sábado, 3 de septiembre de 2016

Lanzamiento de Tails 2.5, Tor 0.2.8.6 y Tor Browser 6.0.3

Tails 2.5 

Se han detectado numerosos agujeros de seguridad en varias de las aplicaciones o bibliotecas incluidas en Tails 2.4, por lo que pasarse a la nueva versión se hace imperativo.

Entre los programas implicados: Icedove, Linux Kernel, GIMP, libav, expat, libgd3, libmodule-build-perl, LibreOffice, libxslt1.1, OpenSSH, p7zipy el propio Tor Browser con problemas heredados de su base Firefox.

Al margen de esos problemas que fueron rastreados y solucionados vía Debian (la distro de la que deriva Tails) y Mozilla, destacar la actualización del cliente de correo Icedove que sustituyo a Claws Mail hace una temporada.

Icedove 45.1 soluciona algunos problemas de congelación en su pantalla en la configuración automática de proveedor de correo, de sincronización y también de envío en el caso de usar cuentas de Riseup o Boum.

Esta edición incluye lo último del navegador Tor Browser (6.0.3), del que hablaremos después.

Por lo demás en Tails 2.5 nos encontramos lo de siempre: escritorio GNOME (3.14.1), posibilidad de usar i2p como software de anonimato, modo persistencia para su ejecución live (Tails no se instala en el disco duro, o por lo menos no está diseñada para eso), cambio de dirección MAC para evitar dejar huellas y configuración de bridges para evitar una posible censura de la red Tor.

Por supuesto también programas de uso común –los LibreOffice, Gimp o Audacity que nos encontramos en cualquier distro– y otros algo más específicos: como el gestor de contraseñas KeePassX, el editor especializado en traducción de aplicaciones y sitios Poedit, la utilidad para sumas de verificación GTKhash, carteras para criptodivisas como Electrum Bitcoin Wallet, el programa para eliminar metadatos de nuestros archivos MAT, el software de edición colaborativo Gobby y WhisperBack una herramienta que permite reportar bugs de forma anónima.

Podéis descargar Tails 2.5 desde su web.
 
Tor Browser 6.0.3

El navegador más popular a la hora de circular de forma anónima en internet, se basa en su última edición en Firefox 45.3.0esr. (Firefox Extended Support Release).

Además de solucionar un puñado de bugs, actualiza algunos de los complementos que habitualmente le acompañan, aumentando sus capacidades y haciendolo mas seguro:

    Torbutton 1.9.5.6: botón en la barra de tareas que nos permite crear una nueva identidad, establecer nuestras preferencias de privacidad, modificar los niveles de seguridad o jugar con las conexiones de red.
    NoScript 2.9.0.12: botón en la barra de tareas que nos permite crear una nueva identidad, establecer nuestras preferencias de privacidad, modificar los niveles de seguridad o jugar con las conexiones de red.
    HTTPS-Everywhere 5.2.1: extensión que obliga a navegar con cifrado HTPPS, en las webs que así lo provean.

En el blog del proyecto Tor tenéis las notas completas de lanzamiento y enlaces para su descarga.

Tor 0.2.8.6

Señalar también que tras diez meses de trabajo se ha liberado The Onion Router 0.2.8.6, el software multiplataforma y protocolo de red implementado en servidores (nodos) y clientes para proteger la privacidad de sus usuarios.

Esta edición además de optimizar el rendimiento –reduciendo el tiempo de arranque de los clientes– y la seguridad en general –en especial lo relativo a las claves de identificación en el servidor–, vemos que en sistemas Linux se introducen las KeepBindCapabilities, que permiten al ejecutar Tor como root y posteriormente si cambiamos de identidad, mantenerlo asociado con un puerto inferior por debajo del 1024 (puertos con privilegios que un usuario normal generalmente no puede utilizar).

Más información sobre lo que nos trae Tor 0.2.8.6 en su web.

Fuente: https://www.sololinux.es/lanzamiento-de-tails-2-5-tor-0-2-8-6-y-tor-browser-6-0-3/

miércoles, 16 de marzo de 2016

De Foundation a Fandation -Un error que aborto un robo de 1000M€-.

Un error ortográfico (typo)en la instrucción a la hora de ordenar la transferencia bancaria ayudó a las autoridades a evitar el robo de cerca de mil millones de dólares al Banco Central de Bangladesh el mes pasado.

Así lo reveló uno de los funcionarios de la banca, cuyo ataque se produjo desde su cuenta en la Fed, el Banco de la Reserva Federal de Nueva York.

