Author Archive aci

Byaci

¿Qué pasó en el 2016? – Recopilación

No sabemos si era algo que tenía que ocurrir o algo inevitable que pasara. El día D, mejor dicho, el año D estaba marcado en rojo en el calendario por “los malos” y era este 2016. Hace apenas un par de años nadie, salvo los más especializados en el tema, sabía lo que era una botnet: en octubre todo el mundo se enteró cuando Facebook se cayó, su Twitter no entraba o su correo se bloqueó. La culpa fue de una red de dispositivos zombis.

Este año ha sido el año de los grandes hackeos. Ni las grandes empresas de Internet han sabido hacerles frente. Se han dado casos sonados y trascendentales que resultaron con la pérdida total de confianza en algunas compañías, llegando incluso a ser denunciadas. Hablamos de Yahoo, por supuesto.

2016 también ha sido la fecha que dio rienda suelta a los ataques a teléfonos móviles, a ese amplio género llamado malware y al ransomware en especial, este último un troyano que secuestra el ordenador o cierta información y pide después un rescate.

Para terminar, hay que destacar un tema sobre todos por las consecuencias que ha tenido y las (aún) mayores implicaciones que hubiera acarreado de haberse hecho realidad. El caso Apple vs. FBI copó titulares y portadas de las muchas cabeceras extranjeras. Esta es nuestra selección de 2016.

  1. EL AÑO DEL MALWARE

Solo en 2015, Kaspersky detectó más de tres millones de paquetes de instalación malignos para móvil y 885 mil programas de malware. Hummingbad era uno de ellos y llegó a infectar hasta a 10 millones de teléfonos. Como Gooligan: este malware incluso llegó a robar más de un millón de cuentas Google. Ambos tenían denominación de origen china, el mismo país que instaló un software en cerca de 700 millones de teléfonos para enviar datos al gobierno de Xi Jinping.

  1. EL CASO APPLE VS FBI

Fue uno de los temas del invierno; y es que el mundo estuvo a punto de presenciar el precedente legal que permitiese al FBI entrar a todos los iPhone. Los federales le pidieron a la compañía de la manzana mordida crear un software que se saltase la protección y las claves de bloqueo del teléfono de un terrorista, a lo que en Cupertino se negaron. Y el caso ni si quiera se resolvió en los tribunales porque el FBI se retiró antes de que el juez dictara sentencia. La agencia del gobierno finalmente tuvo que pagar un millón de dólares a una empresa misteriosa de la que nada sabemos.

  1. LA SEGURIDAD DE LOS BANCOS SE TAMBALEÓ

El malware en móviles sube, el ransomware para bancos también. Una encuesta de IBM entre 600 negocios y mil empresarios de los EU detectó que el 70 por ciento habían sufrido este tipo de ataques y, peor aún, habían pagado por ser rescatados. Este año hackearon la base de datos del banco de Qatar, que afectó a más de 100 mil cuentas; robaron del banco de Bangladesh 81 millones de dólares; y el año pasado, los bancos de Vietnam y Ecuador sufrieron el robo de 1.1 y 12 millones de dólares respectivamente.

  1. HACKERS Y REDES SOCIALES

Este año han sido muchas las redes sociales que han visto cómo sus fallas de seguridad les hacían convertirse, una vez más, en un coladero. LinkedIn, Tumblr, MySpace, Google y un largo etcétera han sido hackeados.

  1. OSITO DE PELUCHE O MICROONDAS ZOMBI

Lo explicábamos en la introducción. Hasta hace muy poco, no había mucha gente capaz de explicar qué era una botnet. Tampoco habían oído hablar de ella. Fue el pasado octubre que una red de microondas, frigoríficos, webcams y más objetos conectados a Internet de las Cosas (IoT en inglés), atacaron a Netflix, Facebook, Twitter y los tumbaron. 11 horas duró el ataque que apagó a medio mundo. Podrían haber sido incluso ositos de peluche: y es que una nevera conectada a Internet quizá sea el último grito para la cocina, pero la seguridad de estos dispositivos aún está en pañales.

  1. YAHOO Y GMAIL SUSPENDEN EN SEGURIDAD

Fueron tres golpes: primero 270 millones de cuentas, luego 500, después mil. La seguridad de Yahoo viene estando en entredicho desde mayo, cuando los primeros hackeos ocurrieron. La última brecha de seguridad la hemos conocido hace poco: mil millones de credenciales de Yahoo que componen el mayor robo de datos en la historia de Internet. Por el camino, 24 millones de cuentas de Gmail, 33 de Hotmail o 57 de Mail.ru, el principal proveedor de correo ruso.

  1. EL ENÉSIMO MALWARE: ESTA VEZ EN TU ROUTER

Aunque el DNSChanger alcanzó su pico de infecciones hace cuatro años, ha vuelto a reactivarse. El virus es capaz de cambiar el DNS del router haciendo que nos redirija a sitios webs no seguros, falsos, de phising. También infecta al resto de dispositivos que estén conectados a él. Los que han reactivado el virus lo han combinado con un exploit escondido en los banners de algunos sitios webs, haciendo que nos infectemos por partida doble.

  1. PENTHOUSE NO ES TAN PRIVADO

Si hace un año fue famoso el robo de Ashley Madison, este año toca Penthouse. Todo partió de un fallo de seguridad de la web Adult Friend Finder, que administra la página porno junto a otras. En total fueron 400 millones de cuentas, aunque “sólo” se vieron afectados siete millones en Penthouse.

  1. LA NUBE DE DROPBOX NO ES SEGURA

Primero recomendaron cambiar las contraseñas a todos los usuarios, una semana después supimos que les habían hackeado. Dropbox también se unió al club a finales de agosto de este año con 68 millones de cuentas robadas y preparadas para ser vendidas en la Deep Web. No era la primera vez que el servicio de almacenamiento en línea tenía problemas: en 2011 se pudo acceder durante cuatro horas a cualquier cuenta de la plataforma utilizando, literalmente, cualquier contraseña.

  1. LINKEDIN: MUY POCO PROFESIONAL

Terminamos el repaso de los hackeos más importantes de este año con LinkedIn, la red profesional para buscar empleo que vio cómo en mayo, 100 millones de cuentas eran puestas a la venta en la Deep Web por el irrisorio precio de 2 mil euros. Sin embargo, el hackeo viene de largo: hace cuatro años la empresa dijo haber sufrido el robo de 6.5 millones de cuentas, dato que en 2016 confirmamos. Y es que no fueron 6.5 millones, sino 100 millones.

Mientras tanto, un niño de 10 años hackeaba Instagram y Mark Zuckerberg, el CEO de Facebook, le obsequiaba con 10 mil dólares.

BONUS TRACK: EL HACKEO AL DNC

Aún hoy seguimos teniendo noticias del hackeo ruso al servidor del Comité Nacional Demócrata. Los hechos ocurrieron a finales de julio de este año y fueron filtrados por Wikipedia. Sirvieron para dos cosas. La primera: poner de manifiesto la (poca) seguridad del servidor de los demócratas y la segunda, para remover y desestabilizar la cohesión interna del partido de Hillary Clinton. Se dijo que los hackers habían intentado favorecer al ahora Presidente electo de los EU, Donald Trump.

Byaci

La H-1B: El viaje de un desarrollador iOS desde Honduras hasta Silicon Valley

Por estos días, vivo en la gran ciudad de San Francisco. Obtuve un trabajo que amo, y uno con el cual soñé con tener durante mucho tiempo. Parece fácil ahora, pero no siempre fue así.

Cómo empezó todo

Nací en San Pedro Sula, un pequeño pueblo en la esquina noroeste de Honduras. Comencé a programar cuando tenía 12 años. Todo empezó con BASIC. Un día, estaba jugando un vídeo juego y se colgó. Cuando ví la pantalla llena de códigos de error y mensajes, me picó la curiosidad—entonces comencé a aprender algunos comandos BASIC, que eventualmente me llevaron a comprar libros de programación sobre Clipper, Turbo Pascal, C, C++, etc. Fue genial. Tenía todo el tiempo del mundo para gastar programando cualquier cosa que quisiera: sin limites de tiempo (aparte de la escuela, que no era tan demandante como un trabajo de tiempo completo) o responsabilidades de adulto.

file

Muchos años más tarde, a la edad de 15 años, mi padre estaba teniendo problemas con una aplicación defectuosa de contabilidad. Le dije que podía crear una versión mejor—sin realmente entender en dónde me estaba metiendo (nunca había abierto una base de datos SQL). Entonces compré algunos libros más y me puse a trabajar. (Nota: Esto sucedía en la época en donde Internet no era algo predominante como lo es hoy: estaba viviendo en un país del tercer mundo, e Internet llegó a finales de 1997, 5 años después de haber comenzado a programar).

