sábado, 29 de septiembre de 2012

"Jabalí a lo Flu" Protocolo WEP: Funcionamiento

Esta semana me quedo con el artículo de Pablo González sobre WEP y es que este tipo de explicaciones es fundamental para entender las como proteger o atacar un protocolo, y cuando lees un post de estas características siempre descubres algo nuevo.

En este artículo se tratará uno de los protocolos más castigados por la historia, el protocolo de sistemas Wireless WEP. WEP significa Wired Equivalent Privacy, y es un protocolo que no ofrece ningún tipo de seguridad en una red inalámbrica. Realmente, decir que no ofrece ninguna seguridad es algo irreal, ofrece seguridad, pero lo que ofrece es obsoleto y se conocen diversas maneras de descifrar el contenido de las tramas que van cifradas con WEP.

Últimamente me ha tocado pasar horas con WEP y WPA, y terminar de entender su funcionamiento a un nivel más o menos bajo. En este caso, toca destripar a WEP, sus conceptos y su funcionamiento. Entender como funcionan realmente los protocolos es una de las cosas que más interesante me resulta, quién sabe quizá en un futuro toque escribir de ello de manera más formal… Bien, ¿Preparados? Comenzamos…

Hay que diferenciar entre la autenticación, confidencialidad e integridad. El protocolo WEP no ofrece una gran capa de seguridad en ninguna de estas 3 fases. En primer lugar veremos la autenticación, en la cual se distinguen dos métodos:
  • Open System
  • Shared Key
Open System deja autenticarse a todos los clientes en el punto de acceso, mientras que el método de autenticación Shared Key requiere que el cliente envíe un mensaje solicitando conexión, el punto de acceso contesta con un desafío, el cual debe ser cifrado por el cliente y reenvíado al punto de acceso, si éste puede descifrarlo la autenticación es válida.

La fase de confidencialidad dispone de los siguientes elementos:
  • RC4. Es el algoritmo utilizado para generar el keystream, el cual se define más adelante.
  • IV. Vector de inicialización, son la parte dinámica de los keystream. Cada trama lleva un IV distinto, siempre que se pueda, ya que son generados aleatoriamente. Cuidado, el IV va en la parte NO cifrada de la trama WEP.
  • RC4 es simétrico, con la misma clave que se cifra se puede descifrar.
  • La creación del keystream dispone de 2 fases: KSA y PRGA

En la imagen se puede visualizar el proceso que se lleva a cabo para formar la trama WEP que se enviará, ya sea del AP al cliente o del cliente al AP. pero comencemos por partes, La shared key es estática, es la típica clave que configura el dueño de la red en el punto de acceso, o en casa en los router WiFi, la típica de 5 caracteres o 10 hexadecimales, o la de 13 caracteres o 26 hexadecimales… Los IV, como se ha dicho anteriormente, van cambiando aleatoriamente en cada trama enviada. La concatenación del IV y la clave estática es pasada al algoritmo RC4 como entrada, la salida de este algoritmo produce el KEYSTREAM

Este KEYSTREAM es realmente el que generará el cifrado mediante la operación lógica XOR. El resultado de la operación lógica XOR entre el KEYSTREAM y el texto plano da como resultado la parte cifrada de la trama WEP. Hay que hacer un inciso, ya que la integridad se calcula sobre el texto plano, mediante el ICV como se puede visualizar en la imagen.

La operación XOR es una operación cuya inversa genera el resultado inicial, ¿Cómo? explicamos a continuación, pero antes recordemos su tabla de verdad:


Solo cuando las 2 entradas son iguales, el resultado es 0, si no el resultado de la operación es 1. Por lo que se puede entender que A XOR B XOR B = A, ¿Qué se quiere decir con esto? Bien, cuando el cliente genera la parte cifrada de la trama se utiliza un KEYSTREAM XOR texto, obteniendo un CIFRADO.


Cuando el AP reciba esa trama si le aplica el mismo KEYSTREAM XOR CIFRADO obtendrá el texto, en otras palabras texto XOR KEYSTREAM XOR KEYSTREAM = texto.
 
