Radar COVID

Tras largo tiempo sin publicar una entrada en el Blog, me he animado a escribir acerca de una App que podría llegar a ser muy útil en el control de la pandemia por SARS-CoV-2 (COVID-19) en España, Radar COVID.

Ha sido desarrollada por INDRA, en principio será de código abierto de acuerdo al principio PUBLIC MONEY, PUBLIC CODE pero de momento el código no ha sido liberado. Parece ser que cuando el 15 de septiembre esté la aplicación disponible en todo el territorio español será publicado.

En principio sólo necesita permisos sobre el bluetooh (vincular con dispositivos bluetooth), tenerlo activo y tener acceso a la red.

La App utiliza el bluetooth para recolectar y compartir IDs/ códigos aleatorios con otros teléfonos de forma segura. En una entrevista de radio escuché a uno de los desarrolladores hacer referencia a IDs "semialeaotorios", ¡ay lo semialeatorio! ¡Miedo me da! El tiempo dirá si tiene vulnerabilidades importantes.

El terminal almacena los códigos de los terminales con Radar COVID con los que te cruzas a menos de dos metros y durante al menos 15 minutos en los últimos 14 días.

En teoría (ya se verá), al no recoger datos de carácter personal, ni teléfono, ni nombres, ni correos directamente, se comunica con el servidor central de forma anónima con los códigos aleatorios mencionados anteriormente cuando el usuario comunique su positivo a la App.

El usuario introducirá un código en la App que le proporcionará un profesional del Servicio Público de Salud, tras su confirmación de positivo por PCR. En ese momento la App notificará y dará instrucciones a los usuarios con los que se haya cruzado el usuario que ha notificado el positivo a menos de dos metros, durante al menos 15 minutos en los últimos 14 días.

 

Para que esta App sea productiva debe usarla cuanta más gente mejor y para ello hace falta más información al respecto. Esta información debería generar confianza y compromiso por parte de la sociedad. Según he podido leer no es compatible con cualquier versión de Android e IOS, por lo que habrá terminales, los más antiguos en los que la App no funcionará. Esto me parece un inconveniente.

Por otro lado, la Sociedad puede desconfiar de que una App del Gobierno no haga sólo lo que dice que hace, como lo hace y no instalársela. Pero lo mismo que con cualquier otra, no tenemos más remedio que confiar en ellas. Dada la importancia de la pandemia considero que la debemos instalar y formar parte del sistema de lucha contra "el bicho".

Antes de terminar la entrada te planteo, ¿podrían usarse este tipo de Apps como excusa de los Gobiernos para vigilar digitalmente al pueblo? ¿Acaso no crees que ya lo hacen por otros medios?

Estaremos vigilantes. Me encantaría que me dejaras algún comentario con tu opinión al respecto, si la usas, si tienes pensado usarla, o por el contrario no la vas a usar y los motivos.

Hasta la próxima. 

Fuentes:

https://www.newtral.es/radar-covid-app-rastreo-espana/20200810/

https://www.sspa.juntadeandalucia.es/servicioandaluzdesalud/ciudadania/consejos-de-salud/nuevo-coronavirus-informacion-sobre-la-alerta/app-radar-covid 

https://www.mineco.gob.es/portal/site/mineco/menuitem.ac30f9268750bd56a0b0240e026041a0/?vgnextoid=359f50a4c34b3710VgnVCM1000001d04140aRCRD&vgnextchannel=864e154527515310VgnVCM1000001d04140aRCRD

Fases de un Test de Intrusión

Buenas! Hoy recojo en esta entrada un resumen de algunas partes de unos libros de 0xWord (que pondré al final de la entrada como referencias) que he leído y de un curso de Introducción al Pentesting en DaragonJar que he realizado. Como disclaimer decir que esta entrada sólo pretende ofrecer información y no pretende favorecer la intrusión sin permiso en sistemas ajenos.