Sueños y ambiciones

Recuerdo que me dije a mí mismo: “Quiero ser un ingeniero informático”. Por supuesto, no tenía idea exactamente qué es lo que eso abarcaba, pero sabía que me gustaban las computadoras (estoy hablando de esos viejos y cuadrados monitores de fósforo verde, PCs lentas con DOS—horribles, por supuesto, ahora que tenemos de esos brillantes nuevos sistemas operativos).

Entonces, siendo un ingenuo de veinte y tantos, decidí que quería emigrar hacia los EEUU—pero por supuesto, eso es un camino largo e inestable.

Recuerdo muy claramente que en mi segundo o tercer viaje a los EEUU (solíamos ir de vacaciones), decidí que quería vivir ahí. Todo era tan avanzado! Por supuesto que hoy, con la globalización e Internet, las diferencias no son tan vastas, pero brechas en el crecimiento y en el progreso pueden seguir viéndose en el desarrollo de infraestructura, la inestabilidad política, el índice de delincuencia, etc.

file

Entonces, siendo un ingenuo de veinte y tantos, decidí que quería emigrar hacia los EEUU—pero por supuesto, eso es un camino largo e inestable.

Por esos tiempos, mi padre tenía una empresa de contabilidad, y habían empezado a tener problemas con su aplicación contable. El desarrollador era obstinado y sin deseos de ayudar, entonces mi padre empezó a buscar alternativas. El quería que me ponga al día como programador, fue a la universidad local—el único lugar donde vendían libros avanzados de programación—y se abarrotó de recursos. Fue un mundo nuevo para mí: tenía una de esas nuevas (en esa época) PCs de monitor de fósforo verde con un procesador de 5 MHz, 256kb de memoria RAM y un disco rígido de 10mb de capacidad. Usaba de esos viejos discos mecánicos, por lo que podías oír todo lo que estaba procesando. El teclado era también mecánico y el sonido al teclear era placentero. 10 años más tarde todavía seguía trabajando en la misma aplicación contable; ahora, sin embargo, lo vendía a clientes, con una interfaz en Windows, una base de datos SQL y conectividad vía Internet.

Yendo a la quiebra

Por esos tiempos, decidí dejar la universidad y empezar mi propia compañía. Había estado trabajando con mi padre, de alguna manera: dividíamos las ganancias de la aplicación contable (a pesar de que era mi idea y ejecución, el invirtió mucho tiempo enseñándome contabilidad). Así que tomamos caminos separados: él seguía vendiendo la versión actual de la aplicación y yo me embarqué a crear una nueva. Pero como descubriría pronto, el negocio de desarrollo de software en Honduras no es ningún paseo en el parque: los clientes no quieren pagar por tus servicios, y ellos ven siempre el desarrollo de software como una tarea relativamente fácil dado que no requiere trabajar con un producto tangible; a menudo, no perciben el valor en el software al no crear ganancias inmediatas, haciéndolo más difícil de vender.

Del lado del negocio, había contratado a algunos de los mejores estudiantes de la carrera (a quienes encontré cuando volví a la universidad). Pero con el tiempo, comencé a usar demasiados títulos: CEO, contador, Representante de RRHH, Servicio y Soporte al cliente, Jefe de proyecto, y (mi favorito) Desarrollador. Yo sólo quería programar, pero se volvió demasiado difícil mientras mantenía todos esos roles. Eventualmente, nos encontramos con problemas, como que nuestros clientes no estaban pagando a tiempo y luchábamos para encontrar nuevos proyectos: cuando tienes a los mejores talentos alrededor, estos quieren ser bien pagados, y estábamos pagando bien; pero los clientes no estaban respondiendo como esperábamos. Además, el vivir en un país del tercer mundo había desalentado cualquier tipo de interés de inversión. Tendría que haber ido con un modelo de negocio distinto, pero estaba demasiado ocupado haciendo malabares con todos mis títulos. Al final, la compañía quebró, y a mi me quedó una tonelada de deudas, empleados enojados y un gusto amargo en la boca. Tenía que empezar de nuevo desde el principio.

El SDK de iPhone

file

150mil descargas de aplicaciones pagas después, demostré que tenía razón.

Lo que más importa es cómo nos levantamos de vuelta cuando enfrentamos la derrota, y cómo aprendemos de nuestros errores. Empezar de nuevo y re-pensar todo es desalentador, pero eso es lo que tenía que hacer. Mi esposa me ayudó durante esos momentos difíciles y me empujó a hacer cosas que no pensé que podría ser capaz. Así que empecé a trabajar en mi aplicación contable de nuevo, pero sin ningún dinero para marketing era muy difícil de promover. Los ingresos eran escasos, y necesitaba mantener a mi familia. Tuve que cambiar de marcha. Alrededor de la misma época, Apple introdujo el SDK de iPhone. Sonaba como una plataforma arriesgada para mí; además, era nuevo con el Mac en sí. (mi transición al Mac empezó con el iPhone y un Hackintosh, que me dejó probar el sabor de OS X sin desembolsar dinero en una máquina costosa). Algunos de mis amigos se reían y me ignoraban por completo cuando decía que iba a desarrollar para el iPhone; pero realmente creía que había dinero de por medio en la App Store. 150mil descargas de aplicaciones pagas después, demostré que tenía razón; aunque, por supuesto, esos números solos no cuentan la historia completa: la economía de la App Store es compleja, realmente necesitas invertir en tu producto y encontrar clientes para crear valor a largo plazo. Y para eso, necesitas un equipo. Así que aunque le estuviera yendo bien a mi aplicación, no era sostenible (desde el punto de vista del negocio) para seguir desarrollándola por mi cuenta. A pesar de todo, había demostrado lo que podía hacer—entonces, un día, me levanté y me dije a mi mismo que finalmente emigraría a los EEUU.

Como pude descubrir, emigrar a los EEUU no era una tarea fácil. Probablemente la ruta más simple era conseguir una Green Card por medio de un miembro de la familia, pero mi opción más cercana era mi hermano, que había nacido en los EEUU; sin embargo, el vivía con nosotros en Honduras y no podía pedir por nadie ya que no estaba trabajando en ese momento. Y aunque pudiera, el proceso podría llegar a tomar 15 años (Nota: los hermanos tienen menor preferencia en lo que respecta a miembros familiares para el patrocinio de la Green Card). Mi solución era crear una compañía estadounidense. Conseguí que un amigo invirtiera y empezamos a crear juegos para iPhone y iPad. En los papeles, todo parecía genial; pero, por supuesto, la economía de la App Store nos demostró lo contrario. Pronto, estábamos necesitando más dinero; mi amigo no había anticipado eso. Al final, publicamos una aplicación (había otra en desarrollo, pero nunca fue finalizada debido a problemas de financiación). De vuelta, las cosas parecían poco prometedoras. Decidí perseguir lo que creí que era mi último recurso: trabajar para una compañía de EEUU.

Consiguiendo un empleo

Es duro ser contratado por una compañía de EEUU desde el extranjero. Me postulé para varias posiciones, pero el primer problema era que requerían relocación: ellos tendrían que solicitar y patrocinar una visa de trabajo. El proceso era caro en términos de tiempo (hasta un año, si no hay visa disponible en ese momento) y dinero (por ej., honorarios de abogados). Así que, en vez de eso, comencé buscando trabajo por medio de un sitio de trabajo independiente online. En teoría, es un buen servicio. Pero, al principio, debes empezar por construir confianza—lo cual es duro. Hay también hordas de desarrolladores que cobran menos que el promedio sólo para llamar la atención; por esto, es difícil ser bien pagado. Terminé haciendo un sólo proyecto por medio del sitio, que valía 8 horas de trabajo.

Más tarde, fui contactado por Toptal con lo que parecía una muy buena oportunidad: ellos contratan grandes programadores y los conectan con los clientes. Además, puedo trabajar desde casa, y para una empresa de EEUU. Aparecí en sus radares por medio de mi trabajo en la App Store, pero todavía tenía que pasar un estricto proceso de selección, haciendo de todo, desde comprensión de textos hasta trivia de programación, desde algoritmos de optimización hasta sesiones de programación cronometradas. Lo más memorable fue la entrevista final, que incluía discutir uno de mis proyectos y guiando a un ingeniero de Toptal por algunas partes de mi código para demostrar que era realmente mío.

Luego de que Toptal me aceptara dentro de su red de desarrolladores, fui puesto en una lista de espera. Una vez que el cliente muestra interés en un desarrollador en particular, este entrevistará a ese candidato (cómo en una entrevista de trabajo normal) para asegurarse que es el adecuado. Antes de mi primer entrevista, estaba bastante nervioso. Comenzó con el cliente explicando lo que se esperaba de mí, así como también el proyecto en general, y haciendo preguntas todo el tiempo para comprobar sí había entendido todo. Mientras la entrevista avanzaba, las cosas no estaban yendo como esperaba, y las preguntas se fueron volviendo cada vez más específicas y técnicas. Terminaron contratando a alguien más. En retrospectiva, fue bueno que no me hayan querido: una semana después, fui entrevistado por quien, eventualmente, terminó siendo mi empleador a tiempo completo.