El Keystream se crea mediante el algoritmo RC4, el cual recibe como entrada un seed o semilla, que es el IV, y la clave estática. En la siguiente imagen se puede visualizar como queda formado la trama WEP.

¿Qué problemas tiene WEP?
Por el uso de la clave estática se puede realizar ataques de observación y gracias a la estadística conseguir sacar el patrón de la clave, y de este modo conseguir la clave estática.

El IV se envía siempre en claro, por lo que son captados por cualquiera, además de los 24 bits de los que están compuestos que es un valor demasiado corto. Recolectando un número alto de IVs se puede, mediante ataque estadístico descifrar la clave. La autenticación se realiza del AP al cliente, pero no del cliente al AP, por lo que el cliente no sabe realmente si se conecta al AP que dice ser. Por esta razón existen los Rogue AP, o MITM a través de un AP.

 


viernes, 28 de septiembre de 2012

Windows Server 2012 IT Pros

Hace unos días se publicaba la edición de un nuevo libro de informatica64 en Windows Técnico, en este caso el de Windows Server 2012 para IT Pros.

La verdad es que de todos los libros de informática 64 me parecen interesantes pero los de sistemas operativos son prácticamente obligatorios si te interesa la seguridad o eres administrador de redes.

Realizado el pedido, ya escribiré mi opinión por aquí cuando lo lea. Revisando el índice del libro parece un trabajo muy completo, incluido algún capitulo de Power Shell que me imagino que escribiría nuestro amigo Pablo de Flu-Project. 

Esperemos que complementen este ejemplar con otro libro sobre la versión de cliente: Windows8 que también puede ser muy interesante, mientras tanto si quieres profundizar más en el conocimiento de los Sistemas operativos de Microsoft un volumen imprescindible es Power Shell: La navaja suiza de los administradores.


Seguridad a lo Jabalí para Todos!!

jueves, 27 de septiembre de 2012

Bitácoras 2012

Llegan los premios Bitácoras 2012 uno de los acontecimientos en los que los lectores podemos premiar el trabajo de los blogs que leemos durante el año.

En una primera fase, entre el 6 de septiembre y el 9 de noviembre, los usuarios podrán nominar sus blogs favoritos (5 por categoría).Del resultado de las votaciones, Bitacoras dará a conocer el 12 de noviembre los 3 finalistas por cada una de las categorías.

El 14 de noviembre se dara a conocer la composición del Jurado que designará, entre los finalistas escogidos por el público, quiénes son los ganadores en cada una de las categorías (a excepción de Mejor Blog del Público). Como es lógico, ningún miembro del Jurado podrá ser a la vez candidato a los Premios.
 
El 23 de noviembre, se hará público el nombre de los ganadores de la octava edición de los Premios Bitacoras en la ceremonia de entrega que tendrá lugar en interQué2012.

Desde el Blog Oficial de los Premios Bitacoras2012 puedes seguir las clasificaciones de cada categoría, así como cualquier novedad sobre el certamen.

Seguridad a lo Jabalí para Todos!!

miércoles, 26 de septiembre de 2012

¿Qué es Exploit?

Una de los objetivos de este blog es que sea comprensible para la mayor parte de los usuarios de la red, hacía tiempo que no explicábamos "A lo Jabalí" algún termino de seguridad informática. Últimamente se escucha mucho los términos exploit, vulnerabilidad, permite ejecutar código y mucha gente nos está preguntando ¿si esto es seguro? ¿Aquello se puede instalar? ¿Si hay una persona controlando mí equipo? ¿y puede encender mi cámara?
-La respuesta es ¡Sí!