A continuación se expondrán las fases de las que consta un Test de Intrusión o Pentesting (Penetration Testing), es importante hacer constar que el orden importa. De lo contrario, se podría poner en riesgo la propiedad intelectual y privada y/ o el entorno de producción del cliente o incluso producir un incumplimiento del contrato con las correspondientes consecuencias que podrían derivarse de estos hechos.

1. Alcance y términos del Test de Intrusión

Esta es la fase en la que se lleva a cabo la redacción del contrato firmado por las partes que recogerá los objetivos que la Organización pretende alcanzar, así como los límites de dicho Test. De esta forma queda legalmente registrado y se proporcionan las coberturas legales necesarias a las partes. También es común firmar un NDA (documento de confidencialidad) por el que se prohíbe la utlización y divulgación de cualquier información a la que se tenga acceso durante el proceso más allá de lo estrictamente necesario para llevarlo a cabo. Las limitaciones se establecen en función de diferentes criterios como preservar la estabilidad del entorno de producción para no afectar a la actividad productiva de la empresa, preservar información confidencial, etc. Es una fase formal pero muy importante para el proceso, porque en caso de problemas habrá que dirimir responsabilidades y recurrir al contrato firmado.

2. Obtención y recogida de Información

Esta fase está enmarcada en la obtención de la mayor cantidad de información posible de la Organización haciendo uso de entre otras técnicas:

Footprinting: Tiene como fuente de información Internet, de la que se extraerán los futuros objetivos de la Organización. Para ello:

• Visitar pagina/s de la Compañía, servicio y aplicaciones

• Búsqueda de enlaces por la utilización de motores de búsqueda,, como Google, Bing, Ficheros robots.txt

• Listar Dominios y subdominios

• Descargar los sitios webs de la Organización para poder buscar en ellos enlaces y anotaciones que se hayan podido quedar olvidadas en ellos.

• Utilizar Dorks (preguntas más concretas a los buscadores utilizando etiquetas y opciones). Mediante el uso de FOCA se pueden automatizar.

• Buscar versiones anteriores de las páginas web de la Organización mediante el uso de servicios de “archiving”.

• Estudiar las DNS de la Compañía para obtener información acerca de su navegación, etc. Podríamos intentar llevar a cabo una transferencia de zona, hacer uso de técnicas de Evilgrade.

• Comprobación de la existencia de lo denominado como Hosting Compartido. Servicios como ServerSniff facilitan esta tarea.

• Obtener emails de la Organización, en futuras fases podrían servir para llevar a cabo ataques de Phising o una APT. Maltego es de gran ayuda para esta tarea.

• Llevar a cabo el estudio de metadatos  para intentar obtener nombres de empleados, versiones de software embebidos en archivos, etc. FOCA nos puede ayudar en este menester.

• Puertos abiertos en las máquinas de la organización mediante el truco de la barra con la intención e intentar descubrir los servicios que se encuentran tras dichos puertos, versiones de so o software, etc.

• Búsqueda inversa de imágenes

Fingerprinting: es el proceso mediante el cual se recolecta información mediante la interacción directa con los sistemas/ dispositivos de comunicaciones para conocer su configuración y comportamiento. Estas técnicas llevarán a cabo escaneos de puertos para el estudio de puertos abiertos y determinar con qué servicios, versiones etc están relacionados. NMAP es una de las posibles herramientas que podemos usar para estas tareas.

3. Análisis de vulnerabilidades

Tras recolectar la toda la información a la que se haya podido tener acceso mediante la utilización de diferentes técnicas hay que analizar y organizar los resultados. Como resultado de este análisis se obtendrá un listado de objetivos con su información relacionada, co laque se planificará el siguiente paso.

De la información relacionada con los sistemas, servicios y versiones de los mismos se identificarán los métodos de acción con más posibilidades de éxito, creando el mejor el mejor plan de acción para intentar acceder a la información de los sistemas. Para este paso se harán uso de herramientas de escaneado de puertos como por ejemplo NMAP y escaneadores de vulnerabilidades como OPENVAS o NESSUS.

