que va a estar buscando vulnerabilidades día a día con una análisis exhaustivo de todos los activos expuestos a Internet.

Figura 9: Long hanging fruit - Sin actualizar, passwords inseguras y SQL Injection

Que una organización como el DHS tenga Long Hanging Fruit en forma de SQL Injection en las webs de sus sistemas de información dice muy poco de sus sistemas de Continuous Monitoring y de Pentesting Persistente. Si quieres que te hagamos un piloto gratuito para tu organización de nuestro sistema de Pentesting Persistente Faast, ponte en contacto con nosotros y vemos cómo hacértelo.

Figura 10: Aplicación de Continuous Monitoring & Persistent Pentesting

Dicho esto, si eres un CSO o un CISO de una organización espero que este informe te sirva para hacer ver a los jefes lo complejo que es gestionar la seguridad de una empresa. Y si te sirve de algo mi opinión, en los presupuestos del año que viene huye de tecnología super-fashion que acaba de ganarse un espacio en un nuevo cuadrante mágico de algún analista y céntrate en afianzar las cosas fundamentales que yo creo que están bien recogidas en este artículo. 

Saludos Malignos!

Security Innovation Day 2015: Abierto el registro

Como ya os había anticipado, el próximo 8 de Octubre de 2015 tendremos nuestro evento anual de Eleven Paths y Telefónica de España donde hablaremos de las novedades tecnológicas en seguridad en que hemos estado trabajando este año. El registro está abierto en la web dedicada al "Security Innovation Day", donde tenéis todos los datos del mismo. Como es tradicional, se hará en el auditorio de Telefónica en el Edificio Central del Distrito C (Madrid), y lo haremos en horario de tarde para finalizar el evento con un refrigerio donde nos tomaremos un piscolabis con los clientes, amigos y asistentes.

Figura 1: Security Innovation Day 2015: Abierto el registro

La agenda que hemos organizado para este año es un poco especial, y como siempre intentaremos mejorar lo que hicimos el año anterior. Además de contaros los desarrollos tecnológicos de SandaS y SandaS GRC que hemos trabajado durante este año para incrementar las tecnologías que tenemos en nuestros sistemas de gestión de la seguridad (MSS), vamos a contar en el evento con alguna sorpresa más.

Figura 2: Vídeo presentación de SandaS GRC

Además, por primera vez vamos a tener en el escenario la presencia de algunos de nuestros partners tecnológicos, como Palo Alto, RSA, Intel Security o Vaultive, con los que además de firmar alianzas estratégicas para la comercialización de productos, hemos integrado nuestras tecnologías para generar tecnologías más potentes, que os contaremos ese día.

Figura 3: Agenda del Security Innovation Day

También tenemos en la agenda unas charlas para daros nuestra visión de la seguridad y el mundo que vivimos, con las que abriremos y cerraremos el evento. A mí me han reservado la charla de apertura en la que intentaré reflejar todo lo que hemos hecho, nuestra posición en el mundo actual y cómo vemos nosotros el mundo a día de hoy, que irán siendo completadas por mis compañeros Pedro Pablo, Francisco Ginel, José Luis Gilpérez, José Palazón y más compañeros de Eleven Paths y Telefónica. Está invitado también Ben Matzkel (CTO y Co-Fundador de Vaultive) y le hemos dejado a Nir Zuk (CTO y Co-Fundador de Palo Alto) la última conferencia del día, para que tengamos un colofón del más alto nivel.

Figura 4: Nir Zuk y Ben Matzkel, ponentes invitados al Security Innovation Day 2015

El evento está orientado a profesionales de la seguridad de la información, CSO, CIO, CISOs, e intentaremos dar cabida a todo el mundo para lo que tenemos reservado el auditorio con 600 sitios, dos salas de desborde con 200 sitios más y daremos la conferencia por Streaming a través de Internet para que se pueda seguir desde todo los rincones. En algunos países en los que Telefónica tiene presencia se han reservado también salas para ver la proyección en directo y estar con los equipos de seguridad dentro de un acto. Regístrate aquí: Registro Security Innovation Day 2015

Saludos Malignos!

No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

Hace ya un tiempo me pidieron escribir un decálogo sobre seguridad informática para entregar en un evento en el que iba a participar. Como siempre, huyendo de formalismos establecidos decidí escribir en tono de humor algunas de las ideas que llevo siempre dentro de mi cabeza - o debajo del gorro para según quién -. Entre las diez reglas que escribí, recuerdo que una de ellas decía:

"Pagarás todo el dinero del mundo por securizar tus sistemas…

una vez te hayan hackeado y expuesto públicamente. ".

