Lo genial de la experiencia es que seguí la dinámica de desconferencia. En la cual el contenido de la presentación se fue modificando con la participación de los asistentes.

El escenario y planteamiento es sencillo… Bueno, antes el disclaimer OBLIGATORIO sobre la información presentada.

Comencemos…

Como primer apartado presenté una muy breve definición de Seguridad o (In)seguridad como la traté – Esto, a la ausencia de la misma.

Allí los asistentes presentaron sus definiciones de la triada que la componen.

Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

Integridad: Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

Disponibilidad: La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

Más información desde la wikipedia >>

A partir de allí realicé la siguiente reflexión:

Finalmente, ¿Quiénes son los responsables de la (In)seguridad? 

Aquí hice un inventario de los actores(roles) involucrados en la problemática. El grupo quedó así:

• Usuarios
• Webmasters
• Desarrolladores
• SysAdmins (Administradores de Sistemas)
• CISOs (Oficiales de Seguridad)
• CEOs
• Vendors(Vendedores de productos-servicios)
• Delincuentes Informáticos
• Gobierno/Ley/Judicialización

Una vez definidos los roles veamos al escenario:

Imaginemos (determinemos-seleccionemos) un reconocido sitio web (www.reconocidositioweb.com). La temática del sitio puede ser cualquiera de las que conlleven miles de visitas al día. Estas temáticas pueden ser noticias, educativas, redes sociales, entretenimiento, gobierno, servicios, etc…

Para ilustrar mejor el escenario propuse un pequeño resumen de estadísticas del reconocido Top Sites de Alexa(Colombia).

Esto con el fin de ilustrar de mejor manera los objetivos potenciales de este determinado escenario.

 En los recuadros seleccioné algunos sitios web más “locales” por así decirlo… Pues de alguna manera serían más susceptibles a ataques debido a que el publico objetivo es más regional.

Ahora realizo el siguiente cuestionamiento.

¿Qué pasa cuando el sitio web es vulnerado? Y digamos que con ataques comunes (Web dafacement, DoS, DDOS, full disclosure)

Veamos algunos ejemplos de este tipo de ataques a reconocidos sitios web:

Web defacement a elecciones.com.co

Web defacement a ejercito.mil.co

Web defacement a emisora.udea.edu.co

Full disclosure confidencialcolombia.com

Ataques DDoS

Esta serie de ataques podrían considerarse en muchos casos como “Hacktivismo“. Aun así continúan siendo delitos actualmente judicializables. Aclaro que el objetivo de mi publicación va más allá de entrar en debate sobre las actividades y motivaciones de estos colectivos y/o individuos.

Respondiendo a la pregunta (que obviamente cada uno viene haciendo desde que comenzó a leer el post) personalmente diría que este tipo de actividades en algunos casos (sobre todo en los de web defacements) no van más allá de la simple protesta política. Algunos otros relacionados con los DDoS y full disclosure si los considero más irresponsables por parte de sus causantes.

En definitiva,  la mayoría de estos ataques repercuten nacional e internacionalmente por su alto impacto social.

Ahora bien, ¿Qué pasa cuando el sitio web es vulnerado? (Ataques avanzados y persistentes NO APT) Es decir, cuando el atacante prefiere profesionalizar sus ataques delictivos e ir más allá de la protesta…

En este tipo de ataques hago referencia a los relacionados con la propagación de malware por medio de sistemas automáticos de explotación de vulnerabilidades en navegadores (Exploits packs & Crimepack) y los productos relacionados (Adobe Reader, Flash, Java, etc.)

