miércoles, 30 de abril de 2008

Receta para el DNS rebinding


Conocido hace 10 años, y de actualidad de un año a esta parte, debido a vulnerabilidades en los plugins de los navegadores, es el llamado "DNS rebinding". El ataque, en concepto, es muy sencillo, este post es una sencilla receta para introducirlo.



Objetivo del ataque: el navegador del usuario, y más exactamente, alguna de sus extensiones (Flash, Java, ...). Se pretende que haga peticiones a un sitio web distinto al que el navegador cree que está llamando realmente, cosa en principio no posible porque tiene su protección para ello.

Esta protección es el llamado DNS pinning: consiste en que el navegador guarda una base de datos, caché o como lo quieras llamar, con pares nombre-de-host <--> IP, durante un tiempo determinado fijo o hasta que se cierre el navegador. La idea original era que se llamara siempre al mismo servidor, mientras tuviera su entrada en esta "pin-cache". Esta medida completaba a la política de "same-origin-policy", cuyo objetivo es evitar que un script cargado al acceder a un dominio, intente acceder a elementos de otro.

Se puede conseguir no sólo acceder a otro sitio web, sino a cualquier otro tipo de aplicación de internet, como puede ser un servidor SMTP, usando como plataforma de lanzamiento el navegador del usuario. Esto es porque un plugin dispone de la capacidad de crear sockets a pelo.

Ingredientes para ejecutarlo:
  • un servidor de web, con alguna aplicación especialmente preparada
  • un nombre de dominio que se pueda controlar, en tu propio DNS, o por ejemplo, en dyndns.org
  • un medio de conseguir que las víctimas invoquen a la aplicación web, como puede ser un banner en otros sitios web, o un poco de ingeniería social
  • algo de información extra, dependiendo de qué se pretenda hacer
Elaboración:

Prepara el servidor de web con la aplicación maliciosa, y sácalo a Internet, o a donde pueda ser alcanzable por quienes quieres (no olvides securizarlo en condiciones, no vaya a ser que alguien más listo que tú y yo haga cosas malas con él ;) ).

Crea el nombre de dominio para la aplicación en el servidor DNS, y asígnale al menos dos direcciones IP: la IP real de tu servidor, y la IP a la que quieres que el cliente llegue. La segunda dirección IP puede depender de esa información que hay que saber antes, por ejemplo, si lo que se pretende es acceder a un servidor web de intranet, de acceso restringido a equipos de la red interna de una organización, pues eso, hay que saber antes su dirección.

Ahora el navegador de la víctima llamará al sitio web malicioso (engañado de alguna manera), y el DNS le devolverá la primera dirección IP, la del servidor con la aplicación víctima. El servidor de web devolverá el código malicioso. Acto seguido, se deberá cerrar el acceso al mismo, por ejemplo, aplicando una regla de denegación de acceso en el firewall.

Este código que descargue deberá esperar algo de tiempo, y luego invocar de nuevo al sitio web del atacante. Al encontrar que no está accesible, usará la segunda dirección IP suministrada por el DNS. ¡Bingo!. Accede al servidor deseado por el atacante.

Por supuesto, la gracia, el truco del almendruco, es tener a mano el script maligno ;)



Este problema, que tuvo sus variantes hace años, ha vuelto a la actualidad debido a la implementación de los plugins que llevan los navegadores. Y es que tienen una caché con pares nombre-de-host <--> IP, distinta a la que tiene el navegador en sí. Además, reimplementan las medidas de seguridad que traían ya los navegadores. Por ejemplo, en la página de Adobe se habla de una actualización para Flash Player, corrigiendo un problema de este tipo.

Las posibilidades de este tipo de ataque son elevadas: desde acceder a sitios restringidos, al envío de spam, explotación de vulnerabilidades... todo usando el navegador del usuario como plataforma de lanzamiento.

Leo además en OpenDNS que ofrecen una solución en su servicio. Se habla también de un plugin de Firefox para evitar este problema, llamado LocalRodeo (no lo he probado).

Algunos enlaces (buscando en Google, salen de los primeros):
SecurityFocus
dark reading
hackszine
investigación de la Universidad de Stanford: presentación completa de toda la problemática, objetivos que pretende un atacante (extenso), soluciones (aún más extenso), referencias a otros trabajos...
blog de Christian: explica bastante bien qué es el DNS pinning, por qué apareció, cómo evolucionó, etc. Con gráficos y todo.

lunes, 28 de abril de 2008

¿Hardware troyanizado?


Lo leo en el blog de Schneier, que ha lanzado todo un flame en designing processor to support hacking. Menciona el premio al mejor documento de investigación (“best paper”) otorgado en First USENIX Workshop on Large-Scale Exploits and Emergent Threats, titulado "Designing and implementing malicious hardware".

Agrega que lo que se dice en ese documento es teórico, pero que claro, ¿qué pasaría si sumamos historias como la de los productos hechos en China y troyanizados?. A este enlace se le ha dado cierto eco, después de que fuera referenciado en Slashdot… La misma historia aquí.

El doc que comenta Schneier no lo he leído, pero he alucinado, reído y aprendido con los comentarios de la gente, pues se han dado tanto argumentos con sentido como tonterías de mucho calibre, por lo que pongo esta entrada.