El ciberdelincuente que debía ordenar la transferencia a la Fundación Shalika, que se escribe en inglés "Foundation Shalika", escribió "Fandation Shalika". A pesar del error, los ciberdelincuentes consiguieron robar cerca de 100 millones de dólares, lo que supone uno de los mayores robos bancarios de la historia.

Esta semana el Banco de Bangladesh denunció el hecho del que fue víctima el 5 de febrero.

Según las primeras investigaciones, el ataque posiblemente proviene de China y consistía en realizar varias transferencias a diferentes cuentas en distintos países asiáticos desde la cuenta en la Fed por valor de unos 100 millones de dólares.

Los ciberdelincuentes violaron los sistemas del Banco de Bangladesh y robaron sus credenciales para realizar las diferentes transferencias de pago. A continuación, bombardearon el Banco de la Reserva Federal de Nueva York con casi tres docenas de peticiones para mover el dinero de la cuenta del Banco de Bangladesh a Filipinas y Sri Lanka.

Tras cuatro órdenes, por un valor de 81 millones de dólares, llegó la quinta por valor de 20 millones.

En ese momento, el delincuente debía ordenarla el traspasado a la ONG "Foundation Shalika". Sin embargo se confundió al escribir mal el nombre de la supuesta organización sin ánimo de lucro de Sri Lanka. Fue cuando saltaron todas las alarmas.

A partir de ese momento, los piratas se dieron cuenta de que ya no podían ejecutar su plan al completo: aún les quedaba por ordenar transferencias por un monto de unos 870 millones de dólares. Todas ellas fueron abortadas.

El Banco de Bangladesh trabaja por recuperar parte del dinero robado aunque en realidad tiene pocas esperanzas de conseguirlo o de localizar a los delincuentes que se esconden tras este ataque.

Además, culpa a la Fed de no detectar el robo y detener, por tanto, las operaciones. La entidad de Nueva York, sin embargo, aseguró que sus sistemas no se rompieron.

Fuente: The hackers News.

viernes, 12 de febrero de 2016

Escalada de privilegios en Windows: Hot Potato

El equipo de Foxglovesecurity.com hace pocos días ha publicado en su blog un exploit el cual desde un usuario de nivel bajo puede elevar sus privilegios dentro de un sistema hasta el nivel más alto. Haciendo uso de una pequeña herramientas de comandos que estos denominaron como "Hot Potato".

Esto es posible a unos fallos de diseño de Windows bien gestionados en el que se realizan tres ataques en uno.NBNS Spoofing (NetBios sobre TCP/IP o NetBios Name Service), WPAP (Web Proxy Autodiscovery Protocol) y HTTP > SMB NTLM Relay (autenticación NTLM de HTTP a SMB).

Como ejemplo en una máquina virtual con Windows 7 PRO de 32bits el cual tiene las configuraciones por defecto. Haciendo uso de Potato intentaré escalar a un usuario raso y hacerlo formar parte del grupo Administradores del sistema en un Windows 7.
Nos descargamos a local Potato, abrimos una consola de comandos y comprobamos la dirección IP local y el usuario local de esa instancia el cual no tiene privilegios y es el usuario el cual queremos elevar sus permisos.

Figura 1: Comprobamos que el usuario no está como usuario administrador.

Dependiendo de ejecutar potato.exe en un sistema Windows 7/8/10/Server 2012 se aplicará de una u otra forma, dependiendo la técnica a aplicar.
Para más información consultar la web oficial del equipo de "Hot Potato"



Figura 2:  Sabiendo la dirección IP local y ejecutamos potato.exe para Windows 7.

Haciendo uso del modificador "-cmd" ejecutamos una cmd.exe y ejecutamos añadimos un usuario al grupo administradores (net localgroup administradores [user] /add).


Figura 3: Comprobamos que el usuario a sido agregado al grupo administradores.

¿Soluciones a estos tres ataques?

Lo que podemos hacer para solucionar esto sería revisar el tráfico NBNS de nuestra red, para WPAD detener el servicio de detección automática de proxy web WinHTTP, y para NTLM forzar la autenticación de Kerberos y NTLMv2 con esta solución de Microsoft y forzar la política para firmar comunicaciones SMB siempre.

Fuente: http://www.zonasystem.com/

jueves, 21 de mayo de 2015

Tunelizar conexiones de manera selectiva en Windows.

