martes, 5 de mayo de 2009

Vulnerabilidad / Seguridad

Adobe ha confirmado que existe otra grave vulnerabilidad en Adobe Reader que parece estar siendo aprovechada por atacantes para ejecutar código en el sistema (tanto Windows como cualquier otro sistema operativo que lo soporte).
Adobe ha publicado en su blog una alerta, reconociendo un grave fallo de seguridad del que se conocen todos los detalles, e incluso existe exploit público. El fallo está en la función getAnnots y permite a un atacante, de forma muy sencilla, ejecutar código. Solo tiene que crear un documento PDF con una anotación, y añadir un script al PDF a través de la función OpenAction.
Afecta a todas las versiones conocidas, en sus ramas 9, 8 y 7 y en sus versiones para Mac, Linux y Windows. La única contramedida oficial es, de nuevo, deshabilitar JavaScript.

Adobe se está convirtiendo desde hace ya muchos meses, en objetivo de los atacantes. Es un software popular, los usuarios todavía confían en los documentos PDF (los tienen por inofensivos), no suelen actualizar el lector... y lo más importante: parece que Adobe tiene muchos errores graves todavía por descubrir.

Hay que esperar a ver cómo evolucionan los acontecimientos. Adobe solucionó su último gravísimo problema de seguridad (ocurrido hace solo dos meses) de una forma poco efectiva. Dejó a sus usuarios más de un mes sin actualizaciones. Los de la rama 7 fueron "abandonados" incluso por más tiempo.

En VirusTotal.com hemos detectado claramente la tendencia al alza de análisis de archivos PDF en las últimas horas, sin duda motivados por la alerta generada en torno a este "0 day". Si la media diaria recibida en VirusTotal.com está entre 150 y 200 archivos en formato PDF, hoy ya vamos por más de 400 archivos analizados a mediodía. Ayer superamos los 300.
Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Hay un buen puñado donde elegir para todas las plataformas en:http://pdfreaders.org/


Botnet secuestrada: Dentro de la operación Torpig

Investigadores de seguridad, de la Universidad de California en Santa Bárbara, irrumpieron en el nervio central de la botnet Torpig (también conocido como Sinowal o Mebroot) para encontrarse el botín (obtenido en) de diez días con 10.000 cuentas de banco y números de tarjeta de crédito con valor de cientos de miles de dólares.Durante el secuestro de la botnet, los investigadores explotaron una debilidad en la forma que los equipos zombies intentar localizar a sus servidores C&C (N.T.: Command and conquer, servidores de control y hallaron una operación criminal oculta que recolectó 70GB de información robada en solo diez días.El Torpig es un interesante caso de estudio por la sofisticada naturaleza de la operación y el informe [.pdf] es de lectura obligada para cualquiera que busque comprender las prácticas de una banda criminal de computación.

La botnet fue contruida utilizando un rootkit MBR (master boot record) que se ejecuta en el momento de inicio, antes que se cargue el sistema operativo. Una vez que se infecta la máquina, el malware recolecta y envia la información cada 20 minutos. La información robada incluye direcciones de correo electrónico, contraseñas de Windows, credenciales FTP y cuentass POP/SMTP.Y, por supuesto, información financiera:
En diez días, Torpig obtuvo las credenciales de 8.310 cuentas de 410 instituciones diferentes.

Las principales instituciones fueron PayPal (1.770 cuentas), Poste Italiane (765), CapitalOne (314), E*Trade (304), y Chase(217).Y números de tarjetas de crédito:
Extrajimos 1.660 número únicos de tarjetas de crédito y débito de la información que recolectamos. Mediante la geoubicación de las direcciones IP, deducimos que el 49% de los números de tarjetas vienen de víctimas en los EEUU, 12% de Italia, y 8% de España, con otros 40 países que completan el balance. Las tarjetas más comunes incluyen a Visa (1.056), MasterCard(447), American Express(81), Maestro(36), y Discover (24).Mientras que el 86% de las víctimas contribuyeron sólo con un número de tarjeta, otros ofrecieron varios más.Resulta de particular interés el caso de una sola víctima a la cual se le extrajeron 30 números de tarjeta de crédito. Al examinarlo manualmente, descubrimos que la víctima era un agente, en su casa, de un centro de llamadas distribuido. Parece que los números de tarjetas era de aquellos clientes de la compañía para la cual trabajaba el agente, y que habían sido ingresados en la base de datos central del centro de llamadas para procesar órdenes (de compra).

