Flame, ¿Una SUPER-Ciberarma?

Un nuevo malware descubierto en Irán capturó la atención mundial por sus sofisticadas características, aunque algunos especialistas creen que se esta exagerando su complejidad.

El malware fue descubierto por la empresa rusa de antivirus Kaspersky Lab, quien al anunciar el hallazgo no dudo en llamar a Flame una "super-ciberarma", entre otros epítetos.

"all indicate that Flame belongs to the same category of super-cyberweapons." - Kaspersky Lab

Según Kaspersky, el propósito de Flame es el espionaje de las máquinas infectadas, robando documentos, tomando screenshots, capturando conversaciones por el micrófono e interceptando tráfico de red. Toda esta información luego sería enviada a servidores de command-and-control localizados en diferentes partes del mundo.

Flame tiene un llamativo tamaño de 20MB cuando todos sus módulos están instalados, los que incluyen múltiples librerías, bases de datos SQLite3, diferentes niveles de cifrado, 20 plug-ins opcionales para sus atacantes, y se especula que sus orígenes datan del 2007, fecha desde la cual ninguna empresa de antivirus lo ha detectado.

El nivel de sofisticación del malware, como que haya sido dirigido a países del Medio Oriente, siendo el principal afectado Irán, podrían dar indicios válidos para pensar que un estado se encuentra detrás del desarrollo del mismo, como se especula con Stuxnet y Duqu. Pero algunas declaraciones como que Flame es una super-ciberarma o que superó a Stuxnet parecen un poco apresuradas, más aun cuando los mismos investigadores de Kaspersky dicen que analizar completamente a Flame les puede llevar 10 años.

"It took us half a year to analyze Stuxnet," "This is 20 times more complicated. It will take us 10 years to fully understand everything." - Kaspersky Lab

Otros especialistas como Webroot, dicen estar en desacuerdo con las declaraciones hiperbólicas sobre Flame, y afirman que en términos de sofisticación este malware esta lejos de Zeus, Spyeye o TDL4.

"In terms of sophistication we believe it is nowhere near Zeus, Spyeye or TDL4 for example. Essentially Flame at its heart is an over-engineered threat that doesn’t have a lot of new elements to it--essentially a 2007 era technology." - Webroot

Me pregunto cuanto tiempo pasará antes de que comencemos a hablar sobre una cibercarrera armamentística, una ciberguerra preventiva, o un ciberataque realizado por los Transformers…

REFERENCIAS:
- NYTimes: Iran Confirms Attack by New Virus
- Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat
- Newly discovered malware most lethal cyberweapon to date
- Flame virus 'much bigger than Stuxnet'
- Massive Internet threat ‘Flame’ may be ‘most sophisticated cyber weapon yet unleashed’
- PCWorld: 'Flame': Lethal Cyberweapon or Media Hype?
- Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East
- Wired: Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers



Publicado por @KFS en www.KUNGFOOSION.com

El CDCyber de BRASIL se prepara para RIO+20

El CDCiber (Centro de Defesa Cibernética) del ejército brasileño se prepara para su prueba de fuego en RIO+20.

CDCiber: Centro de Defesa Cibernética

A fines del 2010, el gobierno brasileño creó el CDCiber (Centro de Defesa Cibernética), comandado por el Ejército, con el objetivo de coordinar las acciones de protección virtual de las fuerzas armadas.

Pero el CDCiber no solo trabaja en la defensa, según comentara en una entrevista el comandante de este centro, el General José Carlos dos Santos,  "en una situación de ataque, si usted es capaz de identificar a un atacante en la red, sería lícito neutralizar ese ataque". Para ello, el personal de este Centro ya ha tomado capacitación de ataque ofensivo, específicamente los cursos de la empresa Offensive Security. 

Actualmente el CDCiber cuenta con un personal de 35 militares, pero apunta a llegar a 140 en el mediano plazo. Santos comenta que el CDCiber va a necesitar de unos 45M USD por año hasta el 2015.

