Stuxnet Worm: Art of Cyber Warfare

Posted on September 29, 2010 by Simon Roses

Aunque el gusano Stuxnet lleva tiempo en funcionamiento pero es en septiembre cuando ha saltado en los medios de comunicación debido a su complejidad y su uso como arma moderna en ciberguerra.

Although Stuxnet worm has been around for some time is in September when it has jumped in the media due to its complexity and its use as modern weapon in cyber warfare.

Existe mucha especulación sobre este gusano y posiblemente nunca obtengamos las respuestas, pero no cabe duda que esta formidable arma ha sido diseñada posiblemente por algún Estado nación con amplios recursos y conocimientos. Me es realmente imposible aceptar que haya sido escrito por algún individuo o algún grupo de hackers al azar.

There is much speculation about this worm and possibly we will never get the answers, but there is no doubt that this formidable weapon was engineered possibly by any Nation-state with extensive resources and expertise. I can’t accept that it has been written by an individual or a group of hackers at random.

Composición de Stuxnet / Stuxnet Composition

 Stuxnet Worm

Si analizamos el gráfico vemos la tremenda complejidad del gusano y que ha requerido amplios conocimientos de desarrollo, diversos exploits 0day, uso de una contraseña en sistemas SCADA de Siemens prácticamente desconocida,  utilización de P2P para actualizarse de forma automática, utilización de C&C para comunicarse y recibir órdenes, empleo de certificados digitales válidos para pasar desapercibido, un potente rootkit que modifica sistemas SCADA, etc. Desde luego no es el típico gusano 😉

If we look at the chart we can see the tremendous complexity of the worm which has required extensive knowledge development, various 0day exploits, use of a password in Siemens SCADA systems virtually unknown, use of P2P to update automatically, use of C&C to communicate and receive orders, use of valid digital certificates to be unnoticed, a powerful rootkit that modifies SCADA systems, etc. For sure isn’t your typical worm 😉

Desde el Microsoft Malware Protection Center han publicado que el país más atacado por este gusano es Irán, “que da la causalidad” que se encuentran en pleno desarrollo de su programa nuclear en contra de la opinión pública y de muchos países del primer mundo con conocidas capacidades de ciberguerra. No entrare a especular quien ha sido pero tenemos varios sospechosos habituales 😉

Microsoft Malware Protection Center have published that the country most attacked by this worm is Iran, “which gives the causality” that are in full development of their nuclear program against public opinion and many countries of the first world with known cyber warfare capabilities. I will not speculate who has been but we have several suspects 😉

Un claro ejemplo del elaborado plan es la infección a través de USB de la central nuclear de Irán, permitiendo al gusano llegar a redes generalmente aisladas como las SCADA y evitar diversos mecanismos de seguridad y sabemos que este vector de ataque funciona de maravilla.

A clear example of the elaborate plan is the infection via USB of the nuclear plant in Iran, allowing the worm to reach generally isolated SCADA networks and to avoid various security mechanisms and we know that this attack vector works perfectly.

Podemos concluir que Stuxnet es un ejemplo real de una poderosa arma para operaciones de ciberguerra desarrollada por algún Estado nación con amplios recursos y que ha dado una buena lección al mundo sobre sus capacidades ofensivas.

Aprovecho para pedir a mis lectores que si tienen copia de este gusano me lo hagan llegar, por favor 🙂

¿Y cuál es tu opinión sobre el uso de sofisticados gusanos para operaciones de ciberguerra?

We can conclude that Stuxnet is an actual example of a powerful weapon for cyber warfare operations developed by some Nation-state with extensive resources and have giving a good lesson to the world about their offensive capabilities.

I take this opportunity to ask my readers if they have a copy of this worm to send it to me, please 🙂

And what is your opinion on the use of sophisticated worms for cyber warfare operations?

Enlaces / Links

— Simon Roses Femerling

Posted in Security | Tagged , , , , , , | Leave a comment

SOURCE BARCELONA WAS A BLAST

Posted on September 27, 2010 by Simon Roses

La semana pasada se celebró la segunda edición de SOURCE BARCELONA y tengo que decir que fue una pasada  🙂  La conferencia es pequeña con un toque casi familiar, lo que permite interactuar con los ponentes y asistentes a un nivel personal y acabar ciegos  😉  Asistió gente de Europa, EE.UU y Asia, por lo que no está nada mal la mezcla y la cantidad de empresas importantes del sector que estaban allí representadas creando un evento de calidad.