Inexplicablemente, día tras día, veo esta afirmación respaldada por la actualidad de Internet que no deja de traer, una tras otra, noticias de empresas que han sido afectadas por esta norma del decálogo maligno que escribí.

Figura 1: Bitly hakeado solicita resetear passwords

La última de ellas que ha venido a respaldar el enunciado ha sido la empresa Bit.ly la web de Ebay que ha visto como sus cuentas de usuario han quedado expuestas públicamente y ha tenido que pedir el reseteo de contraseñas masivo.

Figura 2: Después del 21 de Mayo hay que cambiar la password

En ambos casos, tanto en Bitly como en Ebay los datos se fueron para siempre, y como suelo decir en las charlas de Digital Latches, una vez que los datos de un cliente han sido expuestos, han sido expuestos para siempre. Puedes pedirle al usuario que cambie la password o que cancele la tarjeta de crédito, pero no puedes pedirle que se cambie el nombre, los apellidos, dónde vive, la fecha de nacimiento o los números de identificación de documentos oficiales como el DNI o el pasaporte. Tu eras responsable de sus datos, y ahora ya no hay forma de controlarlos porque están en la red para siempre.

Para evitar que alguien pueda sufrir un robo de identidad y cualquiera de las consecuencias que esto pueda acarrear, en el caso de Bitly se ha implementado un sistema de Autenticación de Segundo Factor para sus identidades, mientras que en el caso de Ebay ya lo tienen...- al menos en USA, pero no en Ebay.es, donde aún por defecto el sitio funciona en HTTP y no HTTPs y no hay forma de encontrar donde poner un 2FA -.

Figura 3: Zona de configuración de cuenta de Ebay.es bajo HTTP

Esto no solo le pasa a empresas de este tamaño, sino que empresas tan importantes, poderosas, grandes y con tanto dinero en caja como Apple no han tenido una media de seguridad en 2FA en sus sistemas de identidad hasta que el número de incidentes como el del periodista de la revista Wired, Matt Honan que según sus palabras fue "brutalmente hackeado" no han salido a la luz pública.

Lo triste es que, una vez que los datos se han esfumado, puedes solicitar el reseteo de la contraseña -incluso aunque sea casi 2 meses después de que la base de datos hubiera robada como en el caso de Ebay, que dicen que perdieron la base de datos a finales de Febrero o principios de Marzo, robando las credenciales de empleados de Ebay porque NO tenían 2FA en sus cuentas de usuario internas.

Figura 4: la base de datos fue robada a finales de Febrero, principios de Marzo

La fortificación de sistemas

La fortificación de cualquier sistema informático se basa en tres reglas archi-conocidas fácilmente entendibles y reconocibles por cualquier persona. La primera de ella dice que debes aplicar siempre el Mínimo Privilegio Posible en todas las piezas de tu sistema - incluidos tus usuarios -. La segunda habla de crear un sistema con la Mínima Superficie de Exposición, o lo que es lo mismo, que reduzca al máximo los puntos expuestos a un atacante. El tercer principio es el más genérico y más importante de todos: Defensa en Profundidad.

Defense in Depth, que dicen los anglosajones, recopila bajo su paraguas todas las medidas de seguridad que ayuden a fortificar el sistema en cualquiera de las capas, siempre y cuando una medida no anule a otra. Si puedes poner otra capa de seguridad para proteger tus sistemas y no rompe una medida de seguridad anterior y no va en contra de la disponibilidad del servicio, ponla.

Piensa como un hacker y hackeate a ti mismo

En un sistema informático, al igual que hacen los hackers e investigadores de seguridad, hay que poner en tela de juicio siempre las protecciones de seguridad que tiene actualmente el sistema para poder pensar en la siguiente medida a implantar. Pensar como un atacante para descubrir cuál es el punto más débil en el sistema que tienes actualmente y planificar como un CSO deben ser parte de la tarea diaria.

Descubrir si lo que necesitas es una protección de 2FA basada en sistemas SMS o más evolucionado como Latch, es tan fácil como descubrir si es sencillo o no robar las credenciales de personas clave de tu compañía como le ha pasado a Ebay. Es sencillo y lo puedes hacer tú, aunque viendo todo lo que ha pasado ya a tantas y tantas empresas que han sufrido el robo de cuentas, parece innecesario.

