jueves 9 de julio de 2009

Vacaciones: el momento del ataque

Al planear un ataque contra un objetivo, una de las cosas que más importancia tienen es el "cuándo" se llevará a cabo. En general, grandes ataques, virus o gusanos, se han efectuado cuando las defensas del destino están más bajas (Navidades, Semana Santa, verano, etc...)

Lo más normal en periodos vacacionales es que los departamentos de seguridad roten a su personal para que el "fuerte" no quede solo y si pasa algo siempre haya alguien para reaccionar ante los ataques. El factor sorpresa es importante, la gente disfrutando de sus vacaciones (días de sol, familia, turismo...) y las organizaciones con sus servicios mínimos de seguridad, lo cual otorga menor protección o cuanto menos una mayor latencia en la mitigación del ataque.

En general, cuando el responsable de seguridad de un departamento está de vacaciones, sus acólitos son quienes se quedan de regentes, sin embargo, los huevos que están en el yunque son del que está tumbado en la arena tomando granizados. En caso de un incidente de seguridad, él será el responsable de la reacción, aunque no esté presente. Para poderse ir de vacaciones y estar tranquilo, se hace necesario contar con diferentes mecanismos:
  • Un equipo humano cualificado y de confianza: Para ello, se hace necesario que los mismos cuenten con una formación y una experiencia sólidas en materias de administración de sistemas, seguridad y gestión de incidentes.
  • Correcto bastionado de las infraestructuras: desde el diseño hasta la implantación, se hace imprescindible acciones procedimentadas de instalación y despliegue de los diversos activos en las redes de la organización.
  • Mantenimiento adecuado: aplicación de parches, service packs, opciones de configuración y securización nuevas, que solucionen problemas ante los servicios provistos.
  • Mecanismos de detección: Tener habilitadas las opciones de log de los diversos dispositivos (IDS, IPS, cortafuegos, WAF), así como de los propios servicios otorgados al exterior (web, SMTP, FTP, POP3, IMAP, etc,...)
  • Documentación actualizada: Este punto es IMPRESCINDIBLE. Aunque sea la parte más aburrida de una instalación y/o actualización, inventariar lo que se tiene, cómo y dónde se tiene, así como para qué se tiene, es importantísimo para acotar problemas, encontrar agujeros, priorizar acciones, etc,....
  • Mecanismos de alerta: Tanto para los operadores de primer nivel, como para el que está tostándose al sol en la toalla, es importantísimo el poder estar enterado de lo que ha sucedido. Asimismo es de suma importancia la cantidad y la calidad de la información recibida según el rol. Si se trata de un operador de nivel 1, quizá sea interesante enviar hasta el más mínimo y sospechoso movimiento; sin embargo, a altos niveles, sólo se hace necesario recibir notificación de aquellas que realmente hayan supuesto una amenaza grave o que hayan provocado una denegación de servicio, una pérdida de información o un servicio degradado (y así permitir descansar al que está de vacaciones no importunándolo con ataques de menor trascendencia)
En general, el responsable de sistemas o de seguridad de una gran corporación, creo que aunque intente desconectar en vacaciones, aunque lo intente, siempre estará más tranquilo si recibe un resumen diario de diferentes fuentes confiables que puedan dar un "balance de situación" o una foto diaria, de la seguridad de su empresa y que todo esté bajo control.
Publicado por Lorenzo Martínez en 6:30 4 comentarios
Etiquetas: , ,

miércoles 8 de julio de 2009

milw0rm echa el cierre, ¿para siempre?

De lo que se entera uno haciendo F5 en su navegador esperando más información sobre un posible exploit 0day para OpenSSH...