Last week the second edition of SOURCE BARCELONA was held and I must say that was a blast  🙂  the conference is small with an almost family touch allowing you to interact with speakers and attendees at a personal level and end up wasted  😉  It was attended by people from Europe, USA and Asia and the quantity of important companies in the sector who were there represented created a quality event.

Las charlas estuvieron muy interesantes combinando tecnología y negocios con el mundo de la seguridad. En breve se publicarán las presentaciones y videos que no os deberíais perder!

The talks were very interesting combining technology and business with the world of security. In short they will publish the talks and videos that you should not miss!

Personalmente lo que más me gusta es el nivel de “colegueo” que se respira por la conferencia y que puedes hablar con todo el mundo sin ningún problema. Y por supuesto unas buenas marchas nocturnas explorando Barcelona!! (como un amigo que era el rey de la pista en el icebar, tú sabes quién eres 😉

Personally what I like most is the level of friendship that breathes at the Conference and that you can talk to everyone without any problem. And of course a few good nighttime parties while exploring Barcelona! (as a friend who was the King at the dance floor in the icebar, you know who you are 😉

Los asistentes valoran esta conferencia como una de las mejores a las que han ido y eso lo dice todo!!! El año que viene SOURCE celebra 3 congresos (Boston, Seattle y Barcelona) que recomiendo asistir a todos.

Hasta la próxima 😉

Attendees appreciate this Conference as one of the finest that they have gone and that says it all! The coming year SOURCE celebrates 3 Conference (Boston, Seattle, and Barcelona) I recommend everyone to attend.

Until the next one 😉

— Simon Roses Femerling

Posted in Business, Conference, Security | Tagged , | Leave a comment

Book Review: La Inteligencia como Disciplina Científica

Posted on September 17, 2010 by Simon Roses

Esta obra es una recopilación de artículos y presentaciones del Primer Congreso de Inteligencia celebrado en Madrid en octubre de 2008 por diversos autores. La recopilación a cargo de Fernando Velasco, Diego Navarro y Rubén Arcos se titula “La Inteligencia como Disciplina Científica” (ISBN 978-84-92751-67-9).

Sorry but the book is in Spanish only.

This book is a compilation of articles and presentations of the First Intelligence Congress held in Madrid on October 2008 by various authors. Book gathering was carried out by Fernando Velasco, Diego Navarro and Rubén Arcos and is entitled “The intelligence as a Disciplinary Science” (ISBN 978-84-92751-67-9). Original title “La Inteligencia como Disciplina Científica

A pesar de un ser un libro con partes densas (580 pág.) cubre los temas relacionados con las comunidades de inteligencia (CIA, CNI, MI5, etc.), recogida de información (OSINT, HUMINT, TECHINT, etc.), terrorismo, etc. de forma interesante y actual. La recopilación se compone de 6 áreas que son:

  • Primera sección: Inteligencia: Conceptos y Metodología
  • Segunda sección: Tipos de Inteligencia
  • Tercera sección: Inteligencia y Seguridad
  • Cuarta sección: Historia e Inteligencia
  • Quinta sección: Marco Jurídico
  • Sexta sección: Terrorismo

In spite of being a book with dense parts (580 pages), covers topics related to the intelligence communities (CIA, CNI, MI5, etc.), information gathering (OSINT, HUMINT, TECHINT, etc.), terrorism, etc. from an interesting and current angle. The collection consists of 6 areas which are:

  • First section: Intelligence: Concepts and Methodology
  • Second section: Types of Intelligence
  • Third section: Intelligence and Security
  • Fourth section: History and Intelligence
  • Fifth section: Legal Framework
  • Sixth section: Terrorism

Cada sección recoge diversos trabajos presentados en el congreso tanto por académicos como profesionales del sector aportando una gran calidad y realismo a la obra. Aunque confieso que algunos artículos no son de mi interés pero seguro que lo son para otras personas. En la variedad está el gusto 🙂

Each section contains various papers presented at the Congress by scholars and professionals in the sector providing a high quality and realism to the work. Although I must admit that some articles are not of interest to me, but for sure that they are for other people. Beauty is in the eye of the beholder 🙂

Algunos de los artículos que me han gustado son:

  • Primera sección: “Errores de Inteligencia, Fallos y errores en el ámbito de Inteligencia” y “La pieza clave de Inteligencia: el analista”.
  • Segunda sección: “Hacia la organización inteligente: Diseño de un sistema de inteligencia competitiva en una empresa de base tecnológica”
  • Tercera sección: “Inmigración e Inteligencia”, “Un nuevo reto de la sociedad internacional del siglo XXI: el crimen transnacional”, “La privatización de la inteligencia” y “La colaboración con expertos externos en el análisis de inteligencia”.
  • Cuarta sección: “Laundered archives: las fuentes primarias para el estudio del servicio secreto británico en España durante la Primera Guerra Mundial”, “Neutralidad violada. La actividad de los servicios militares franceses en España durante la Primera Guerra Mundial (1914-1918)”, “Protección de la información industrial: el gremio de los vidrieros venecianos” y “Historia de las estructuras de la inteligencia e información de la República Islámica de Irán”.
  • Quinta sección: “El control de los servicios de inteligencia en los Estados democráticos”.
  • Sexta sección: “Análisis masivo de datos y lucha antiterrorista”, “Cibercrimen y ciberterrorismo: dos amenazas emergentes en un contexto global”, “La economía del terrorismo yihadista: problemas de investigación” y “Osama Bin Laden: bibliografía en castellano”.

Above is a list of articles I did enjoyed but unfortunately I’m not going to translate them not to lose context.

A pesar de tener varios artículos no interesantes (para mi) o pesados de leer, en mi opinión una lectura recomendada para los interesados en inteligencia o algunos de los temas de las secciones.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura recomendada)

Licencia para matar leer…

In spite of having a bunch of not interesting  articles (for me at least) or some heavy reading, in my opinion a recommended reading for those interested in intelligence or any topic from the sections.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

License to kill read….

— Simon Roses Femerling

Posted in Books, Conference, Security | Tagged , , | Leave a comment

Software Security Development Framework: Survival Guide

Posted on September 8, 2010 by Simon Roses

La seguridad en el ciclo de desarrollo de aplicaciones ya no es opcional, tiene que ser considerada como un elemento vital y crítico para cualquier tipo de producto ya sea una aplicación web, móvil, cliente, etc. sin ningún tipo de excusa.

Security in application development lifecycle is not optional, it has to be regarded as a vital and critical part of the development process to any kind of product either an application web, mobile, client, etc. without any excuse.

Es frecuente oír en la industria lo difícil y costoso que es aplicar seguridad en el desarrollo y muchas compañías lo utilizan como excusa para producir productos de baja calidad, que lo único que hace es perjudicar a la industria del software y todavía más a sus clientes exponiéndoles a los peligros de Internet.

It is common to hear in the industry how difficult and expensive is to apply security in the development process and many companies use it as an excuse to produce products of low quality, which makes it prejudicial to the software industry, and even more to customers exposing them to online dangers

Por supuesto que requiere un esfuerzo, dedicación, gasta recursos, modifica los paradigmas de desarrollo y además tiene un precio. Pero los verdaderos problemas son otros que parece que muy pocos entienden o quieren ver como son la falta de conocimientos en la materia o foco en el beneficio en vez del cliente.

Of course it requires effort, dedication, spends resources, modifies development paradigms and has a price tag. But the real problems are others that very few understand or want to see as the lack of knowledge in security development or focus on the revenue instead of the customer.

A continuación pongo una serie de puntos a modo de guía de supervivencia que debemos tener en cuenta a la hora de meternos en esta odisea.