Aunque uno no lleve veinte años en esto de la seguridad, basta una búsqueda en Google para saber que lo del hacking en hardware no es nuevo, y los rumores tampoco. Por lo que se del mundo de la empresa, no creo que una organización suela preocuparse de verificar si cada elemento hardware que compra es realmente original, sería inabordable para la mayoría.

Se podrá verificar números de serie, información que venga en cada equipo, se podrá ver que el firmware es el correcto o se podrá reinstalar por si acaso… pero me parece muy costoso y absolutamente paranoico. Por eso no se hace con equipos nuevos… más bien esta confianza es contractual: el vendedor, conocido (no es perico el de los palotes, en el caso de organizaciones grandes y/o importantes) firma en su contrato que te está vendiendo un sistema genuino, y cargará con las consecuencias si no es así.

Si se llegara a dar lo que se deduce que dice el documento que menciona Schneier (a partir del cachito que pone en su blog), a ver cómo se verifica cada elemento hardware que tenga cada trasto que se compre… no creo que exista jamás ninguna manera automática de hacer esto, es absoluta ciencia ficción (¿un antivirus para hardware? ¿un software que busque elementos o configuraciones hardware que no deberían estar ahí? ¿Que busque troyanos a nivel físico?¿Existirá Skynet?).

Es cierto que las buenas prácticas en gobierno TI dicen que este punto debería ser verificado de alguna manera. La norma ISO/IEC 15408 (o Common Criteria, para los amigos) establece las bases (requisitos) para la evaluación de las propiedades de seguridad de un producto tecnológico. Este ha sido uno de los puntos que se han mencionado: los niveles más altos de protección indicados en el Common Criteria indican que se debería contemplar la posibilidad de que te estén enchufando hardware malicioso.

En esta norma ISO (ver documento 15408-2), en efecto está la familia de requisitos de seguridad física para el hardware que una organización compre, por ejemplo en el apartado 10.7 “TSF Physical Protection” sobre detección de ataques al hardware (asumo que el uso de un backdoor en el hardware se considera un ataque al mismo, o a lo que el cliente cree que compró), en el apartado 10.10 “Referente Mediation” (que pone la norma genérica de que las funciones de seguridad del producto deben cumplir la política de seguridad de la organización que lo compró), o en el apartado 10.11 “Domain separation” establece que todas las funciones de seguridad deben estar protegidas contra la interferencia externa y la falsificación por parte de los malotes (“untrusted objects”).

Es decir, el producto debe protegerse a sí mismo. Eso incluirá demostrar que es genuino, ¿no?.

Sin embargo, lo mismo que creo que una organización no va a verificar que tiene un switch, un router o un firewall original, porque realmente es costosísimo (si no imposible) hacerlo con cada equipo que se compre, y que pone su confianza en su relación con el suministrador, estoy seguro que los grandes fabricantes de hardware se saben las ISOs de “pe-a-pá”, pueden demostrar que cumplen escrupulosamente, y no van a dejarse comer por rumores y alucinaciones de este estilo. Un poquito de confianza, por favor, que tanto darle vueltas a la cabeza no es bueno...

Es cierto que se han visto últimamente casos de productos con malware incorporado (a nivel software), como ha sido la distribución de llaves USB con gusano incluido (referencia del propio fabricante aquí ). Sin embargo, además de los reales, hay muchos otros casos en que lo que se genera es paranoia, como es este de los chinos, y uno debería seleccionar bien las fuentes de las que recoge información.

No puedo fiarme de lo que publique un sitio web en materia de seguridad informática, ni de cualquier otra cosa, si no se quiénes son los que lo hacen, y en su página principal tienen enlaces a temas poco serios, como contenidos o foros sobre el Área 51 (verídico, véase el raíz del primer enlace sobre los productos hechos en China). ¡No somos los Men In Black!. Tampoco si con el texto no se da ningún tipo de prueba u otra referencia.

Este tipo de “noticias” o rumores más bien, sólo sirven para aumentar la cantidad de bobadas que se oyen. Entre los comentarios por ejemplo había quien decía que para qué preocuparse por eso… que es más fácil modificar el software… que por ejemplo los chinos tienen acceso al código fuente de Windows… estoy seguro de que muchos pondrían el grito en el cielo sólo al leer eso ;), otra vez las tonterías de siempre.

A mi me suena a las historias del chino que viola jovencitas que han ido a comer al restaurante, o a las que dicen qué es en realidad la salsa que lleva el plato… trasladadas al ámbito informático.

Regla de oro: no te creas todo lo que lees en cualquier foro. Aunque lo pongan en Slashdot o donde sea. Mejor dicho, no pongas en Slashdot lo que sea. Y tampoco lo uses en tu blog para que la gente se lo flipe… si juntas un trabajo aparentemente serio con referencias a bulos y chorradas, más de uno se acaba creyendo las dos cosas. Y eso afecta a la seguridad informática...

Slds!

viernes, 25 de abril de 2008

Open Source CERT


De la mano de Google, ha arrancado un nuevo proyecto de CERT, esta vez destinado a proyectos de libre distribución, denominado oCERT (Open source Computer Emergency Response Team).