Para entrar en contexto tomé otro resumen de gráficas de uso de navegadores, sistemas operativos y versiones:

Browsers

Versiones de browsers

Sistemas Operativos – Desktops

Sistemas Operativos – Móviles

Gráficas completas de uso en malware-project.org

Ahora, para el desarrollo de esta prueba de concepto tomé un reconocido sitio web e inyecté un iframe que cargaba otro sitio web preparado para la prueba con un sistema automático de explotación de vulnerabilidades con el objetivo de tomar una muestra estadística. Pero en este caso cargando un archivo “inofensivo” que permitía identificar la locación de la víctima, dirección IP, Si tiene o no cámara web, Sistema Operativa, CPU, RAM, Antivirus y Firewall. Nada más lejos de la información que se obtiene con cualquier troyano. Imaginemos entonces si en lugar de este archivo el atacante decide incluir un troyano estilo poison ivy, Darkcomet u otro.

Pero veamos primero el sistema de explotación y los datos recolectados.

Panel de estadísticas del exploit pack.

Estadísticas de exploits

Estadísticas Sistema Operativo & Browsers

Estadísticas por país

Ahora detallo la muestra y resultados

Toma de registros y variables a determinar

En esta tabla se registran las siguientes variables:

Minutos: Para el presente estudio, es la variable libre o independiente, es decir, no depende de ninguna de las otras, pues sus resultados no están ligados a los registros de las demás.

Se toma aleatoriamente los registros al minuto 17, 22, 25, 27 y 30. Se clarifica que no se tomó ninguna secuencia o patrón para seleccionar estos tiempos; Simplemente se toman aleatorimente para garantizar la independencia de los datos; es decir que los registros no estén sujetos a una serie o secuencia determinada.

Equipos: Esta variable hace referencia al número de equipos que visitan la página comprometida (atacada) en determinado tiempo, lo que indica que la misma es totalmente dependiente de la variable minutos.

Equipos vulnerables: Esta variable se califica como la principal en la presente investigación ya que la deseamos predecir estadísticamente.

La variable Equipos vulnerables desempeña la función de variable dependiente ya que sus registros están totalmente determinadas por el tiempo , es decir, por la variable minutos.

Análisis de la correlación

En estadística, la correlación nos indica el grado de asociación lineal que existe entre dos variables, es decir, en que dirección y con que porcentaje se relacionan las mismas.

Este índice de correlación varía entre –1 y 1 donde valores cercanos a uno positivo nos hablan de una relación directamente proporcional (a medida que aumenta una variable también aumenta la otra), y valores cercanos a uno negativo nos hablan de una relación inversamente proporcional (a medida que aumenta una variable la otra disminuye) .

En la tabla anterior se calcula la correlación de la variable Minutos vs. Equipos  vulnerables la cual es de 0.913777  o sea del  91% la cual es bastante alta y positiva. Esto nos dice que a medida que aumenta los minutos, aumentaran los equipos vulnerables lo cual era de esperarse . Ahora  como un porcentaje del  91% está muy cercano al 100% están dos variables tienen una relación lineal muy fuerte indicándonos buenos indicios para proceder a realizar una regresión lineal simple.

Análisis de regresión lineal simple

De la ilustración anterior observamos gráficamente el comportamiento de las variables Minutos vs. Equipos  vulnerables. Vemos que al ajustar una línea que explique la tendencia de los datos esta es de pendiente positiva  manteniendo la tendencia a aumentar  el número de equipos vulnerables a medida que aumentan los minutos corroborando lo dicho anteriormente en  el análisis de correlación. Además la  línea recta parece ajustar muy bien a los datos lo que nos indica que es adecuado realizar la regresión lineal simple.

Estimación de los parámetros de la recta de regresión

De la anterior ilustración observamos gráficamente el comportamiento de las variables Minutos vs. Equipos  vulnerables. Vemos que al ajustar una línea que explicamos la tendencia de los datos esta es de pendiente positiva  manteniendo la tendencia a aumentar  el número de equipos vulnerables a medida que aumentan los minutos corroborando lo dicho anteriormente en  el análisis de correlación. Además la  línea recta parece ajustar muy bien a los datos lo que nos indica que es adecuado realizar la regresión lineal simple.