  1. Decisión: Existen 4 marcos principales de seguridad en el desarrollo que las compañías pueden utilizar como son el SDL de Microsoft, CLASP de OWASP, Touchpoints de Cigital y el BSIMM como punto de partida. Debemos escoger el que mejor se adapte a nuestras necesidades y no al revés.  No “Copy&Paste” de un marco sino adáptalo a ti.
  2. Selectivo: No es necesario aplicar el marco entero, solo seleccionar aquellas partes que nos interesen rebajando el tiempo de implantación y su coste. Por ejemplo Microsoft tiene 3 variantes: SDL para productos, SDL-LOB para aplicaciones de negocio y SDL-Agile para programación agile.
  3. Expertos: Si no tenemos las habilidades en casa debemos buscar ayuda fuera, aunque tenemos que tener cuidado ya que en el fondo muy poca gente tiene experiencia en este campo. Un punto de partida pueden ser las empresas que se han certificado en el SDL de Microsoft. Es conveniente contratar o formar a nuestro personal en este proceso de seguridad para tenerlo en casa.
  4. Formación: Una buena formación es el camino al éxito. Ofrecer diversos cursos de formación en función de la audiencia y los conocimientos que queremos que nuestros equipos obtengan. Existen diversas certificaciones que nos pueden ayudar como CSSLP del ISC2 y las certificaciones de desarrollo seguro de SANS.
  5. Paciencia: Microsoft es sin duda el líder en desarrollo seguro como se puede apreciar en estos últimos años (2008-2009), pero tenemos que tener en cuenta que llevan trabajando en este tema desde 2002 y con amplios recursos (humanos y económicos). Seguramente nosotros seremos más modestos que Microsoft, por lo que debemos ser más listos y eficientes.
  6. Realidad: Nuestro producto ganará en calidad pero en ningún momento debemos pensar que seremos capaces de evitar 100% los fallos de seguridad. El SDL de Microsoft lo define perfectamente: evitar todos los fallos posibles y mitigar aquellos que se escapen mediante otros mecanismos de seguridad (antivirus, cortafuegos, autenticación, criptografía, etc…).
  7. Unión: Debemos proteger la infraestructura y las aplicaciones (desarrollo) dentro de nuestra estrategia de seguridad. Por lo tanto estas 2 áreas están estrechamente ligadas y deben trabajar juntas sin ningún tipo de excusa. La seguridad es responsabilidad de todos en la organización.
  8. Sin Escape: Aplicar la seguridad tanto si desarrollamos en casa como si esta externalizado. En caso de externalización deberíamos aplicarles nuestros estándares de calidad.  Igualmente si compramos productos de terceros debemos tener ciertas garantías que han seguido un proceso de desarrollo seguro.
  9. Evolución: Esto es un proceso y en continua evolución. Nuestro marco de seguridad no debe ser estático sino que debe adaptarse a los tiempos: tecnología, procesos y personas.
  10. Respuesta: Debemos estar preparados para lo peor por lo que es conveniente tener un plan de respuesta en caso de inseguridad en nuestra aplicación que contemple quien debe estar involucrado, como manejar la situación, comunicación, etc.

I have put a series of points as a survival guide that we must take into account to get involved in this odyssey.

  1. Decision: There are 4 main security development frameworks that companies can use such as the Microsoft SDL, OWASP CLASP, Cigital Touchpoints and BSIMM are good starting point.  You should choose the best that fits your needs and not vice versa. Do not “Copy & paste” a framework but adapt it to yourself.
  2. Selective: No need to apply the entire; select only those parts that interest you to lowering deployment time and cost. For example Microsoft has 3 variants: SDL from products, SDL-LOB for business applications and SDL-agile for agile development.
  3. Subject Matter Experts: If we don’t have the skills in-house, we must seek help out but we must be careful because there are basically few people who have experience in this field. A starting point may be companies that have been certified in the Microsoft SDL. It is advisable to hire or train folks in-house to educate them in the security process.
  4. Training: Good training is the way to success. Offer various security courses depending on the audience and teach the knowledge that we want our staff to obtain. There are various certifications that can help us as the ISC2 CSSLP and SANS secure development certifications.
  5. Patience: Microsoft is undoubtedly the leader in secure development as seen in recent years (2009 – 2010) but we have to take into account that they been working on this subject since 2002 with extensive resources (human and financial). We will certainly be more modest than Microsoft so we must be smart and more efficient.
  6. Reality: Our product will win in quality but at any time we have to think we will not be able to achieve 100% security. Microsoft SDL defines it perfectly: avoid all possible failures and mitigate those that slip through other security mechanisms (anti-virus, firewall, authentication, cryptography, etc…).
  7. Union: We must protect the infrastructure and applications (development) within our security strategy. Therefore these 2 areas are closely linked and must work together without any excuse. Security is the responsibility of the entire organization.
  8. No escape: Apply security in the develop lifecycle in-house, same as if externalized. Our quality standards should apply in the case of outsourcing.  Also if we buy third party products we must have certain guarantees that they have followed a secure development process.
  9. Evolution: This is a process in constant evolution. Our security framework should not be static but it must change with the times: technology, processes and people.
  10. Response: We must be prepared for the worst so it is convenient to have a response plan in case of a security compromise in our application that includes who should be involved, how to handle the situation, communication, etc.

Este tema es muy amplio pero espero que el post ayude a enfocar la dirección y seas capaz de implantar un proceso adecuado para tu organización.