Ayer lo anunciabamos en nuestro twitter, y hoy os ampliamos la información: milw0rm, la página recopilatoria de exploits por excelencia, deja de ser mantenida por su creador, str0ke.

str0ke editó el header de la web con el siguiente mensaje (traducción al castellano):

Bueno, pues esta es mi cabecera de despedida para milw0rm. Ójala contase con el tiempo con el que disponía en el pasado para publicar exploits, pero no lo tengo :(. Desde los últimos 3 meses la verdad es que he hecho un muy mal trabajo en conseguir que la gente sacase esto adelante lo suficientemente rápido como para estar orgulloso de ello, estar de 0 a 72 horas (arrebatando fines de semana...) no es justo para los autores de este sitio. Aprecio y agradezco a todo el mundo su apoyo en el pasado. Seguid seguros, /str0ke.

Justamente en el footer de la web, podemos leer lo siguiente en referencia a las submissions, o aportaciones por parte de los usuarios:

submissions are closed.

Ya no se aceptan más aportaciones, por lo que podríamos decir que de momento se da un parón en el proyecto, y no sabemos a ciencia cierta si alguien lo retomará.

De comenzar siendo una típica página que se dedicaba a indexar exploits enviados por la gente, y que poco a poco iba ocupando el hueco de la malograda hack.co.za, se convirtió en un proyecto en el que teníamos (y tenemos todavía) videos demostrativos de técnicas y exploits en funcionamiento, shellcodes, e incluso un cracker de md5.


¿Echaremos de menos a milw0rm? Por supuesto. ¿Queda alguna esperanza de que alguien pueda tomar las riendas del proyecto? Seguro que si, sin ir más lejos, en España contamos con algún que otro parado que seguro que está harto de vegetar en casa. ¡Animaros!

Entonces, ¿se acabó el ver exploits ordenaditos e indexados, y así estar a la última en cuanto a programas para inyectar cosas en servicios varios? Por supuesto que no, ¿es que no conocéis los recopilatorios mensuales de packetstorm por ejemplo? Y para videos relacionados con la seguridad informática, hace tiempo os hablamos por aquí de SecurityTube.
Publicado por José A. Guasch en 7:18 8 comentarios
Etiquetas: ,

martes 7 de julio de 2009

Profiláctico para navegadores

El mundo de la informática no dista tanto del mundo real, de hecho, muchos de los paradigmas aplicables al mundo real son perfectamente asociables a un mundo cibernético. En el mundo real a la hora de 'interactuar' con personas de una forma mas o menos intima nos han enseñado que es necesario tomar cierto tipo de precauciones para evitar sustos. El mundo cibernético es mucho mas promiscuo y las interactuaciones con elementos potencialmente peligrosos son inevitables.

Navegar felizmente por Internet con un navegador, supone arriesgarse a que, al seguir un link en twitter, bajar un programa o visitar una web, traiga como consecuencia que nos llevemos 'gratis' un bonito troyano al PC.

Para todos aquellos familiarizados con Linux / Unix el termino chroot (o jail si lo tuyo son los *BSD) les sonará muy familiar, básicamente es un comando (en realidad una syscall) que permite aislar del resto del sistema un proceso. De siempre en entornos Unix se ha empleado para ejecutar procesos con riesgo de ser comprometidos y evitar que si caen, se lleven por delante todo el sistema.

En Windows hay diversas herramientas que emulan este comportamiento, pero la que mas me ha gustado ha sido sandboxie por la enorme sencillez de uso y lo orientada que está a ejecutar navegadores y programas que realizan conexiones al exterior tipo Explorer o Firefox. La herramienta dispone de versión free y versión de pago, aunque la versión free es suficientemente completa.

Una vez instalado sandboxie

Lanzar Firefox de forma 'controlada' y con acceso ultra-limitado al sistema operativo es tan fácil como hacer esto:


De esa forma, podremos navegar tranquilamente con Firefox sabiendo que, en caso de que alguno de nuestros plugins / extensiones o el propio navegador tenga una vulnerabilidad y algún sitio que visitemos trate de aprovecharla, el daño quedará limitado a unos pocos directorios.