Intercepto de la recta: Se refiere al ajuste de la recta cuando los minutos son cero, es decir si los minutos son cero, ¿cuantos serán los equipos vulnerables? En este caso no tiene sentido interpretar este parámetro, pues a cero minutos transcurridos, cero equipos vulnerables; entonces se decide dejar este parámetro para ajustar de manera mas confiable la recta ; pues este intercepto nos explica todo lo que la pendiente no puede explicar.

Pendiente de la recta: Este parámetro nos indica el grado de inclinación de la recta. Esta pendiente nos da la siguiente información:

Por el aumento de una unidad en la Variable X, en promedio cuanto aumenta Y. Concretamente ¿si aumenta un minuto, en promedio cuantos equipos van a explotar a la vulnerabilidad? Esta pregunta se resolverá al momento de estimar este parámetro.

Componente de error: Con respecto a la componente de error, en estadística toda modelación que se haga tiene un componente de error, la cual tiene en cuenta todo lo que el modelo no puede explicar, es decir, hechos o variables que no se pueden controlar como por ejemplo: el hecho de un corte de energía, caída de Internet, bajó en el servidor, etc.

Estimación de los parámetros de regresión

NOTA: Lo procedimientos para estimar los parámetros de una recta de regresión simple son procesos de cálculo matricial tediosos y complicados los cuales no es necesario mostrar; Por eso precedemos con el software especializado para estadística SAS a realizar dichos cálculos y en este documento sólo se muestra los resultados.

Anotación:

´ Y = Nos indica que ya estamos trabajando con datos muestreados, es decir vamos a inferir de una pequeña muestra que tomanos hacia algo general por tanto ya no colocomos la componente de error aleatorio.

Interpretación de la pendiente:

De la tabla anterior, tenemos que la pendiente estimada se da por B = 3.52632 la cual se interpreta así :

Por el aumento de 1 minuto, en promedio 3.5 aproximadamente 4 Equipos explotarán a la vulnerabilidad.

En la ilustración anterior (recta de regresión ajustada a los datos) se grafica la nube de puntos con la recta de regresión ajustada. La cual tiene intercepto A = 6.26316 Y pendiente B = 3.52632; a través de esta línea, podemos proyectar lo que sigue sucediendo a medida que aumentan los minutos, simplemente siguiendo el comportamiento creciente de la línea. Así:

En la ecuación de la recta Y = 6.26316+3.52632(X) queremos saber el valor de Y cuando X toma un valor determinado; Remplazamos el número de minutos que deseamos y realizando los cálculos respectivos, tendremos el valor de nuestra variable respuesta (Equipos vulnerables).

Predicciones del modelo de regresión

El mayor potencial de los modelos de regresión es la capacidad de predecir datos futuros; y para el presente estudio, queremos precisamente proyectar  cuantos equipos se van infectando a medida que aumenta  los minutos, de esta manera calcularemos el valor futuro  de cuantos equipos explotan a la vulnerabilidad si pasa un día , una semana o un mes.

Predicciones dentro del mismo rango:

En  la tabla anterior, realizamos una evaluación de la predicción, es decir, comparamos el valor real de equipos vulnerados con respecto a los que predice nuestro modelo con su respectivo intervalo de confianza; Por ejemplo al minuto 17, 65 equipos explotaron a la vulnerabilidad  y nuestro modelo predice que se  explotaron 66; con un intervalo de confianza entre  (60.651 y 71.770) lo cual me dice que el mínimo de equipos vulnerados en 17 minutos pueden ser aproximadamente 60 y el máximo 71, vemos como el valor real queda incluido en el intervalo , por consiguiente nuestro modelo predice de una manera muy apropiada el número de equipos vulnerados al transcurrir determinado tiempo. Tengamos en cuenta que este intervalo se realiza con un 95% de   confianza , es decir, tenemos una probabilidad de equivocarnos  del 5%.

Diagrama de dispersión

En la ilustración anterior se observa gráficamente algunas de las proyecciones en horas;  vemos como después de predecir 20 horas sigue intacta la tendencia  de los datos.

