Carrera por el 0day en Sistemas Operativos de Estado Nación

Publicado el enero 16, 2015 por Simon Roses

El cambio de sistema operativo (S0) se acerca…

Todos sabemos que Windows aún domina la arena del escritorio con Linux y MacOS tratando de cogerle y que Android domina el espacio móvil con iOS y Windows Phone intentando alcanzarlo. Lo que muchos de estos sistemas operativos tienen en común es que son desarrollados por empresas de los Estados Unidos de América (Hola NSA!).

Con la silenciosa (o no tan silenciosa :) ciber guerrilla que discurre en Internet entre el Oeste y el Este no es de extrañar que muchos Estados Naciones estén desarrollando sus propios sistemas operativos para reducir la dependencia de los Estados Unidos como proveedor de software.

Los ataques cibernéticos contra Sony por Corea del Norte (supuestamente, no probado todavía) han llamado mucho la atención de los medios de comunicación – incluso el Presidente Obama ha hablado sobre la necesidad de incrementar la ciberseguridad- y para hacer las cosas más interesantes el sistema operativo utilizado por el gobierno de Corea del Norte se filtró en Internet y está siendo analizado actualmente por muchas empresas de seguridad y agencias de inteligencia para encontrar 0day.

Varios Estados Naciones han anunciado el desarrollo de su propio sistema operativo «seguro (ejem, ejem)», los que conozco:

  • Red Star OS: Basado en Linux (Red Hat) con la apariencia de Windows XP, utilizado por Corea del Norte.
  • China: Varios SO personalizados.
    • COS: China Sistema Operativo (China Operating System) basado en Linux para dispositivos móviles.
    • Kylin: Primera versión se basó en FreeBSD, aunque la versión actual está basada en Ubuntu.
  • Rusia: Varios OS personalizados.
    • RoMOS: Es una modificación de Android enfocada a dispositivos móviles. (este sistema operativo no envía ninguna información a Google).
    • Linux: El gobierno ruso anunció el cambio a un entorno Linux como sistema operativo nacional este año 2015.
  • Francia: No tienen realmente su propio sistema operativo, pero los militares franceses cambiaron a Linux Ubuntu (alegando ahorro de costes).
  • India: También anunció su propio SO seguro (no hay mucha información publicada)
  • Los Estados Unidos de América: Varios SO personalizados.
    • La Agencia de Sistemas de Información de Defensa (DISA) está desarrollando una versión segura de Android para ser utilizado en dispositivos móviles en todo el gobierno.
    • Plan X: Un SO desarrollado por el DARPA para ser utilizado por los militares para las operaciones de guerra cibernética en tiempo real.

El que los Estados Naciones estén desarrollando sus propios SO personalizados por razones defensivas fuerza a los adversarios a intentar obtener copias de estos SO para encontrar 0day si quieren realizar acciones ofensivas, por lo que podemos suponer que el mercado de 0day experimentará un crecimiento en los próximos años para obtener vulnerabilidades y rootkits para todos estos SO de Estados Naciones.

Existe una buena oportunidad para la contrainteligencia de los Estados Naciones para publicar falsos SO y software pretendiendo ser auténticos para que los adversarios gasten recursos tratando de obtener copias y tiempo analizando el software o, por qué no, incluir software ofensivo dentro del sistema operativo para atacar los sistemas utilizados para analizar el software y comprometer la red del equipo de análisis.

Con toda certeza las empresas de seguridad y agencias de inteligencia de ambos lados (Este y Oeste) deberán vigilar las tecnologías utilizadas por sus adversarios y tener preparados varios 0days para estos sistemas operativos, ya que las versiones de Windows, Linux y Android estándar probablemente desaparecerán.

Los Estados Naciones que no empleen los suficientes recursos para desarrollar sus capacidades ofensivas serán incapaces de realizar cualquier acción contra adversarios que utilicen SO personalizados en el futuro.

Lector: Si sabes de algún SO de Estado Nación envíame un mensaje y si tienes copias de cualquiera de ellos me los envías, por favor!!!! (Ya tengo Red Star OS, gracias)

¿Qué opinas de los Estados Naciones que desarrollan su propio sistema operativo?

— Simon Roses Femerling | @simonroses

Publicado en Hacking, Privacidad, Seguridad, Tecnologia | Etiquetado , , , , , | Deja un comentario

Terminando el año con un gran evento de ciberseguridad: CyberCampES

Publicado el diciembre 10, 2014 por Simon Roses

Los pasados 5, 6 y 7 de diciembre se celebró en Madrid la primera edición del CyberCampES organizado por INCIBE (el antiguo INTECO), un evento enfocado a los jóvenes y familias donde coincidieron desde talleres sobre seguridad infantil hasta universitarios para concienciarles sobre ciberseguridad, y desde luego que el objetivo se consiguió: fue todo un éxito de asistencia y participación.

Con unas 5000 personas inscritas al evento y un cartel de ponencias y talleres de lujo con expertos nacionales e internacionales, han sido tres días intensos de ciberseguridad. ¡Más foros como este son los que España necesita para seguir progresando en esta materia!