Vamos a ver si podemos resolver una serie de dudas sobre todas estas cuestiones….
El software hoy en día es muy complejo, muchas personas trabajan en su desarrollo y cada una o mejor dicho, cada equipo de muchas profesionales crea una pequeña parte del programa, estos compañeros que la mayoría son muy buenos en su trabajo (que el software realice su función de forma rápida y preferiblemente agradable gráficamente) se enfrentan con varios problemas fundamentales:

  • Los tiempos de producción son muy ajustados en un mercado muy competitivo.
  • No han recibido formación en seguridad informática y desarrollo seguro.
  • Errores inherentes a la programación y el ensamblado de millones de líneas de código.
Esto deriva en una consecuencia lógica, el software, cualquier programa contiene errores, ahora hay que averiguar ¿Qué sucede si se produce ese error?


Entra en juego el Hacker, un investigador de seguridad informática que va a verificar si puede forzar ese error, en muchas ocasiones  implementando software y aprovechando ese fallo para que la maquina realice otra función diferente. Normalmente se desarrolla una prueba de concepto en la que por ejemplo al cargar el navegador una página ejecuta un complemento o permite que el servidor ejecute software en la pc víctima (muchas veces la calculadora).

A partir de ese momento la empresa (si es responsable, que no siempre ocurre) intentara solucionar la vulnerabilidad y publicar una actualización de seguridad para ese software, mientras tanto los chicos malos intentaran desarrollar un software que aprovechando ese error permita infectar las maquinas del mayor número de usuarios. Ese software es el Exploit.

Hay diferentes tipos de error en el software, algunos no permiten ejecutar código simplemente bloquean o saturan el equipo lo que provoca la famosa Denegación de Servicio (Eso puede significar la perdida de mucho dinero en ciertas empresas).

Otros sí que permiten ejecutar código en el ordenador, a veces con privilegios mínimos, aunque esto no los hace menos peligrosos pues se combinan con otros errores para realizar un proceso que se denomina Escalada de Privilegios, es decir ejecutar con cuentas de Sistema o Administrador y los derechos asociados para realizar más funciones.



Debido a todos estos factores es fundamental que todo el software de la computadora este actualizado, utilizar una cuenta de usuario con pocos privilegios, si es Windows mantener activo el Control de Cuentas de Usuario(UAC) y sobre todo el Sentido Común, no hagas click en cualquier enlace, tomate un tiempo para aceptar esas ventanas emergentes que te piden permiso para instalar complementos y otro tipo de software. 

Seguridad a lo Jabalí para Todos!!

martes, 25 de septiembre de 2012

Búsquedas "curiosas" 3

En esta sección en la que pretendemos entender ¿Que imagina la gente que va a salir en una búsqueda en Google con estas combinaciones de palabras? y resulta que al final terminan en Seguridad Jabalí.

Comenzamos la semana como siempre sorprendidos y es que la curiosidad humana parece ser que no tiene límites, y las personas buscan en la red sobre los temas más insospechados, quizás pensando en la falsa sensación de anonimato que muchos todavía creen, hoy utilizamos esta imagen porque una de las búsquedas que encontramos fue...

Fondo de escritorio de la policía nacional, es decir alguien está interesado en saber ¿Qué fondo de escritorio tienen los oficiales de la policía?.

Bueno ya que sabemos, que algunos de nuestros lectores “utilizan arma reglamentaria” esperamos que nos dejen un comentario por aquí con la aclaración del fondo de escritorio que utilizan, por el momento dejamos esta sugerencia que nos parece buena para un fondo de escritorio (es caso de ser una agente se admite similar en varón).

Otro de los aspectos que nos está llamando mucho la atención es que parece ser que la búsqueda por imágenes es una de las más habituales, y en lo que se refiere al posicionamiento en los buscadores tiene mucho peso el nombre de la fotografía.

Un dato muy a tener en cuenta si queremos que nuestro blog o pagina web salga en determinadas búsquedas.

Gracias a las palabras empleadas en determinadas consultas podemos averiguar si los usuarios están sufriendo problemas con una página, un servicio o como en este caso una aplicación y es que parece que los “pájaros” están rebeldes.


Además se puede deducir si la búsqueda se realizo con prisa “roubar wifi”. 