Me preparé mejor para la siguiente entrevista, la cual fue tan bien como podría haber esperado: hablamos más sobre mi experiencia cómo desarrollador, y la compañía se familiarizó con mi enfoque para solucionar problemas. Tres días después, había firmado contrato y comencé a trabajar para este nuevo cliente via Toptal.

Trabajé para Life360 via Toptal al menos 9 meses. Su producto estrella es una aplicación móvil de localización de familiares, pero inicialmente estuve trabajando sólo en algunos proyectos paralelos: la primera, una aplicación de alertas de terremotos; y la segunda, un escáner policial. Por algunos meses, mi flujo de trabajo consistía principalmente en: recibir requerimientos de alto nivel de Life360, devolviendo bocetos y preguntas, e integrando sus respuestas dentro de esas aplicaciones, repetía este ciclo varias veces. Estaba en contacto con un diseñador y algunos empleados de Life360 (la compañía tenía sólo cinco o seis en esa época), pero tenía mucha autonomía. Era liberador trabajar desde casa: no tenía que viajar a diario y había creado un ambiente de trabajo sin distracciones.

Pronto me encontré más y más profundamente integrado con el equipo—había demostrado mi valor, por decirlo de alguna manera, con estos dos proyectos iniciales. Para Diciembre, me preguntaron si quería formar parte del equipo a tiempo completo en San Francisco—Acepté con entusiasmo y ellos empezaron el papeleo. Para Enero, estaba atendiendo reuniones diarias de Scrum (virtualmente, ya que estaba todavía en Honduras), describiendo mi trabajo del día anterior y mi lista de tareas para lo que seguía. Mi flujo de trabajo se volvió más organizado, y me comprometí más con la empresa.

Reubicación

Era un sueño hecho realidad: había hecho un gran trabajo para una compañía de EEUU, y estaba en camino de reubicarme—pero todavía faltaban varios obstaculos a superar. En primer lugar, nunca había completado mi carrera universitaria. Aunque no es estrictamente necesario para trabajar en una empresa de tecnología en estos días, sí se necesita el título de bachiller para calificar para una visa de tipo H-1B. Así que tuve que terminar mi carrera; esto requería de un compromiso de seis meses a un proyecto de mayor escala, el cual tenía justo el tiempo necesario para completar.

Aunque no es estrictamente necesario para trabajar en una empresa de tecnología en estos días, sí se necesita el título de bachiller para calificar para una visa de tipo H-1B

El abogado llenó el papeleo el 1ero de Abril, el día en el que el proceso de la visa tipo H-1B abre (al momento del envio, dejó la sección del diploma cómo “pendiente”, dado que el tipo de visa H-1B es limitado y podía enviar la documentación más tarde). Terminé mi proyecto a tiempo, atendí a mi ceremonia de graduación y recibí un diploma.

Desde ese punto en adelante, la compañía que te contrata tiene que ser muy abierta, por sobre todo, y muy paciente. El proceso para la aplicación de la visa empieza en Abril; si optas por la opción del proceso premium, obtienes tus resultados de la USCIS en dos semanas. Luego de eso, todavía tienes que pasar por un proceso de entrevistas, punto en el cual todavía te pueden denegar la visa; pero si todo sale bien, puedes entrar a los Estados Unidos después del 1ero de Octubre — seis meses después de la fecha de la aplicación, y no antes. Esto significa que no puedes trabajar para esa compañía hasta que realmente consigas la visa de tipo H-1B, lo cual puede ser un problema: la compañía necesita resolver como continuar trabajando remotamente mientras esperan que la visa se active. En mi caso, la compañía decidió contratarme como un desarrollador independiente, facturar mis horas como servicios profesionales, y no rompió ninguna ley de inmigración y trabajo.

Volé a San Francisco el 1ero de Octubre de 2012. El objetivo que había ansiado desde que puedo recordar fue finalmente completado.

Contenido traducido por Pablo Fabregat, miembro de TransBunko, un mercado de traducciones técnicas.

Byaci

CÓMO ANALIZAR ARCHIVOS APK CON MOBSF (PARTE 2)

En anteriores publicaciones comenzamos a utilizar MobSF para analizar una muestra de malware para Android. En aquel entonces, vimos parte de la información más relevante que el análisis estático con esta herramienta nos puede brindar. Ha llegado el momento de ver qué ocurre cuando ejecutamos la aplicación maliciosa con la ayuda de este framework de análisis móvil.

ANÁLISIS DINÁMICO

Para realizar el análisis dinámico de APK, la herramienta incluye una VM de Android que funciona sobre VirtualBox y que debemos configurar al preparar el entorno de trabajo. Si damos un vistazo a las aplicaciones que en dicha VM están instaladas obtendremos algunas pistas de cómo funciona el análisis dinámico de aplicaciones: vemos que se trata de un sistema rooteado que posee Xposed con diferentes módulos instalados dedicados a burlar técnicas antiemulación, ocultar el hecho de que el sistema está rooteado, espiar conexiones SSL incluso con certificate pinning o registrar el funcionamiento de la aplicación a través de Droidmon.

mobsf analisis dinamico

La imagen que vemos a continuación nos ayudará a recordar cómo se veía la interfaz web una vez que hemos concretado el análisis estático. Para dar comienzo al análisis dinámico podemos dirigirnos al menú lateral o bien a la sección “Options”.

opciones mobsf

Esto restaurará la snapshot de la VM que guardamos al configurar el entorno de análisis y abrirá una segunda interfaz web a través de la cual podremos controlar el proceso. En la parte superior podremos encontrar una secuencia de botones. Lo primero que deberemos hacer es inicializar el ambiente de trabajo haciendo clic en el primer botón comenzando por la izquierda; esto configurará un proxy para las conexiones HTTP(S), instalará el APK y lo inicializará, entre otras cosas.

analisis dinamico

Una vez que el ambiente fue creado exitosamente podremos ver en la máquina virtual cómo se inicializa la aplicación, con la que deberemos interactuar para detonar diferentes comportamientos. En este caso podemos ver que se trata de una aplicación extorsiva, una variante del “virus de la policía”.

img_04

En la interfaz web también podremos ejecutar comandos directamente mediante adb y dispondremos de un conjunto de botones que, entre otras funciones, nos permitirán ver la pantalla de la VM en la página web, generar intentos para detonar las diferentes actividades –exportadas o no– y crear snapshots de la máquina virtual. Una vez que hayamos concretado el análisis podemos proceder a finalizarlo presionando el botón “Finish”.

img_05

Esto nos abrirá otra interfaz web que nos permitirá sondear los resultados del análisis dinámico. En la parte superior podremos ver un conjunto de botones que nos permitirán descargar el registro de los paquetes HTTP(S) enviados, de Logcat, de Droidmon, de los dumps del sistema y también los archivos almacenados en la carpeta de datos de la aplicación (/data/data/<paquete>).

img_06

Otra cosa que podremos observar en la anterior imagen es un botón verde con la inscripción “Start Web API Fuzzer”. Esto nos abrirá una nueva interfaz que nos permitirá realizar inteligencia sobre los dominios que hayan sido detectados al interceptar el tráfico de red, por ejemplo, para recolectar más información sobre ese dominio.

img_07

Del mismo modo que en la interfaz de análisis estático, dispondremos de un menú lateral que nos permitirá desplazarnos rápidamente entre las diferentes secciones de los resultados del análisis dinámico. Si observamos la diversidad de las opciones en este menú podremos darnos una idea de la gran cantidad de información que podremos obtener con esta herramienta.

img_08

A continuación repasaremos algunos de los resultados arrojados por MobSF para la muestra en cuestión. Parte de la información que se pudo obtener fue la siguiente:

  • Archivos accedidos: la herramienta nos muestra un listado de todos los archivos que fueron accedidos por la aplicación durante su ejecución. En particular, podemos ver cómo esta muestra accedió al archivo de preferencias compartidas y a demás ficheros correspondientes a la apertura de puertos y gestión de conexiones de red.

archivos accedidos

  • Información del dispositivo: en esta sección encontraremos todas las características del dispositivo que permiten su identificación y que fueron accedidas por la aplicación, como ser el IMEI, el número telefónico, el nombre de la operadora telefónica o el código ISO del país.

informacion del dispositivo

  • Base 64: cada vez que una cadena de texto sea decodificada en base 64, el resultado de tal función será registrado por MobSF y mostrado al analista en esta sección.

base 64

  • Reflexión: en esta sección podremos ver las diferentes veces que la función invoke ha sido llamada con sus respectivos argumentos.

reflection mobsf

  • Activity Tester: muestra las capturas de pantallas obtenidas tras iniciar automáticamente las actividades declaradas en el manifiesto de la aplicación.

activity tester

  • Paquetes HTTP(S): todos los paquetes capturados durante la ejecución de la aplicación serán mostrados en esta sección, incluyendo aquellas conexiones protegidas por SSL.