Desde la propia interface de sandboxie podemos gestionar el proceso encerrado cambiando los directorios a los que tiene acceso para darle mas o menos permisos


En definitiva, con la cantidad de 0-days que andan circulando y la enorme cantidad de plugins que consciente o inconscientemente usamos, ir por la vida sandboxiezado es mas que recomendable.
Publicado por Yago Jesus en 6:25 5 comentarios
Etiquetas: ,

lunes 6 de julio de 2009

SecurityQA Toolbar: Test de App Web

SecurityQA Toolbar es una herramienta que permite testear la seguridad en las aplicaciones web. Esta tool no ha sido diseñada como único medio para testear la seguridad de una aplicación web, pero puede ser utilizada durante la fase de QA por los equipos para determinar la seguridad de una aplicación web.

Testear una gran aplicación suele ser bastante complejo, esta toolbar permite ejecutar diferentes tests de seguridad contra una determinada página o una aplicación web completa. Aunque el testing por página suele ser un poco más lento produce mejores resultados, todos ellos en tiempo real.

Puntos negativos: 1) a día de hoy sólo está disponible para Windows 2000/XP y sobre Explorer 6/7, aunque pronto estará disponible con Windows Vista y se podrán ejecutar los tests por línea de comandos 2) alto coste de la herramienta, orientado a grandes organizaciones 3) escasa documentación, aunque su uso es bastante intuitivo.


Permite a las organizaciones realizar un escaneo de forma automática seleccionando que técnicas de test quieren aplicar.


Permite grabar sesiones, todos las acciones que se realicen sobre la aplicación, los clicks, GET y POST, links y acciones del usuario, quedarán grabadas. La sesión grabada puede abrirse con OWASP’s Webscarab para analizarla o modificarla.


Genera una serie de informes en formato HTML que pueden ser exportados a MS Excel, además pueden ser comparados entre si para contrastar los resultados en las diferentes etapas del ciclo de vida.

Ataques Injection

Desde la pestaña Data Validation podemos realizar distintos test para detectar vulnerabilidades de inyecciones SQL, Blind SQL, LDAP, XPATH, XQUERY, XML, SSI y Comandos OS.

Para ver el progreso del test en tiempo real, antes de ejecutar el test debemos seleccionar el botón de expandir que nos irá mostrando los formularios vulnerables al tipo de inyección que hemos seleccionado.


Cross-Site Scripting

Desde la pestaña Session Management disponemos de distintos métodos para testar XSS en las aplicaciones web.

Programar buenas aplicaciones web es la mejor forma de prevenir código JavaScript malicioso, es importante filtrar los parámetros (inputs), pero a veces restringir estas entradas puede hacer que la aplicación no funcione de forma correcta. Incluye librerías para realizar las transformaciones entre ASCII a HEX o binario.

En el panel de Configuración seleccionaremos las opciones Security QA Toolbar Library y Transformation Character Set. Al ejecutar la opción para Cross-Site Scripting chequeara en busca de ataques XSS usando transformaciones hex y decimales en la petición.

Este tipo de test no está disponible en el producto de prueba.

Cookies

Podemos analizar si las cookies de un site tienen la seguridad apropiada.


Obtenemos el informe sobre el test realizado y recomendaciones para mejorar la seguridad.



ISECPartners tiene otra tool llamada SecureCookies que analiza si una aplicación web está utilizando las opciones de seguridad en las cookies.

ActiveX

El proceso de testeo para los objetos ActiveX en aplicaciones web suele resultar bastante pesado y complejo. Esta tool nos asegura que los controles ActiveX en la aplicación web usan los estándares de seguridad apropiados.

Además existe otra tool en ISECPartners llamada SecureIE.ActiveX que te ayuda a determinar si tienes las opciones de seguridad correctamente activadas en el IE. Esta tool de forma automática mira en las opciones de seguridad del navegador y genera un informe con las buenas prácticas que debes seguir.

SecurityQA Toolbar es una de las tools que recomienda el libro de seguridad Hacking Exposed Web 2.0.

Publicado por Laura García en 7:00 4 comentarios
Etiquetas:

domingo 5 de julio de 2009

Google Desktop, indexación ninja

Google Desktop es una herramienta diseñada para la búsqueda de información en nuestro equipo de forma similar a como se hace en Google.com. Su uso es tan sencillo como instalarla y esperar a que recorra varios tipos de archivo ofimáticas como son por ejemplo documentos word, excel, imágenes, PDFs, archivos ZIP, archivos de texto o historial de navegación. Según son procesados los ficheros se detectan cadenas de texto que almacena en base de datos. Una vez generada esta información, es posible consultarla mediante un pequeño servidor web que es configurado localmente.