¿En qué situación se encuentra tu organización (perdidos, inicio, en desarrollo, implantado) y éxito o fracaso?

This topic is very broad, but I hope the post helps focus in the right direction and you’re able to implement an appropriate process for your organization.

What’s the current status in your organization (completely lost, starting, in progress, implanted) and success or failure?

— Simon Roses Femerling

Posted in Microsoft, OWASP, SDL, Security, Threat Modeling | Tagged , , , , | Leave a comment

Book Review: Conquest in Cyberspace, Information Warfare

Posted on August 31, 2010 by Simon Roses

Aprovechando el verano me he dedicado a leer algunos libros y a continuación os pongo el review de este libro sobre ciberguerra. El libro se titula “Conquest in Cyberspace, National Security and Information Warfare” (ISBN-13 978-0-511-28535-6, formato eBook (EBL)) del autor Martin C. Libicki, analista de la RAND Corporation.

Taking advantage of the summer I’ve been devoted to read some books and here is the review of one of them on cyberwar. The book is entitled “Conquest in Cyberspace, National Security and Information Warfare” (ISBN-13 978-0-511-28535-6, eBook (EBL) format) by Martin C. Libicki, senior policy analyst of the RAND Corporation.

Como el nombre indica la obra trata sobre guerra en el ciberespacio y sistemas de información, un tema tan de moda hoy en día, compuesta por 11 capítulos y anexos sobre la materia como conquistas, reflexiones, peligros, etc.

As the name indicates the work is about war in cyberspace and information systems, a hot topic these days, composed of 11 chapters and annexes concerning conquests, reflections, risks, etc.

A pesar de ser un tema interesante y del potencial de autor proviniendo de la RAND el libro se hace pesado de leer y no aporta novedades en la materia. Una lástima que un libro como este se haya quedado en poca cosa.

Despite of being an interesting topic and author potential coming from the RAND the book becomes boring reading and do not provides anything new. A pity such a book has become insignificant.

Además el libro contiene diversos errores de concepto en seguridad informática y describe ataques demasiados antiguos para ser una obra del 2007 perjudicando la calidad de la obra aún más.

Furthermore the book contains various errors in computer security concepts and describes attacks too old to be a work of 2007 harming the quality of the work even more.

Soy de la opinión que leer un libro nunca es perder el tiempo por malo que sea y lo mismo pienso de esta obra, aunque desde luego no es libro que vaya a recomendar existiendo obras mejores que ya iré comentando.

 Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 2 Rosas (Lectura poco recomendada)

I think that reading a book is never a loss of time and the same I think of this work although certainly I would not recommend this book as there are better books on the subject that I will cover.

 Score (1 pink, very bad / 5 roses, very good): 2 Roses (Not recommended)

— Simon Roses Femerling

Posted in Books, Security, Technology | Tagged , , , | Leave a comment

Viva Las Vegas

Posted on July 26, 2010 by Simon Roses

Estimados lectores disculpad que no haya actualizado el blog en unos días pero llevo una semana de gira por los EE.UU, la semana pasada en Seattle y esta semana en Las Vegas para asistir al congreso Blackhat 🙂

Dear readers apologies for not updated the blog in a few days but I’m currently on U.S. tour, Seattle last week and this week in Las Vegas to attending Blackhat 🙂

No os preocupéis que a mi vuelta volveré a escribir de forma habitual y os contare las novedades del congreso!

Un saludo,

Not worries as on my return I will be back to write regularly and tell you the latest news from the event!

Best regards,

— Simon Roses Femerling

Posted in Conference, Security | Tagged , , | Leave a comment

NSA WANTS YOUR CRITICAL INFRAESTRUCTURE NETWORK

Posted on July 13, 2010 by Simon Roses

El Wall Street Journal ha publicado una interesante pero inquietante noticia sobre un programa de la NSA (agencia nacional de seguridad americana) llamado “Perfect Citizen” que consiste en identificar ciber ataques a las infraestructuras criticas (CI) de los EE.UU. mediante la instalación de dispositivos de red (sensores) en las compañías privadas que operan estas infraestructuras.

The Wall Street Journal has published an interesting but troubling article about NSA (US national security agency) program called “Perfect Citizen” to identify cyber-attacks on US critical infrastructure (IC) by installing network devices (sensors) on private companies networks that operate these infrastructures.