Agradecer toda la colaboración de los que nos enviáis "vuestras búsquedas curiosas" como esta de Jose Moruno en SniferL4b's.


Seguridad a lo Jabalí para Todos!!

sábado, 22 de septiembre de 2012

"Jabalí a lo Flu" Entrevista a David Hernández (Dabo)

En la sección semanal de Jabalí a lo Flu seguimos con la entrevista a David Hernández por aka Dabo. Podría contaros que Dabo es uno de los profesionales que más sabe de muchos de los sabores de Linux especialmente Debian, que sabe otro tanto de seguridad informática, la de verdad, en las trincheras. Pero no voy a contaros nada de esto porque además de un gran profesional es un gran tipo (y no lo digo por el casi 1,90) así voy a contaros como  lo conocí yo...

Juan Partearroyo de la empresa Sercomp, profesor (el responsable del nombre de mi blog, “A lo Jabalí” es una expresión de Juan que escuchaba como alumno) y yo teníamos un café pendiente cuando me llego una invitación para asistir a una Jornada de Seguridad Informática en Área Tic así que lo llame al teléfono:
  • Hombre!! ¿Qué tal?, tenemos un café pendiente Angel pero es que llevo una semana.
  • Nadaaa, me imagino. Llamo por si necesitas que vaya antes para ayudarte con algo.
  • Nooooo, esta todo controlado ¡Felicidades por el Blog!! Ya vi el titulo Ja,ja,ja… pero puedes venir un poco antes y te presento a un chaval muy majo que también escribe un blog, Dabo.

El recinto donde se celebraban las jornadas está en una zona de Oviedo que ha cambiado mucho, muchas edificaciones nuevas (eran tiempos del ladrillazo) y aunque esta a 5 o 6 calles de mi casa no encontraba el edificio, así que teléfono…

  • Oye Juan que no encuentro el edificio, y llevo un rato dando vueltas.
  • Ja,ja,ja ¿nada donde estas? Ok pasó a recogerte con el auto en cinco minutos.
Apenas me estaba subiendo al automóvil, suena el teléfono de Juan.
  • Oye soy Dabo Que no encuentro el edificio, estoy aparcado aquí en…
Cinco minutos después se subía al automóvil…
  • Hola soy David!!
No tengo que contaros que la charla de Dabo fue increíble, relatando su experiencia en casos reales de seguridad informática, con alguna anécdota buenísima, y muchos buenos consejos. El resto de la tarde principalmente lo pase escuchando, cuando hay un profesional que sabe 100.000 veces más que uno y se puede aprender mucho entre humo y risas.

Escuchando atento las conversaciones descubrí a una persona amable, un profesional humilde, también muy inteligente que lleva lo suficiente en esto para explicar las cosas con tranquilidad, sin alarmismos y mucha modestia pero con muy buena letra.
Y así fue la historia de cómo conocí un amigo, un excelente profesional y una persona muy, muy grande (además del 1,90), un abrazo Dabo!!


viernes, 21 de septiembre de 2012

I Lost one Feed

Ayer publicamos un artículo expresando nuestra opinión sobre las nuevas condiciones de los servicios online de Microsoft. En el blog Zoom Red descubrimos que se estaba realizando una campaña de infección de equipos, suplantando el mail que Microsoft envía informando de las condiciones del servicio.
En Segu-info hoy se publica el artículo de Javier sobre este tema en Zoom Red.

Hasta aquí nada fuera de lo común, lo extraño es que aunque el artículo de ayer esta publicado y aparece en el lector de RSS, por algún motivo no se envía a los lectores, tampoco aparece en IGoogle y además parece ser que los envíos a nuestros suscriptores por mail van un poco lentos.
Este hecho nos resulta bastante curioso porque no suele suceder, el caso es que se ha perdido el envío a los lectores de RSS de nuestro post de ayer.


Chema Alonso ya mencionaba la posibilidad de que surgieran estos inconvenientes cuándo presento el Proyecto DUST, en el que os animo a participar de momento yo voy a leer el manual de DUST más detenidamente por si acaso.