O bien dentro del próximo proceso de auditoría de seguridad, o como una prueba ad-hoc, hazte un ataque de phishing a ti mismo. Para ello busca las direcciones de correo electrónico de 50 personas de tu compañía o de 50 clientes y envíales un correo de phishing bien armado que les lleve a una web donde se les pida el usuario y la contraseña con el gancho de ser una campaña interna de la empresa para poder participar en un sorteo de la compañía. Haz bonita la web y luego parate a contar el número de credenciales que la gente entrega por la promesa de poder ganar un premio interno. Me apuesto el gorro a que te sorprendería.

Planifica como un CSO ... a pesar de tus jefes

Si eres un CSO y no tienes un Plan Director de Seguridad que te vaya indicando cuál es la siguiente medida de protección que debes aplicar dentro de la regla de Defensa en Profundidad, tal vez no estás gestionando del todo bien tus sistemas. Si pones una medida de seguridad como un segundo factor de autenticación solo después de que has tenido un escándalo, un robo de identidad o un hackeo, probablemente tendrás el mismo problema con otra medida de seguridad en el futuro.

De todas las medidas que tengas que poner, prioriza sabiendo cuáles de ellas van a requerir presupuesto, y cuáles solo voluntad de tu equipo. Si necesitas presupuesto y no tienes, entonces hackea a tus jefes y haz campaña para que entiendan la importancia. Mételos en el ataque de phishing si es necesario.

Haz magia como Harry Potter

Si tienes gente con voluntad de cambiar las cosas, pasionales por la tecnología, con ganas de transformar la compañía a pesar de la compañía, entonces piensa en todas las cosas que se pueden hacer con cero o poco dinero. Aplicar una medida como Latch en una web o servidores Linux, es algo que lleva unos minutos y es gratis si hay menos de 50 usuarios.

No esperes a que hackeen tu sistema para poner la próxima medida de seguridad. Piensa ya como un hacker, atácate a ti mismo, y planifica como solo un CSO sabe hacer, "haciendo magia" con los presupuestos y los recursos, además de pegándose con la gente de negocio. No pensarías que iba a ser fácil ese rol, ¿verdad?

Saludos Malignos!

PD: No os olvidéis de cambiar las contraseñas de Ebay, yo ya he acabado de cambiar las mías.

Nuevos Packs de Libros de Seguridad y Hacking en 0xWord

Para estas navidades hay preparada alguna sorpresa de última hora para el fondo editorial de 0xWord, pero la primera novedad es que hemos modificado el formato de los Packs con descuento. Ahora son packs de 6 libros y hemos metido los últimos libros que lanzamos este año - incluso la novedad de Linux Exploiting que va en el pack de la colección completa . Han quedado de la siguiente forma.

Pack Pentester [Pack Pentester en 0xWord]

Queda formado por los libros de Pentesting con Kali, Metasploit para Pentesters, Hacking de Aplicaciones Web: SQL Injection, Hacking con Buscadores: Google, Bing, Shodan y Robtex 2ª edición, Ataques en Redes de Datos IPv4 & IPv6 y Pentesting y Seguridad en SharePoint.

Figura 1: Libros del Pack Pentester en 0xWord

Pack Bring Your Own Device [Pack BYOD en 0xWord]

Queda formado por los libros de Hacking iOS: iPhone & iPad, Desarrollo de apps para iOS: iPhone & iPad, Desarrollo de aplicaciones Android Seguras, Hacking y Seguridad en VoIP, Hacking de comunicaciones móviles: GSM, GPRS, UMTS y LTE y DNIe: Tecnología y usos.

Figura 2: Libros del Pack BYOD en 0xWord

Pack Security Lover [Pack Security Lover en 0xWord]

Para los que aman la seguridad informática en todos sus aspectos y les gusta leer: Hacker Épico, Microhistorias: Anécdotas y Curiosidades de la Historia de la Informática, Wardog y el mundo, Cifrado de las Comunicaciones Digitales: De la cifra clásica a RSA, Fraude Online: Abierto 24 horas y Una al día: 12 años de Seguridad Informática.