El equipo que lo compone es ciertamente de excepción, la verdad, por lo que estoy seguro que su trabajo será superbueno. Sin embargo, no puedo evitar una pequeña crítica, y es que entre otros servicios, dispondrán de su propia base de datos de vulnerabilidades, de acceso libre. ¿Por qué no colaborar con otras como OSVDB, y generar una única VDB, que tenga además todos los servicios de un CERT?.

Es mi impresión, vamos: mucho mejor colaborar y ampliar proyectos existentes, que generar de cero completamente proyectos nuevos.

Slds!

Lo leo a través del blog de Sergio Hernando, que amplia más información.

jueves, 24 de abril de 2008

Qué jeta le echan los ISPs...


El problema ya es viejo, y se conocen casos aquí en España, creo recordar: ISPs que te presentan una página con publicidad y "lo que querrías haber buscado", cuando pones un nombre de dominio que no existe en tu navegador.

Lo leo en esta entrada de Schneier. En este caso, el isp ha sido Earthlink, y hace poco pillaron a otros como Verizon, Time Warner, Comcast y Qwest. Parece ser que en su día quiso hacerlo Verisign (¡no me lo puedo creer!) y se debió llevar un rapapolvo de la ICANN.

La cosa no es sólo que hagan esto, con la excusa de "mejorar la experiencia en Internet de los usuarios", sino que se puede hacer lo mismo con subdominios de sitios que sí existen, como Google o tu banco. Juntando esto con que el sitio web que presenta la paginita de marras no es muy seguro, como nos demuestra Dan Kaminsky (el mismo que descubrió el rootkit de Sony, en 2005) en las conferencias Toorcon, tenemos un problemón... ¡un campo ideal para todo phisher!.

Slds!

Otras fuentes:
wired
the register

miércoles, 23 de abril de 2008

Proyectos Google SoC


Algunos de los proyectos de software libre en seguridad que encuentro más interesantes han sido seleccionados para participar en el Google Summer of Code.

Lo leo en el blog de OSVDB. Me llama muchísimo la atención el proyecto de gadgets, que pretende agregar un nuevo cacharrito a la barra lateral del escritorio de Windows Vista, con información, noticias de seguridad, y novedades en la BBDD. También el portal de entrenamiento en seguridad que se pretende implementar.

Viene repitiendo desde hace varios años el escáner de puertos Nmap, y siempre han hecho muchas cositas útiles, no es por nada que se le considera el mejor entre los mejores. Para muchos, yo incluido, es de lo primero a instalar en tu ordenador. Esta vez, entre otras cosas, hay varios proyectos de interfaz de usuario para esta herramienta: los de Zenmap y Umit.

Enhorabuena para los que colaboren en esos u otros proyectos, ¡seguro de que los participantes aprenderán mucho! (aparte de sacarse un dinerillo).

Slds!

lunes, 21 de abril de 2008

Spam forever


Cuando ya parece que está todo inventado en el tema del spam, le sorprenden a uno con métodos nuevos. ¡La imaginación de los malosos es impresionante!.

Últimamente he leído varias cositas que hacen referencia al tema del spam. No se si es que tengo mucha suerte o qué coño pasa, pero el caso es que no recibo prácticamente nada, y eso a pesar de tener cuentas en gmail, hotmail, yahoo etc etc. Y mira que les han dado caña en los últimos tiempos, con la ruptura de sus sistemas de captcha. Esa debilidad permite a los atacantes crear cuentas en esos gestores de correo gratuito, desde las cuales enviar su basurilla al resto de la comunidad internauta. Me parece curiosísimo que se use a los ávidos consumidores de pornografía para resolver los captchas de otros sitios, y hacer que un sistema automático aprenda con sus resultados...

Después leo que se puede (o se podía) utilizar el calendario Google para distribuir spam. El caso es que Gmail puede integrarse ahora con Outlook (esto no lo he contrastado), y es posible agregar citas automáticamente a la agenda de Outlook de esta manera. Es decir, el spam llegaría al usuario sin tan siquiera abrir un email (yo he entendido eso), porque se agregaría automáticamente como una nueva cita.

Después de conocer técnicas como el uso de respuestas automáticas para indicar que una dirección no es alcanzable (las de "no ha sido posible enviar el email a los siguientes destinatarios), usar spam en forma de imágenes, en ficheros PDF, o con palabras malformadas para que no los pillen los filtros, o saber que se podría usar el típico formulario de una aplicación de web (el de "envía un correo al admin", por ejemplo) para enviar spam mediante técnicas de inyección SMTP, pensé que en algún momento se acabarían las ideas. Pero veo que me equivoco.

Leo también que Telefónica, Ono, y otros operadores, han conseguido reducir la cantidad de spam que envían los usuarios de sus servicios, observando el ancho de banda dedicado al envío de correos electrónicos. Si se detecta una variación significativa, que sólo podría ser provocada por un sistema automático para enviar spam, entonces avisan al usuario. Si esta conducta continúa, entonces proceden a cerrar el grifo. Está bien, esto, aunque estaría mejor si lo hubieran hecho porque sí, por ayudar a sus usuarios, y no porque sus direcciones IP aparecían en todas las listas negras del planeta.