En la imagen el post y el feed de la noticia están publicados.


En esta cuenta verifico que las suscripciones por mail funcionen correctamente, además siempre está bien mantener una copia extra de los contenidos de los posts. 

Pero al verificar en la parte del cliente parece ser que este articulo nunca existió, si sigues el blog mediante canales de lectura RSS posiblemente nunca llegues a leer este post (tampoco es que te pierdas mucho ja,ja,ja). 

Los motivos para que esto suceda pueden ser varios:

  • Error técnico de Google, un volumen enorme de clientes, constantes actualizaciones para mejorar el servicio es lógico pensar que esto puede pasar “puntualmente”.
  • Filtro antispam (el motivo más convincente), en el artículo hay varios enlaces a Microsoft un sistema de filtro automatizado podría creer que formo parte de la campaña de malware que suplanta el correo original, si este es el caso “sacrifico mi post con mucho gusto” a favor de una red más segura.
  • La Censura me parece la menos probable de “las teorías conspiratorias” contra mi humilde post, más que nada porque hablaba de Microsoft no de Google.


    Nada en IGoogle....


    Nada en Blogger....

    Nada en Gmail....
Ayer no hubo... Seguridad a lo Jabalí para Todos!!

jueves, 20 de septiembre de 2012

Microsoft en la Nube Condiciones del Servicio

En la actualidad utilizamos muchos servicios en la red, desde la explosión de la tecnología con los dispositivos móviles todavía más: navegamos, enviamos y recibimos correo, almacenamos en la nube, etc...

Lo que NUNCA hacemos es leernos las condiciones de todos esos servicios que utilizamos, con lo que la privacidad de nuestros datos muchas veces no se trata con la suficiente seriedad, para aumentar beneficios a la empresa que prestamos nuestros datos eso sí.

Hoy recibía un mail indicando un cambio en el servicio de condiciones del contrato para los servicios Online de Microsoft, a partir del 19 de Octubre.

¿Qué servicios están cubiertos por este contrato?
El presente contrato se aplica a Microsoft Hotmail, Microsoft SkyDrive, la cuenta de Microsoft, Windows Live Messenger, Galería fotográfica de Microsoft, Microsoft Movie Maker, Microsoft Mail Desktop, Microsoft Writer (todos los anteriores se denominan colectivamente en el presente los "servicios de la marca Microsoft"), Bing, MSN, Office.com, así como a cualquier otro software, sitio web o servicio que se vincule a este contrato (colectivamente, los "servicios").

Contrato de Servicios Microsoft

No hay muchas diferencias en las condiciones que “tenemos que aceptar” si queremos utilizar el servicio, básicamente pueden hacer lo que quieran con nuestros contenidos.

[Click en la Imagen para Aumentar]


Nos indican claramente que debemos cumplir con las directivas de correo no deseado y respetar su código de conducta, y los enlaces para leer dichas normativas.
Directivas de Microsoft contra correo no deseado
Código de conducta de Microsoft

Una lástima que cuando hablan de respetar las leyes (la de protección de datos LODP o las de privacidad de La Unión Europea) no nos dejen algún enlace y hablando de privacidad algunas declaraciones “son interesantes”…

 
[Click en la Imagen para Aumentar]

Declaración de Privacidad de Microsoft

En resumen frases ambiguas como “utilizamos cierta información” o directamente erróneas como “las cookies solo pueden leerse en el servidor” dejan demasiado control de nuestros datos sin mucha explicación, permiso expreso para interceptar y modificar nuestras comunicaciones (eso sí con métodos automatizados) y censura de contenido CON o SIN Motivo, si es que cada día estamos mejor!!

Y para compensar todas estas exigencias del servicio y el elevado control de nuestros datos y privacidad que otorgamos a Microsoft, nos da todas las garantías.

Nota reciente: Hay una campaña suplantando este mail de Microsoft, mucho OJO!!
Esta explicado de forma genial en el blog de nuestro amigo Javier, enlace al artículo en Zoom Red.

Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias