martes, 28 de mayo de 2019

Cómo de grande lo tienes: Auditoría de Logs de Windows. Log-Md

Estimados amigos de Inseguros !!!

Poco a poco vamos trabajando en el blog con algunas herramientas y procesos que uso en mi día a día en el mundo blue team.

En esta entrada vamos a hablar una vez más del log de Windows, de la matriz Mitre y esas cosas que tanto nos gustan.

El equipo de Malware Archaelogy pone a disposición nuestra una seria de Cheat Sheet diversos muy interesantes. En este caso, nos muestra una lista de Técnicas Mitre y el Id de evento que lo localiza, en el caso que así sea. Es decir, identifica o mide el grado de detección de ciertas Técnicas Mitre en base a la capacidad de nuestros windows de recopilar eventos.


Como sabéis, la configuración de auditoría de eventos de Windows que viene por defecto es INSUFICIENTE para poder hacer un buen trabajo de detección.

Es recomendable activar la auditoría avanzada e implementar SYSMON como mínimo.

Con esta información podemos conocer un poco más sobre el papel el estado de detección de ciertas técnicas, y si nos apetece, pintarlo como vimos en el último post de Mitre.

Pero se que sois perezosos, incluso alguno vago !!! :-) y es mejor que todo lo haga una máquina.

Para eso llega Log Medical Doctor o Log- Md. Una aplicación en dos versiones, gratuita y de pago, que nos va a ayudar mucho en nuestra tarea de setear correctamente nuestros Windows.

Podemos empezar con la herramienta utilizando el parámetro -c para hacernos ese diagnostico de qué logs deberíamos tener activados. No muestra según el sistema operativo si están disponibles o no, o si bien debemos auditar los intentos correctos, incorrectos o ambos.


Otra opción interesante es la de crear un línea base de seguridad del registro y compararla cada cierto tiempo buscando cambios.

-rb Baseline the registry, creates or overwrites Reg_Baseline.txt
-rc [f] Compare a new registry snapshot with Reg_Baseline.txt
 f = baseline location full path

Otra opción muy interesante es que hace de una especie de FIM, File Integrity Monitor, al estilo de OSSEC, es decir, podemos indicarle una ruta y realizar una seria de hashes a ficheros, y comprobar posteriormente si ha habido cambios.

hf Hashes a single file, outputs hash to screen
-hd [d] Used with -hb or -hc to designate a starting directory for hashing
 d=full path of directory
 ex: -hc -hd "F:\Test_Dir"
-hb [-d] Baseline hashes of filesystem
 creates/overwrites Hash_Baseline.txt
 d = directory containing Hash_Baseline.txt
 Creates Hash_Locked_Files.csv
-hc [d] [-md] Compares new hashes and locked files with baseline
 Creates Hash_Latest.txt and Hash_Compare.txt
 Creates Hash_Locked_Files_Compare.csv
 d = directory containing Hash_Baseline.txt (full path)
 Uses whitelist file:
 + Whitelist_File_Hash.txt
 [+ MasterDigest.txt]
 Creates Hash_Locked_Files_Compare.csv

La herramienta cuenta con una detallada documentación y la mayoría de las opciones son libres y gratuitas.

Espero que le saques provecho y pongas esos Windows un poco "al sol" que no todo es siguiente siguiente siguiente como algunos creen.

Gracias por leerme.

lunes, 27 de mayo de 2019

Wannacry? Industria 4.0? Se olvidaron de nosotros: El boom de la ciberseguridad.

Estimados amigos de Inseguros !!!

En el post de hoy voy a hablar de uno de esos temas que se rumorea, o lo hacemos algunos, y que sospecho que no va a gustar mucho, y quizás sean opiniones mías subjetivas y solo eso, ojalá !!!


La ciberseguridad vive un BOOM tremendo y las noticias están lejos de la realidad.

Voy a ir por partes, porque tengo mucho que contar y me amontono. Voy a empezar con el título.

Wannacry.

Recuerdo con cariño ese día, ese fin de semana, porque me pilló viernes que me iba de viaje de fin de semana a mi querida playa de Almería, y gracias a la paciencia de mi santa mujer, pude estar enterado de todos los movimientos por las redes sociales y atendiendo a clientes.

La noticia tenía un componente muy bueno para los que nos dedicamos al negocio, pero desde el punto de vista empresarial. Para el currante que tuvo que estar todo el fin de semana trabajando, e incluso sufriendo coletazos las semanas siguientes fue un caos, igual que para la reputación de las empresas afectadas, pero para mi como empresario, me habría una ventana: los grandes medios nacionales en televisión haciendo ruido con la ciberseguridad !!! esto va a ser la bomba !!!

Esperaba que ese mismo lunes me llamaron todas esas empresas a las que llamas y no te atienden, a esas empresas a las que les presentas los servicios y ni siquiera les interesa un presupuesto, a esas empresas a las que le pasas un presupuesto y no lo aceptan, y por qué no, aquellas empresas a las que hiciste algún trabajo, quedaste bien, y quieren seguir con el proceso de la seguridad...


Pero espera Joaquín, como dices, esas noticias las vieron millones de españoles. no habrá quizás más empresarios como tú, de la ciber, o de empresas de micro-informática/sistemas/etc que piensen lo mismo? Efectivamente la respuesta es sí. 

Resulta que Wannacry no tuvo ninguna repercusión en mis cuentas, más allá de algún cliente fidelizado. Por qué? porque muchos se concienciaron, otros no, pero los primeros, tiraron de su informático, de su partner, y cuando preguntaron si estaban seguros, que cómo estaba el tema les contestaron:

Si, estamos seguro!!!
No, tienes que comprarte este cacharro !!!
Si, tranquilo, nosotros somos expertos en ciberseguridad y podemos ayudarte !!!

Al final, resulta que los que llevamos un tiempo con esto, no nos hicimos de oro, todo lo contrario, aparecieron nuevos actores aprovechando el nicho de negocio, las noticias, el boom !!!

Industria 4.0.

El término de Industria 4.0 lo podeis interpretar como querais, o podais leerlo en las mil páginas que hay sobre esto, pero básicamente compete a una transformación que de fondo, ofrece un ahorro de costes a la empresa o proceso de innovación que las hagas diferenciadoras.

En una empresa normal, la ciberseguridad ni le ahorra coste, ni la hace diferenciadora. Como mucho, le ayudará a perdurar en el tiempo, en ser más resistente, pero no más barata.

Las empresas tienen un objetivo claro, y al igual que los ecologista no entienden como una empresa no gasta el 0.7% de su beneficio a causas medioambientales, o sociales, los que nos dedicamos a la ciberseguridad tenemos que entender que muchas no están dispuesta a invertir en ciberseguridad.


Pongo el ejemplo de la CALIDAD. Cuando esto llegó a Europa a principios de los 2000, todo el mundo necesitaba calidad, nos prometieron que iba a ser la solución a todos los problemas empresariales, tenía sentido. Documente usted todo lo que hace, obtenga una certificación por documentarlo, y luego ya si eso, mejore los procesos. 


Para mejorar los procesos ya no había certificación, ni premio directo ( si, la empresa funcionaría mejor) es más, tenía unos coste "ocultos" como la re-certificación, procesos de adecuación, mejora, software, mantenimientos, cambios en los procesos productivos, ahora en vez de 60 minutos haciendo zapato, había que estar 59, 1 minuto anotando.  


No estoy diciendo que la calidad no sea buena, o mala, y nótese cierto tono irónico en mis palabras, pero la calidad no fue la revolución, no al menos como las vendían las grandes consultoras que exportaban el modeo yanki a Frutas Paco, S.L.

La industria 4.0 o por qué no, la Digitalización ha dejado de un lado la ciberseguridad. Si es muy necesaria !!! todo el mundo está concienciado, pero hay una brecha enorme entre concienciado y que compren !!!

Varios ejemplos, todo el mundo sabe que el tabaco es malo, que estar gordo o no llevar una vida sana es malo. Cuanta gente hay gorda, con vida insana y/o fumando?

La Digitalización si ha traído de su mano las redes sociales, el marketing digital. Esta profesión creo que está como la ciberseguridad. Más extendida, porque un buen marketing tiene impacto directo sobre las ventas de una empresa, la ciber no.

Ahora es cuando seguro alguno de los profesionales puede pensar: ya, pero sin ciber, puedes estar días sin producir, puedes perder dinero, puedes perder i+d+i, etc. YAAAAAA, pero no pienses como profesional de la ciber, piensa como empresario: mejor meter a un técnico de marketing para que suba la publicidad y posiblemente las ventas, que a un técnico/empresa de ciberseguridad que me cobra por no sé qué.

La moda de Apple, Steve Jobs ha hecho mucho por el marketing. Esa pequeña empresa que gracias a una idea se come el mundo: Apple, Amazon, Facebook, Uber, etc etc etc etc etc

En la ciberseguridad tenemos al máximo exponente mediático, el señor del gorro, que ha hecho mucho por popularizar la ciberseguridad en los medios, pero no tanto como Steve Jobs :-)

Que viene el lobo, pues que venga.


Este concepto lo hablo mucho. En todas las reuniones los profesionales coinciden en que las empresas son reactivas, no se protegen, no suelen. Son aquellas que han sufrido un incidente de cerca las que invierten... si pero no. Algunas. Déjame explicarme.

Nos está pasando, que vamos a empresas, que les ha pillado un Ransomware. Cual es la MEJOR SOLUCIÓN PARA UN INCIDENTE DE RANSOMWARE? la mejor no lo sé, la más barata, el backup. Si se infecta un pc, se restaura. Un servidor, igual. Un entorno de red... pues mas o menos con cierta configuración de vlans y permisos de Active Directory se puede contener. Esto es SISTEMAS, no es ciberseguridad. Quizás, ahora lo veremos más adelante.


Entonces, seamos honestos, debe una empresa con 25 ordenadores, sin informático, el típico "power user" que se encarga del día a día y que tiene a una empresa de micro-informática/informática detrás,  iniciar un proceso de mejora continua en ciberseguridad, empezando por un informe de auditoría de 3.000€, una serie de recomendaciones de seguridad, otros 5.000€, y unos mantenimientos de X al mes? 

Si estás en el mercado de la ciberseguridad por supuesto que sí, pero qué opina el empresario?
El empresario estira los equipos 10/15 años, recuerda que hablo de la mayoría de empresas en España, no del Ibex35 ni las grandes corp con rentings y cambio cada 4 años. Hablo de Aceros Pepe. S.L que tiene a 300 trabajadores y que factura 65.000.000€. Ese empresario aguanta los servidores hasta que están muy viejos, pirate el software, o aún le queda algo pirata. Tiene gente echando una hora extra en negro para ahorrarse impuestos, quizás maneje algún sobre más, pero esto es otra cosa.

Las empresas son máquinas complejas con prioridades, y si bien el CEO, el CTO, el CFO están concienciados, el gasto o inversión es otra cosa.

Volvemos al Ransomware. En papelería Cristina S.L. entró un ransomware, y se quedó un equipo sin servicio toda la mañana. Eso le cuesta a la empresa XXX euros. NOOOOOOO, eso es un estudio en una revistaaaaaa, de unos señores con corbataaaaaaa. En papelería Cristina, esa mañana sin equipo, se uso para ordenar los AZ de las estanterías, subir al almacén los viejos, y ordenar unos cuantos papeles más que había por ahí, no se ha perdido NADA. Quizás, los 180 euros del informático que ha ido a hacer el trabajo: Insisto, hablo o intento hablar como piensa el empresario, no el gremio.

Ahora vamos con el timo del CEO, empresas que pierden 10/15/50/100k en un pago a otra cuenta. Las conocemos, entre ellas no se conocen o habría más medidas, pero no es algo que se vaya proclamando a los 4 vientos. Ahora es visto varias campañas de ciber que prometen soluciones técnicas a este asunto. A ver... hay soluciones técnicas para combatir el phishing y el spam, pero si un correo llega de un hotmail con el cambio de cuenta y se lo traga el operario, zascalas !!! la única medida 100% efectiva es que no se pueda cambiar el número de cuenta de un cliente en el ERP/pagos sin una llamada para confirmarlo a la empresa. Esto funciona 100% y no requiere de pentesting o redteam. Otra cosa es que sea un indicador de poca madurez de la ciber de la empresa, pero vuelvo a lo mismoooooo, piensa como el gerente, no como el experto en seguridad.

La semana de la Seguridad.


Este término no es mio, pero prometí usarlo, gracias Javier por resumirlo así.

Gerente o informático sufre un incidente como mencionamos, o acude a una charla, o su primo le cuenta en el café algo de ciberseguridad. Esa semana pasa a ser la semana de la seguridad.

Pide presupuestos, que estamos haciendo?, reuniones con dirección. Gente de dirección poniéndose medallas de que hay que luchar contra esto, etc. 

El informático o bien miente y dice que están seguros, de los más seguros del mundo, o admite la necesidad. En el mejor de los casos, se comprará un UTM de 2800€, o se comprará ese antivirus pirata que el CTO llevaba meses reclamando, los más aventureros contratarán una auditoría de seguridad... 

Para el que dice que está seguro, perfecto. Es como cuando oyes el ruido en el coche y subes el volumen de la radio.

Para el que compra el cacharro, solución, bien y mal. Bien porque ha incrementado su seguridad... (este es otro tema, cacharras al 10%...) pero mal porque al año siguiente le recordarán que el año pasado ya se invirtió en ciber, y que este año la pasta está para centralita IP que ahorra costes...

Los que compraron la auditoría han solucionado lo que han podido, invirtiendo el mínimo dinero posible, y no van a hacer una auditoría al año siguiente por varios motivos, el económico, y que hay cosas que no han podido cambiar, y que NUNCA van a poder cambiar, como que su jefe no quiere VPN para ver las cámaras ni muchos menos usar contraseñas de 12 símbolos griegos...

En el mejor de los casos, esa semana de la ciberseguridad te hará aumentar algún dígito tus ventas de experto, pero la INMENSA mayoría no va a acudir a ti, va a acudir su partner de confianza, a sus informáticos, y ahora es cuando recuerdo la frase de arriba: ahora todo el mundo sabe/vende ciber. Por lo que en el mejor de los escenarios, TAMPOCO vas a pillar pasta en la semana de la ciber...

La seguridad horizontal.

Este tema también lo expuse en un foro de debate hace ya algunos años y casi me comen, pero claro, no les venía bien a ciertas empresas.

La ciberseguridad al fin y al cabo convierte el trabajo del auditor en encontrar fallos. Fallos en la programación o en la implementación de sistemas, en cómo se configuran.

Si los programadores mejoran su trabajo, gracias a los frameworks y el conocimiento es más fácil programar. Hace 10 todos los desarrollos tenían sqli y ahora ya no es tan tan tan normal en desarrollos jóvenes. Siiiii, valeeeeee, la alhambra de granaaaaa. 

Poco a poco la gente hace sus cursos, sus masters, la gente estudia ciclos !!! es que antes los informáticos éramos de haber empezado leyendo revistas !!!!

Ahora hasta el más newbie ha hecho o puede hacer un curso de hacking que le enseñen metasploit, un poco de burp, algún vulnscan y si es es de programación, pues buenas prácticas, devops etc.

Al final, para llevar la seguridad de una empresa no hace falta MEGA EXPERTOS. Imagina un tio de estos que hace reversing, que se mete en "Matrix" y lo entiende... solucionando fallos de configuración de un Active Directory... o una sqli de libro? 

Nos han vendido siempre que la ciberseguridad era la hostia, lo más TOP, tenías que saber sistemas, programación, años y años en las trincheras. Poca gente lo conocía. Eso era antes.

Ahora hay críos de institutos ganando retos CTF a diestro y siniestro. No estoy diciendo nada con esto que no sea, que la ciberseguridad del día a día se puede gestionar sin ser el top 100 de hackers de España o tu universidad. 

Insisto en que no pienses como un profesional, piensa como un empresario. Un buen administrador de sistemas, BUEN, no va a tener un servicio corriendo como root con una clave fácil, o un equipo sin actualizar. He hablado mucho de esto en mis charlas, aquí el bueno no es el auditor que saca el fallo, es que el defensor es MUY MUY MALO.

De pequeño siempre he escuchado que el director del banco es el que más ganaba, lo escuché de vecinos, que indicaba a sus hijos que se hicieran banqueros. Un corto espacio de tiempo escuché que había que ser informático. Que los consultores de SAP ganan dinero, claro !!! fuera de Madrid los consultores de SAP son como los dentistas o traumatólogos, millonetis !! forrados!!! pués no. Ganan 1700€ con suerte y alguna propina a final de año. 

Al final siempre hará falta empresas de ciber, con mucha verticalidad en el ramo, para respuesta a incidentes serios, auditorías complejas, entornos de máxima seguridad, pero la empresa de 20 ordenadores quizás nunca llegue a demandar esos servicios.

El mega-incidente.


Coincidiras conmigo que hay muchas noticias relacionadas con la ciberseguridad en cuanto a cifras. Una de ellas, Todos los días aparecen 2.000 muestras nuevas de malware. Otra, todos los días se sufren en torno a 10.000.00.0.00. millones de ataques en nuestras redes. Otra, en España se realizan no se cuantas actividades defensivas en no se donde... 

Vamos a ver, tu miras un aparato, un SIEM, y por suerte, la mayoría de ataques son convencionales, masivos, buscando un fallo estrepitoso. Un portscan, un brute force, intentos de exploits con actualizaciones de hace un mes/año/10 años. Todo eso no vale naaaaaa. La seguridad avanzada, la que hacen las empresas especializadas y los expertos no es para eso. Eso lo para el UTM de turno, o el endpoint.

Yo opino que ataques gordos gordos, un APT o similar, las empresas van a sufrir uno como mucho dos en toda su vida. Esto quiere decir que o estás entrenado, o estás muerto. Es cierto que las empresas que sufren un ataque gordo, es raro que remontan, o al menos es muy difícil, pero esto es el cuento del lobo en versión ciber y con más secretismo.


Cuando hablamos esto con el empresario, este no entiende como María, su contable de toda la vida le va a hacer daño desde dentro !! si confía en ella para la contabilidad de toda la empresa, cómo va a desconfiar de ella en materia de ciberseguridad. Es muy sencillo, lo sabemos !!! pero insisto, piensa como el ceo. Que tienes gente descontenta, que esta gente tiene un sobrino hacker, que se va a la competencia. Que Maria ya no está sola en el departamento y ahora son 3. Que el informático es curioso e investiga/toca. Que hay chinos/rusos que quieren su dinero. Que la competencia juega sucio. Que el fallo puede ser intencionado o no. Todo esto es difícil de transmitirlo a un CEO, o quizás sea fácil, lo difícil son todos los escollos que aparecen hasta que una empresa invierte.

A mi no me va a pasar !!! eso lo piensa todo el mundo. Tu llevas toda tu vida contratando seguros de coche a todo riesgo? con todas las cláusulas? tienes tu casa vigilada con todas las medidas de seguridad oportunas? actualizas el contenido de tu seguro del hogar todos los años? tienes un seguro médico?cambias las ruedas  del coche con puntualidad? vas a la revisión del dentista justo el día que hace 1 año? tienes antivirus en el móvil? usas un content filtering para los dispositivos de tus menores? si a todo me respondes que si, eres un máquina y estás concienciado, si no, coincide conmigo en entender que si TU no haces todo esto, ir a pedirle al empresario que invierta en seguridad como proceso, en mejora continua es complicadoooooooooo

El sector en cifras.


Ahora viene la parte más dolorosa, las cifras. Voy a empezar por los salarios.

Los salarios en ciber son BAJOS, como en todas las TIC´s. hay cierto movimiento entre perfiles juniors, me atrevería a decir de menos de 37k/año, pero por encima? para superar la barrera de los 2.000euros? No hablo de las mega corps madrileñas. Vivir en Madrid tiene un coste, desde el coste directo de los precios, pasando por el desplazamiento, hasta por los viajes de vacaciones etc, pero no voy a entrar por ahí. Hablo de España y su tejido empresarial, no 4 referencias.

Hace poco discutíamos en twitter sobre esto, y llegó el troll de turno, el tonto simpático de siempre que cobra bien, y orienta el problema a la valía de las personas. Que si eres bueno si te pagan, y la cosa está en que no hay nivel. Vamos a ver tonticos míos.  Cuando se habla del sector, se habla de toda la gente, y voy a poner el ejemplo de los futbolistas.

Cuanto gana un futbolista? poco o mucho? creo que en cada liga hay 20 equipos, 40 entre las dos. a 22 futbolistas por equipo son unos 800 futbolistas. No se la segunda b como va muy bien, pero lo miro, y me dice que hay 4 grupos de 20, 80, otros 1700. Pongamos 2.000 jugadores jugando al fútbol y cobrando bien. Desde los millones de Messi hasta la nómina de 2b de un jugador que gana 4.000€

En España hay federados más de 700.000 jugadores y solo está bien pagados 2.000. Entonces, el sector del fútbol está bien pagado? aquí se mezclan jóvenes, viejos, amateurs, está claro, pero la moraleja es que no todos son messi y cobran millones. Conozco amigos en tercera que cobran sus 2.500 euros con 30 años y esa es su vida, una vida normal. Nada de coches ni historias.

Que haya cierta élite de gente MUY MUY potente que cobra sueldazos, es inevitable, me alegro joder !!! pero eso no es lo que dicen las noticias, de que faltan no se cuantos y que se cobra no se qué.

Por otro lado, y este es más serio, voy a coger varios Pure Player de la ciber. Empresas de reconocido nombre, líderes en España y alrededores en ciberseguridad, las que llevan bastante años ofreciendo un gran trabajo. Aquí no están todas, porque no hay datos objetivos de todos , pero para lo que quiero expresar me sirve.
Tarlogic: no sale, pero si miras el ranking de los últimos datos de empresas y su posición , puedes hacerte una idea.
Isec Auditors: Mismo caso que Tarlogic.

Si estas empresas, que son aquellas en las que todos los profesionales quieren trabajar, o han trabajado, o son referente por hacer su trabajo bien, tienen esas facturaciones... mal vamos.

A ver, el día que yo tenga una empresa así con esos números quizás me sienta el hombre más feliz del mundo, no es un crítica, sino una reflexión. Que de las mejores empresas de ciber de España se muevan esas cifras, indica que el sector no es tan próspero como parece ser en las noticias, ni mueve tanto dinero.

Otra cosa es que leas que la grande de España !!! y no me refiero a una faraona ni cantante de coplas, indique que en sus números ha hecho no se cuantos records y no se cuantos millones. 

Dicho de otra manera, si Telefónica vendiera sofás, sería una de las empresas que más sofás vendería. Si vendiera palomitas, sería la número uno. 

En ciber pasa lo mismo. No puedes medir el pulso del sector porque Telefónica, Indra o Accenture hayan facturado 1000 millones en el sector, porque esos números son de equipamiento, contratos muy muy tochos de muchas personas. 

Vender Firewalls o endpoint es ciberseguridad, pero eso mueve a una pequeña parte de los profesionales de la ciberseguridad. Es más, soy de los que piensa que un Firewall es un elemento de sistemas, pero bueno, esto es discutible.

Lo que está claro es que no vas a tener esas cifras ni de lejos ofreciendo servicios expertos. Ni ellos tampoco, se basan en equipamiento.