El informe supone que la banda criminal tras Torpig obtuvo ganancias de entre u$s83.000 y u$s 8,3 millones durante el periodo de 10 días.Para conocer más del secuestro de la botnet, vea La página del proyecto Torpig de Santa Barbara. Más en Slashdot y Threatpost.Traducción exclusiva de Segu-info: Raúl BatistaAutor: Ryan Naraine



La policía mexicana podrá vigilar sitios web y correos electrónicos con el fin de prevenir delitos

El Senado mexicano aprobó la Ley de Seguridad para que a través de la nueva Policía Federal se realice espionaje telefónico y cibernético para prevenir delitos, siempre y cuando cuente con autorización de un juez.Con 83 votos a favor, uno en contra y tres abstenciones la Cámara Alta aprobó el proyecto de decreto con el que se faculta a la Policía Federal, que cuenta con 30 mil agentes, a que actúe como "mando único” en todo el territorio mexicano en contra de la delincuencia organizada.Con esta ley los agentes policiales podrán solicitar por escrito información confidencial a empresas telefónicas detalles de las llamadas de personas sospechosas de realizar delitos como extorsión.

También, la Policía podrá vigilar sitios web y correos electrónicos con el fin de prevenir conductas delictivas.En tribuna el senador Felipe González, presidente de la Comisión de Justicia del Senado, avaló este proyecto al considerar necesario terminar con la corrupción y la impunidad.Por ello, dijo, “les damos (a la Policía) elementos para que puedan actuar en todo el territorio, incluyendo todas las aduanas, dentro de los recintos fiscales, donde se ve mucha corrupción por la cuestión de las importaciones”.

El contenido de la minuta precisa que la nueva Policía Federal contará “con autonomía técnica y operativa” e investigará delitos bajo en coordinación con el Ministerio Público de la Federación.También podrá recabar información en lugares públicos “con el apoyo de personas, medios e instrumentos y cualquier herramienta que resulten necesarias para la generación de inteligencia preventiva”. Los agentes policiales podrán ir vestidos de civil en operaciones encubiertas.La ley ya había sido aprobada por los diputados, pero como los senadores le hicieron modificaciones deberá ser turnada a la Comisión Permanente del Congreso, conformado por un grupo de diputados y senadores.México vive desde hace tres años una ola de violencia desatada por el crimen organizado, principalmente el narcotráfico, que pelea con bandas rivales el control de plazas no sólo para el trasiego de drogas hacia Estados Unidos sino también para delitos como tráfico de personas, robo de autos, secuestros y trata de personas

Un PC infectado puede enviar 600.000 emails de SPAM por día

Un estudio llevado a cabo por la compañía californiana Marshal8e6 en sus dependencias de investigación, TRACElabs, ha estudiado el comportamiento de un PC infectado de forma correlativa por los 9 bots que han creado las botnets más grandes del mundo. El estudio ha tenido en cuenta el comportamiento del PC así como la capacidad de mandar SPAM de cada infección.Tal y como ha aclarado el analista senior de amenazas en TRACElabs, Phil Hay, uno de sus objetivos es ver el papel que tienen las redes botnet en el mundo del spam.

El estudio ha concluido que Rustock y Xarvester, son los más prolíficos en cuanto a SPAM, pudiendo enviar hasta 25.000 emails por hora, lo que acaba con 600.000 emails por día y 4,2 millones por semana.Según TRACElabs, Rustock fue el responsable del 26 % de todo el SPAM generado en el primer trimestre de 2009, Mega-D y Pushdo le siguen con un 22 % y 18% respectivamente, dejando el cuarto lugar para el también prolífico y mencionado anteriormente Xarvester con un 8 % del SPAM generado globalmente desde enero hasta finales de marzo.El año pasado, antes de la desarticulación de los servidores de McColo, desde donde trabajaban numerosos bots, Stewart de SecureWorks afirmó que Srizbi y toda su red eran capaces de enviar 60.000 millones de emails de SPAM por día.Autor: Jesus Maturana
Las Empresas No Parchean MS Office

Esto es algo que tan sólo viene a confirmar lo que ya sabíamos: nadie se molesta en parchear las aplicaciones de usuario, como pueden ser MsOffice o Acrobat Reader. Sin embargo, los exploits están disponibles en una o dos semanas, con el peligro que esto conlleva.Another issue is that companies appear to be patching serious vulnerabilities in ubiquitous software much more slowly. Qualys found flaws in Microsoft Office, Windows 2003, Adobe Acrobat and Sun's Java remained on systems long after the software makers had issued relevant updates.Referencia: security focus¿Y cuál es el problema? Pues que esto permite acceder a la intranet con unas cuantas búsquedas en google y un poco de ingeniería social, saltándose fácilmente todos los IDS, firwewalls y resto de medidas de seguridad con las que nos tendríamos que enfrentar si intentamos entrar por la DMZ.