Resultados en horas de las predicciones del modelo de regresión

En la  tabla anterior se observan los resultados de las proyecciones que arroja el modelo. Por ejemplo en 22 horas, aproximadamente se infectaran 4,661 equipos. En la ilustración siguiente se observa el crecimiento en minutos por medio de las barras.

Resultados en días de las predicciones del modelo de regresión

En la  tabla anterior se observan los resultados de las proyecciones que arroja el modelo  en días; por ejemplo en 8 días, aproximadamente se infectarán 74,482 equipos. En la siguiente ilustración se observa el crecimiento en horas  por medio de las barras.

Por lo tanto…

Volvamos a los actores involucrados que hacen posible que este tipo de ataques se lleven a cabo…

No actualizamos, no usamos antivirus-FW, tenemos malos hábitos de navegación, no nos educan… Y siempre dicen que tenemos la culpa…

La reflexión será… ¿Realmente somos nosotros los responsables de nuestra (In)Seguridad?

Los webmasters tampoco actualizamos, no probamos o testeamos lo que usamos, utilizamos cualquier CMS o componente por su funcionalidad y no por su seguridad… En definitiva casi siempre nos dedicamos exclusivamente al contenido…

Los desarrolladores no actualizamos, no practicamos el DSLc (Ciclo de vida de desarrollo de software)… En la mayoría de casos… Si nos funciona, dejamos así…

Los administradores de sistemas tampoco actualizamos, no monitoreamos, en la mayoría de los casos no nos importa la seguridad… Finalmente nos escudamos diciendo que solo hacemos lo que dice el de seguridad…

Los oficiales de seguridad no actualizamos igual (“a los h4x0rs no nos pasa nada”), muchos nos quedamos en la escuela y no nos metemos en el ambiente real… No nos importa que funcione sino que sea “seguro”… Finalmente solo podemos hacer lo que diga el CEO ($$$)

Los CEOs menos que actualizamos, además de eso no nos importa… La mayoría ni tenemos un PC… Finalmente decimos… “¿Quién nos va a atacar?”

Ejemplo los de Adobe reader, flash, java, quick time, IE, FF, etc, etc, etc Siempre dirán: La culpa es de los usuarios, la culpa es de los devs y sobre todo de los CISOs.

Simple y claramente…

En este post prefiero no opinar al respecto (prometo hacerlo en el futuro)

O por lo menos esa es la conclusión a la que llegamos en dicha conferencia… Obviamente cada uno sacará la suya y espero la comparta por medio de los comentarios…

Aclaraciones & Reflexiones

Posiblemente existan otros roles-actores a involucrar. Siéntanse libres de agregarlos por medio de los comentarios. Ojalá con conclusiones.

El estudio estadístico no es un resultado 100% aplicable, aunque si muy aproximado… Pues obviamente los horarios de visitas varían, no siempre se tienen nuevos usuarios, etc…

¿Que pasaría donde se utilizara un exploit pack con exploits para bugs del tipo zero day (0 day)?

Que no incluya comentarios sobre legislación y gobierno no quiere decir que desapruebe lo actual… Al contrario, considero que en nuestro país existen normas y leyes a la altura del estado actual de la tecnología… No lo hago debido a que considero oportuno realizar todo un post sobre este tema…

Existen muchas otras razones por las cuales cada uno de los actores son responsables… Solo ilustro algunas… Espero sean complementadas (como se realizó en la conferencia) por medio de los comentarios…

Cuando recuerde algunas otras reflexiones y aclaraciones, las incluiré…

La presentación parte desde la definición general del concepto Auditoría: “Evaluar las debilidades de un sistema” y nos propone no limitar el alcance de la misma… “No solo explotar el sistema”…

Nos invita a “repensar” o reflexionar sobre el estado de la seguridad de la información… Pero no desde el lado empresarial, sino desde el lado de los actores involucrados (Investigadores, Pentesters, Ethical Hackers, Consultores). Pues existe la mala práctica de muchos “profesionales” que solo limitan sus actividades de Pentesting a la ejecución de herramientas automatizadas y la explotación del mismo, para presentar un reporte de que si pudieron vulnerar el sistema… Es justo allí donde se plantea la reflexión del trabajo que realizamos los investigadores… ¿Qué es lo que quremos hacer?