Figura 3: Libros del Pack Security Lover en 0xWord

Pack SysAdmin [Pack SysAdmin en 0xWord]

El pack queda formado por los siguientes títulos: Análisis Forense Digital de Sistemas Windows, Máxima Seguridad en Windows, Windows Server 2012 para IT Pros, Forefront Threat Management Gateway, Hardening de Servidores GNU/Linux y PowerShell: La Navaja Suiza de los Administradores.

Figura 4: Libros del Pack SysAdmin en 0xWord

Pack CSO [Pack CSO en 0xWord]

Este pack pensado para responsables de seguridad en las empresas, queda formado por los siguientes títulos: Análisis Forense Digital de Sistemas Windows, Aplicación de Medidas Técnicas y Organizativas para la Implantación de la LOPD, Aplicación del Esquema de Seguridad Nacional, DNI-e: Tecnologías y uso, Fraude Online: Abierto 24 horas y Cifrado de las Comunicaciones Digitales: De la Cifra Clásica a RSA.

Figura 5: Libros del Pack CSO en 0xWord

Pack Colección Completa [Pack Colección Completa en 0xWord]

Y para los que quieran tener la colección completa estas navidades del tirón, hemos hecho un pack con los 27 libros que forman el catálogo de 0xWord, incluido el último de Linux Exploiting, para que te pongas las pilas con la seguridad informática y el hacking.

Figura 6: Libros del Pack Colección Completa en 0xWord

Esperamos poder seguir ampliando el catálogo de títulos con nuevos contenidos y temas de actualidad, así que os mantendremos informados, que ya tenemos 3 o 4 libros que saldrán a final de año o principios de 2014. Os mantendré informados de eso, de la salida de los nuevos capítulos de Cálico Electrónico que ya están en puerta de salida y de las mejoras que se van a meter al servicio de recuperación de mensajes de WhatsApp borrados Recover Messages.

Saludos Malignos!

Los hackers son malos... o todo lo contrario

Hace unos meses, me pidieron un artículo para la revista número 16 de CXO Comunity, un magazine que es leído por profesionales de la seguridad, y especialmente CTO y CSO. Aprovechando que en toda Latino-América el término hacker está mucho más denostado que en España, decidí escribir un artículo para ver si conseguía hacerles ver positivo tener hackers en las empresas, que tras el debate en la Ekoparty de Hackers vs CSO, creo que necesitamos ese entendimiento. Espero que os guste.

Los Hackers son malos... o todo lo contrario

Se ha instaurado una sensación de que un hacker es alguien malo de quién hay que protegerse en las empresas, cuando lo que tienes que hacer es tener hackers en tu empresa para ayudarte. Un hacker no tiene porque ser malo para tu compañía.

No es que quiera entrar en el eterno debate del término hacker, que ha llevado a acaloradas discusiones y diatribas en torno a las connotaciones positivas o negativas que se ha ido asociando a él. No voy a entrar en usar alguna de las míticas y coloridas definiciones del término, que cual pintura modernista admite todas las variaciones de la refracción de la luz, o de las definiciones anglosajonas usando crack, crash o hack como raíz de la palabra. En este entorno quiero utilizar el adjetivo calificativo como una categoría profesional. De profesión: Hacker.

Asumamos que un hacker es alguien capaz de llegar más allá de lo que dicen las especificaciones, consiguiendo hacer cosas que van desde lo curioso a lo maravilloso pasando por lo menos esperado. Así, un hacker puede montar una computadora en un drone para robar los datos de los usuarios de redes WiFi a 100 metros de altura, o modificar el tan nombrado asistente personal Siri que viene en los iPhone 4S de la compañía de la manzana del pecado para que pueda ser controlado por la mente, como hace el proyecto Black Mirror, o encontrar un fallo en el sistema criptográfico de un algoritmo para poder descifrar la información oculta en cuestión de unos minutos.

Todos ellos son hackers. Son gente con capacidades especiales, adquiridas en base a mil horas dedicadas por culpa de una pasión infinita, o por un ansia enfermizo que les impide dormir sin responder a la preguntas que le atormentan: ¿Por qué? ¿Cómo? ¿Y si...?

A lo largo de mi vida profesional, he tenido la suerte de viajar por muchos rincones del mundo, y conocer a hackers increíbles, de ver conferencias únicas y demostraciones técnicas que te roban el aliento así como de compartir una cerveza con muchos de ellos. César Cerrado, Hernán Ochoa, Charlie Miller, Moxie Marlinspike, Dan Kaminsky, Rubén Santarmarta, Bernardo Quintero, Mikel Gastesi, David Litchfield, Alex Sotirov, los míticos Sexy Pandas o los Int3Pids son algunos ejemplos de diferentes tipos de hackers, focalizados en distintas disciplinas. Hackers, que trabajan en empresas haciendo labores profesionales en el mundo de la seguridad.