Blogs interesantes sobre seguridad

En muchas ocasiones nos han preguntado por blogs que traten la misma temática que SbD, que tengan calidad y sean interesantes.Como casi siempre respondo 'a la carrera' y me dejo alguno, me he propuesto hacer una pequeña recopilación de blogs que creo, aportan y son interesantes (posiblemente me deje muchos, si alguien conoce o le apetece recomendar, encantados).Sin un orden especifico, empezamos:Port 666: El blog personal de Merce Molist, veterana del ambiente 'under', su genuino punto de vista siempre resulta interesante.Kriptopolis: Referente desde hace muchos muchos años en el mundo de la seguridad, últimamente anda pasando una pequeña crisis de identidad de la que esperamos salga reforzado y con mas energía.Segu-Info: Noticias frescas del mundo de la seguridad, foros y muchas iniciativas interesantesInformático y segurata: Un blog que a mi especialmente siempre me ha gustado mucho por su enfoque y los temas tratados, últimamente adolece de actualizaciones frecuentes, ojalá vuelva a ponerse las pilasUn informático en el lado del mal: El blog personal de Chema Alonso, guru mediático donde los haya, también es conocido por adiestrar FOCAsEl blog de Sergio Hernando: Gracias a el he ampliado mi delicious con infinidad de herramientas, técnicas e ideas. Se nota y mucho el concepto profesional que imprime Sergio.Security art work: Blog de traje y corbata, orientado al mundo profesional de la seguridad. Tal vez tenga una barrera de entrada alta ya que no se suelen tocar temas con idea de llegar a todos los públicos, por contra si te mueves 'en el mundillo', encontraras valiosísima información.Pentester: Desde que descubrí este blog lo sigo con muchísima atención porque me encanta la forma en la que tocan los temas, el despliegue técnico y la forma de redactar.KungFooSion: De mis ultimas adquisiciones, estilo desenfadado, humor inteligente y una forma de hablar de seguridad muy original.Hacking Avanzado: Blog realizado por Eduardo Abril, no lleva mucho tiempo online pero esta sentando las bases para convertirse en un magnífico proyecto.Conexion Inversa: Si algo me gusta de este blog, es la capacidad que tiene para tocar temas originales. Enemigos del 'mas de lo mismo' siempre tienen temas de interés.Tecnoseguridad: Blog de cuidadísima factura, siempre con las últimas noticias sobre seguridad al alcance de un clicSpam Loco: Alterna noticias sobre seguridad con otras de actualidad tecnológica, sin duda, un MUST a tener en las feedsTaller de criptografía: Hogar del boletín Enigma gestionado por nuestro Bruce Schneider nacional, Arturo Quirantes.Security Hack: El título lo dice todo ¿no?48Bits: Si algún día la Wikipedia acepta el termino 'Uberhacker' será en una entrada hablando de este blog.DragonJAR: Iniciativa colombiana con mucha información y laboratoriosEspero que encontréis interesantes los blogs / webs y, lo dicho, si alguien quiere recomendar, nosotros estamos ávidos de feeds