Otro enlace de referencia es este generalista. Hay varios datos interesantes, uno de ellos el ranking por actividades en España. Sale la ciber? jajajaj ni las TIC´s salen. 
Otra cosa es que por millones, por ejemplo Murcia sale la 7ª potencia económica. Quiero decir, que cuando uno dice: no todo es Madrid y Barcelona, claro, parece que decir Murcia es como decir un pueblo, no ojito, que hablamos de grandes ciudades también, y la ciber/tic´s no aparecen.

Ahora lee este ranking con la información de las ventas de las empresas del CNAE Consultoría de informática. Crees que en el sector tic´s la seguridad aparece con empresas de vertical ciber? noooooo, aparecen las consultoras de siempre. Las que estaban ahí sin vender ciber, y las que ahora pillan cacho también de la ciber, mañana lo harán de otra cosa, y así siempre. Por más necesidad que haya de ciber, se repartirá como siempre. Entonces, qué historia pasa con la ciber y las noticias? Ya lo he dicho, burbuja total !!!!

Linux como escritorio, Virtualización de escritorio, la nube, la hyperconvergencia, blockchain, big data, al final, hay un Fortune 500 en Estados Unidos, algo lejos de mi humilde Murcia, que dicta los caminos que se siguen y al final todos como borregos caemos, pero la realidad de una pyme en Zaragoza no es la de una empresa del valle del silicio.

El futuro.


Si pudiera ver el futuro sería millonario, o tendría pelo... Lo que es cierto es que la Ciberseguridad vive en una burbuja, tanto positiva como negativa para el sector, y que con el tiempo estallará.

Las empresas que venden ciber sin ser expertas seguirán vendiendo, porque es gratis ponerlo en sus catálogos,  pero tendrán que diversificar.

Los pure players de ciber tendrán un camino duro por recorrer, pero confío en esa parte vertical necesaria, y si bien se ajustará un poco el número, a la baja, las buenas quedarán.

A nivel profesional, los que hacemos esto, será como todo, independientemente del trabajo, nos gusta, es nuestra afición. En mi caso fue el hacking, luego los sistemas y ahora ciertas áreas de la ciberseguridad. No se dentro de 10 años si seguiré haciendo auditorías, haciendo blue team o enseñando a un robot, pero tengo claro que seguiré en el sector.

Los que se creen que esto es un sector en alza, con grandes números y beneficios, creo que de momento se equivocan, y soy bastante pesimista con esto.

La RGPD hizo un intento de mejorar la ciberseguridad, o más bien la privacidad, pero no termina de ser el impulsor necesario. 

En una sociedad limitada, no se cual es el límite de facturación, pero al pasarlo tienen que tener una auditoría externa financiera y presentarla en hacienda. No sé exactamente los parámetros, pero esto debería ser ASI en ciberseguridad. El gobierno debería obligar, por seguridad nacional, a qué empresas de cierto volumen pasen auditorías de cumplimiento en ciberseguridad.

Esto conlleva otros problemas, como qué empresas pueden certificar esa auditoría, las 4 grandes? yo como autónomo? qué auditoria se hace, la mía que soy muy bueno? la de mi vecino que es muy barato?

Cuando algo es por ley, si bien sería un impulso, no sería la solución porque nadie quiere ser perfecto en cumplir una ley, las empresas quieren cumplirla y punto. Quien quiere ser excelente en pararse en los semáforos en rojo? con pararme basta, no tengo que ser excelente y pararme 10 segundos antes de que se ponga en ámbar...

La solución para concienciar a la empresas es eso mismo, formación, concienciación, que ocurran incidentes, que se solucionen, que se aprenda de ellos, pero estamos en España, el tejido empresarial y laboral no es el mejor del mundo, hablo para TODAS las profesiones, por qué creemos que con la ciber va a ser distinto?

Espero que se entienda este texto como una opinión personal, sin querer faltar a ninguna de las marcas o empresas mencionadas, y que respeto que no pienses como yo, pero me gustaría saber tu opinión, y sobre todo, a tus consejos si sabes como mejorar la situación.

Tengo un amigo CTO en una empresa, concienciada en la ciberseguridad, que no para de decirme que no entiende cómo las empresas no invierten en ciber... y por más que se lo cuento, no lo entiende.

No lo entiende nadie, pero las empresas, a dia de hoy, NO INVIERTE EN CIBERSEGURIDAD.

Gracias por leerme. xD



sábado, 11 de mayo de 2019

Gestión de incidentes... Episodio 2. La detección...



Estimados amigos de Inseguros !!!

Seguimos con esta serie de artículos relacionados con el amplio mundo de la gestión de incidentes.

En el capítulo 1 introdujimos los conceptos básicos y más bien la necesidad.
Al final este post iba a versar sobre 4 integraciones de 20 productos, pero creo que puedo aportar más dando mi visión y experiencia global, más que con unas cuantas guías, que las pondré !!! pero mejor ir paso a paso.