Algunos son lo que, de broma, con sorna, y un poco de mala leche, se llaman “Security Pr0n Stars” o starletes del escenario y la CON, pero no todos son así. Muchos realizan una labor más encubierta, o menos extrovertida, pero aún así tienen lo que el gran Jhonny Long denominaba “La mirada hacker”. Algo que los hace distintos a los demás. Ni mejores, ni peores. Simplemente distintos.

A veces, se habla de los hackers como si fueran delincuentes o como si fueran el auténtico enemigo de las organizaciones. Se venden soluciones de protección contra hackers, se hacen planes de defensa contra hackers, se instalan sistemas de intrusión contra hackers... Y es que un hacker podría tener tal vez la capacidad de hacer todo eso que te preocupa. Ya he dicho que son diferentes.

Tal vez un hacker no entienda cómo funciona el negocio de una empresa, o que no conozcan los problemas de gestión presupuestaria de una organización. Tal vez incluso no sepan montar un sistema de gestión de usuarios, o configurar un servidor de bases de datos para dar soporte a una aplicación. Pero eso no les hace menos importantes en el mundo empresarial, y tampoco tienen por que ser el enemigo.

Un hacker es alguien con una capacidad distinta, pero esa capacidad no le hace ni bueno ni malo, ni enemigo ni aliado, ni Dios ni el Demonio.

¿Alguien te garantiza que un Administrador de Sistemas no sea tu peor enemigo dentro de tu empresa? No creo que para alguien acostumbrado a trabajar con equipos de personas sea ajeno el concepto de que “no todos son iguales”. Así, los equipos de Recursos Humanos en las empresas tratan por todos los medios de resolver la incógnita de la personalidad de los profesionales en el proceso de selección, evitando por todos los medios contratar “problemas”.

Sin embargo, en muchas empresas o en la mente de muchos responsables de sistemas se ha instaurado la latente sensación de que un hacker en una empresa son problemas. Y eso es un error. Sí, es cierto, alguien malo con habilidades hacker puede ser peligroso dentro de una compañía, pero... ¿no lo es un administrador de correo maligno?

Imagina por un momento que la persona encargada de los backups del correo electrónico se lleva los ficheros a su casa, y allí dedica sus solitarias y torturadas noches en la búsqueda del cotilleo, el dato sensible, o la información escabrosa que haya podido fluctuar por el sistema... ¿no te da miedo pensar que tu administrador de correo se haya leído todos tus mensajes? Si lo piensas detenidamente, la cantidad de personas técnicas a las que te ves abocado a confiar es tan alta, que si empiezas a desconfiar de todas ellas acabarás viviendo en la paranoia. Lo siento. Es así.

Ahora piensa en positivo, y supón que esas habilidades hacker están al servicio de tu empresa.

¿Cuantas páginas web han sido vulneradas por fallos sencillos que podría haber detectado cualquier hacker que hubiera echado algo de tiempo en mirar la seguridad? ¿Cuántos problemas intentos se podrían haber evitado si un hacker te hubiera alertado internamente de que hay una herramienta que permite acceder a los datos de la WiFi que usa el director general? ¿Cuanto dinero se hubiera ahorrado una compañía si hubiera cerrado los fallos de seguridad que han llevado al robo de datos, la consiguiente multa del gobierno y descrédito en la opinión pública en muchas empresas?

Tal vez el hacer una auditoría de seguridad periódica a los servicios externos de una empresa ya está algo más instaurado en las grandes empresas. Así, de la partida presupuestaria se reserva “algo” de dinero para hacer auditorías. Normalmente esa cantidad de dinero siempre es discutida, y no consigue ser lo necesaria para garantizar que una empresa externa te revise la seguridad de forma continuada, sino solo durante un instante de tiempo. Algo que todos sabemos que tiene una utilidad temporal, ya que la seguridad de una plataforma es cambiante en función del tiempo.

Sí, hacer una auditoría, contratando empresas como la nuestra para hacerte una auditoría de hacking ético, un pentesting de aplicaciones web, o una auditoría externa es fundamental por muchas razones:

- Para saber qué nivel de seguridad tienes y poder informar en el comité de una situación de riesgo o de la necesidad de invertir más en la protección de la continuidad del negocio.

