El riesgo cibernético por sectores: salud Parte II (farmacéuticas)
Siguiendo con el tema salud, su transformación digital a marchas forzadas, y que no siempre va de la mano de la Ciberseguridad, hoy hablaremos de otra rama, el sector Farmacéutico.
Aunque tecnificadas desde hace años, no siempre han prestado igual importancia a la Ciberseguridad, aunque muchas han sufrido en sus carnes ataques específicos o espionaje industrial.
Como la mayoría de empresas de todos los sectores, no han divulgado de modo propio las fugas de información sufridas a lo largo de los años, y no podemos cuantificar totales, pero si recabar algo de información.
Las farmacéuticas gastan mucho dinero al año desarrollando productos, así que el espionaje industrial que antes se trataba de infiltrar una persona, ahora puede ser más fácil a través de una infección y control de un sistema.
Robar estos datos y venderlos a otras que no les cueste dinero desarrollar un fármaco “caro”, y así venderlo a un 10% del precio de la competencia, es otro de los planteamientos.
Y no solo lo decimos nosotros:
y Farmaretail para sus asociados.
TECNOideas 2.0 Ciberseguridad, cuenta con profesionales para realizar auditorías de seguridad, tanto en sistemas informáticos, como en sistemas industriales IoT, sensores, robots, cadenas de producción, logisticas…
No dude en ponerse en contacto con nosotros para que le facilitemos un presupuesto sin compromiso, y así comprobar que estamos a su alcance, o que le propongamos una formación para su organización.
- Publicado en Consultoría, General, Noticias, Protección de datos, Seguridad
Jit.si una buena alternativa para video llamadas.
En estos días que todos nos vemos obligados a no movernos, y por fin, realizar video llamadas para sustituir as las reuniones y visitas, todo el mundo usa una o varias soluciones de diferentes marcas.
Hay algunas que son inseguras, otras que no respetan la privacidad del usuario ni aunque paguen, y usan las conversaciones para fines publicitarios, y un largo etc.
Pero hay una, que en principio no es mucho mejor que las demás, pero que con un poco de maña, podemos hacer robusta, privada y segura.
Se llama Jit.si, y es de las soluciones más fáciles para comenzar a usar. Entras en su web, seleccionas un nombre de sala, y le pones, o no contraseña. Envías el link de la sala y la contraseña, y a través del navegador los invitados – previas preguntas de permisos – podrán hablar y verte, sin límite en cuanto al número de conexiones.
Lo bueno está en que es de código abierto, y lo que te ofrecen es ver el código (desde su web o Github), y recomendaciones para instalarlo en tu propio servidor, con tu propia seguridad, quitar el rastreo de Google,
Tiene integración con Chrome, Office 365, calendario de Google, chat integrado, diferentes resoluciones de cámara (compatible con protocolos Opus , VP8 y WebRTC) y la mano virtual, que levantas para pedir la voz, muy útil cuando sois varios en la sala.
Hay mucho más en cuanto al uso, streaming, ver vídeos Youtube, enmudecer o que entren todos enmudecidos, aplicación para Android o Ios, que podéis explorar con su uso. En Wikipedia hay un buen artículo sobre características.
Hace un par de años, y después de algún cambio de titularidad y nombre de la empresa que más colaboraba y llevaba el proyecto, fue comprada por 8×8, que ofrece diferentes servicios de videollamada basados en esta plataforma, de pago, junto con más soluciones de comunicaciones.
Creo que el mejor ejemplo de que creemos en una solución es que nosotros lo usemos, y lo hacemos. También el gobierno de España para cambiar el sistema de chiste que tenían para las ruedas de prensa (un grupo de Whatsapp para recibir las preguntas, que las hacía un portavoz), y desde el 9 de abril tienen Jit.si como solución.
Recordad que no hay solución segura al 100%, que siempre tenemos que estar actualizando, investigando, comprobando, para hacer todo nuestro entorno mucho más seguro.