Este año el evento está repleto de conferencias, talleres y demostraciones… Todas ellas enfocadas al uso, configuración y puesta en marcha de soluciones dirigidas al software libre y a el compartir conocimiento.

El listado de conferencias es el siguiente:

Los talleres corren por cuenta de:

Y las demostraciones por:

Este año además se incluirá un espacio de MiniBarCamp, el cual estará destinado a la presentación de DesConferencias por cualquier persona que esté dispuesta a compartir conocimiento.

Aunque este año no participaré como conferencista, si asistiré como espectador de varias conferencias, demostraciones y talleres…

Quién sabe… Hasta me animo y hago una desconferencia… Finalmente el objetivo es compartir, saludar a l@s amig@s, conocer proyectos y personas que tienen intereses y gustos similares.

Para más información sobre el evento (registro, hora, lugar y contacto) pueden visitar el website oficial del evento >>

Recuerden entonces que la cita es este próximo sábado 9 de abril… Allá nos vemos

Según investigación del periodista de la revista Enter Lui Iregue, afirma que de acuerdo con el más reciente estudio realizado por The Economist Intelligence Unit para Kroll – una empresa de inteligencia empresarial -, titulado Global Fraud Report, Colombia ocupa el segundo puesto en los países más victimizados por el fraude, sólo detrás de China y por delante de Brasil. Afirma el columnista que ele studio de Kroll establece que el fraude y el hurto de información por primera vez en la historia han superado los otros tipos de fraude en el mundo, y el dice que el “el 94% de los negocios colombianos sufrió algún fraude en el último año, en comparación con el 88% global”. El 21% está en la categoría de fraudes electrónicos, que incluyen hurto de información y ciberataques (a sitios web e infraestructura de las empresas), y el porcentaje podría crecer en los próximos años.

Continúa leyendo desde Slideshare >>

Dejo a continuación el comunicado oficial de LowNoise:

LOWNOISE WARGAME (LNWG)

Para el 3er. Congreso Nacional de Hacking Ético (3CNHE), organizado por la Universidad Minuto de Dios, el LowNoise Hacking Group ha desarrollado un wargame (concurso de hacking) basado en retos, en ocho (8) dominios o categorías, así: Redes Inalámbricas (WiFi), Criptografía, Seguridad Web, Ingeniería Inversa, Redes TCP/IP, Exploiting, Esteganografía y Evasión.

En cada dominio, el participante deberá utilizar INGENIOSAMENTE sus conocimientos, para resolver retos específicos, que le permitan tener acceso al TOKEN respuesta, para obtener puntos. En cada reto, el participante podrá solicitar pistas, a cambio de puntos, si necesita una ayuda. En cada dominio se encontrarán retos de diferente dificultad, por lo que cualquier persona puede participar. Los participantes con mayores puntajes al final de evento, recibirán premios por parte de la organización del Congreso.

¿Qué necesito para participar?

Ganas, mucho ingenio, portátil con interfaces Ethernet cableada y WiFi, cable de red, herramientas a su gusto, etc. (NOTA: Para los que deseen, en el evento LNHG tendrá a la venta DVDs de videos de hacking de niveles Básico y Avanzado, con una carpeta de Herramientas – relevantes al LN WarGame).

Continúa desde el sitio oficial del WarGame, con toda la información y los formularios de registro >> #LNWG

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org

El video ha sido publicado por el equipo PoisonClub.com.ar

El video ha sido publicado por el equipo PoisonClub.com.ar