Somo informáticos, nos gusta la tecnología y probar programitas y cacharros es lo que más. La sensación de instalar un nuevo software, de hacer los primeros pasos, a mi dilata experiencia, toda via me motiva, me gusta !!! Pero como informáticos que somos, debemos recordar que lo primero de todo es hacer un buen análisis de requisitos de qué queremos hacer, luego haremos un análisis funcional, y luego diseñaremos la solución tecnológica. 

Conozco MIL pilotos de software que nunca llegan a solución por eso, porque se prima el programa...

Por desgracia, y por eso lo decía, muchos de nosotros orientamos nuestras soluciones a que nos gusta más WIndows que Linux, o al revés, o a que yo tengo mucho conocimiento sobre una tecnología y NECESITO ponerla donde sea !!! No amigo, no, esto no debería ser así.

Cuando hablamos de la gestión de incidentes, el primero punto debería ser establecer cómo vamos a detectar estos incidentes. Con qué herramientas.

Al final, estas herramientas no dejan de ser eventos (logs), muestras ( pcap, ficheros, memoria...) y sobre todo la correlación que existe entre ellas. Imagina un radar de una autovía, y la típica foto de que te  han cazado a 200km/hora. y aparecen dos coches, uno adelantando a otro. Serviría dicha foto como muestra de la infracción? NO.

Presuponemos que el vehículo de la izquierda adelantaba al de la derecha, por eso saltó el radar, y el que iba "lento" o legal era el de la derecha, pero puede que no sea así !!!! en este caso, el dato de la imágen y el radar no nos sirve, deberíamos tener video en ese contexto....

En este caso, si salta el radar, a quien debería sancionarse?

Podría ponerme 200 ejemplos más del contexto, de la relación entre fuentes, de la correlación pero creo que ya hemos hablado bastante en Inseguros en los capítulos de OSSIM.

Pero ahora vamos más allá. como comenté en el post de la matriz de MITRE, tenemos enumerados la mayoría de procesos de ataques, las tácticas y técnicas, y tenemos los data source que las detectan.

Con esta información, debemos hacer mapa de qué herramientas y tecnologías serían necesarias para llegar al máximo número de data source, y tener claro un plan de trabajo a medio plazo en el que vayamos incorporando fuentes de información.

Tener un IDS no es tener un SOC, ni tampoco es tener un IDS con un SIEM, por supuesto, tener una consola centralizada de alarmas de antivirus tampoco, vamos poco a poco.



Enumeramos los distintos data source a día de hoy. Ahora vamos a empezar a crear supuestos, los use-cases.

Vamos a imaginar un ataque a una empresa. Comienza con un ataque de deautenticación *1 a la red wifi*2 para forzar eso, que clientes legítimos se desconecten a la red y así poder capturar las credenciales o el handshake. Una vez conseguimos acceso a la red wifi, realizamos un ataque de arp-spoofing*3 simple para esnifar tráfico del cliente, o más fácil aún, vamos a realizar un Man In the middle del DNS*4, vamos a suplantarlo para conocer los accesos y poder establecer otro tipo de ataque. Conociendo accesos típicos a una web interna, vamos a intentar montar un web similar*5 y con un proxy inverso capturar credenciales.

Hasta aquí un ataque de primero de hacker de los 2000, pero vamos a desgranar cómo debería ser la monitorización, qué fuentes serían necesarias para detectar este ataque.

*1 Monitorización de la plataforma de WIfi y correlación de eventos para detectar multiples peticiones deauth.
*2 WIFI IDS para detectar rogue AP y nuevos elementos en la red Wifi.
*3 Switches gestionables con detección de arp broadcast storm o similar.
*4 hay varias técnicas de detección para suplantación dns, depende si se cambia en el adaptador cliente, o es un envenamiento DNS, DHCP, etc. En la mayoría de los casos vas a necesitar monitorización total de red.
*5 detectar la navegación de usuarios a sitios con certificados no válidos, como cuando se usa ssltrip y herrmientas de proxy.

Como puedes comprender, desarrollar una estrategia de monitorización es muy complicada para casos de uso muy sencillo. Si a estos casos de uso le sumamos complejidad en el ataque, la monitorización se hace MUY compleja.

En el caso de los IDS de toda la vida, o como vimos en el episodio de OSSIM, se suele guardar el fragmento de pcap que ha saltado la alerta, pero en el caso de uso comentado, debería analizar el tráfico de red PASADO, almacenado, es decir, no el que genera el evento, sino 1 semana de estudio, un día, una hora, lo que necesitemos.

Cómo guardamos el tráfico de red de una empresa para monitorizar después? IMPOSIBLE, podrías guardar x horas, minutos, o días, pero el tráfico es gigante. Hay que trabajar con herramientas como puedan ser BRO o Logtash que generen eventos relacionados con el tráfico. Por ejemplo, en este caso del DNS, no tiene sentido tener un MEGA pcap para ver las peticiones UDP 53. Mejor será tener ese sistema automatizado y preguntar por ese datos, consultas UDP 53, no el PCAP entero.