4. Explotación de las vulnerabilidades

Fase en laque en función de la información recabada y disponible, junto con la experiencia del auditor se intenta comprometer la seguridad de la Organización. Para ello se intentan aprovechar las vulnerabilidades descubiertas con anterioridad, haciendo uso de diversas técnicas entre ellas el Exploiting.

El auditor de seguridad debe preservar la estabilidad de los sistemas de información de la Compañía sin comprometer su normal funcionamiento por lo que debe seleccionar muy bien los ataques que va a llevar a cabo así como valorar sus posibles consecuencias. Una de las herramientas más utilizadas a la hora de utilizar exploits es el framework Metasploit.

5. Postexplotación del sistema

Aunque esta etapa no suele formar parte de un proceso de auditoría ya que se supone que los accesos a la Organización no se deben hacer persistentes, en el proceso de Hackig Ético y no tan ético es una fase importante. Suponiendo que se hace persistente el acceso a la Organización mediante una máquina controlada, a partir de él se pueden estudiar las posibilidades de pivotar hacia objetivos más importantes dentro de la Organización.

6. Generación de Informes

La última fase y no por ello menos importante, al contrario entre otras cosas porque por los resultados obtenidos es por lo que se paga. Debe recoger la documentación de las acciones y pruebas realizadas así como los resultados y evidencias obtenidos.

El documento final debe contener la descripción de las tareas realizadas, las técnicas y herramientas junto con la valoración de las vulnerabilidades descubiertas y explotadas por las herramientas.

Suele contener dos tipos de informes:

• Informe Técnico: para los empleados de perfil técnico en el que se expondrán con gran detalle técnico las vulnerabilidades y posibles soluciones.

• Informe Ejecutivo: se harán referencias a las vulnerabilidades descubiertas sin detalles técnicos y se expondrán los riesgos para la Organización derivados de dichas vulnerabilidades. Debe contener algunas recomendaciones de bajo nivel técnico para intentar solucionarlas.

En ocasiones los clientes solicitan además de los anteriores el documento en un formato que permita una gestión más fácil y eficiente de las vulnerabilidades reportadas.

Como siempre te invito a que comentes la entrada y la mejoremos juntos. ¡Nos leemos en la próxima!

Referencias

-Ethical Hacking, Teoría y práctica para la realización de un pentesting, 0xWord de Pablo González Pérez

-Pentesting con Kali, 0xWord de Pablo González Pérez, Germán Sánchez Garcés, José Miguel Soriano de la Cámara

Seguridad en cámaras de vigilancia para bebés

¡Hola de nuevo! Dos entradas en tres días es un record para mí, lo sé. Supongo que tiene "algo" que ver que estoy de vacaciones y que quería traer a mi nuestro Blog las estradas que en su día escribí para wetec.es. Hoy traigo una entrada que considero superinteresante "los sistemas de videovigilancia para bebés". Los sistemas de vigilancia para bebés se encuentran entre nosotros desde hace tiempo y desde esta entrada se pretende hacer un repaso por las consideraciones de seguridad que deberían tener en cuenta los papás que quieran usar cámaras de vigilancia para bebés. Estos dispositivos forman parte de un concepto tan extendido actualmente como es el IoT (Internet of Things).

El mundo del bebé es tan “tierno” que muchos papás se despreocupan de los riesgos que asumen al hacer uso de estas tecnologías.

Internet está lleno de noticias de casos de cámaras ips de bebés comprometidas por las que desconocidos les hablaban a los bebes, les ponían música, etc. ¿Da miedo verdad? No es un tema que los papásy las mamás deban tomarse a la ligera.

Básicamente podríamos distinguir tres tipos de dispositivos de vigilancia para bebés: 

• Dispositivos que emiten señal analógica en una frecuencia de radio abierta sin protección, por lo que estando lo suficientemente cerca del dispositivo con un receptor de vídeo adecuado cualquier persona podría visionar las imágenes de nuestro bebé.