HTTP(s)

  • Direcciones URL: las direcciones URL que hayan sido procesadas por la API de Android aparecerán listadas en esta sección, ya sea que correspondan al análisis de tráfico de red o a un recurso local. Cabe mencionar que encontraremos varias URL resultantes de la operatoria de la VM no necesariamente vinculadas a la ejecución de la muestra.

url mobsf

  • Malware check: sobre el listado de URL registradas, la aplicación generará un estimativo de cuán benigno es cada dominio.

malware check

  • Otros: obtendremos mucha más información en el análisis dinámico, como ser el listado de bases de datos utilizadas por la aplicación y el listado de archivos accedidos junto a un enlace para poder echarles un vistazo. La herramienta también nos mostrará un conjunto de strings que podrían llegar a ser direcciones de correo electrónico, aunque puede tratarse muchas veces de falsos positivos como ocurre en este caso.

informacion extra mobsf

CONCLUSIÓN

La importancia de este tipo de herramientas gratuitas para el trabajo diario de los analistas de malware radica en la disminución de tiempo al automatizar tareas reiterativas, por ejemplo, al analizar archivos APK. El alcance de MobSF excede ampliamente la funcionalidad que hemos ejemplificado en esta reducida serie de publicaciones. No obstante, hemos logrado poner en evidencia cómo este entorno de trabajo puede llegar a ser un gran aliado en el análisis de códigos móviles.

Fuente:http://www.welivesecurity.com/

Byaci

CÓMO ANALIZAR ARCHIVOS APK CON MOBSF (PARTE 1)

El proceso de análisis de múltiples archivos APK puede resultar bastante reiterativo para un investigador de malware, especialmente si consideramos la gran cantidad de muestras con las que diariamente se encuentra. Aunque cada uno posea un método singular de análisis, ciertas tareas deben realizarse tarde o temprano, ya sea para identificar actividades exportadas o content providers, capturar el tráfico de red o desofuscar strings, entre otras.

Afortunadamente, existen numerosas herramientas que buscan simplificar este proceso; anteriormente dimos un vistazo a una de ellas, AppMon, y esta semana nos dedicaremos a probar otra tool llamada MobSF (Mobile Security Framework). Es un entorno multiplataforma de análisis de malware, capaz de desentrañar rápidamente la esencia de un APK para mostrar al analista un panorama de aquello a lo que se enfrenta.

¿EN QUÉ CONSISTE LA HERRAMIENTA?

MobSF es un entorno completo de análisis que incluye funcionalidad para la realización de pruebas tanto estáticas como dinámicas. Podremos descargar la última versión de la aplicación desde Github y las instrucciones para su instalación se encuentran claramente detalladas en la documentación del proyecto, por lo que no profundizaremos en ellas a lo largo de este artículo.

La herramienta puede ser utilizada para analizar ejecutables de Android (APK), iOS (IPA) y Windows Mobile (APPX), como también código fuente empaquetado en archivos ZIP. Dentro del alcance de esta publicación, nos centraremos en el análisis estático de un archivo APK.

¡MANOS A LA OBRA!

Una vez que hemos completado la preparación del ambiente de trabajo y lanzado el servidor de MobSF, nos encontraremos con una interfaz web de inicio que nos invita a cargar al sistema el archivo que queremos analizar. Esta vez utilizaremos una muestra de malware identificado por las soluciones de ESET como Android/Crosate.O.

mobsf

Tras concretar el análisis estático, MobSF nos mostrará una interfaz similar a lo que se puede ver en la siguiente imagen, resaltando algunas características propias de la muestra y su código.

interfaz

Un menú lateral nos permitirá rápidamente navegar entre las diferentes secciones del análisis, mientras que en la barra superior podremos acceder al listado de todos los análisis realizados con anterioridad por la herramienta.

recent scans

Los resultados del análisis estático se categorizan en las siguientes secciones:

  • Información del archivo: nos mostrará un resumen de sus características más sobresalientes, que podrán permitirnos su posterior identificación. Entre ellas encontramos el nombre de la muestra, su tamaño y los hashes resultados de diferentes funciones hash (MD5, SHA1, SHA256).

file information

  • Información de la aplicación: aquí encontraremos detalles de la aplicación mayormente obtenidos del Android Manifest, como ser el nombre del paquete, el nombre de clase de la actividad principal a ser lanzada por el laucher y atributos referentes a los requisitos de la plataforma para la cual la aplicación fue desarrollada.

app information

  • Posibles elementos vulnerables: seguidamente encontraremos en la pantalla cuatro recuadros que nos resumen la información referente a las actividades, servicios, receptores de intentos y proveedores de contenidos, indicando cuántos de ellos son exportados. La identificación de estos cuatro elementos es un paso rutinario en cualquier proceso de análisis de malware o pentesting de aplicaciones, ya que nos permitirá no solo saber cómo se comporta la aplicación, sino también vislumbrar posibles puntos de explotación.

elementos vulnerables

  • Naturaleza del código: esta sección resulta muy interesante ya que nos permite determinar qué tan compleja es la muestra que estamos analizando, pudiendo determinar si ejecuta código nativo, si realiza la carga dinámica de código, si utiliza métodos por reflexión, si posee alguna función de cifrado o si el código se encuentra ofuscado.

naturaleza del código

  • Análisis del código decompilado: dentro de las opciones para el análisis del código fuente, MobSF nos permite acceder a un listado de las clases tanto en formato java como en smali, y también al archivo manifiesto. Además, encontramos dos opciones: una para escanear nuevamente la muestra y otra para iniciar su análisis dinámico.

opciones mobsf

  • Información del certificado: el análisis del certificado de un APK puede arrojar datos muy interesantes en cuanto a quién ha desarrollado la aplicación y qué otras muestras maliciosas se han encontrado con el mismo certificado, pudiendo utilizar su identificador para realizar búsquedas en plataformas como Koodous.

informacion del certificado

  • Listado de permisos: en esta sección podremos observar una lista de los permisos declarados en el manifiesto de la aplicación, conjuntamente a una descripción del mismo y una categorización según la peligrosidad que puede representar para el sistema al acceder a información o funcionalidad sensible.

listado de permisos

  • Android API: esta sección resulta muy útil para un analista, ya que permite identificar rápidamente qué funcionalidades de la API del sistema son accedidas por cada clase de la aplicación. De este modo, es muy sencillo identificar qué función realiza cada clase y podremos concentrarnos en aquello que realmente nos interese.

android api

  • Extras de seguridad: además de las secciones antes discutidas, podremos encontrar otras categorías con detalles de elementos a ser considerados en cualquier análisis. Por ejemplo, podremos ver una sección donde se especifica con detalle cuáles son las actividades, servicios, broadcast receivers y content providers especificados en la aplicación, o podremos acceder a un listado de las strings encontradas dentro del código fuente.

extras de seguridad

strings

PRÓXIMAMENTE…

A lo largo de este post hemos realizado el análisis estático de un APK con MobSF detallando la información más relevante que esta herramienta nos ha brindado. Dado que la funcionalidad de este framework es bastante extensiva, continuaremos con el análisis dinámico de la aplicación en próximas publicaciones.

Fuente:http://www.welivesecurity.com/

Byaci

MARA: Ingeniería Inversa

maraMARA es una Mobile Application Reverse engineering and Analysis Framework. Es una herramienta que reúne herramientas de ingeniería inversa y análisis de aplicaciones móviles comúnmente utilizadas, para ayudar a probar aplicaciones móviles contra las amenazas de ciberseguridad móvil de OWASP. Su objetivo es hacer esta tarea más fácil y más amigable para los desarrolladores de aplicaciones móviles y profesionales de ciberseguridad.

Funciones de MARA

  • APK Ingeniería inversa
  • Desmontaje del bytecode Dalvik a smali bytecode vía baksmali y apktool
  • Desensamblaje del bytecode Dalvik a bytecode java mediante enjarify
  • Descomponer APK al código fuente de Java vía jadx
  • Decodificar archivo de manifiesto y recursos a través de apktool

 

Análisis Preliminar

  • Análisis de ciberseguridad de archivos smali para análisis a través de smalisca
  • Borrar activos, bibliotecas y recursos de apk
  • Extracción de datos de certificado a través de openssl
  • Extraer cadenas y permisos de aplicación a través de aapt
  • Identificar métodos y clases a través de ClassyShark
  • Analizar las vulnerabilidades de apk a través de androbugs
  • Analizar apk para posibles comportamientos maliciosos vía androwarn
  • Identificar compiladores, empaquetadores y obfuscadores vía APKiD
  • Generar gráficos de flujo de control desde código smali a través de smali-CFGs
  • Extraer rutas de ejecución, direcciones IP, URL, URI, correos electrónicos a través de regex
  • Escaneo SSL de dominio y ciberseguridad a través de pyssltest y testssl

Análisis del Manifiesto APK

  • Extraer Intents
  • Extraer las actividades exportadas
  • Extraer receptores
  • Extraer receptores exportados
  • Servicios de extracción
  • Extraer servicios exportados
  • Comprobar si apk permite copias de seguridad
  • Comprobar si apk permite el envío de códigos secretos
  • Comprobar si apk puede recibir SMS binarios

MARA es comúnmente utilizado por los expertos de ciberseguridad y nuevos investigadores de ciberseguridad deben aprender herramientas como MARA para ampliar sus conocimientos y resolver caso de ciberseguridad.