La implantación de estos dispositivos de vigilancia estará a cargo de Raytheon, una compañía privada y uno de los principales contratistas de defensa del país, que acaba de ganar un concurso clasificado valorado en 100 millones de dólares.

The deployment of these surveillance devices will be in charge of Raytheon, a private company and one of the main defense contractors in the US, as they just won a classified contest valued at 100 million USD.

No me puedo imaginar que las compañías privadas estén demasiado contentas con que una compañía privada, Raytheon, y la NSA instalen dispositivos de red en sus redes de infraestructuras críticas.

I cannot imagine that private companies are too happy with a private company, Raytheon, and NSA installing network devices in their critical infrastructure networks.

Algunas preguntas que se me vienen  a la cabeza:

  • ¿Qué hacen exactamente estos dispositivos?
  • ¿Quién los gestiona y cómo?
  • ¿Las compañías tendrán pleno y libre acceso a estos dispositivos y conocerán todo su contenido (aplicaciones, capacidades etc.)?
  • ¿Qué sucederá cuando unos de estos sensores sea comprometido (0wn) y subvertido?
  • ¿Correrán Linux, Windows, BSD u otro sistema?
  • ¿Quién asume los gastos?
  • Etc…

Some questions that comes to mind:

  • What exactly do these devices do?
  • Who manages them and how?
  • Will Companies have full and free access to these devices, and know everything about them (applications, features, etc.)?
  • What happens when one of these sensors is 0wnned and subverted?
  • Will be Linux, Windows, BSD, or another system?
  • Who assumes the costs?
  • Etc…

Desde luego que este programa “Perfect Citizen” daría un acceso a información crítica a la NSA sin precedentes (aunque la pudieran conseguir de otras formas 😉 Ahora las empresas privadas americanas no se tienen que preocupar de los ataques chinos, para eso ya está la NSA instalando sensores en sus jardines…

“Perfect Citizen” would give access to a vast of critical information to the NSA as never seen before (although they could achieved it in other ways 😉 Now American private companies do not have to worry about Chinese attacks, they already have NSA installing sensors in their backyards…

En España contamos con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), organismo público encargado de la seguridad de las infraestructuras críticas del país que se creó en el 2007.

In Spain we have the National Center for the Protection of Critical Infrastructures (CNPIC), which is a public body responsible for the security of critical infrastructures in the country created in 2007.

La CNPIC ha establecido canales de comunicaciones con las compañías privadas que controlan el 80% de las infraestructuras críticas del país y una guía sobre medidas de seguridad que deberían tener estas empresas.

The CNPIC has established communication channels to the private companies that control 80% of the critical infrastructure in the country and a guide on security measures that should adopt these companies.

Tengo que admitir que los ciber ataques a las infraestructuras críticas son un problema serio y que debemos luchar de forma conjunta entre UE y EE.UU., pero instalar sensores en estas redes y bajo una organización sin transparencia no me parece la mejor opción de defensa.

¿Y tú que piensas del programa “Perfect Citizen”?

I have to admit that cyber-attacks on critical infrastructures are a serious problem and that we must fight EU and US together but installing sensors in these networks and under an organization without transparency seem to me a bad defense approach.

And what do you think of the “Perfect Citizen” program?

— Simon Roses Femerling

Posted in Security, Technology | Tagged , , | Leave a comment

SOURCE C0NFERENCE AGENDA IS OUT!!!

Posted on July 9, 2010 by Simon Roses

Se acaba de publicar la agenda de SOURCE Barcelona para Septiembre 21 y 22. Si te interesa la seguridad y los negocios no te pierdas esta conferencia de nivel. Además co-presentare una charla sobre “contraseñas en redes corporativas” 🙂

Nos vemos en SOURCE BCN!

SOURCE Conference Barcelona agenda has just been published for September 21 and 22. If you are interested in security and business don’t miss this top notch conference. I will co-present a talk on “passwords in corporate networks” 🙂

See you in SOURCE BCN!

— Simon Roses Femerling

Posted in Conference, Security, Technology | Tagged , , , | Leave a comment

Hacking in Middle East: United Arab Emirates National Proxy Bypass

Posted on July 6, 2010 by Simon Roses

En mi reciente viaje a Dubai me encontraba en la habitación del hotel esperando a mi hermano para salir y mientras tanto el “hacker que llevo dentro” decidió jugar un poco con el proxy nacional de los Emiratos Árabes (UAE) que filtra todo el contenido considerado infiel.