• Dispositivos que emiten una señal digital con la comunicación cifrada entre la cámara y su receptor de vídeo pareado.

• Camaras ips que transmiten a través de la red LAN de nuestras casas con la posibilidad de conectarse a Internet, ser gestionada y/ o visionada desde cualquier lugar del mundo a través de Internet mediante una app o web.

Por las características descritas anteriormente el primer tipo de sistemas y el tercero son los más inseguros. El primero porque la señal emitida va en “claro” a una determinada frecuencia a través del aire, y la tercera por los riesgos derivados del uso de tcp/ip. Como regla general cualquier dispositivo conectado en red sin las medidas y “políticas” de seguridad oportunas es susceptible de ser comprometido, más aún si éste se conecta a Internet. Ojo con Shodan. También puede servir como pivote para comprometer otros dispositivos conectados a la red y en general a la seguridad de la red.

¿Entonces? El primer tipo de dispositivo lo descartaría, nunca se sabe qué tipo de gente aburrida, con conocimientos y medios tenemos cerca. Ahora los papás tendrán que valorar si necesitan o no, acceder desde cualquier parte a la cámara del bebé o no. Papás, si tenéis claro que no vais a querer/ necesitar ver al bebé “desde la calle”, sino que te vas a limitar a visionar el receptor de vídeo desde el sofá o la cama mientras tu bebé duerme, yo no lo dudaba utilizaría un sistema formado por una cámara que no se conecte a internet que cifre las comunicaciones entre la propia cámara y el receptor de video relacionado. Sin duda es el método más seguro.

Ahora si no lo sabéis o queréis dejar abierta la posibilidad entonces haremos uso de una cámara ip. Con las cámaras ips que hacen uso de un servidor web en internet contra el que nos logamos para visionar las cámaras a través de la web o alguna app debemos asumir que no sabemos quién tiene acceso a él, ni qué hacen o dejan de hacer con las imágenes.

Al margen de lo anterior, las consideraciones y consejos que se proporcionan a continuación son aplicables a cualquier tipo de cámara ip sea de bebés o no.

Vamos a suponer que vamos a comprar un sistema de vigilancia para bebés, ¿qué tengo que tener en cuenta?

Consideraciones de seguridad relacionadas con los Sistemas de vigilancia para bebés

 

• Tendremos que tener en cuenta y exigir que la cámara cifre las comunicaciones hacia/ desde Internet.

• Más caro no implica más seguro. Existen análisis de sistemas para bebés que muestran que sistemas de más de 200 € son igual o más inseguros que algunos que no llegaban a 100. Suele ocurrir que al ser más caros traen más funcionalidades y servicios lo que implica muchas veces la ampliación de los vectores de ataque.

• La web o app debe exigirnos un usuario y una contraseña o hacer uso de otras metodologías para hacer login y acceder a las imágenes.

• Cambiar regularmente la contraseña de acceso.

• Cambiar la contraseña de acceso que trae por defecto haciendo uso de una contraseña lo suficientemente robusta y segura.

• Desactivar la gestión remota (desde Internet) del dispositivo si no lo vamos a utilizar.

• Apagar el sistema mientras no lo estemos utilizando.

• Hay que prestar atención con lo que ponemos delante de los ojos de la cámara, no es lo mismo que lo único que pudiera llegar a ver la cámara es un bebé durmiendo que ya de por sí es importante, que pudiera llegar a presenciar otro tipo de comportamientos y actuaciones en caso de que el sistema fuera comprometido. 

Espero una vez más que esta entrada haya resultado de utilidad, y por supuesto me nencantaría que me dejárais un comentario con el que complementar y mejorar la entrada.

¡Nos leemos en la próxima! 

Referencias

http://www.cbsnews.com/news/baby-monitors-connect-internetvulnerable-hackers-cybersecurity/