Y si tiene una empresa, y no se fia, como nosotros, de casi ninguna solución y quiere ofrecer una solución personalizada a las reuniones con sus clientes y proveedores, le podemos realizar la instalación de Jit.si.
- Publicado en Consultoría, Hazlo tu mismo, Productos
Exposición de activos OT
En un entorno globalizado, y en plena expansión de la “mal” llamada integración IT/OT, realizamos una serie de búsquedas de activos OT que nuestras empresas tienen publicados en Internet.
Así evaluamos el nivel real de exposición, y extraemos ciertas conclusiones en materia de Ciberseguridad, en entornos industriales.
La llamada industria 4.0 obliga a muchas empresas a tomar la decisión de conectar sus dispositivos industriales a la “red”.
Con ello ofrecen mejores servicios, o simplemente tareas de monitorización y optimización de sus procesos. También para acceso remoto a estos dispositivos mediante telecontrol, o para realizar tareas de mantenimiento sobre los mismos.
Toda esta conectividad, ofrece un amplio espectro de funcionalidades positivas en toda la cadena de producción o control.
Pero por otra parte oculta una serie de aspectos preocupantes en materia de Ciberseguridad frente a ataques dirigidos a OT, o accesos incontrolados a los sistemas.
Son generalmente sistemas de alta disponibilidad 24×7 o infraestructuras críticas, por lo que la preocupación es mayor.
Antecedentes
Click para ampliar.
Tras una búsqueda de activos expuestos a Internet dentro el estado español, realizando búsquedas filtradas para ciertos modelos, protocolos de comunicación o servicios expuestos, podremos extraer una serie de conclusiones, afirmaciones y categorizaciones sobre la exposición y vulnerabilidad de estos activos, evaluando un rango de vulnerabilidad de los mismos.
Operativa
Se realiza una búsqueda exhaustiva de algunos de los equipos mas comunes y utilizados en las empresas en materia de automatización.
Por ejemplo, plc’s de Siemens, Omron ,Modicon, Mitsubishi, y equipos que utilizan el protocolo (de propósito general y ampliamente utilizado y desplegado) Modbus, junto con routers industriales de acceso remoto Ewon .
La muestra se basa en la recolección de información de los diversos elementos publicados, y el análisis de puertos, acceso sin credenciales y servicios activos desactualizados según cve’s:
- Modicon 463 equipos
- Ewon 102 equipos
- Siemens S7 394 equipos
- Omron 486 equipos
- Modbus 1367 equipos
Después de realizar todo el análisis y filtrar los datos, los resultados en cuanto a vulnerabilidades de los equipos y servicios expuestos se resume de la siguiente forma, en base al riesgo calculado en base a:
Número de equipos expuestos por provincia, puertos abiertos, posible acceso sin credenciales y servicios desactualizados.
Valorándolos de la siguiente forma:
- 0-5 Leve
- 5-7 Media
- 7-10 Grave
Como conclusión final, se observa que existen centenares de dispositivos expuestos, que tal vez deberíamos plantearnos si realmente deben estar conectados a Internet
En caso afirmativo aplicar sobre estos elementos de OT, las mismas políticas de seguridad del área de IT, actualizando firmware’s o servicios que corren sobre estos sistemas.
Jordi ubach @jubachm
- Publicado en Consultoría, Informática industrial
Desde ayer se acabó el soporte para Windows 7 y Windows server 2008.
Ya lo avisamos hace unos meses AQUÍ, al menos para Windows Server 2008. Todo producto Windows tiene una caducidad nada más salir, y el de estos dos productos la fecha era ayer.
No van a dejar de funcionar, pero si de recibir actualizaciones, por lo que estos sistemas van a ser muy explotables, en cuanto a vulnerabilidades se refiere, y por lo tanto, van a dejar de ser seguros.
Es probable que en las próximas semanas haya una aluvión software malicioso y ataques directos a estos dos sistemas, por lo que si tiene alguno de ellos, y no piensa actualizarse, al menos debería auditar sus sistemas, para tapar los posibles fallos.