Las acciones que el CDCiber planea realizar en el corto plazo serían principalmente de monitoreo de redes sociales, buscando identificar tendencias relacionadas a la defensa, como lo ocurrido durante la Primavera Arabe, y también, monitoreo de patrones de tráfico, buscando anomalías que pudieran indicar algún tipo de ataque.

¿Por qué RIO+20 es importante? 

RIO+20 es la forma abreviada de referirse a la Conferencia de las Naciones Unidas sobre el Desarrollo Sostenible, a celebrarse en Río de Janeiro en Junio de 2012, veinte años después de la histórica Cumbre para la Tierra celebrada en Río en 1992.

En esta oportunidad, cientos de presidentes y primer ministros del mundo, se reunirán para debatir cómo reducir la pobreza, avanzar en la equidad social y asegurar la protección ambiental para un planeta cada vez más poblado.

No cabe dudas que los ojos del mundo estarán puestos por algunos días en Brasil, pero no solo por RIO+20, sino también porque estamos cada vez más cerca del Mundial de Fútbol del 2014 y las Olimpíadas del 2016, y este evento servirá para medir el desempeño y la capacidad de Brasil, en todos los aspectos, incluso los relacionados a la respuesta ante ataques informáticos.

Buenas Políticas

Otros proyectos en progreso del ejército brasileño, incluyen la contratación del desarrollo de un simulador de guerra cibernética para entrenar al personal del CDCiber, y un sistema AntiVirus, para reemplazar el actualmente utilizado (Panda) en 60.000 puestos de trabajo que conforman la red corporativa del ejército (EBNet).

En ambos proyectos, la licitación era exclusivamente para empresas brasileñas. El proyecto de desarrollo del simulador de guerra cibernética por un valor de 2,8M USD fue ganado por la empresa Decatron, y el proyecto de AntiVirus por un monto de 442K USD fue ganado por la empresa BluePex, dueña del antivirus AVWare.

Que las licitaciones hayan sido destinadas exclusivamente para empresas brasileñas, da cuenta de una clara política de estado, en coherencia con lo que Brasil ya viene haciendo con el desarrollo de su industria nacional de defensa, entre otras.

Otro aspecto no menor, es la decisión de reemplazar un AntiVirus  desarrollado por una empresa extranjera (Panda de España), por uno de  desarrollo nacional (a llamarse "DefesaBR"), a ser utilizado en la red corporativa del ejército, con 60.000 puestos de trabajo!

Una clara apuesta a la seguridad nacional, en algo tan sensible como un software que detecta ataques, y que sería instalado en las computadoras de usuarios que manejan información sensible.

REFERENCIAS:
- CDCiber - Centro de Defesa Cibernética inicia em Junho
- Brasil se prepara para la guerra cibernética
- CDCiber - In cyber warfare, Brazil adopts the strategy of counter-attack
- General José Carlos dos Santos: "Podemos recrutar hackers"
- General detalha implantação do Centro de Defesa Cibernética, novo órgão brasileiro



Publicado por @KFS en www.KUNGFOOSION.com

El CFP para la ekoparty 2012 esta ABIERTO!

Estamos orgullosos de anunciar la octava edición de la ekoparty security conference.

Una vez más, en este evento único, los especialistas de seguridad informática de todo el mundo tendrán la oportunidad de actualizar sus conocimientos y profundizar en los descubrimientos e investigaciones más importantes del año.

La ekoparty se ha convertido en la conferencia técnica más importante y prestigiosa de toda latinoamerica, en la cual se ofrecen los conocimientos más profundos en el área de seguridad informática. En la presente edición esperamos convocar 1500 especialistas en un ambiente distendido pero a la vez repleto de actividades.