El trabajo de un auditor, administrador de seguridad, etc.., requiere que en su día a día tenga que estar conectado, y siempre hablando de determinados escenarios, a varias redes, establecer conexiones con un origen específico, uso de conexiones VPN, etc..

El otro día, hablando con Jose Selvi vía telefónica sobre cosas mundanas y terrenales, me comentaba que en su portátil con Windows había tenido que configurar este tipo de cosas.
Es interesante destacar que, como hemos comentado en anteriores párrafos, en determinados escenarios puede ser interesante encaminar cierta parte de nuestro tráfico a través de distintas redes. Como principal ejemplo Selvi me comentaba que esto lo hacía cuando no gestionaba el EndPoint – por ejemplo una VPN que no controlamos – y que no le gustaba que cierto tráfico de su propiedad se pudiese ver “comprometido” o dar facilidades de acceso al mismo a un tercero.
Hay muchas opciones y muchos escenarios en donde también es interesante habilitar este tipo de configuraciones, como por ejemplo si necesitamos utilizar la salida de una determinada herramienta para alimentar a otra y no queremos andar “parseando” tráfico local nuestro. Otro ejemplo se puede dar cuando en determinadas auditorías exigen que se entregue una bitácora de peticiones – por ejemplo en formato PCAP – a modo de auditoría.

En Linux esto es posible realizarlo a través de netfilter/iptables y con las opciones de PREROUTING. Para hacerlo en Windows necesitamos entender cómo se gestionan y se crean conexiones de tipo VPN para luego poder encaminar los datos que necesitemos.

 Cuando Windows genera una conexión VPN y nos conectamos a través de ella, el sistema operativo crea una ruta por defecto en la que se indica que todo nuestro tráfico lo encaminará a través de dicha conexión, y será el servidor final el que tendrá que realizar una acción de forwarding en caso de que se utilice también como conexión a Internet. Esto se puede verificar una vez conectados a la VPN con un simple route print.


En caso de que no queramos que todo el tráfico pase por la VPN, en Windows pasa por configurar la nueva conexión de acceso remoto y desmarcar las opciones de Default Gateway en IPv4 e IPv6. Para ello, y en tus conexiones de red, debes configurar esta opción en la pestaña Networking de tu conexión de acceso remoto.


Una vez desmarcada esta opción, usaremos la flexibilidad del comando route, y generaremos las entradas necesarias para encaminar el tráfico deseado por la conexión VPN. Para ello necesitamos conocer varios elementos:

    Dirección - Rango de direcciones – Redes completas a encaminar
    Número de interfaz

El número de interfaz se puede averiguar con el propio comando route print, o también a través del instrumental de administración de Windows.

 Una vez tengamos estos datos, podremos utilizar la flexibilidad que nos otorga la creación de rutas para generar la nuestra. En el caso de que necesitemos generar una ruta para una dirección IP concreta, se podrá utilizar el siguiente comando:



En caso de necesitar que la ruta fuese persistente, se puede hacer uso del flag –p. Una vez realizado este paso para cada una de las direcciones IP o redes concretas, la próxima vez que nos conectemos a través de esa red VPN, todas las conexiones realizadas desde nuestro equipo a esas direcciones IP, se encaminarán a través de la conexión remota. El resto de peticiones se realizará con nuestra conexión local.
Si se desea realizar esto de manera masiva – por ejemplo a través de Directorio Activo y a un número determinado de equipos – se puede realizar a través de PowerShell y políticas de grupo. Para los interesados Microsoft ha generado un documento con scripts de ejemplo, el cual puedes descargar desde la siguiente dirección:

http://www.microsoft.com/en-us/download/details.aspx?id=2555

Los servicios y aplicaciones Microsoft permiten determinados tipos de configuraciones y vías de fortificación con mucha flexibilidad y a través de múltiples vías. Para los que estéis interesados en este tipo de tips y escenarios de fortificación avanzados, Lorenzo Martínez, uno de los editores de SecurityByDefault, me ha invitado a dar unas sesiones en el curso de Hardening de Sistemas Windows, Linux e Infraestructuras, y del cual estoy encantado de participar junto a buenos ponentes y amigotes, como Pedro Sánchez o Yago Jesús. Si quieres más información, así como un índice del mismo, puedes consultar el siguiente enlace:

https://www.securizame.com/curso-online-de-hardening-de-sistemas-windows-y-linux-e-infraestructuras_jg/

Fuente: http://www.securitybydefault.com/2015/05/tunelizar-conexiones-de-manera.html