On my recent trip to Dubai I was waiting at my hotel room for my brother to leave so meanwhile the “hacker in me” decided to play a little with the United Arab Emirates (UAE) national proxy that filters everything considered infidel.

Lo primero que hice fue abrir el navegador y ver si podía acceder a los buscadores, en mi caso Bing. Efectivamente esto no está censurado y además sale todo en árabe 🙂

First thing I did was open the browser and see if I could access search engines, Bing of course. Actually it was not censored and all text was in Arabic 🙂

screen1
 Procedamos con el experimento y ver hasta dónde podemos llegar. Para esta prueba hacemos una búsqueda de algo infiel 😉 y efectivamente ahora nos sale un mensaje de advertencia que nuestra búsqueda ha sido bloqueada por “Surf Safely”, el proxy.

Let’s proceed with the experiment and see how far we can go. For this test we searched for something infidel 😉 and now we get a warning message that our search has been blocked by “Surf Safely”, the proxy.

screen2
 Lo cierto es que saltarse el proxy es relativamente fácil y sólo me llevó cuestión de minutos dar con la clave y ya estaba surfeando la web totalmente libre 😉 No entraré en detalles de cómo pero un aviso de seguridad para UAE es que deben mejorar su software de proxy y no filtrar solamente por contenido en función de un solo idioma.

The truth is that bypassing the proxy is relatively easy and only took me minutes to find the key and now I was totally free to surf the web 😉 I will not go into the details on how to bypass it but a warning to UAE is that they should improve its proxy software and do not filter by content in one language only.

Además mediante un análisis de los metadatos del PDF obtenidos de la web de censura sobre lo que es infiel hemos podido obtener una cuenta de usuario que podríamos usar como vector de ataque, y que el documento se creó recientemente (abril) con Office 2007 🙂

Y por cierto este hack era hacking ético por lo tanto legal según la ley (ver PDF sección 7, excepciones) }:-)

Un saludo y hasta el próximo hack en algún lugar del mundo!!

A metadata analysis of the retrieved PDF from the censorship website reveals a user name that could be used as an attack vector, and that the document was created recently (April) with Office 2007 🙂

Of course this hack was ethical hacking therefore legal according to law (see PDF section 7, exemptions) }:-)

See ya and until next hack somewhere in the world!

— Simon Roses Femerling

Posted in Security, Technology | Tagged , , | Leave a comment

Book Review: Trump 101, the Way to Success

Posted on July 2, 2010 by Simon Roses

El conocido millonario, amante de la belleza y de la célebre frase “you are fired” del programa The Apprentice, Donald J. Trump ha publicado otro libro más titulado “Trump 101, The Way to Success” (ISBN 0-470-04710-0) bajo el sello de Trump University (que ahora se llama Trump Initiative), donde también se ofrecen otros interesantes libros.

Known billionaire, beauty lover and famous for the phrase “you are fired” from The Apprentice show, Donald J. Trump has published another book entitled “Trump 101, The Way to Success” (ISBN 0-470-04710-0) under the brand of Trump University (now called Trump Initiative), where you can find other interesting books as well.

Trump 101 es un libro de rápida y fácil lectura (173 pág.) donde el millonario nos relata en 33 capítulos su particular estilo de hacer negocios y entender la vida. Esto no significa que vayamos hacernos ricos siguiendo sus consejos pero siempre es interesante aprender de los maestros y desde luego que Trump conoce el mundo de los negocios a la perfección.

Trump 101 is a quick and easy read (173 pages) where millionaire tells us in 33 chapters his particular style of doing business and understanding life. This doesn’t mean that we will get rich on his advice but it is always interesting to learn from the masters and Trump knows the world of business perfectly.

El libro incluye notas de su diario donde narra las actividades de una semana en la vida de Trump, la semana que nació su hijo Barron William Trump, además de preguntas y respuestas realizadas a través de su blog en cada capítulo.

The book includes notes from his diary a glimpse into a week in the life of Trump, the week that his son Barron William Trump was born, also includes questions and answers made through his blog for each chapter.

En mi opinión una lectura obligatoria para los interesados en los negocios o como curiosidad para ver la vida de Trump desde la trinchera.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura recomendada)

In my opinion a mandatory reading for business interested or as a curiosity to view Trump life from a daily basis.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

You are fired!!!

— Simon Roses Femerling

Posted in Books, Business, Economics | Tagged , | Leave a comment