El éxito rotundo de las novedades introducidas en la última edición de la ekoparty, nos han inspirado a ir por más, incluyendo la “EKOPARTY ARMORY” en la conferencia de este año. Durante 3 días, diferentes talleres/WORKSHOPS, como LOCKPICKING VILLAGE OR THE BIQUAD WIFI ANTENNA, se irán alternando/entremezclando con nuestras "clásicas" actividades: WARDRIVING, CAPTURE THE FLAG, y por su puesto, nuestras increíbles fiestas!

El equipo organizador de la ekoparty invita gentilmente a participar de la nueva edición de la conferencia, a todos aquellos que se encuentren interesados en compartir y difundir sus conocimientos y/o descubrimientos en el área de seguridad informática.

TEMAS DE LAS CHARLAS:
Los temas de interés para las charlas incluyen, pero no se limitan, a lo siguiente:
- 0 days
- Web Security
- Embedded Systems Technologies
- GSM, GPRS and CDMA Security
- RFID Security
- VoIP Security
- Lockpicking
- Wireless Security
- Exploitation
- IPv6 Security
- Attack and Defense Techniques
- Reverse Engineering
- Application Security, Testing, Fuzzing
- Code Auditing
- Virtualization Security
- Malicious Code
- Databases Security
- Packet Pungas
- Viruses, Worms, and Trojans
- e-crime, Phishing and Botnets
- Malware, Crimeware
- Banking Security
- Phreaking
- Hardware hacking
- Cryptography
- Forensics & AntiForensics
* Todas las charlas serán traducidas en simultáneo rompiendo con cualquier barrera de lenguaje.

TIPOS DE ENTREGAS
- Charlas de tiempo completo (50 minutos)
- Turbo talks (20 minutos)
- Hands-on Worshops
- Trainings
- Herramientas para la boutique

APLICACIÓN DEL CALL FOR PAPERS:
Por favor regístrate en el sistema de CFP de ekoparty y completa toda la información requerida: http://cfp.ekoparty.org

FECHAS IMPORTANTES:
- 21 de Mayo - Se abre el CFP
- 20 de Julio - Primera ronda de selección
- 3 de Agosto - Se cierra el CFP

- 17 y 18 de septiembre - ekoparty Trainings
- 19, 20 y 21 de septiembre - ekoparty security conference

PRIVILEGIOS DE SPEAKER:
- Pasaje de avión de ida y vuelta
- Hospedaje
- EL ASADO de ekoparty
- Entrada extra para la conferencia

PRIVILEGIOS DE TRAINER:
- 50 % de la ganancia del training
- 3 dias de hospedaje
- EL ASADO de ekoparty
- Entrada a la conferencia

PRIVILEGIOS DE LA BOUTIQUE:
- EL ASADO de ekoparty
- Entrada a la conferencia

Publicado por @KFS en www.KUNGFOOSION.com

Ciberguerra: Lo Que Dejó Stuxnet

Stuxnet dejó mucho más que solo 1000 centrifugadoras dañadas, y varios meses de demora para el plan nuclear iraní, aunque solo el tiempo nos podrá mostrar cual fue su verdadero impacto.

Stuxnet fue descubierto a mediados de Junio del 2010, aunque hay indicios de que fue lanzado un año antes. Según varios análisis, se habría tratado de un proyecto conjunto entre EEUU e Israel, para dañar las centrifugadoras IR-1 de la planta de enriquecimiento de uranio de Natanz, en Irán.

Stuxnet logró dejar fuera de servicio 1000 centrifugadoras IR-1, de las 9000 existentes en ese momento en la planta de Natanz. El daño ocasionado, generó inesperadas demoras en las ambiciones nucleares de Irán, aunque por alguna razón desconocida al momento, Stuxnet no logró deshabilitar el total de las centrifugadoras.

Los planes nucleares iraníes fueron demorados varios meses, un tiempo muy valioso cuando un posible conflicto armado pareciera inevitable, pero ¿por qué falló Stuxnet? Hay muchas posibles respuestas, pero en principio quedó evidenciado, que los ataques a infraestructuras como la planta de Natanz, aun siendo esponsoreados por un estado, no son tan sencillos como muchas veces creemos. Si así lo fueran, tal vez no hubiera sido necesario el asesinato de tantos científicos nucleares iraníes (TIMELINE).