Ya no es solo que queden inutilizados, sino que pueda haber una fuga de datos que albergue el servidor de su empresa, y que contenga datos sensibles, como clientes, proveedores, etc… perseguido y multado por la nueva Ley de protección de datos Europea (RPGD).
Aunque con eso no cerrará la puerta totalmente, si que al menos podrá alargar unos meses la vida operativa de este software.
Si quiere realizar una auditoría de seguridad, no dude en ponerse en contacto con nosotros, estaremos encantados de poder ayudarle.
- Publicado en Consultoría, Mantenimiento, Noticias
Revelación responsable, en inglés ‘Responsible disclosure’
Alguna vez nos ha preguntado algún amigo, cliente, o colaborador que hacemos si en nuestras pruebas de Pentesting diarias, descubrimos algún fallo de un tercero, que nos para quien trabajamos en ese momento.
Como no, hay una expresión para este tema, que es la que da el título a este post Revelación responsable, o en inglés ‘Responsible disclosure’.
Ya dice mucho de por si. Nosotros si descubrimos algún fallo, nos ponemos en contacto con quien lo sufre, y le damos toda la información posible.
¿Suele funcionar? Sencillamente no. A veces insistimos, alguna vez tenemos respuesta y nos derivan a otra persona, y luego a otra, como si el problema fuera nuestro.
Si es una empresa privada, son ellos los que tienen el problema, y no insistimos más. Si es una empresa pública, ya que somos todos y la dejadez la pagamos todos, pues lo denunciamos públicamente esperando que haya una causa-efecto.
Aún así, no suele haber mucho feedback, y es que aún pasan pocas desgracias, como por poner solo dos ejemplos, en Baltimore o New Orleans.
Podéis leer un artículo en Wikipedia AQUÍ sobre este tema, y como no, la controversia que genera.
- Publicado en Consultoría, Malos hábitos, Noticias
TECH.PARTY.2019 (PARTE-4). Final y resumen.
También fuimos a otras charlas y talleres, pero el tiempo no daba para desdoblarnos e ir a más o poder hacer más reseñas.
Estuvimos con Kneda y su “Día a día de un pentester”, que bien podría hacer una novela con sus vivencias. Con Rafael Guerrero y su Elemental querido hacker, con un punto de vista más de detective privado (con los que nosotros colaboramos bastante). O con Pablo González & Alberto Sánchez, y su UAC history.
No queremos desmerecer a nadie, haciendo estas reseñas o menciones, porque según lo que comentamos con otros ponentes y asistentes, todas estuvieron a un alto nivel.
También desde “Plusradio la radio en positivo”, el programa El Cronovisor, con su podcast de dos horas de duración, realizaron entrevistas a participantes del evento.
Lo podéis escuchar AQUÍ, y a ellos seguirlos en Twitter @ElCronovisor, facebook @radioelcronovisor e Instagram @elcronovisor, y también plusradio.es
Desde nuestra parte felicitar a la organización, de diez, a los ponentes, y todo el público, que sin todo este conjunto no sería posible.
Quizás el único pero, que nos hubiera gustado asistir a muchos más eventos, y ojalá fuera posible en futuros eventos, que esperemos que los haya, que fuera menos denso por horarios, hacerlo en un par de jornadas, para que podamos asistir y empaparnos de más conocimiento.
Gracias!
- Publicado en Análisis forense, Consultoría, Formación, Informática industrial, Protección de datos, Seguridad, software libre
TECH.PARTY.2019 (PARTE-3)
Qubes Os. Aunque ya lo conocíamos no lo habíamos probado, ya que nunca nos coincidía con un hardware compatible.
Elena Mateos nos realizó una demo de este sistema, y nos explicó sus interioridades. Un sistema muy interesante enfocado a seguridad personal, ya que creas unas máquinas virtuales, Qubos, en los que configurar ciertas aplicaciones.