 

https://github.com/xtiankisutsa/MARA_Framework

Byaci

La Guerra Fría de la Tecnología: Aún Aquí y Aún Siendo Utilizada

Soy un chico de la Guerra Fría. Crecí viendo las noticias de las implementaciones Europeas de Pershing II y SS-20, también de la guerra soviética en Afganistán, con un poco de acción de Terminator y Top Gun VHS. Yugoslavia estaba intentando jugar para ambos lados, y durante un tiempo funcionó a la perfección. Sin embargo, todo se estrelló un par de años después con la caída del Muro de Berlín, haciendo que nuestra destreza se alineara sin sentido.

Admito que esta es una extraña introducción para un blog de tecnología, pero tengan paciencia conmigo, empezará a tener sentido. A diferencia de la mayoría de los europeos, hemos tenido muy buenas relaciones con ambos bloques. Hemos vendido tanques a Kuwait y artillería de cohetes a Saddam, compramos combustible barato y MiGs de los Soviéticos y, a cambio, hemos exportado algunas cosas que no podíamos obtener directamente desde el Oeste. Sé de gente que se hospedó en hoteles de Berlín Oriental porque eran más baratos, luego cruzaban la frontera a Berlín Occidental para trabajar, jugar y comprar, sólo para cruzar de nuevo a través lugares imprácticos como el Checkpoint Charlie, todo en cuestión de horas.

En uno de estos viajes, mi papá me consiguió un Commodore C64, el cual fue lanzado como maquinaria de la Guerra Fría. La mayoría de los videojuegos de la década de 1980 y, de hecho, un montón de música y películas, fueron inspirados por incontables guerras y la amenaza de un apocalipsis nuclear. Con la caída del muro, mucha gente supuso que sería el final del caos, en especial en el gasto en defensa y que por ende el mundo sería un lugar más seguro. No fue exactamente de esta manera, ¿o si?

Sin embargo, el efecto a largo plazo de la Guerra Fría en ciencia y tecnología es más profundo que el Nena 99 Luftbalons, o que el Oliver Stone Vietnam flick.

Minuteman: Un Caso de Estudio Técnico de la Guerra Fría

Si estás leyendo esto, entonces estarás utilizando una tecnología desarrollada por guerreros de la guerra fría: El Internet. Eso no es todo. Un montón de la infraestructura y de la tecnología que nosotros damos por sentado fue desarrollada, o al menos concebida, durante estos decenios tumultuosos.

¿La constelación de satélites GPS orbita alrededor de la tierra? No fue puesto allí para geoetiquetar selfies u obtener un Uber ride; fue diseñado para ayudar a que el Comando Aéreo Estratégico de Estados Unidos entregara cientos de megatones v por valor de sol instantáneo sobre objetivos Soviéticos con una precisión milimétrica. ¿Circuitos integrados, transistores, y computación de estado sólido? Afirmativo, todas desarrollados por las fuerzas armadas y pagados por los contribuyentes estadounidenses.

Aquí hay un ejemplo de lo anterior: el elegante e inigualablemente mortal LGM-30 Minuteman de misiles balísticos intercontinentales (ICBM). No fue el primer ICBM ahí fuera, pero cuando apareció en el mercado, fue revolucionario. Fue un misil de combustible sólido, lo que significa que pudo responder a una amenaza y el lanzarse en un minuto sin tener que ser alimentado; por esto se le llamó así. Pero el combustible sólido es sólo parte de la historia: el combustible sólido era mucho más interesante desde un punto de vista geek. Antes de Minuteman, ICBMs dependió en computadoras análogas, giroscopios y sensores mecánicos primitivos. Desde que estos fueron transferidos a un objetivo específico, el paquete de destino no se puede cambiar fácilmente. El Minuteman fue la primera implementación masiva de una computadora digital de propósito general; un piloto automático integrado y sistema guiado de misiles en un solo paquete, con un almacenamiento fiable y que podría tener el estrés de un silo de lanzamiento. El equipo también fue capaz de almacenar varios destinos, y era reprogramable.

Los transistores no eran nada nuevo en ese punto; fueron desarrolladas años antes por los laboratorios Bell. Sí, estos primitivos transistores eran casi exclusivamente reservados para el complejo militar-industrial. El tío Sam era el único cliente de prácticamente todas las primeras computadoras y chips, quemando montones de dinero. Estos primeros transistores ofrecieron un salto cuántico a través de tubos de vacío, pero no eran perfectos. Para los estándares de hoy, eran una basura. La fiabilidad simplemente no estaba allí, y si necesitas lanzar unos cuantos cientos de ojivas termonucleares a medio camino a través del planeta, necesitas una especie de sistema guiado el cual que no podría fallar, tan pronto como la vela se encendía.

Entonces, ¿qué puedes hacer cuando te encuentras con un problema técnico, el cual no se puede resolver con dinero? Simple: tirar más dinero en ello, y eso es exactamente lo que hizo la Fuerza Aérea de los Estados Unidos. Quemaron a millones para hacer la maldita cosa lo suficientemente fiable como para ser utilizado en entornos hostiles y sobrevivir el estrés de un alto-G que asciende hacia el espacio. Esto se conoce como el programa Minuteman de Alta Fiabilidad (Hi-Rel).

 

1

El primer ordenador digital móvil de verdad fue algo más letal que el ordenador portátil y el iPhone.

 

Funcionó, pero la USAF tuvo un poco más de lo que se esperó. En tratar de mejorar un sistema de armas sola, la USAF terminó dando un gran impulso a la industria de la tecnología en general. Finalmente, el Minuteman se ha actualizado para incluir un nuevo sistema de referencia basado en microchip, con una forma primitiva de almacenamiento de estado sólido. Esta reliquia de la Guerra Fría ha estado en servicio desde la administración Kennedy, y la encarnación actual ha sido de alrededor de 45 años, recibiendo múltiples actualizaciones de hardware y software en los últimos años.

Por lo tanto, al esbozar el desarrollo y la evolución de un sistema de una sola entrega de arma estratégica single, me he referido a una serie de tecnologías vitales que damos por sentado: transistores, chips, fiables de almacenamiento de estado sólido, ordenadores programables fabricados en serie y así sucesivamente. El Minuteman fue también la primera computadora mobile digital.

Algunos pueden argumentar que el legado de este tipo de armas es aquel de Destrucción Mutua Asegurada (MAD), garantizado por la tríada nuclear que mantiene a las superpotencias en ir a la guerra total. Probablemente lo hizo, pero al hacerlo, también permitió a los ingenieros de todo el mundo desarrollarán tecnologías y conceptos aplicables en diversas industrias y campos de estudio.

Su verdadero legado radica en cada circuito integrado en el planeta.

Pioneros Capitalistas Tratan de Aprovecharse

¿Qué podría ser más capitalista que monetizar los instrumentos de destrucción masiva? ¡Los contribuyentes pagan para su desarrollo, no los capitalistas de riesgo!

Bromeando aparte, se puede argumentar que el Red Scare de los años cincuenta creó Silicon Valley. La mayor parte del dinero en realidad provenía de los contribuyentes y la mayoría de las empresas ganadoras de contratos lucrativos de defensa no tardaron en hacer una pelota en la tecnología de doble uso desarrollado para los militares. ¿Recuerdas a los Laboratorios Bell? Algunos de sus personas más brillantes pasaron a co-fundar Fairchild Semiconductor y, finalmente, crearon Intel una década más tarde. El equipo de orientación Minuteman actualizado se basa en chips de otro gigante de los semiconductores, Texas Instruments.

No discuto la inteligencia de las personas co-fundadoras de Intel por ejemplo, como Robert Noyce y Gordon Moore. No tengo ninguna duda de que hubieran dejado su huella en la industria de la tecnología, inclusive sin la carrera más grande de los brazos en la historia, pero también es difícil negar que la industria de la tecnología no se habría desarrollado casi al mismo ritmo si no hubiera existido la financiación del gobierno. Sí, los contribuyentes subsidian efectivamente la industria de la tecnología desde hace décadas, pero al largo plazo, esto es probablemente mejor. Westinghouse no necesitaba subsidios para desarrollar lavadoras y refrigeradores, porque la demanda de los consumidores era fuerte, pero en los primeros días de la informática, no había prácticamente ninguna demanda de los consumidores. Es por eso que los gobiernos tuvieron que intervenir.

¿Pero qué consiguió el contribuyente?

2

El Internet, GPS, transistores y chips fiables:. Guerra Fría tecnología hecha posible por el gasto de defensa fuera de control.

