Tknikako Zibersegurtasun lan taldearen 2023 - 2024 kurtsoko memoria
Aurreko ikasturteko memoria ikusi nahi izanez gero (2022-2023) hemen aurkitu dezakezu.
- Zibersegurtasuna 2023-2024
2023-24 ikasturtean zehar Tknikako Zibersegurtasun lantaldean jorratu diren edukiak agertzen dira jarraian. Edukiak zerrendatzeaz gain, erabilitako fitxategi edo sorturiko materialetara iristeko estekak ere badaude.
Kurtso honetan lan taldea osatu duten partaideak izan dira:
- Garikoitz Etxeberria
- Paulino Insausti
- Urko Zuñiga
- Xabat Zabala
- Ibai Peña
Aurreko ikasturtean CyberRangea kontsolidatu ondoren, erasorako edo ikerketarako gaitasunez gain, defentsarako eta hutsuneak zuzentzeko gaitasunak ere eskatzen dituen CTF plataforma bat martxan jartzeari ekin diogu ikasturte honetan. CyberRangea orain arte Jeopardy motako CTF-a izan da, eta aurten eraso/defentsa CTF mota menperatu eta erabiltzeko gaitasuna lortzea zen helburua.
Mota honetako plataformak dagoeneko existitzen direnez, lehenik State-of-the-art nolakoa zen begiratu dugu. Garatutako opensource aukera anitz zeudela ikustean, horietan oinarritzea egoki ikusi dugu, zehazki Friedrich-Alexander University Erlangen-Nürnberg (FAU) unibertsitateko segurtasun taldearen (FAUST) bi garapenetan. Bi garapen hauek urtero erabiliak dira Unibertsitateak burutzen duen ER/DEF nazioarteko proban.
Garapen hauei eraldaketa eta gehikuntzak egin dizkiogu guk behar genuenera hurbiltzeko. Gure garapenaren lehen bertsioa honela errepresentatu daiteke:
Azpiegitura hau Cyberlehia 2024-n erabili da, Euskadiko Lanbide Heziketarako lehen zibersegurtasun txapelketan, finaleko jardunaldian, txapelketako talde irabazlea erabakitzeko.
Hemen txapelketaren laburpen bideoa.
FAUST Taldearen erabilitako bi proiektuak hauek dira: CTF Gameserver (garapenaren oinarria) eta CTF Gameserver Ansible deployment (Ansible bidez plataforma horren hedapena egiteko IaC kodea)
Lan horietatik abiatuta, moldaketa garrantzitsuak egin behar izan dira, guk behar genuen eredua gauzatzeko, taldeen azpigitura osoa plataforman bertan gehitzea besteak beste. Terraform bidez Proxmoxen (AWS bertsio ere bidean) hedatzen den ER/DEF CTF plataforma izan da emaitza. Bi repositoriotan jaso dugu lan hau: ctf-gameserver-terrraform, muntaia nagusia jasotzen duena; eta ctf-gameserver-mqtt, mqtt brokerraren osagaia gehitzen diona.
Behin azpiegitura erabilgarri genuela, 6 ariketa edo zerbitzu sortu genituen; hona hemen zerbitzu horietako baten azalpentxoa, adibide modura:
- Zertan datza? ssh zerbitzu bat dugu martxan. Baimenduta dauka erabiltzaile/pasahitza bitartez kautotzea; gainera, erabiltzaile baten pasahitzak ez die gomendio minimoei eusten.
- Ahuleziaren saikapena: OWASPi dagokionez, hainbat taldetan multzokatu genezake, baina nagusia A07:2021-Identification and Authentication Failures kontsideratu liteke.
- Erasoa: hiztegi-eraso bat gauzatu daiteke hydra bezalako tresna bat erabilita; hiztegirik izan ezean, eraso gordina bideratu daiteke.
- Defentsa: desgaitu egin behar da erabiltzaile/pasahitza bitartez kautotzeko aukera; hori egin ostean, erabiltzaileak kriptografia asimetrikoaren bidez kautotu beharko dira, giltz bat erabilita.