En fin, que hoy estoy que lo flipo con los spammers, y sólo puedo admirar su imaginación. Ojalá la dedicaran a fines más positivos ;)

Slds!

domingo, 20 de abril de 2008

Formación en Seguridad informática: vistazo rápido al panorama español



La formación española me parece escasa, a nivel formativo medio-alto (hasta estudios de grado, inclusive), en materia de seguridad informática. Me he puesto a mirarlo en detalle, y parece que algo hay conforme aumenta el nivel (en el ranking académico) en que se da esta formación.

Aún necesito tiempo para leer más, acerca de la formación que se recibe a nivel de grado. He visto, por ejemplo, que en la Universidad Politécnica de Madrid, la propia titulación de Ingeniería en Informática tiene dos asignaturas propias sobre seguridad, bastante específicas: "Auditoría Informática" y "Protección de la Información". La Universidad del País Vasco y la Universidad de León, por ejemplo, tienen la asignatura genérica "Seguridad Informática". Estas han sido los primeros sitios en que he mirado, y me ha sorprendido encontrar al menos una asignatura específica. Habría que ver qué se explica en esas y en otras asignaturas, y cómo, pero de momento, no pinta muy mal, pensaba que no habría nada.

Por supuesto hay cursos de postgrado y de máster, como por ejemplo, este de la Universidad de Zaragoza, este de la Pontificia de Salamanca, o algunos de la propia UPM (Auditoría y Seguridad). Uno algo diferente es este de Buen Gobierno de TIC, pero ya hablaríamos de enseñanza privada, otro mundo. Hay otros por mencionar, puesto que a este nivel la oferta es ya amplia. Me da la sensación de que las diferencias entre unos y otros son significativas, a nivel de temario, profundidad en cada tema, nivel técnico, y por supuesto dinero. Habría que mirarlos con detalle.

Como anécdota, he encontrado este curso de la Universidad de Helsinky, acerca de análisis de malware y tecnologías antivirus, que llama muchísimo la atención (visto en Studying Malware Analysis). El nivel técnico que requiere este, tengo la impresión, es muy superior a los que he encontrado aquí en mi país.

Si lees esto, confío en que te haya resultado útil. En "programación segura, ¿a quién se enseña?", me quejaba de que no se transmiten estos conocimientos como base, y algunos me hicisteis comentarios con vuestras impresiones. Esa entrada era mi impresión así, en frío, y me gustaría profundizar un poco más en el tema. Intentaré ampliar en el futuro con aquello que vaya viendo :) especialmente acercca de estudios que hay fuera de España, y sobre cursos en instituciones privadas.

Slds!

sábado, 19 de abril de 2008

Educación "primaria" en la Red


¿Los muchachos del insti deberían recibir educación para la Red?. ¿Se está haciendo actualmente, en España?. ¿Cómo?.

Intercambié unos cuantos comentarios con la autora de Mirror World, acerca de la necesidad de inculcar a los chavales nociones de seguridad informática. Después, en la misma línea, leí esta entrada en "Mundo Binario", ambos han inspirado que escriba estas líneas ahora. Yo mismo había intentado escribir antes (con bastante menos arte) sobre esto, en las redes sociales.

La cosa es, claro, que con las nuevas tecnologías y su mal uso, o abuso, han aparecido nuevos riesgos para la privacidad de los usuarios, como creo que sabemos todos ya.

Básicamente, creo que no se está haciendo ningún esfuerzo educativo, y que la chavalería no tiene muchas ganas de recibirlo, en general. Es una pena, porque pueden pasar cosas... y un esfuerzo en concienciación es necesario. En "Mundo Binario" nos dejaban este video:




En fin, dije que no me iba a meter en movidas educativas, y que sólo iba a hablar de herramientas para usar el ordenata en casa, en lo del "Papá hax0r doméstico"... pero esto me parece importante: antes de hablar de cacharritos, habrá que hablar de por qué hay que usarlos, ¿no?.

Slds!

jueves, 17 de abril de 2008

Programación segura, ¿a quién se enseña? ¿aprendes tú?


Hace muchos años que se habla acerca del desarrollo seguro de aplicaciones. Urgando Hurgando en mi pequeña biblioteca, veo por ejemplo, que en 2002 salió un artículo publicado en IEEE Software de Enero/Febrero, titulado "Improving Security Using Extensible Lightweight Analysis". En 2001 se publicó uno de los libros que debería ser de lectura casi obligada para cualquiera que estudie programación, "Building Secure Software", de John Viega y Gary McGraw.

Desde entonces ha llovido muchísimo, y se ha seguido publicando sobre el tema. Últimamente he leído varios artículos, por ejemplo, en la revista SIC. Hay proyectos libres que tienen por objeto divulgar los principios de desarrollo seguro, como es el caso de Owasp, que ya lleva varios años de evolución.

Sin embargo, me pregunto si los principios de los que se ha hablado ya tantas veces en publicaciones se transmiten en las universidades y en los ciclos formativos, o son, como mucho, contenido de los cursos de postgrado por los que se paga una pasta horrible.