Fast-Track: Pentesting a la velocidad de la luz

Todos los que nos dedicamos a la seguridad y más concretamente a hacer Pentesting sabemos del poco tiempo que disponemos cuando nos ponemos a auditar la red de una empresa, todos acabamos haciéndonos nuestros scripts o nuestros programitas (en la medida de lo posible) para conseguir automatizar cuantas más cosas mejor, para así disponer de más tiempo para aquellas que requieren sencillamente pararse a pensar y echarle imaginación.Parece que lo mismo le ha sucedido a David Kennedy, ex-NSA, actualmente trabajando en la empresa SecureState, que ha desarrollado un script en python llamado Fast-Track que pretende automatizar algunas tareas muy interesantes a la hora de realizar un test de intrusión (de hecho fijaros en el nombre de la web, parecido al de esta).Este script está ya en las manos de los usuarios de BackTrack, ya que Dave es colaborador habitual de esta distribución. Para utilizarlo sólo es necesario entrar en el directorio /pentest/exploits y lanzarlo con las opciones deseadas "-i" para modo interactivo por linea de comandos, "-g 80" para lanzar un servidor web al que conectar a http://localhost y seleccionar las opciones deseadas de forma gráfica.# cd /pentest/exploits# ./fast-track.py -g 80(en otra ventana)# firefox http://localhostAdemás, en la web de Fast-Track existen excelentes tutoriales de demostración en video que muestran como utilizar cada una de las opciones de esta herramienta.De entre todas ellas, a mi hay dos que me resultan especialmente interesantes, ya que realiza de forma automática la detección del sistema, selección de los exploits que le podrían afectar, y los prueba, lo que ahorra mucho tiempo:
Fast-Track Autopwnage: Esta opción realiza de forma automática un escaneo de puertos con NMAP para posteriormente utilizar Metasploit, seleccionando únicamente los exploits adecuados a los puertos que se han descubierto como abiertos. Una forma muy rápida de encontrar agujeros directamente explotables a través de Metasploit.
Fast-Track Mass Client Attack: Levanta un servidor web que, tras realizar un ataque MitM que deberemos realizar de forma manual, (otro día escribiré algo sobre eso) realiza una detección de la versión del navegador utilzada por el cliente y le develve en la contestación a su petición los exploits que podrían explotar vulnerabilidades de su navegador. En el ejemplo vemos como explota una vulnerabilidad y obtiene un acceso mediante VNC.Para más videos y posibilidades, os invito a visitar la web de la herramienta.Sin duda una herramienta excepcional, que nos va a permitir agilizar mucho nuestro trabajo.


Protección por HDD Password

Desde hace un tiempo, es de notoria actualidad la problemática que supone la pérdida y robo de equipos portátiles, con los consiguientes problemas al respecto de la información corporativa albergada en ellos; hasta una organización como el FBI llega a perder más de un centenar y medio, y aun peor, el Departamento de Energia de EEUU cifra en aproximadamente 1,400 los portátiles perdidos durante 6 años. En base a esto, hoy vengo a comentarles una técnica de protección presente en muchos portátiles, pero desconocida, y destinada a proteger la información de sus discos duros.
Todos los discos duros (según el estándar ATA de la Wikipedia) disponen de un mecanismo de protección mediante contraseña, que bloquea el acceso al disco si éste no recibe la contraseña adecuada al arrancar. Dicha opción está disponible en la BIOS del ordenador, normalmente identificada como HDD Password.
La fuerza de este mecanismo reside en que el elemento que protege la información es el propio disco duro, por lo que no existe una manera de bypassear al propio disco; si es extraído del ordenador y conectado a otro ordenador no se consigue extraer la información, ya que la contraseña y la limitación de acceso residen en el propio disco. Desbloquear el disco sólo es posible ejecutando una instrucción con hardware especifico que borra todo el disco. Así pues, esta medida añade una protección adicional a la protección de lectura, haciendo inservible el equipo sin un cierto esfuerzo, lo que podría disuadir de su robo o al menos del acceso a información confidencial/corporativa por parte de terceros no autorizados.
Esta es una manera barata y sobre todo independiente del sistema operativo para bloquear el acceso a los discos, en aquellos portátiles que lo soportan. Pero, ¿es una manera infalible? Pues como se podrán imaginar, al final de la película la información está ahí y “sólo” hay una protección física/lógico (protegida por la lógica de los circuitos del disco) que la protege del acceso de “indeseables”. Una empresa de recuperación de discos accediendo directamente al soporte podría recuperar la información, y además existen en el mercado dispositivos y cables que dicen que son capaces de desbloquear el disco. Por lo tanto no debe considerarse una solución ni infalible ni definitiva, siempre peor que el uso de cualquier herramienta de cifrado de disco como puede ser Truecrypt (libre) o Safeguard (comercial), pero que es un impedimento más para los amantes de lo ajeno.