MQTT brokerrera iritsitako gertaerak irakurri eta hauen bitartez gertatzen ari dena modu erakargarri batean erakustea da bistaratze sistemen helburua. Modu honetako 2 garapen burutu dira:
GameServerrak badu markagailu bat, baina informazio gehiegi ematen du modu konplexu batean. Garapen berri honen bitartez, automatikoki eguneratzen den markagailu sinple eta erakargarria lortu nahi izan da, eraso ezberdinei buruzko momentuko informazioa ere ematen duena.
Ikusgarritasuna handitu asmoz, led argiz osatutako sistema bat jarri da martxan, talde bakoitzarentzat 2 argi dituelarik. CTF-an gertaturiko egoera ezberdinen aurrean modu ezberdinean jokatuko dute argiek. Saioa hastean eta amaitzean, argi guztiek kolorezko patroi bat egingo dute. Eraso bat dagoenean, talde erasotzailearen argiek kolore berdea hartuko dute, talde erasotuarenek aldiz, gorria.
Phishingaren inguruko kontzientziazio kanpañak landu asmoz, iaz Smartphense tresna testeatu ondoren, aurtengo ikasturtean Gophish software librearen pilotu bat jorratu da. Github-etik deskargatu daiteke, esteka honetatik. Kontzientziazio kanpañaren lehendabiziko fasean, Tknikako instalazioetan egin da lehen lanketa. Bertako langileen epostetara, email desberdinak bidali dira igorle faltsu batetatik, webgune faltsu batetarako estekarekin. Tknikan eginiko lanketaren balorazio positiboa egin ostean, pilotu hau Lanbide Heziketako ikastetxeetara zabaltzea erabaki zen. Ikastetxe desberdinei proposamena egin ondoren, azkenean Zubiri Manteo BHI, Uni Eibar-Ermua LHII, Izarraitz LHII eta Iurretako LHII ikastetxeetan jorratu zen kanpañaren bigarren fasea. Bertako irakasleen emailetara, mezu desberdinak bidali zirelarik. Jarraitutako urratsen GIDA beheko dokumentuan klikatuta ikusiko duzue:
Tknikan jorraturiko pilotuaren exekuzioa azaltzen duen bideo laburra:
Iaz eta aurten phishing pilotuen lanketan ibili ondoren, VISHING kanpaña bat burutu da Tknikako instalazioetan eraso mota hauek izan dezaketen inpaktua lankideen artean jorratzeko. Dei telefoniko bidez eginiko kontzientziazio kanpaña bat izan da, eta beronen bueltan erabili diren teknikak eta tresnak gertuagotik ezagutzeko lagundu digu. Kanpaña hau, BeDisruptive enpresari eskatu zaio eta Nacho Brihuegarekin elkarlanean burutu da. Jarraian duzuen dokumentuan aurkituko dituzue kanpaña honen inguruko xehetasunak:
Hack The Box plataforma, Lanbide Heziketako Zibersegurtasun espezialitatean erabiltzearen ikuspegitik, Txurdinagako LHII ikastetxean ikasturte osoan frogatu den tresna bat izan da. HTB-ek eskeintzen dituen laborategi desberdinak frogatu eta ikasleekin lan egiteko orduan ematen dituen abantailak testeatu dira. Horrez gain, ikasturte honetan CyberLehian, etab ere erabili da eta bertatik jasotako esperientzia eta ateratako ondorioak partekatu, hausnartu eta beste aukera posibleei buruz lanketa egin asmoz, jardunaldi bat antolatzea izan da helburua. Jardunaldi honetan, ondorioak partekatzeaz gain, HTB-ko erronka bat elkarlanean landu da.
Tknikako zibersegurtasun alorretik Pentesting-eko pilotu bat jarri da martxan bigarren urtez jarraian. Pilotu honetan, zibersegurtasunaren espezializazioa Maristak Durango egin duen ikasle batek, sektoreko enpresa baten laguntzarekin (JakinCode), zentro baten (Iurreta LHII) segurtasun auditoretza egiten du.
Iurreta LHI zentroan eginiko lana partekatu asmoz, Webinar bat egin da Ekainean. Webinarraren helburua lortutako emaitzak aurkeztea eta esperientzia prozesuan interesa dutenekin partekatzea izan da.