El espacio y la competencia dio lugar a una serie de tecnologías que a su vez crearon un sinfín de oportunidades de negocio. Inclusive los ordenadores primitivos tuvieron un profundo impacto en la industria. Hicieron las redes de energía y la infraestructura de transporte más eficientes, ayudaron a mejorar la seguridad de las instalaciones industriales, incluyendo los químicos sensibles e instalaciones nucleares, cambiaron la faz de la banca, comunicaciones, entretenimiento y así sucesivamente.

Lo mejor de todo es que de alguna manera logramos no soplarnos a nosotros mismos con las armas estas tecnologías han hecho posible, sin embargo, al mismo tiempo, se volvieron espadas en rejas de arado. Ya en los años cincuenta, los EE.UU. y la Unión Soviética pusieron en marcha iniciativas destinadas a examinar usos civiles de la energía nuclear (incluidos los planes de explosivos nucleares de ingeniería civil, que fueron terribles), pero no significaba nada. No era la fuerza del átomo que cambió el mundo; fue el humilde microchip y tecnologías auxiliares desarrolladas para programas de defensa innumerables, que lo hicieron.

Antes de que dejaron su marca en la ciencia y golpearon a Gary Kasparov en la mesa de ajedrez, superordenadores y sus predecesores analógicos se utilizaron para simular procesos físicos vitales en el desarrollo de armas termonucleares. Una ventaja pura en potencia de cálculo podría producir avances en innumerables campos. Las simulaciones por ordenador permitieron a las armadas Occidentales en desarrollar submarinos más silenciosos con tornillos nuevos; optimizados digitalmente para evitar la cavitación. Procesadores de Señal Digital (DSP) hicieron sonares mucho más sensibles, y un par de décadas más tarde, los DSP avanzados hicieron que la música sonará mejor. El diseño asistido por ordenador no se acabó de utilizar para reducir la sección transversal de radar de los aviones, sino que también hizo que nuestros edificios y automóviles fueran más baratos, más seguros y más eficientes.

Algunos de estos esfuerzos resultaron en un callejón sin salida tecnológica, pero la mayoría no lo hicieron. Uno de mis favoritos fue Blue Peacock, una mina nuclear británica (sí, las minas terrestres, no de bomba), con un peso de 7,2 toneladas. Ya que confió en la tecnología temprana de la década de 1950 y tuvo que ser enterrado en el campo Alemán, los ingenieros se dieron cuenta rápidamente de que el frío podría matar a los componentes electrónicos en el interior, por lo que trataron de encontrar la manera de mantener los circuitos calientes. Su solución era tan descabellada que fue confundida con una broma del Día de los Inocentes cuando el diseño fue desclasificado el primero de Abril del 2004.

 

3

Ningún pollo fue afectado en la elaboración de esta entrada del blog, o en el programa de minas nucleares Blue Peacock.

Un pollo debía de ser sellado dentro de su carcasa, con suficiente comida y agua para mantenerse con vida durante una semana. Su calor corporal mantendría la bomba eléctrica en funcionamiento.

A medida que las industrias civiles empezaron a aplicar estas tecnologías de vanguardia en masa, nuestra calidad de vida y la productividad se disparó de manera exponencial. Nuestros televisores, automóviles, teléfonos, la ropa que usamos, y casi cualquier producto de consumo que compramos: Son todos mejor gracias a la mayor pérdida de dinero en la historia. Por supuesto, todos tenemos pequeñas cantidades de estroncio 90 en los huesos, pero a gran escala, es un pequeño precio a pagar por el mundo de alta tecnología que nos gusta tanto.

Oh, sí, también nos dieron los videojuegos. Montones y montones de juegos de video.

 

Haciendo un Kickstarter Para el Desarrollo de Video Juegos

Los videojuegos fueron iniciados en los equipos digitales más tempranos (y algunos analógicos también). De hecho, Tennis para Dos, posiblemente el primer juego en utilizar una pantalla gráfica, fue desarrollado por un equipo analógico en 1958. Sin embargo, ni siquiera los villanos de Bond tenían computadoras en ese momento, por lo que el aumento de la industria de los videojuegos tuvo que esperar al hardware para madurar.

A mediados de la década de los setenta, los microchips se volvieron lo suficientemente baratos para aplicaciones del mercado de masas. Ahora que teníamos el hardware, ya sólo necesitábamos algunos desarrolladores de software y un caso de uso de chips baratos. Dado que el consumidor medio, no estaba interesado en los ordenadores caros y complicados que fueron diseñados para las grandes empresas, la atención se desplazó a los juegos; soportales, consolas de videojuegos y computadoras de bajo costo como el ZX y C64.

Estas humildes máquinas llevaron computadoras programables a millones de hogares, enganchando una generación de niños en el entretenimiento digital, y creando oportunidades para los desarrolladores de video juegos. Consolas y ordenadores baratos trajeron el arcade de la sala de estar, marcando el comienzo de una nueva era de juegos de vídeo, y la creación de innumerables puestos de trabajo en la industria. Incluso los Soviéticos lo consiguieron con el Tetris, uno de los primeros juegos.

4

El advenimiento de los ordenadores personales de bajo costo y consolas de juegos creó una generación enganchada en la informática y la codificación.

No solo era un entertainmento. A diferencia de las consolas, el ZX y el C64 eran equipos adecuados, y los niños geeks rápidamente encontraron nuevos usos para ellos. Ellos comenzaron a hacer demostraciones, y empezaron la codificación. Lo más probable es que tu sabes mucho de estos niños, y si estás leyendo esto, es probable que trabajas con algunos de ellos.

Si estás interesado en el desarrollo de los primeros videojuegos, y lo que la Guerra Fría tuvo que ver con ellos, yo sugiero que consultes FrutaNuclear; un nuevo documental que es una visita obligada para los jugadores nacidos en las década de 1970 y principios de la década de 1980.

Estos chicos y chicas pasaron a desarrollar una nueva generación de juegos de vídeo, creando exitosos negocios en línea, creando nuevas tecnologías y revolucionando el mundo digital, todo en el espacio de una década. Una generación que creció con la constante amenaza de una guerra nuclear, disfrutando de la distópica ciencia ficción, la cual ayudó a hacer del mundo un lugar mejor. Ellos no desarrollaron Skynet, desarrollaron millones de aplicaciones móviles y web en su lugar.

Por lo tanto, no hay Terminators. Al menos no todavía.

2.0 Guerra Fría y el Surgimiento de Nuevas Amenazas

Este no es un blog geopolítico, pero si estás al tanto de las noticias, es probable que sepas que el mundo es un lugar desastroso. No, el final de la Guerra Fría no trajo una era de paz y estabilidad, y ya se habla de una “Segunda Guerra Fría”, o peor, una guerra “Caliente”. Mientras que la mayoría de estas preocupaciones no son más que exageraciones y sensacionalismo, una serie de graves amenazas permanecen. La amenaza de la aniquilación nuclear casi ha desaparecido, pero la tecnología que nos gusta tanto ha creado una serie de amenazas y posibles problemas, que van desde la privacidad y la seguridad, hasta las preocupaciones éticas.

Afortunadamente, no es probable que veamos una carrera de armamentos para competir con el que hemos presenciado en el siglo XX, pero no tenemos que hacerlo. La misma tecnología que nos hace la vida más fácil y más productiva también se puede utilizar en contra de nosotros. La infraestructura digital en la cual nos basamos en el trabajo y en el juego es frágil y puede ser objetivo de los criminales, gobiernos extranjeros, los agentes no estatales, e inclusive en nutjobs con resentimiento.

Estas nuevas amenazas incluyen, pero no se limitan a:

  • La ciberdelincuencia
  • Guerra cibernética patrocinada por el Estado
  • El mal uso de la tecnología de vehículos autónomos
  • Violaciones a la privacidad
  • Abusos de vigilancia de masas
  • El uso de comunicaciones seguras para las actividades criminales / terroristas

Todos representan un serio desafío y la industria está teniendo problemas para mantenerse. Mi argumento es simple: Nosotros ya no tenemos que desarrollar una tecnología innovadora para obtener una ventaja en las luchas geopolíticas, pero vamos a seguir desarrollando tecnologías y métodos para hacer frente a las nuevas amenazas y problemas. Es un círculo vicioso, ya que estas nuevas amenazas son posibles gracias a nuestra dependencia de las comunicaciones digitales y la amplia disponibilidad de diversas tecnologías que pueden ser empleadas por las organizaciones hostiles e individuales.

 

5

Una nueva generación de amenazas emergentes está reuniendo una vez más líderes de la industria y gobiernos en torno a una causa común.