Como curiosidad comentar que este mecanismo es usado por el modelo antiguo de la Xbox de Microsoft para proteger el acceso a disco por parte de cualquier ente extraño que no sean sus propios juegos, lo que hace que aunque el soporte de la videoconsola sea un disco duro IDE, no se pueda contar a un PC. Esto también impide que se pueda poner otro disco duro a la consola, ya que si ésta no detecta su disco “protegido”, no arranca, sirviendo de protección en los dos sentidos.
Por último, existe un nuevo estándar de cifrado de discos en los que son los propios discos quienes cifran, aunque no todos están de acuerdo en su utilidad. Como conclusión sobre el HDD Password podemos decir que obviamente es mejor que no poner nada, y que se trata de una medida a medio camino entre el uso del password de la BIOS (de inferior protección), y el cifrado de disco mediante software (de mejor protección).Autor: Damià SolerFuente: securityartwork.es
Llega el 'chip' de grafeno

El español Tomás Palacios, profesor del MIT, consigue fabricar transistores de grafeno 10 veces más rápidos que los de silicio. Los 'chips' del revolucionario material, de un átomo de espesor, podrían alcanzar velocidades de mil GHz Primero fue el cobre. Este material permitió transmitir información de un punto a otro. Después llegó el germanio del transistor original, creado en los laboratorios Bell. Empezaba la era de la informática pero, como el material era inestable, fue sustituido por el silicio, el semiconductor con el que se fabrican los microprocesadores desde el siglo pasado.
El reinado del silicio está llegando a su fin. No sufran, ya tiene sustituto y se llama grafeno. En 15 o 20 años ordenadores, móviles, sensores y otros equipos electrónicos serán de este nuevo material, una forma de carbono puro.
Un equipo de investigación del Instituto Tecnológico de Massachussets (MIT), liderado por el español Tomás Palacios, está fabricando alguno de los primeros aparatos y circuitos electrónicos basados en grafeno, descubierto en 2004 por los científicos Andre Geim y Kostya Novoselov de la Universidad de Manchester.
Con propiedades entre semiconductor y metal, este nuevo material de una sola capa atómica de espesor revolucionará las telecomunicaciones y la informática al permitir la fabricación de microprocesadores, sensores y sistemas de comunicación mucho más veloces que los actuales. "Uno de los paradigmas de la electrónica es incrementar la frecuencia de las señales eléctricas, para fabricar ordenadores cada vez más rápidos o móviles capaces de transmitir datos a mayor velocidad. "Si con los chips de silicio podríamos llegar como máximo a los 100 GHz de velocidad, usando transistores de grafeno se alcanzaría el terahercio (1 THz). Es decir, 10 veces más", dice este madrileño de 30 años, profesor del MIT. El prototipo de "transistor de grafeno" fue presentado en la reunión anual de la Sociedad Americana de Física en marzo. También se publicará en la Electron Device Letters, la revista más prestigiosa de aparatos electrónicos de Estados Unidos, en su edición de mayo. Si todo va bien, en dos años saldrán versiones comerciales de estos chips avanzados al mercado.

¿Firefox más inseguro?

Leemos un par de post interesantes sobre el último informe de Secunia que ubica (¿equivocadamente?) a Firefox como el navegador más inseguro de 2008.En ¿Firefox más inseguro? (I) y (II), José Selvi desde pentester.es, analiza la información original y discrimina entre datos y opinión:
Tras leer el informe de Secunia yo mismo y valorar lo que pone, estas son las conclusiones que se extraen, y sobre las que voy a intentar separar claramente lo que son DATOS aportados por el informe y lo que son mis opiniones personales, para que no pase como les ha pasado a varias webs que se han hecho eco de este artículo y que, por confiar en la interpretación de esta web, han acabado proporcionando información inexacta a sus lectores.Entendemos que lo más útil para el lector es informarse y ver por sí mismo las conclusiones, ya que algunos medios yerran al (mal) interpretar informes de cuestiones de tecnología informática:
Una vez leí el estudio de Secunia la verdad es que no entendí como se habían extraido semejantes conclusiones de ese estudio, pero entonces me fijé en las fuentes a las que hace referencia DiarioTI: NeoWin.net ,una web que sólo por el nombre ya hace sospechar que quizá haya podido dar una interpretación no demasiado objetiva de la información mostrada en el informe de Secunia. Me decidí a buscar en la web y encontré el artículo al que hace referencia DiarioTI como fuente, donde efectivamente se encuentran todas las afirmaciones anteriores sin citar a ninguna fuente.

Noticias de Seguridad Informática - ZMA - ESET Argentina / Segu-Info