Desde la perspectiva forense esta herramienta puede ser evidencia de que archivos han estado en el equipo y que información contenían. Esta tarea está ampliamente documentado en trabajos como: Google Desktop as a Source of Digital Evidence, Extracting Evidence Using Google Desktop Search o Google Desktop Search as an Analysis Tool

Otra aplicación que considero interesante es el uso de esta herramienta como opción de motor de indexación en análisis forenses. Existen bastantes limitaciones, ya que no indexa los datos del disco borrados, puesto que trabaja a nivel de sistema de ficheros, tampoco permite analizar más de 100.000 ficheros ni que estos tengan más de 10.000 palabras, lo que puede ser corto para archivos de correo como son los PST de Outlook.

Entre las ventajas encontramos que tiene un coste realmente bueno (aka gratis) y permite el análisis de otros tipos de fichero mediante el uso de plugins, como pueden ser: CAD, DWG, adjuntos de outlook, metadatos, mindmap, realmedia, etc. Otro aspecto interesante es el uso de la línea de tiempo que podría ser modificada para que utilice la fecha del acceso a fichero y no la fecha de indexación.

Como alternativa existen otros productos de características similares como son el software de Microsoft o Copernic.

Publicado por Alejandro Ramos en 13:15 0 comentarios
Etiquetas:

sábado 4 de julio de 2009

Foros de Seguridad

Desde SbD os hemos facilitado información sobre blogs interesantes de seguridad, las mejores listas de correo y los podcast de seguridad. Hoy le toca el turno a los foros de seguridad.

Se dice que son los descendientes modernos de las BBS y Usenet, donde los usuarios van a discutir y compartir información, llegándose a formar las comunidades.

Los foros son controlados por los amos, aka administradores y moderadores, y en donde nunca pueden faltar los trolls.

Para aquellos que no frecuentéis estos sitios inhóspitos, os animo a daros una vuelta y pasar a formar parte de alguna de las siguientes comunidades.

Entre los nuestra lengua podemos destacar:
  • Elhacker.net en donde encontrarás secciones de hacking avanzando, hacking wireless, bugs y exploits, seguridad, análisis y diseño de malware, y wargames.
  • El-hacker con secciones de seguridad, phreaking, wargames, troyanos y virus, y una sección para newbies.
  • SpamLoco.net con información sobre ciber-ataques, virus, rootkits, seguridad en Windows.
  • Los foros de Kriptópolis con secciones sobre seguridad Windows, Mac, GNU/Linux, seguridad corporativa, wireless, seguridad en portátiles, aplicaciones web, criptografía, DNI electrónico, TrueCrypt y firewalls.
  • En ForoHack encontrarás información de hacking general, hacking wireless, carding, bugs, exploits, criptografía, hack tools, firewalls, spywares y antivirus.
  • pOrtalHacker con información de hacking, phreaking, cracking, virus, troyanos, bugs, exploits y programas y libros de hacking.
  • La comunidad DragonJAR con información de hacking ético, seguridad en bases de datos, seguridad web, seguridad en el software, criptografía, análisis forense, auditorías y test de penetración, navegación anónima e ingeniería social.
  • HouseOfSysAdmins que aunque no es exclusivo tiene un grupo en donde se tratan temas de seguridad.
Entre los de lengua inglesa encontramos:
  • GovernmentSecurity.org, éste es uno de los foros más antiguos de seguridad, con secciones de sistemas Windows, Linux y Unix, exploits, virus y troyanos, seguridad de redes, seguridad en el correo electrónico, seguridad wireless y vídeos con demostraciones de seguridad.
  • CrititcalSecurity.net con información sobre testing, análisis de malware, vídeos, criptografía, redes, fingerprinting y seguridad web.
  • SLA.CKERS.org con secciones de redes, privacidad, DoS, bugs, SPAM, SQL Injection, XSS, técnicas de ofuscación y seguridad wireless.
  • Sysinternals en donde podrás encontrar utils de interés e información sobre cómo solucionar problemas en Windows.
Y finalmente, réquiem por Castlecops, uno de los mejores foros sobre spyware, que sucumbió a manos de los desaprensivos.
Publicado por Laura García en 7:00 15 comentarios
Etiquetas: ,