La ciberdelincuencia se asocia generalmente con el robo de identidad y fraude de tarjetas de crédito, pero está ya no se limita a estos campos. El advenimiento de canales seguros de comunicación ha permitido a los delincuentes en expandirse a nuevos nichos. La escena ha recorrido un largo camino desde las hazañas románticas de Steve Wozniak. Algunos ofrecen la piratería de alquiler, otros están dispuestos a acoger todo tipo de contenido ilícito, sin hacer preguntas. Algunos grupos se especializan en el lavado de dinero, bazares de drogas darknet, y así sucesivamente. La amenaza más grande con esta nueva generación de la ciberdelincuencia es que ya no se tiene que poseer muchas habilidades para involucrarse. A medida que madura la delincuencia informática, distintos grupos se especializan en diferentes actividades, y se pueden contratar.

La guerra cibernética patrocinada por el Estado constituye una seria amenaza a la infraestructura, los sistemas financieros y la seguridad nacional. Sin embargo, no hay realmente mucho que un individuo puede hacer frente a estas amenazas, por lo que no vale la pena perder tiempo en ellos en este post. Otra forma de guerra económica parece privar a una nación o región de conexión a Internet. Ya ha sucedido antes, a veces por accidente, otras veces por decreto del gobierno y de la acción del enemigo.

Los drones comerciales no tienen mucho en común con sus homólogos militares. Su gama y su carga útil son muy limitadas, y mientras un drone militar no tripulado, por lo general se puede perder el tiempo en un área por horas en extremo, la resistencia de los drones no tripulados de aficionados se limita a minutos en lugar de horas. Esto no quiere decir que no se pueden utilizar para el crimen; aún pueden invadir la privacidad de alguien, contribuir al contrabando de drogas a través de una frontera, o inclusive en llevar explosivos. Los vehículos autónomos están todavía en su infancia, por lo que no sienten la necesidad de discutir la miríada de preguntas que elevarán.

La privacidad sigue siendo una de las mayores preocupaciones relacionadas con Internet, expresadas por la persona promedio. Esto es comprensible; hemos pasado gran parte de nuestras vidas diarias dedicándolas a la esfera digital, poniendo nuestra privacidad en riesgo. La gente ni siquiera tiene que estar orientada específicamente en tener su privacidad y su integridad personal comprometida. La mayoría de los datos que abren paso en línea se liberan en forma de depósitos masivos después de un fallo de seguridad que afecta a muchos, si no todos, los usuarios de un servicio de una línea en particular. La gente va a seguir exigiendo una mayor privacidad, ya su vez los clientes demandarán una mayor seguridad de los ingenieros de software (que no son trabajadores de milagro y no pueden garantizar la absoluta seguridad y privacidad).

La vigilancia masiva se realiza generalmente por los gobiernos y no debe representar una amenaza para el ciudadano medio o negocio. Sin embargo, sigue siendo una amenaza potencial, ya que puede ser objeto de abuso para los trabajadores descontentos, gobiernos extranjeros, o por medio de las violaciones de datos. El otro problema es el coste enorme para el contribuyente; la vigilancia masiva no es barata y vamos a seguir viendo más de ella.

La mayoría de los gobiernos no se molestan con los programas de vigilancia y de metadatos en masa si no se enfrentan a amenazas muy reales. La misma tecnología desarrollada para mantener nuestras comunicaciones y actividades en línea privada puede ser objeto de abuso por todo tipo de personas no nos gustaría encontrarnos en un callejón oscuro. La lista incluye a los sindicatos del crimen multinacional, terroristas e insurgentes. Sin embargo, no toda esta comunicación debe ser cifrada y segura. El punto de la propaganda es para que sea ampliamente disponible para cualquier persona, el Internet ha dado a cada chiflado un teléfono inteligente y el mayor megáfono en la historia, con un alcance global, de forma gratuita. Puedes utilizar el Internet para reunir un millón de personas en torno a una buena causa en cuestión de días, pero los mismos principios se pueden aplicar a una mala causa. Si el público objetivo son las personas que desean unirse a un culto de la muerte con una inclinación por banderas negras, no necesitas un millón de personas, sólo unas pocas docenas.

La diferencia Entre la Ciencia y la Ciencia Ficción

A pesar de su inteligencia, los autores de la ciencia ficción que ayudaron a configurar la cultura popular en el siglo XX no vieron el futuro real que viene. Ellos no previeron exactamente el Internet, por no hablar de su profundo impacto en la sociedad.

Sentimos estallar tu burbuja, pero Terminators en Inteligencia Artificial (IA) aún no son una amenaza, y no la serán en el corto plazo. Las amenazas reales son más humildes, pero eso no quiere decir que podamos darnos el lujo de ignorarlas. No es necesario un Terminator para crear el caos, todo lo que se necesita es un par de líneas de código realmente desagradables que puedan alterar la infraestructura, causando todo tipo de problemas. No es necesario un autómata super-inteligente del futuro para causar daños. Dado que eBay no lleva Terminators, ya que es mucho más fácil que usar un drone fuera de la plataforma, programado para entregar una carga útil con un objetivo específico: las drogas a un traficante, o una carga explosiva a un VIP.

Pero estas no son las mayores amenazas, son amenazas potenciales simples: algo para un guión de Hollywood, no para un blog de tecnología.

Las amenazas son reales criminales en naturaleza, pero tienden a permanecer en el cyber real. No tienes que mover físicamente nada para mover el dinero sucio y la información en línea. La aplicación de la ley ya está teniendo dificultades para mantenerse al día con los delitos informáticos, que parecen estar empeorando. Si bien es cierto que la tasa de criminalidad en los países desarrollados está disminuyendo, estas estadísticas no pintan el cuadro completo. Hace unas semanas, la Oficina Británica de Estadísticas Nacionales (ONS) informó de un aumento del doble de la tasa de criminalidad de Inglaterra y Gales, un total de más de 11.6 million ofensas. Además la tasa de criminalidad tradicional continuó cayendo, pero las estadísticas indicaban 5,1 millones de casos de fraude en línea. El costo de la delincuencia física está bajando, pero el costo de la delincuencia informática está empezando a ponerse al día. Creo firmemente que la industria tendrá que hacer más para reforzar la seguridad, y los gobiernos tendrán que invertir en seguridad en línea y la prevención del delito, así.

En caso de que estés interesado en la ficción distópica y no encuentras a las amenazas criminales emocionantes, otro desarrollo aterrador sería la monopolización de datos: Un proceso en el que gigantes de la industria mantendrían una ventaja de competencia posible gracias a su amplia base de usuarios, como para hacer a la demás competencia sin sentido, y anulándola de este modo.

Sí, soy consciente de lo que los Terminators harán para un futuro más intrigante y para un blog más interesante, pero no estamos allí todavía.

Artículo via Toptal

 

 

Byaci

¿Cómo seguir el camino de la Ciberseguridad?

En 2019 la tendencia apunta que faltaran 1.5 millones de personas que cubran la demanda de puestos en ciberseguridad a nivel mundial. Cada vez son más los que trabajan en este ámbito con diferentes motivaciones y diferentes gustos en cuanto a la especialidad elegida.  Existen diferentes campos, herramientas y técnicas que se utilizan, de las cuales hablaremos en este post.

Lógica de programación.

Vale la pena mencionar la importancia saber lógica de programación. Como base deberías conocer algún lenguaje de scripting, siendo Python uno de los más utilizados. Además, es necesario estar familiarizado con bash y sus comandos, ya que si bien cada vez más nos encontramos con herramientas que tienen una interfaz gráfica, muchas de ellas se ejecutan a través de la consola.

Análisis de Malware

Por mencionar algunas herramientas.

Para hacer análisis dinámico, conviene tener un entorno virtual para ejecutar la muestra y hacer un seguimiento de las acciones que realiza sobre el sistema. Si bien hay una amplia variedad de herramientas que se pueden utilizar de acuerdo a los gustos de cada uno, hay algunas que por sus funcionaidades son claves. Por ejemplo, Process Monitor permite conocer acciones en el registro, sistema de archivos y conexiones de red. Y para monitorear el tráfico de red con el objetivo de detectar las direcciones de IP a las que se conecta el malware o las comunicaciones que establece, herramientas como Wireshark o Tshark son recomendables.

Después de recopilar información con el análisis dinámico tal vez convenga ir un paso más adelante y desensamblar la muestra para analizar más en detalle las acciones que realiza. Sin salir del entorno virtual, podemos utilizar herramientas como IDA para reconocer patrones en el código, si la amenaza tiene algún tipo de protección.

No podría dejar por fuera YARA, una herramienta bastante poderosa para detectar patrones cuando se están analizando diferentes archivos: sea para detectar la fecha de compilación de un ejecutable, encontrar información de geolocalización en imágenes o para la clasificación de malware, YARA es un aliado importante en las tareas que llevamos en el día a día.

Ethical Hacking

Lo más básico y lo necesario para manejar si lo tuyo es el ethical hacking y el penetration testing. Para empezar, tenemos NMAP, una herramienta de escaneo de redes que permite identificar qué servicios se están ejecutando en un dispositivo remoto, así como la identificación de equipos activos, sistemas operativos en el equipo remoto, existencia de filtros o firewalls, entre otros.