Si eres estudiante universitario (o profe de universidad) y lees este post, por favor hazme saber qué materias sobre seguridad hay en tu temario. Si por tus clases, por las que has pagado, conoces las aproximaciones que ha parido la comunidad científica para ayudarte a repasar tu código buscando problemas de seguridad, como son (por ejemplo) las herramientas de análisis estático, o si te han explicado cómo se usa adecuadamente tu compilador, la primera herramienta de desarrollo seguro que tienes. Si alguien te ha dicho en algún momento en tus estudios que los problemas más gordos de seguridad que tiene una aplicación, vienen normalmente de un diseño inadecuado, o que las pruebas de seguridad deben ir integradas en todo el ciclo de desarrollo de software.

Tanto si te explican como si no te explican en la uni, o donde sea, cultívate por tu cuenta, investiga, escribe, ¡siente pasión por la informática!. Hazte un blog, por ejemplo, ayuda mucho, incluso para encontrar un empleo. Participa en foros. Ve a conferencias. Sal de tus prácticas, !y abre tu mente!.

Gracias al cielo, puedo ver que aunque hay mucho tuzo por el mundo (ya currando, particularmente), hay estudiantes con iniciativa propia, a los que francamente admiro, por tener más ganas de las que tenía yo mismo cuando estudiaba, como por ejemplo estos, o el autor de este otro blog. Su entusiasmo me deja alucinado. ¡Seguid así!.

Slds!

miércoles, 16 de abril de 2008

Antivirus falsos


Un usuario normal, no sólo puede estar usando un antivirus desactualizado: puede estar usando un antivirus que no existe.

No me había parado a pensar en esto, a pesar de que, seguro, ha salido hasta en la sopa de letras. Si se puede engañar a un usuario, básicamente por desconocimiento e inocencia perpetua, para que abra un email malicioso e ignora la advertencia de su antivirus... ¿por qué no va a intentar buscar otro muy poco conocido, pero baratito baratito?. ¿Y por qué no poner uno que sea falso en la web, y darle un poco de publicidad?

Me ha llamado la atención localized-fake-security-software, en un blog del que os he hablado otras veces, y del que aprendo un huevo, el de D.Danchev [lectura super recomendable :) ]. Nos presenta un listado de urls con productos de este estilo.

Slds!

martes, 15 de abril de 2008

Somos mentes perversas


La gente del mundillo necesita tener una mente desviada y perversa, para poder hacer bien su trabajo. Este va, casi en todos los casos, sobre ponerse en el lugar del atacante, de ver dónde pueden fallar las cosas, de buscarle tres pies al gato hasta encontrar cómo nos pueden putear (a nosotros o al cliente que nos paga).

No se si os pasará a aquellos que leéis este blog, pero a veces me siento como el que predica en el desierto. Por ejemplo, hace un mes tuve que dar un curso de desarrollo seguro, en el que la idea básica que queríamos inculcar (los que contrataron a mi empresa, y yo), era que el grupo de personas que asistía adquiriera esa mentalidad. Tuve dos grupos, y mis resultados fueron dispares. El primero sí se fue con ciertas ideas claras, y algo de mente maligna. El segundo, en cambio, fue otro cantar...

Antes de eso, tuve que mandar al departamente de recursos humanos de mi empresa, actualizaciones de datos personales, por email. Instintivamente, los envié todos en un fichero cifrado... la chica de recursos humanos que me atendió, majísima ella, dijo que no se sorprendió, que ya conoce a otros informáticos y seguratas... pero que era la primera vez que alguien hacía tal cosa.

Después me sorprendo tomando medidas extras por instinto, muchas chorras, como bloquear SIEMPRE el ordenador cuando me voy, o dejar cifrado en el disco duro todo fichero que pueda contener información sensible (PGP Desktop, por cierto, es gratis y muy fácil de usar, no se por qué no está en todas partes). Debe ser el adoctrinamiento que tuve en mi anterior trabajo, mejor de lo que yo creía: por ejemplo, si dejabas el ordenador abierto, en dos segundos tenías a los agradables viejecitos de Lemon Party danzando en tu escritorio... (no pongo enlace porque es desagradable, si eres un pervertido o quieres gastarle una bromilla a alguien, busca en Google).

Leo en Apuntes de seguridad de la información, la traducción de un texto de Bruce Schneier, que me ha gustado mucho, hablando de la mentalidad que debemos tener en este campo profesional, y cómo el profesor Tadayoshi Kohno (que debe ser como el Señor Miyagi, pero en informático) la está enseñando en su curso de la Universidad de Washington. Super recomendable :)

Slds!

domingo, 13 de abril de 2008

Los Oscar de los Hax0r


A través de las noticias de Blackhat, me entero de que se van a repetir los premios Pwnie de nuevo (su primera edición fue el año pasado). Su idea es hacer una ceremonia (y de paso echarse unas risas) para premiar los logros y los fracasos de los investigadores en seguridad informática y de la comunidad en general.

Me parece cojonuda la idea, aunque no tengo muy claras algunas cosas: quién los organiza, de dónde sale el dinero, en qué consisten los premios, quién elige al jurado... . Las categorías de sus premios son las siguientes:

  • Best Server-Side Bug
  • Best Client-Side Bug
  • Mass 0wnage
  • Most Innovative Research
  • Lamest Vendor Response
  • Most Overhyped Bug
  • Best Song
Me flipa que hasta haya una categoría de mejor canción... ¿premiarán el Javascrippy?

Slds!

sábado, 12 de abril de 2008

MPACK the movie


A través de security4all he llegado a un video de Symantec, explicando el ataque de IFRAME y hablando un poco sobre MPACK.