Personalmente tuve el placer de impartir una charla el sábado por la tarde sobre mi proyecto de I+D como única empresa española (VULNEX) en trabajar para el DARPA CyberFast Track (CFT) y mi presentación del proyecto en el Pentágono (puedes leer sobre esta increíble experiencia aquí).

El domingo impartí un extenso taller técnico de 3 horas sobre auditoría de código de forma práctica, donde enseñé diferentes métodos, procedimientos y herramientas para auditar código como un profesional a los asistentes. Aprovechando el taller, mostré uno de mis últimos proyectos en I+D llamado Tintorera, una herramienta de análisis estático que utiliza el compilador GCC para analizar código C/C++ permitiendo obtener inteligencia del código fuente, un tema apasionante del que prácticamente nadie habla y en el que queda mucho por hacer. Este taller lo podéis encontrar en la web de VULNEX.

Para mí fue un deleite participar en este magnífico evento donde coincidí con viejos amigos e hice nuevos. Desde aquí quiero dar las gracias a la gente de INCIBE por invitarme y espero que repitan el evento el año que viene y que cuenten conmigo otra vez :)

¿Qué te pareció el CyberCamp?

— Simon Roses Femerling @simonroses

Publicado en Conferencia, Hacking, OWASP, SDL, Seguridad | Etiquetado , , , , | Deja un comentario

Universo de Ciber Inteligencia

Publicado el noviembre 26, 2014 por Simon Roses

En los últimos años todo lo ciber está de moda, ¡y la inteligencia aplicada al mundo ciber no podía ser menos! El concepto de inteligencia tiene un carácter ofensivo por el uso que le dan las agencias de inteligencia (valga la redundancia) y militares, pero ahora existen demasiados fabricantes de productos de seguridad que dicen proporcionar inteligencia y ser capaces de identificar amenazas potenciales.

Con el uso de estos productos de seguridad muchas organizaciones privadas “creen” que están obteniendo inteligencia, pero en realidad su visión es muy limitada:

  1. La inteligencia se obtiene por la cantidad y calidad de sus fuentes (muchas organizaciones no saben ni sus fuentes de información).
  2. El factor humano de análisis es vital (no es instalar un producto y esperar un informe en plan “todo automatizado”).
  3. Se enfocan al exterior (Internet), como si las amenazas internas no existieran.

Es gracioso o triste, según se mire, cuando muchas organizaciones y fabricantes de productos hablan de la capacidad de monitorizar y analizar logs de sistemas, antivirus, cortafuegos, IDS, Honeypots, etc. y de proporcionar inteligencia y luego no saben ni el número de equipos, usuarios o software instalados en la organización. La inteligencia aplicada al exterior es insuficiente si no aplicamos inteligencia en el interior de la organización.

En VULNEX (disclaimer: startup en ciberseguridad fundada por mi) nos planteamos esta cuestión y hemos desarrollado algunas soluciones que ayudan en este sentido, por ejemplo BinSecSweeper, una herramienta para analizar binarios Windows, Linux y MacOS. Podemos escoger un sistema operativo y analizar todos los binarios para determinar su postura de seguridad -por ejemplo todos los 7000 (aprox.) binarios de Kali Linux en unos 30 minutos ;)- o determinar si un software tiene librerías antiguas, entre muchas más cosas.

El software hoy en día no se escribe sino que se compone, los programadores utilizan diferentes librerías y código comercial o de código abierto para componer su producto en el menor tiempo posible y sacarlo al mercado. Las organizaciones utilizan todo tipo de software sin saber si es seguro o de qué se compone, ¡error!

bss1_cap_int_univ
Fig. 1 – Escaneado software con BinSecSweeper

Otra necesidad que nos surge en VULNEX es obtener inteligencia de código fuente a la hora de realizar auditorías de código. Las auditorías son complejas, largas y generalmente limitadas en el tiempo y por eso es necesario obtener información valiosa para focalizar el trabajo. Con este objetivo hemos desarrollado Tintorera, un plugin para GCC que, mientras compilamos un proyecto en C, realiza un análisis que nos ayuda a entender el código sin haber leído el código fuente en sí. En este punto no estamos buscando vulnerabilidades, pero sí que queremos entender la relación entre funciones, métricas de código, complejidad y otros parámetros que nos ayudarán a ser más efectivos para escrutar el código y encontrar vulnerabilidades. Inteligencia aplicada al código fuente! 

tintorera1
Fig. 2 – Informe de Tintorera

tintorera2
Fig. 3 – Visualizando código

Si crees que tu organización está haciendo ciber inteligencia, replantéatelo y determina vuestras capacidades de análisis y visión reales que seguramente no son tan buenas como crees…

Sin duda mucho queda por hacer en la ciber inteligencia a nivel externo e interno para obtener una visión real y global de las amenazas.

¿Tiene tu organización un proceso de ciber inteligencia?

— Simon Roses Femerling @simonroses

Publicado en Hacking, Hacking Etico, SDL, Seguridad, Tecnologia | Etiquetado , , , | Deja un comentario