Por otra parte está NESSUS, que se puede utilizar para identificar vulnerabilidades en los servicios identificados durante el proceso de análisis. Esta herramienta posee una extensa base de datos de vulnerabilidades conocidas en distintos servicios y, por cada una de éstas, posee plugins que se ejecutan para identificar si la vulnerabilidad existe (o no) en determinado equipo objetivo.

No podemos dejar de lado a Mestaploit, un framework que nos va a permitir realizar la explotación de vulnerabilidades aprovechando su amplio archivo de exploits. Y para cerrar tenemos BeEF otro framework de explotación, pero enfocado en navegadores web.

Análisis Forense

Algunas veces el objetivo de las tareas del especialista en seguridad están enfocadas en analizar un ataque informático después de que ocurre. Con el objetivo de responder preguntas para determinar cómo y cuándo ocurrió el incidente, el origen del ataque, si fue exitoso y el alcance del mismo, hay algunas herramientas que pueden ayudar y en la mayoría de los casos recolectar información que luego pueda ser evidencia incontrovertible en procesos internos o incluso legales.

Siguiendo las fases que debería seguir todo análisis forense digital, podemos utilizar dc3dd, una herramienta de copia bit a bit que incluye ciertas características que facilitan la adquisición de imágenes forenses.

Si la tarea se trata del análisis de imágenes de discos, The Sleuth Kit es una alternativa. Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se encuentra disponible también para OS X y Windows. Además cuenta con una interfaz gráfica conocida como Autopsy que agrupa todas sus herramientas y plugins.

Y si se trata de análisis forense en entornos de red, buscando capturar tráfico, registros y eventos de red para descubrir el origen de un incidente o ataque, herramientas como NetworkMiner nos pueden dar una mano.

Desarrollo Seguro

Si algo debemos tener claro es que en seguridad informática no existen coincidencias, por lo que muchas veces los incidentes están relacionados con vulnerabilidades y fallas dentro del software utilizado. Es por esta razón que cada vez hay más profesionales que se interesan por el desarrollo seguro de aplicaciones.

Si bien existen marcos de trabajo y metodologías muy completas para lograr un desarrollo seguro, hay un modelo muy general que puede servirnos para no olvidar los aspectos más generales que debería tener. Su denominación, SD3, viene de sus siglas en inglés secure by design, by default, and in deployment. La idea de tener en cuenta estos tres aspectos presentes durante el proceso de desarrollo es obtener sistemas realmente seguros.

Gestión de Seguridad

Para aquellos que deciden enforcarse en la seguridad de la información de una manera más holística existe la necesidad de conocer estándares y normas que ese puedan utilizar dependiendo de la realidad de cada empresa. En este aspecto como mínimo es necesario conocer ISO 27001, uno de los estándares de gestión más populares. Y para complementar la gestión, en los aspectos de tienen que ver con la seguridad de la infraestructura no se puede pasar por alto ITIL, un marco  de trabajo que contiene las mejores prácticas para esta área de la compañía. Así como las Certificaciones de ISACA.

La realidad es que condensar toda la información acerca de herramientas y técnicas para trabajar en seguridad es una tarea de no terminar. Lo importante es conocer las bases.

Fuente:http://www.welivesecurity.com

Byaci

MouseJack – Hackeo de teclados y ratones inalámbricos

 

El uso de un ataque, que los investigadores de Bastille han llamado “MouseJack”, afecta a dispositivos inalámbricos, permitiendo a un hacker a menos de 100 metros de distancia, poder instalar algún malware mediante pulsaciones del teclado.

El problema radica en la forma en que el dispositivo de seguridad USB se comunica con el ratón, debido a que la conexión con el ratón no es cifrada, el dongle aceptará cualquier comando aparentemente válido. Por lo tanto, un atacante puede enviar paquetes que generan las pulsaciones de teclado en lugar de clics. Esto básicamente permite al atacante dirigir el equipo a un sitio web malicioso en cuestión de segundos. La empresa Bastille comentó que solo se requieren por lo menos 15 dólares en hardware y unas pocas líneas de código para llevar a cabo el ataque.

Esta vulnerabilidad está afectando a los productos de Amazon, Dell, Gigabyte, HP, Lenovo, Logitech y Microsoft. Algunas de las empresas están emitiendo parches y soluciones temporales, sin embargo muchos de los dispositivos fueron diseñados para no ser actualizados.

Es una gran amenaza para las personas y las empresas, ya que prácticamente cualquier empleado usa alguno de estos dispositivos, que puede quedar comprometido por un hacker para ser utilizarlo como portal para acceder a la red de alguna organización. Lo que es particularmente problemático es que casi cualquier persona puede ser una víctima potencial.

En respuesta de algunos proveedores, Logitech llama a esta vulnerabilidad “un camino difícil y poco probable de ataque”, sin embargo ya emitió un parche para ello. Lenovo ha emitido un aviso de seguridad y una actualización de firmware.  Los consumidores tendrán que consultar con su proveedor para determinar la seguridad de sus dispositivos.

mouse

Byaci

Ingeniería Social – El arte de engañar

El eslabón más débil de la cadena de la seguridad es el usuario, mediante el desconocimiento o exceso de confianza. Debido a que la mente humana llega a ser un recurso para almacenar información sensible esta puede ser atacada por cibercriminales mediante Ingeniería social, es la técnica con la que confunden o engañan al usuario según los intereses del cibercriminal; es la habilidad de manipular a las personas para eludir los sistemas de seguridad.

Existen diversos métodos que se utilizan para obtener información confidencial o reservada, entre los cuales podemos hablar de:

  • Obtención de Información: búsqueda de información que puede ser utilizada para penetrar en un sistema. Los atacantes crean un vínculo de confianza para animar al usuario a compartir información. La obtención de información puede utilizarse para atacar la seguridad lógica y perimetral de la Organización.
  • Piggybacking: es un método muy antiguo para realizar infiltraciones, esta técnica consiste en seguir a una persona sobre una zona de acceso restringido. También se opta por pretender suplantar a una persona para obtener el acceso legítimo de otra persona.
  • Phishing: Es una de las técnicas más conocidas para realizar un ataque de ingeniería social. Es el engaño de un correo electrónico que ínsita a visitar una web mediante enlaces que suplantan algún sitio oficial. En los últimos años en México se ha dado el caso de recibir correos de entidades bancarias y gubernamentales; obteniendo así datos personales que pueden terminar en un fraude.
  • Las cartas nigerianas: se conocen así a los mensajes que nos llegan invitándonos o a conseguir una gran cantidad de dinero a cambio de un pequeño desembolso inicial. Un caso frecuente es el de la herencia multimillonaria que ha tenido la gentileza de compartir con nosotros. Otra modalidad es el premio de lotería con el que hemos sido agraciados sin ni siquiera haber jugado.
  • Ataques por teléfono: realizar llamadas haciéndose pasar por otra persona, como un técnico de soporte o un empleado de la misma Organización.
  • Leer el lenguaje corporal: El lenguaje corporal puede generar con pequeños detalles una mejor conexión con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si la víctima parece nerviosa, es bueno reconfortarla.
  • Explotar la sexualidad: Un ingeniero social puede ganar la confianza al mostrarse atractivo para un individuo en la sociedad, e incluso salir con la persona y el desarrollo de una relación íntima. A veces, un coqueteo hará el truco, y el objetivo será proporcionar la información sin problemas de seguridad perimetral.

La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas tienen “habilidades sociales”. Grandes hackers han usado la ingeniería social en sus ataques y algunos han llegado a ser auténticos maestros del engaño, como el norteamericano Kevin Mitnick. Según Mitnick, la ingeniería social se basa en cuatro principios básicos de pura psicología: todos queremos ayudar, siempre tendemos a confiar de entrada en el otro, no nos gusta decir que no y sí nos gusta que nos alaben.

 

Cómo reforzar la seguridad

Una de las mejores prácticas para detectar los ataques de Ingeniería Social es concientizar y educar al personal. Educarles sobre ¿Qué es la seguridad? ¿Cómo poder identificar algún ataque? Y sobre todo reforzar que la información con la que operan puede ser el activo más valioso de la Organización. Otros métodos de seguridad pueden ser:

  • No divulgar información sensible con personas desconocidas, desarrollar en las personas el sentido razonable de la desconfianza.
  • Ser cuidadosos con los correos electrónicos, verificar la autenticidad del remitente y evitar abrir cualquier archivo adjunto proveniente de correos electrónicos de dudosa procedencia.
  • Crear contraseñas robustas, evitar utilizar palabras comunes y fáciles de adivinar.
  • La responsabilidad y el sentido común de cada persona puede evitar este tipo de ataques.
  • Hacer uso de antivirus y antispam.
  • Crear planes de concientización que pueden abarcar desde pláticas, videos, audios, mails e incluso realizar pruebas de ingeniería social hacia los empleados.

De acuerdo con expertos de International Institute of Cyber Security, si los empleados están condicionados a pensar y actuar de forma segura, es más probable que lo hagan cuando se enfrentan a una amenaza real.