El video es este, lo dejo aquí para mayor comodidad:

, shockwave-flash@http://www.youtube.com/v/TpFxbsPFgjs&hl=es" href="http://www.youtube.com/v/TpFxbsPFgjs&hl=es" id="">


Slds!

Actualización 30/10/2008: este fue el ataque utilizado contra Arsys.es, según nos cuentan en Hackeos memorables.

Control parental en Windows Vista


En las redes sociales hablábamos de controlar lo que se ve en el navegador usando filtros de contenido. Me parece interesante señalar ahora, algunos recursos que explican cómo usar el control parental que viene integrado con Windows Vista.

En el blog Vista-Técnica están haciendo una excelente colección de cuatro artículos sobre este tema (a su vez yo lo encontré en este blog). Lo mejor que puedes hacer es leerlos, me parecen francamente buenos. Te explicarán, básicamente, cómo en Windows Vista se puede:

- Establecer un límite de tiempo para el uso del equipo.
- Evitar el uso de determinados juegos.
- Determinar las páginas web bloqueadas para un usuario.
- Limitar el uso de aplicaciones del sistema.
- Llevar a cabo control de informes.
- Restringir la visión de ciertos contenidos en Windows Media Center

Slds!

jueves, 10 de abril de 2008

La carrera entre los "buenos" y los "malos"


Los antivirus en línea, al estilo de VirusTotal, mejoraron enormemente la capacidad de investigación y desarrollo de las empresas antivirus, al obtener un número de muestras muy superior. Sin embargo, estos servicios web también eran utilizados por los desarrolladores de malware, para ver si sus nuevas creaciones eran o no identificadas. Es más, la baja detección por parte de estos antivirus en línea era usada como argumento "comercial"...

D.Danchev nos explica en quality and assurance in malware, que esta situación debía cambiar, y así, VirusTotal retiró a comienzos de año la opción "no distribuir esta muestra" (lógicamente, lo que no veo es por qué la pusieron en un principio), así, todas las muestras llegaban a todos los fabricantes de productos antimalware. Su servicio no es el único disponible, así pues hay otras iniciativas de "antivirus múltiple" como servicio web. Además, también hay proyectos underground para hacer estas herramientas offline, como KIMS o Multi AVs Scanner (ni idea de dónde descargar esto). Pandalabs nos explica algo de esto.

Multi AVs Scanner (imagen sacada del post de PandaLabs)

En fin, D.Danchev reflexiona sobre la aparición de kits malware, con sus actualizaciones, etc etc,
en la línea de la conferencia de la que hablábamos ayer. Me ha hecho gracia que me digan que los desarrolladores de virus ahora andan pensando en términos de ingeniería del software, rendimiento, facilidad de uso... lo mismito que los informáticos que han empezado en la uni o en el ciclo formativo (antes no debían hacerlo porque no les hacía falta, en términos de recuperación de inversión, es decir, tanto-tiempo-dedico-al-exploit / pasta-que-gano).

Slds!

Measurable Security


Leyendo sobre SSA (una utilidad que permite chequear tu equipo), he encontrado este sitio web de Mitre, que no conocía: Measurable Security.

Es básicamente un pequeño compendio de proyectos útiles, ya sean de Mitre o no, que sirven para que la seguridad de una organización pueda ser medida más fácilmente, definiendo los conceptos que han de ser medidos, y facilitando la transmisión de sus resultados. Creo que todos los que llevamos algo de tiempo en el mundillo de la seguridad habremos visto alguno, y en mi opinión, hay que alabar todos sus esfuerzos.

Está por ejemplo el estándar CVE, que proporciona un identificador único a cada vulnerabilidad, y que se ha impuesto como una referencia. Prácticamente todos los fabricantes, herramientas de análisis y bases de datos de vulnerabilidades, utilizan este identificador, imprescindible para poder relacionar la descripción de una vulnerabilidad en una fuente con otra.

Otro de mis favoritos es el estándar CVSS, que permite valorar una vulnerabilidad, para saber si es crítica o no, en una escala de 0 a 10, atendiendo a tres tipos de criterios:
  • "Base" son características que se identifican en el momento de la vulnerabilidad y que no van a cambiar con el tiempo, por ejemplo, si es explotable de forma local o remota.
  • "Temporal" son características que sí pueden cambiar posteriormente, por ejemplo, si hay un exploit público para la vulnerabilidad.
  • "Environment" son características que dependen del entorno en el que evalúas la vulnerabilidad, por ejemplo, la criticidad del servidor que se esté analizando.
Esta es además otra iniciativa de FIRST, una de las agrupaciones de Centros de Respuesta a Emergencias, del que ya hemos hablado.

Puedo estar un rato muy largo hablando de estos proyectos, pero... ¡mejor míralos tú mismo!. Son, de verdad, de las mejores iniciativas que se puede encontrar :)

Slds!

miércoles, 9 de abril de 2008

"Malware on the net. Behind the scenes"


Este es el título de la conferencia que Finjan, una conocida empresa de seguridad informática, presentó en BlackHat por boca de Iftach Ian Amit. Hace poco, además, hicieron público un informe sobre el mismo tema (sólo para suscriptores).