Cuantos más indicadores "transformemos" del pcap a eventos, más capacidad de usar esa información tendremos. Bro tiene muchas capacidades ya dispuestas, por ejemplo, detectar los mensajes OSCP para detectar el código de error del certificado del caso *5.

Estos son los elementos que presenta el Mitre.
Access Tokens
Anti-virus
API monitoring
Application Logs
Asset Management
Authentication logs
Binary file metadata
BIOS
Browser extensions
Data loss prevention
Detonation chamber
Digital Certificate Logs
DLL monitoring
DNS records
EFI
Email gateway
Environment variable
File monitoring
Host network interface
Kernel drivers
Loaded DLLs
Mail server
Malware reverse engineering
MBR
Named Pipes
Netflow/Enclave netflow
Network device logs
Network intrusion detection system
Network protocol analysis
Packet capture
PowerShell logs
Process command-line parameters
Process monitoring
Process use of network
Sensor health and status
Services
SSL/TLS inspection
System calls
Third-party application logs
User interface
VBR
Web application firewall logs
Web logs
Web proxy
Windows Error Reporting
Windows event logs
Windows Registry
WMI Objects

Algunos son muy evidentes, pero otros? Detonation chamber ? Se refiere a algún tipo de sandbox que inspeccione el contenido del fichero adjunto en un ataque de Phishing.

Las peticiones DNS !!! en los servidores Windows por defecto no se registran, en este artículo aprendimos a registrar estos eventos en servidores DNS Windows,
pero también imagina la cantidad de registros que se van a generar...

Seguro que si repasas todas las fuentes de datos te saldrán mil dudas.

Otra cuestión a tener en cuenta es el propio dato, la calidad del dato. Tenemos un sistema consolidado por el tiempo, para el tiempo? para que cuando un evento me dice las 22:00 sea utc o utc+2 ?. 

Tenemos la misma política de retención de eventos en un log de Apache que en un log de un AP wifi?

Tenemos el campo ip_source en todos sitios, o en algunos es ip_src y en otros es una MAC? tenemos que hacer transformaciones específicas para homogenizar el dato? es decir , construir un modelado de datos para que tenga sentido comparar peras con peras, y no con manzanas...

Imagina un sistema con firewalls de 5 fabricantes, y que cada uno llama a sus datos de una manera distinta...

Aparte, si integras este modelado de datos con estándares de compartición como pueda ser STIX

Imagina un antivirus que te dice: amenaza X detectada en PC-JOSE , la fecha y el nombre del binario. Esa amenaza puede ser un malware en un js de navegación , o la ejecución de Mimikatz !!! Si es la ejecución de una powershell sospechosa, o un CMD, debería tener el comando exacto y los parámetros... y la fuente de la amenaza, si es una web, un proceso remoto en una red local...

También deberíamos tener el fichero en caso de existir, para poder hacer aunque sea un análisis dinámico...

PC-jose es el nombre netbios? DNS? el nombre que se le dió en la consola antivirus...

A mi ya se me están viniendo a la cabeza varios data-source en este mini user-case que es una mera detección de un antivirus. Use-case a millones, tantos, como representar todas las posibilidades reales en un proceso de hacking... infinitos diría yo !!!


A la hora de trabajar con los eventos, con la correlación, debemos usar lenguajes que nos permitan generar alertas y realizar búsquedas de supuestos. 

Cuando realizamos una gestión de incidentes, una respuesta a incidentes, se trabaja con supuestos, vas analizando la información que tienes y vas suponiendo, por ejemplo, si ves indicadores de compromiso o IOC´s relativos a navegación web, debes pensar que ha sido una intrusión por esta vía, deberás revisar en profundidad los logs de acceso y navegación. No vas a ponerte a leer todos los logs del sql-server del servidor de nóminas si no se ha visto implicado, a priori... 

Para trabajar con estos supuestos, con estas búsquedas de IOC´s, usar sistemas con lenguajes "compatibles" como pueda ser el proyecto SIGMA para la definición de búsquedas en los SIEM´s más populares es una ventaja, ya que te permite trabajar en entornos multi SIEM, que aunque parezca una locura, existen. El mismo SOC proveedor puede trabajar con N tecnologías SIEM.

Para la gestión de IOC´s tengo varios favoritos, pero hemos iniciado el artículo diciendo que no iba a hablar de software, para eso tenemos la tercera entrega.

De momento quédate con la idea del data-source. Si vas a trabajar con un fabricante X y tienes fuentes de información Y y Z, comprueba la facilidad que vas a tener de integrar esta información, de cómo vas a poder "meter" pero también "sacar".

En el próximo programa hablaremos de escenarios específicos con software que conoces como The Hive, splunk, MIPS, Alien Vault, Qradar, ELK etc.

Gracias por leerme.