Aun cuando Stuxnet no cumplió con la totalidad de su objetivo, es indudable que marcó un hito en lo que conocemos como "ciberguerra", siendo probablemente, la primer arma informática sofisticada creada específicamente para un ataque entre estados.

Algo que también dejo Stuxnet, fue una clara muestra del poderío tecnológico de sus creadores. Si las cibermilicias de China y Rusia podrían llegar a funcionar como un método de disuasión para ataques de otros países, la capacidad para crear una ciberarma como Stuxnet, también debería generar el mismo efecto.

Publicado por @KFS en www.KUNGFOOSION.com

Ciberguerra: Gobiernos y Cibermilicias

En el marco de una posible ciberguerra entre estados, ¿las gobiernos  deberían utilizar cibermilicias?

Una cibermilicia, según Rain Ottis del CCDCOE, son un grupo de voluntarios que pueden utilizar ciberataques para perseguir un objetivo político. Podemos hacer referencia al caso de Estonia del 2007, en donde todo un país fue afectado por ataques de cibermilicias rusas, o a la Operación Aurora en el 2010, en donde cibermilicias chinas atacaron empresas de los EEUU persiguiendo ventajas económicas para su país.

En los últimos años, encontramos numerosos casos de cibermilicias de un país que participaron de un conflicto, pero la mayoría de las veces, operando por cuenta propia o sin un consentimiento explícito del gobierno. En el ideal de los casos, las fuerzas armadas deberían tener su propio "cibercomando" para conflictos informáticos, pero aun si ya lo tuvieran conformado, ¿los gobiernos deberían utilizar el apoyo de cibermilicas nacionales?

En el post "Ciberguerra: Más Preguntas Que Respuestas", hablamos de los importante vacíos legales que existen en la actualidad, para enmarcar un ataque informático entre estados dentro de las Leyes de la Guerra. Si a esto le sumamos, que el ataque fuera realizado por una cibermilicia, o un grupo de civiles, la complejidad legal crece aun más.

Muchos países explotan esta falta de acuerdos internacionales para llevar a cabo una guerra encubierta, en donde las cibermilicias juegan un papel importante. Actualmente China y Rusia son los máximos exponentes de este tipo de estrategia, en donde las potencias occidentales, al poseer mayor desarrollo y dependencia tecnológica, se convirtieron en los más vulnerables.

Mas halla del desorbitante presupuesto que el Pentágono tiene para el 2012, 3,4 USD billones para seguridad y tecnología, y 154 USD millones para el U.S. Cyber Command basado en Fort Meade, cualquiera que siga las noticias pensaría que no alcanza para la defensa de sus redes, ¿alcanzará para una estrategia de ataque?

Por supuesto que para Latinoamérica estos presupuestos son totalmente impensables, hasta donde conozco Brasil es el único país en Latinoamérica que tiene su propio cibercomando. Pero a falta de presupuesto, ¿organizar cibermilicias podrá ser una alternativa?

Hoy en día las fuerzas armadas se encuentran con los mismos problemas que cualquier empresa privada, ¿cuánto cuesta contratar un recurso especializado? ¿podré retenerlo luego de haberlo capacitado? y también preguntas mas de índole militar, ¿cómo me aseguro de que no sea un infiltrado o sea susceptible a ello?

Las cibermilicias no pueden reemplazar a un cibercomando, pero podrían ser un complemento para gobiernos con poco presupuesto, y que cuentan dentro de la sociedad civil, con una cantidad importante de recursos humanos con conocimientos. El éxito de este tipo de asociación dependerá de una gran cantidad de factores, dentro de los que se encuentra hasta la cultura de cada país.

Publicado por @KFS en www.KUNGFOOSION.com