Así por configuración y rango de colores tendrás unas VM listas para ejecutar lo que necesites en cada momento, y tener el core del sistema completamente separado de estas máquinas.
Lo malo es la compatibilidad de hardware, un poco limitada, sobre todo si lo quieres usar en un portátil, pero algo más amplia en clónicos. Puedes ver los requerimientos AQUÍ, y la lista de componentes y modelos concretos AQUÍ.
¿Como hay que tratar un tema que la os que lo seguimos nos hace parecer paranoicos, y a los neófitos no les importa, porque “quien va a querer nada mis datos si no tengo nada de valor?
Pues con gracia, de forma ágil, amena y divertida. Esa fue la charla sobre Privacidad, a cargo de Ulises Gascón.
Unas cuantas demostraciones, sobre todo el buscador de cámaras online, que no solo son dispositivos que cuelga la gente para compartir su vida, sino de gente que no lo hace con esa intención, sino que simplemente deja este hardware con usuario y password por defecto de fábrica.
Y antes de seguir asustando a la gente, explica que es un plan de amenazas, que saca el Big 5 de nuestra información (que suele ser mucho, ya que se la regalamos y ellos la guardan a perpetuidad). la publicidad invasiva y como bloquearla, y etc … etc….
Resumen, no hay que reglar datos, desconfiar de la red en general, y blindarnos. No hay que ponérselo nunca fácil a los delincuentes (no hackers).
- Publicado en Análisis forense, Consultoría, Formación, Hazlo tu mismo, Informática industrial, Seguridad, software libre
Virtualbox, herramienta versátil para pruebas, aprendizaje o pentesting.
Hoy os vamos a hablar de Virtualbox, una herramienta con la que puedes ejecutar un sistema operativo sin tener que instalarlo en una partición de tu disco o en una unidad removible.
Para empezar solo tenemos que descargar según nuestro sistema operativo base cualquiera de los ejecutables de su web https://www.virtualbox.org/
Una vez instalado, podemos cargar una máquina virtual ya configurada o crear una nueva, con las características que necesitemos. Y después de eso solo hace falta ejecutarla.
Va muy bien para cuando queremos probar software de dudosa procedencia, una distribución a la que no estamos acostumbrados, o que vamos a usar para cosas concretas. También para aprender un sistema nuevo, no vamos a tener cinco sistemas con un bootloader infinito.
Esto os servirá a los que vengáis a nuestros cursos, sobre todo al de iniciación al hacking ético, para poder correr las herramientas que necesitéis durante el aprendizaje práctico.
- Publicado en Consultoría, Formación, software libre
TECH.PARTY.2019 (PARTE-2)
A las 11.30 acudimos a la charla de Jose Luis Rosales, investigador y profesor en la Universidad complutense de Madrid. El tema nos tenía muy intrigados “Proyectos de Ciberseguridad Cuántica”, y no nos defraudó.
Ya se llevan 4 o 5 años impartiendo clases de computación cuántica, y se empiezan a cerrar alianzas para hacer nodos de comunicación metropolitanos en varias ciudades de Europa (Madrid, Poznań , Varsovia, Cambridge).
¿Pero que es la computación cuántica? Lo mismo nos preguntamos nosotros, pero el Sr Rosales nos lo aclaró en su charla.
Es la aplicación de la teoría cuántica a la física, donde ordenadores especiales (Cuánticos), aislados, refrigerados casi hasta punto cero, realizan unos cálculos, y se comunican con otros a través de filamentos que transportan fotones.
Estos cálculos realizan matrices, por lo que no dan una sola solución, sino varias posibles y con una probabilidad estadística cada una.
Lo que entre las Universidades antes citadas quieren realizar es unir las dos capas de Informática, la actual, y una integración con la cuántica, por lo que están trabajando en protocolos y estándares.
Se han unido marcas comerciales, de varios países, como Telefónica, Huawei en su filial Alemana o UPM, para que veáis que se busca una aplicación práctica desde ya. Podéis buscar más información sobre esto Open QKD.