Nos transmiten una idea básica: es el crimen organizado el que está tirando para que se desarrollen nuevas técnicas y herramientas. Aparecen así completas suites de cracking, con sus actualizaciones automáticas, soporte técnico, y mejoras como nuevas técnicas de ofuscación de código y medidas anti-forense.

El que las opera, por tanto, no tiene unos conocimientos excepcionales de informática. ¡Son como el hermano malo de los antivirus!. En las traspas, hasta nos sacan unos pantallazos de algunos de estos productos. Ya se conocen de sobra algunos, como el MPACK (sí, el enlace es de la wikipedia, yo también me he sorprendido al encontrarlo).

Pruebas de ello, supongo, serán los dos botnets que tanto están dando de que hablar, Storm y Kraken.

Dos detalles me han gustado de su presentación, que sabe a poco por no poderse ver los videos que la acompañan. El primero es que dieron una estimación de lo que vale en el mercado negro la información que los malotes consiguen con sus nuevas herramientas, por ejemplo, los datos de una tarjeta bancaria valdrían 20$, si además tienen el número PIN, entonces son 500$.

El segundo: ¡otra palabrita que no sabía!. Es "extrusion testing", que debe ser verificar si un sitio web puede agredirte... (mientras que "pen-testing" es agredir tú al sitio web, buscándole vulnerabilidades).

El resto tendreis que leerlo, no voy a quitaros el gusto :)

Slds!

Visto también en: seguinfo.

lunes, 7 de abril de 2008

Conferencias para dar y tomar


Hace algunos posts atrás mencionábamos BlackHat, sin decir nada sobre otras conferencias de seguridad y hacking ético, que las hay, y son muchas.

Al leer ayer la lista pen-test de SecurityFocus, vi que se han mencionado unas cuantas en la última semana:

Shakacon 2008: . Honolulu, Hawai, 10-11 de Junio
Recon 2008: Montreal, 13-15 de Junio
Troopers 2008: Munich, 23-24 de Abril
CanSecWest: Vancouver, 23-28 de Marzo (estas fueron a la vez que las BlackHat)
PacSec: Tokio, 12-13 de Noviembre
EuSecWest:
Londres, 21-22 de Mayo

El nivel que debe haber en todas ellas será sin duda acojonante. En CanSecWest, por ejemplo, tienen el juego “PWN2OWN”, que consiste en hackear tres ordenadores personales, cada uno con un sistema operativo distinto, y todos totalmente parcheados. En la edición que acaba de terminar, uno venía con Ubuntu 7.10, otro con Vista SP1, y otro con OSX 10.5.2. Sólo se permite el uso de exploits no públicos y que el fabricante correspondiente no conozca… Tippingpoint, un fabricante conocido por su sistema de prevención de intrusiones, patrocina el evento y usa después los exploits utilizados para sacar nuevos advisories propios (permitírselo será condición para participar, supongo).

Mac fue el primero en caer, y Ubuntu el único que aguantó en el concurso… aunque esto no quiere decir nada, realmente.

Slds!

domingo, 6 de abril de 2008

Windows Powershell


A través del blog de MSDN Magazine, he encontrado un artículo sobre Windows Powershell. Este es (de acuerdo al artículo) el nuevo shell de comandos y lenguaje de scripting de Microsoft. Me ha llamado la atención porque no conozco muchas maneras de hacer pruebas sobre aplicaciones de web usando Internet Explorer (siempre me gustó más Firefox para mi trabajo).

El caso es que el artículo presenta este lenguaje como una manera cojonuda de programar pruebas de validación ("test units") sobre aplicaciones de web, pero con el ejemplo que pone, a mí, sinceramente, no me ha convencido. En el ejemplo, hace una tarea básica: llama a una aplicación de web que presenta un formulario, recoge los campos que tiene, les da un valor, hace la petición a la aplicación y comprueba el resultado.

El script que hace todo esto ocupa en total 119 líneas. Quitando unas cuantas llamadas a la función "write-host" (que básicamente es un "printf" de C) que son puramente depurativas, el script se queda en 104 líneas.

El caso es que si me hago lo mismo con Perl, el programa ocupará más o menos unas 50 líneas, usando la biblioteca LWP. Ignoro cómo de eficiente será el intérprete de Windows Powershell comparado con el de Perl en Windows, pero vamos, así de primeras la verdad es que no me cambio, que ni siquiera me ha resultado agradable leerme el código.

Hay otros artículos que exploran en más profundidad el uso de este lenguaje, y que me miraré en cuanto pueda.

Tú qué opinas, ¿se puede usar Windows Powershell para pruebas de hacking, o no vale la pena cambiarse?

Slds!

sábado, 5 de abril de 2008

Papá hax0r doméstico: las redes sociales


Si estás leyendo esto, es porque te ha interesado el post anterior, en que mencionaba el libro de Mar Monsoriu. Antes de nada, decirte que hay otros de temática parecida, como:

  • “Un ordenador seguro en casa: cómo librarse de virus, correo basura, espías y otras plagas de internet”, Eva Martín y Juan F Marcelo, Editorial Pearson
  • “Seguridad en Internet”, de Gonzalo Asensio, Editorial Nowtilus

En ellos encontrarás seguro lo mismo que leerás en estos posts. Los mismos problemas, las mismas recomendaciones. Si prefieres el papel, te recomiendo que compres uno, además te explicarán más extensamente (y mucho mejor) que yo, los problemillas clásicos con el ordenador de casa.