Tknikan landuriko pilotuen ildoa jarraituz, bertan bilduriko esperientzia partekatu asmoz, ikastaro bat eman da Phishing/Vishing tekniken kontzientziazioa landuz. Kontzientziazio kanpañak burutzeko metodologiak eta tresnak landu dira bertan. Kontzientziazio kanpañak burutzeko urratsetan sakondu da:
- 1.Informazioa topatu (OSINT)
- 2.Eszenatokiak sortu (SMTP zerbitzariak, GOPHISH ingurunea)
- 3.Kanpañak diseinatu.
- 4.Vishing nola?
Ikastaroan erabilitako materiala, Githubek errepositorio honetan duzue ikusgai. Dokumentazio Gida
Lantegi praktiko honetan, industria-sistemak komunikazio ez-seguruen eta izan dezaketen arriskuen ikuspegitik aztertu dira. Sareko ekipoak ezagutzeko tresnak erabili dira (Nmap), komunikazioetan sortzen den trafikoa aztertu da (Wireshark) eta PLC sistemak "erasotzeko" hainbat teknika erabili dira. 22/23 ikasturtean, industria-kontroleko sistemetan zibersegurtasuna kontuan izateko ikastaroa eman zen. Bertan, sistema industrialak konfiguratzeko orduan zibersegurtasunaren ikuspegitik kontuan hartu beharreko atalak jorratu ziren. Sarrerako prestakuntzaren osagarri gisa, tailer praktiko batzuk planteatu dira, ikastaro horretan ikusitako hainbat atal modu praktikoan lantzeko. Lehen tailerrean industria-komunikazioen gabeziak eta seguruak ez diren industria-sistemetan gerta daitezkeen erasoak aztertu dira.
Prestakuntza honen helburua, segurtasuna web garapenaren bizi-zikloaren parte izan dadin, beharrezkoa den ezagutza zabaltzea izan da. Segurtasuna oso espazio zabaleko gaia den arren, prestakuntza honetan web inguruneetan (aplikazioak eta APIak) ematen diren ahulgune ohikoenetan enfokatuko gara. Aipatutako ahulguneak ekiditeko jarraitu beharreko praktika onak ezagutzera eman dira. Prestakuntza honetan, web-inguruneetan modu seguruan garatzeko kontuan hartu beharreko alderdiak aztertu dira. Horretarako, OWASP erakundeak jasotako ahultasunen top 10ean oinarritu da. OWASP (Open Web Application Security Project) irabazi asmorik gabeko erakunde bat da, eta bere helburua softwarearen segurtasuna hobetzean datza. “Juice Shop” open source aplikazioa erabili da ikasitakoa praktikan jartzeko. Aplikazio hau segurtasun arazoez beteta dago eta gamifikazio osagai bat du. Ahuleziak ustiatzen diren heinean, lorpenak desblokeatzen dira eta parte-hartzaileak sailkatzen dituen ranking bat sortzen da. Ahuleziak aurkitu ahala, erlazionatutako kodea aztertuko da eta funtzionalitatea modu seguruan garatzeko jarraitu beharreko irizpideak azaltzen dira.
Hona hemen formakuntzako bideoak:
Web Garapen Seguru Tailerra 1.1
Web Garapen Seguru Tailerra 1.2
Web Garapen Seguru Tailerra 2.1
Web Garapen Seguru Tailerra 2.2
Irakaslearen ikuspuntutik Zibersegurtasun Araudiari buruzko webinarra burutu da. Webinar hau Ruth Sala abokatuak eta gaian adituak eman du, eta bertan zibersegurtasunaren atalean burutzen diren hainbat praktiken legalitatearen inguruan egon daitezkeen galderak erantzun zituen bertan.
Galdera/erantzunak lantzen dituen dokumentua deskargatu dezakezu HEMEN.
Ikasenpresako 3 ekitaldietan hitzaldiak eman ditugu ekintzaile gazteei beraien enpresetan erabil zitzaketen zibersegurtasun aholkuak emateko asmoz. Hona hemen erabilitako aurkezpena.