Y a nivel de seguridad promete mucho más. Tendría que extenderme mucho más para explicarlo llanamente, pero las comunicaciones cuánticas son inviolables, y si lo fueran, quedaría reflejada la variabilidad.
Una charla muy amena, práctica, con ejemplos, y que me dio ganas de retomar los estudios de física.
RadioWarfare: la guerra invisible por David Marugán, una charla sobre las ondas de radio. Una charla amena, sobre todo para quien no conoce este campo, y con ejemplos de como se usan las ondas para desinformación, o para con encriptación, comunicaciones seguras.
Hace muchos años, cuando las conexiones se realizaban con módem de 1200 y 2400 baudios, nos las teníamos que ingeniar para poder interconectarnos. Una opción, casi mítica eran las Blue Box para operar sobre teléfono. Otra era la comunicación con estaciones de radio aficionado, hacía un servidor.
David, aparte de los temas anteriores, hizo un repaso al lenguaje utilizado en estos sistemas, muy amplio para definirlo aquí, pero que quizás lo hagamos en otro artículo: Singit, Sysop, C&C, Comint, Comsel, Satcom, RadioGamming o Covcom.
También dejó ejemplos de software de cifrado y descifrado bajo ondas de radio, para enviar mensajes cifrados por ejemplo HM01, o para aprendizaje de identificación de señales, como Artemis.
Para los que queráis profundizar en este tema, tiene varios videos de conferencias colgadas en Youtube.
- Publicado en Análisis forense, Consultoría, Evento, Formación, Noticias, Programacion, Protección de datos, Seguridad, software libre
TECH.PARTY.2019, estuvimos allí (Parte-1)
El pasado 14 de Septiembre se celebró en La Nave, Madrid, un evento de conocimiento compartido, buscando una buena definición.
En él se trataron muchos temas del ámbito tecnológico, con charlas, talleres, mesas redondas, etc… Ciberseguridad en todos sus ámbitos (perimetral, pentesting,…), Blockchain, programación, derecho Tecnológico, Internet de las cosas o Seguridad en ámbito industrial.
También hubo expositores, entre los que nos contamos nosotros, y otras empresas u organizaciones como Hack Madrid, Internet Society, TTN Madrid, o las empresas de ordenadores Slimbook y Vant, de Criptomonedas Bitcobie, y un montón más.
Como no, repartimos como ya anunciamos en este blog, y en las redes sociales, nuestro Rubber Ducky Low Cost versión beta, a expertos “cacharreros” y a quién nos lo pidió, para que nos den su opinión y poder sacarlo a la venta, a quien no se lo quiera hacer el mismo. Esperamos los feedbacks con impaciencia.
Como no, también agradecer el food truck de Navidul, para los tentempiés correspondientes, o el puesto de Hack&Beer, con sus dos cervezas artesanas para refrescar el fresco y lluvioso día que hizo.
Nuestro colaborador Jordi Ubach, dio una charla sobre Vectores de ataque IT, a primera hora, pero muy concurrida. Dejó durante la misma unos cuantos sensores y PLCs en una red a la que podía entrar quien quisiera para probar.
Ofreció cifras alarmantes sobre ataques a infraestructuras críticas, como centrales hidroeléctricas, plantas de aerogeneradores, potabilizadoras, etc… la poca seguridad que tienen, y lo mucho que hay que hacer.
También un repaso más técnico a los tipos de sensores y demás aparatos interconectados en la industria, DC,PLC, RPU o SCADA.
Este es uno de los servicios que ofrecemos en Industria 4.0, tanto auditorías de seguridad, como análisis forense en cualquiera de estos sensores.
Seguiremos con la narración de la Tech.Party.2019, al menos de las charlas a las que fuimos, porque era imposible abarcar todo.
- Publicado en Análisis forense, Consultoría, Evento, Formación, Noticias, Programacion, Protección de datos, Seguridad, software libre
Español 
Català