- Para ofrecerte otra visión distinta de la seguridad, ya que con el paso del tiempo los equipos de auditoría interna y los desarrolladores de tecnología se adaptan los unos a los otros, haciendo que se convierta en un juego ante el espejo.

- O para estar más tranquilo y confirmar que estás haciendo las cosas bien.

Es fundamental contar con gente fuera que te ayude. Profesionales del hacking ético. Hackers que son profesionales en su misión. Que tienen una visón distinta de la tecnología. Que ven distintas las cosas. Que son diferentes. Que te pueden ayudar en tu misión de tener una plataforma mucho más segura.

No confundas a un hacker con un delincuente, ni a un delincuente con un hacker. No hay una ley escrita o no escrita que deba ser firmada para que alguien sea o no un hacker. No hay que hackear la Nasa y poner “hax0r estuvo aquí”, ni es necesario robar las fotos del correo de una actriz famosa para ser alabado o reconocido por un ente abstracto, y algunas veces mal enfocado como “yo y mis amigos”, llamado Comunidad Hacker.

Olvidate, yo trabajo con hackers, y son gente genial, capaz de resolver problemas o detectarlos en tiempos récord. Pueden encontrar un fallo en la programación de una aplicación usando técnicas que aún no son conocidas, o pueden ver un problema en un sistema solo entornando un poco los ojos para mirar en su cerebro la estructura del sistema y sus debilidades.

Eso es fundamental en tu organización. Igual que hay ejecutivos capaces de leer el mercado y tomar la mejor decisión en el mejor momento, de cambiar el nombre de un producto para mejorar el marketing, comerciales capaces de transmitir la necesidad a los clientes más duros, o economistas y contadores hábiles que ahorran dinero o generan beneficios con movimientos de dinero en sus libros de cuentas. Así son los hackers... pero con la tecnología.

Las grandes empresas ya cuentan con sus equipos de hacking ético internos, su grupos de seguridad formado por hackers que se encargan de detectar los fallos, de hacer los procesos más seguros, o de desarrollar tecnología a medida para mejorar el rendimiento de los recursos. Esos equipos cuentan con hackers que son profesionales de la seguridad, personas brillantes que trabajan para compañías para las que resultan extremadamente rentables.

Hackers en la Gran Empresa

El número de hackers que engrosan las filas de las grandes empresas es infinito. Muchos de ellos tienen historias menos conocidas, pero hay otros casos que han dado la vuelta al mundo por la fama de ellos mismos.

Como muestra de casos famos de contratación de hackers por grandes empresas tenemos los recientes casos de GeoHot, el hacker que rompió la seguridad de PlayStation 3 de Sony, y que tras sufrir un proceso judicial con Sony, acabó siendo fichado por la multinacional Facebook.

Moxie Marlinspike, el famoso hacker por ataques como el de Null-byte en la petición de certificados digitales que le permitía conseguir certificados falsos perfectos para sitios como Gmail o Live, y por sus herramientas como SSLSniff y SSLStrip usadas en ataques de man in the middle, acaba de entrar a formar parte de Twitter tras la adquisición de su empresa por la red social de los 140 caracteres.

Y por último, el sorprendente caso de Comex que durante los últimos años se ha dedicado a investigar formas de romper los sistemas de seguridad de Apple en iPhone o iPad para crear JailbreakMe, una solución online para liberar los dispositivos de la compañía de la manzana del control de ésta. Para ello buscó vulnerabilidades de seguridad que se pudieran utilizar online hasta que consiguió encontrar tres fallas que, aplicadas de manera conjunta, permitían la liberación del terminal. Su trabajo fue premiado en la conferencia de seguridad más importante del mundo, BlackHat USA 2011, con un premio que dan los hackers a los mejores trabajos de hacking, llamados Pwnie Awards. Hoy en día trabaja en Apple.

Cuida a tu Hacker

No les tengas miedo, no pienses en ellos como en el enemigo. Igual que confías en tu DBA, debes confiar en tus hackers. Tómalos como un recurso de valor dentro de tu organización, sacando de ellos lo mejor que tienen. Cuidalos, mímalos, igual que cuidas al resto de tu equipo, y obtendrás un punto de vista nuevo de tus sistemas y unas capacidades ampliadas que harán que todo tu grupo de profesionales crezca en resultados.

Saludos Malignos!