viernes 3 de julio de 2009

Así funciona el SPAM en Twitter

Uno de los efectos colaterales del éxito (en un servicio Internet) es que siempre aparece gente que pretende usar ese éxito para rentabilizarlo en acciones mas o menos turbias. Caso claro es Google y el 'Bad-SEO' para promocionar enlaces maliciosos

Twitter nunca se ha caracterizado por tener la seguridad entre sus parámetros mas significativos, de hecho, siempre ha dado la sensación de ser un servicio que se gestiona de una forma errática.

Al hilo de un excelente artículo que encontre sobre SPAM en Twitter, voy a explicar las técnicas mas habituales cuando de 'micro-spammear' se trata

Uno de los asuntos que mejor les está funcionando a los spammers en Twitter son los 'Trending topics' es decir, palabras que están mas en el candelero por el volumen de gente mencionándolas. Ejemplo palmario aplicable a día de hoy: Michael Jackson. Para un Spammer es un chollo este tipo de escenarios ya que le resulta extremadamente fácil incluir enlaces que nada tengan que ver añadiendo una palabra que sea 'trending topic'. A mi me ha costado pocos minutos localizar un tweet que incluía un enlace hacia una web con un exploit para el plugin flash junto a la típica frase 'la última fotografía de Michael Jackson'

Tampoco los 'hashtags' se libran, un hashtag en Twitter es una palabra que se emplea para identificar, por ejemplo, un evento que se esté celebrando en tiempo real, o algún meme tipo #frasesdemadre que normalmente son identificados por un tag tipo #eventoblog, de esa forma si estás siguiendo un asunto en concreto, puedes localizar información relacionada buscando por ese tag, y si ese tag genera un volumen alto de twets, se convierte en un 'trending topic'. El problema es que twitter es un poco hippy a la hora de catalogar a los usuarios, por ende un comentario de un usuario que lleve 1 año, posteando 30 veces por día, y con 2000 followers vale igual que el de un nobody que lleva 3 horas. Esto, unido a que twitter tampoco se ha parado a implementar algún sistema para combatir spam, lleva a tweets tipo #eventoblog conclusiones en http://xxx.com

Y en ese enlace, evidentemente, te puedes encontrar desde malware, hasta publicidad extraña.

Otra de las características que se emplean para spamear en Twitter es el uso del RT 'retweet' que suele ser cuando alguien dice algo de sumo interés que tu compartes con la gente que lee tus actualizaciones, normalmente se emplea para re-distribuir links, frases ingeniosas o similar. El problema es que nadie te impide hacer un RT de alguien y alterar su frase, de forma que si un usuario X twitea 'links interesantes sobre naturaleza http://yyy.com' un spammer podría alterar el contenido y hacer un RT @X 'links interesantes sobre naturaleza http://zzz.com' cambiando la url y haciéndolo pasar como un comentario de X, que normalmente será alguien que tenga cierta credibilidad y un buen numero de followers.

Combinando ambas técnicas, metiendo RT y palabras que sean 'trending topics', cualquiera que esté buscando información sobre un evento y vea un RT de alguien a quien atribuye credibilidad, hablando del tema y anunciando un link, seguramente pique y pulse.

¿Soluciones? Al final es lo de siempre, si regulas y parametrizas, matas la esencia, si no haces nada, es la jungla
Publicado por Yago Jesus en 7:24 6 comentarios
Etiquetas: ,
Suscribirse a: Entradas (Atom)

Basado en el template 'Fly Away' de Ourblogtemplates.com y modificado por Security By Default

Volver al principio