Bueno, y ahora al lío, que es lo que quiero contar hoy: ya sabes que tu chiquill@ no usa para chatear sólo el Messenger, ¿verdad?. Hay un buen número de lo que se llaman “redes sociales”, por ejemplo MySpace (complemento del Messenger) o Facebook, sitios web que están básicamente para colgar las fotos, dejar comentarios a tus amigos, y relacionarnos por internete, vamos lo que gusta al chiquirrerío de hoy día, después de colgar el móvil.

Peeeero… los spammers y demás fauna de esta que se dedica, por ejemplo, a mandar basura al correo electrónico diciendo que te compres unas pastillas para que te crezca… la entrepierna, también se dedica a poner comentarios sobre sus cosillas en estos sitios, donde los ve cualquiera. Hace poco, por ejemplo, se alertaba de este problema en Facebook, como puedes ver aquí. Los de Panda se hacían eco de esto mismo en el informe que mencionábamos hace poco. Así que toca ponerse las pilas, y enseñar a los nenes que esas cosas pasan, que hay que tener un poquito de prudencia, y alguna de las cosas que pueden encontrarse por ahí, para que sepan de qué va.

Si esa opción no te gusta, puedes recurrir a filtros de contenido web, como la ya muchas veces mencionada Naomi, una herramienta gratuita. Analizará el texto de la página que está activa en el navegador, y cerrará directamente el navegador en caso de que alguna palabra esté en su base de datos de palabras inapropiadas. Mejor aún, analizará no sólo los sitios web (en muchos idiomas), sino todo el tráfico local. Como digo, ya conocido, recomendado hasta oficialmente (lo hace el Inteco), y en mi opinión muy a mano.

Si lo que prefieres es quitarle totalmente el acceso al último sitio al que no quieres que se entre, siempre puedes usar un truco de toda la vida, y editar un fichero de configuración del XP, el “C:\WINDOWS\system32\drivers\etc\hosts”. Ahí puedes escribir algo así como

www.el-sitio-que-quiero-prohibir.com 127.0.0.1

edición del fichero hosts

Slds!

viernes, 4 de abril de 2008

Black Hat Europe 2008 media archives


Ya están disponibles para descarga las presentaciones y videos de las últimas BlackHat en Amsterdam :)

¡Que aproveche!

Slds!

jueves, 3 de abril de 2008

"Smishing", "vishing"... virus para móviles


No te acostarás sin conocer una palabra más, ¿verdad?. No me ha importado nunca absolutamente nada la seguridad en teléfonos móviles, pero últimamente, en el curro, se ha escuchado algo sobre esto. En particular sobre un virus, el Commwarrior, que en el 2005 ya tocaba los cojones... y sigue.

Casualidades de la vida, he dado con el último informe de PandaLabs sobre tendencias en malware. Tiene un pequeño apartado sobre malware para móviles, en el que nos dicen, básicamente... que no hemos de preocuparnos mucho. Hay poco malware, porque hay bastantes sistemas operativos para móviles, y parecen tener una cuota similar de mercado. Además, porque nadie guarda información confidencial en el móvil. No como en el caso de los PCs, que como predomina Windows, y lo que haya en un PC puede ser valiosísimo, pues han aparecido muchos más bichitos para él.

Lo que me ha llamado la atención son las palabritas que no conocía. El "Smishing" es una variante del phishing para móviles. Te mandan un email, simulando proceder de una entidad bancaria (nada nuevo en la viña del Señor), solicitando que llames a un número de teléfono. Si lo haces, se te solicita que teclees tu número de cuenta y tu código de acceso. Una variante de esto es el "vishing". Es lo mismo, pero todo se hace a través de SMS.

Si teneis interés, echadle un vistazo al informe completo (se lee rápido, no es muy pesado), pues es bastante ilustrativo.

Slds!

martes, 1 de abril de 2008

IFRAME attack


Los hackers no éticos han dado con otra forma de infectarnos con malware, en este caso, utilizando nuestras búsquedas en Google, Yahoo! y otros buscadores.

El problema fue descubierto el mes pasado por Dancho Danchev, un experto en seguridad búlgaro, y en su blog ya ha hablado de multitud de incidencias con este problema. Lo explicaré en cuatro palabras:

Un sitio web presenta un sencillo formulario para buscar cosas en su sitio, y luego almacena la petición de búsqueda que el usuario ha hecho, donde un search engine bot (como el de Google) puede encontrarla. El buscador cachea entonces la petición... .

¿Cómo explotarlo? Pues sencillamente colocando una etiqueta html IFRAME en los términos de la búsqueda. Una vez un usuario pincha en el link que el buscador le presenta, se ejecutará el IFRAME, redirigiendo al usuario a un sitio web malicioso. Parece ser que a un sitio ruso.

La noticia tiene más o menos un mes, pero me acabo de enterar, y ya ha salido en casi todos los foros buenos de seguridad, pero bueno, más vale tarde que nunca...

Más información:
Fraudsters piggyback on search engines
ZDNet Asia and TorrentReactor IFRAME-ed

Slds!