Categoría : Noticias de Seguridad

Inicio/Archivo por Categoría Noticias de Seguridad (Page 8)

MS15-034: Vulnerabilidad Super Crítica en IIS (Parchea de immediato!)

Microsoft acaba de lanzar la actualización MS15-034 (CVE-2015-1635), que soluciona una vulnerabilidad crítica en el archivo http.sys utilizado Internet Information Services (IIS) y otros servicios de Windows. Dicha vulnerabilidad permite ejecución remota de código y denegación de servicio.

Algunos puntos importantes de la vulnerabilidad:

  1. Como esto no es un error específico de IIS, no aplica sólo a los servidores IIS, puede haber otros componentes afectados.
  2. En principio, el fallo afecta a casi cualquier software de Windows que utiliza http.sys para responder a las solicitudes HTTP. Todo tipo de software podría caer en esa categoría: sistemas de mensajería, logs, agentes de configuración; redes Peer-to peer, demoniios, servicios y hasta una infección de malware ya existente.
  3. El fallo permite la ejecución remota de código. El exploit puede disparar una petición HTTP en apariencia inocente y, en teoría, esto se podría convertir en un gusano lo fue SQL Slammer. Este (por ahora teórico) gusano se podría difundir sin tener que esperar ninguna acción del usuario.
  4. El fallo está en un componente del núcleo, y su explotación exitosa dá el atacante privilegios deSystem.
  5. El código de explotación y una Prueba de Concepto (PoC) ya puede encontrarse en Internet. Por ahora esta PoC no intenta explotar el bug ni hacer algo deliberadamente malintencionado. La PoC realmente provoca un desbordamiento de búfer.

Detalles

El error viene de agregar el siguiente encabezado a una solicitud HTTP como la siguiente:
Range:
bytes=0-18446744073709551615

Como puede ver, es sólo un desbordamiento de enteros (64-bit) estándar, donde el número 18446744073709551615 es igual a -1.
Un ejemplo sería:
$ telnet IP PORT
GET / HTTP/1.1
Host: www.site.com
Range: bytes=0-18446744073709551615

$ curl -v http://IP/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"
$ wget --header="Range: bytes=18-18446744073709551615" http://IP/default.aspx

Cuidado: esta firma específica parece inofensiva, pero hay otras variaciones que pueden causar un problema serio e incluso una blue screen.

Sin embargo, sirve como prueba útil para comprobar si el servidor está parcheado. Si el servidor está sin parchear, devolverá el siguiente error:
HTTP/1.1 416 Requested Range Not Satisfiable

En cambio si la respuesta es la siguiente, la vulnerabilidad está parcheada:
The request has an invalid header name
Sin embargo, las pruebas no son concluyentes porque se pueden encontrar algunas respuestas vulnerables sin que el servidor lo sea o viceversa.

Metasploit ya ha lanzado un módulo para su explotación.

Mitigación especial para IIS

Si tienes un servidor IIS, se puede evitar el daño incluso antes de aplicar la actualización M15-034, usando una solución publicada por Microsoft:

Deshabilitar IIS kernel caching. Esta solución es específica de IIS y puede causar problemas de rendimiento.

Tenga en cuenta que Kernel caching está activado por defecto en IIS 7 y versiones posteriores. Así se puede desactivar en el web.conifg o machine.config.

[configuration] [system.webServer] [caching enableKernelCache="false"/] [/system.webServer] [/configuration]

Referencias adicionales

Recomendación: instalar de forma inmediata la actualización MS15-034.
Visto en: Segu-info
Continuar leyendo

Bolivia parte del Latam Tour OWASP 2015

Una noticia que me alegro bastante y me siento orgulloso de publicarla es que este año a diferencia de los anteriores, la comunidad de OWASP Bolivia se ha organizado bastante bien con una excelente estructura y calidad de ponencias donde se ve claramente que a crecido el interés en la comunidad de participar en este tipo de temas que a pesar de los años todavía siguen siendo muy importantes para algunos y poco o nada importante para otros que al final son los que mas lo necesitan.

Como una pequeña introducción obligada para los nuevos, tengo que decir que OWASP es un proyecto de código abierto que tiene bastantes años de aportar a la seguridad del software y con excelentes profesionales de la seguridad que se tomaron el tiempo de compartir con la comunidad sus conocimientos.

La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo relacionados con la seguridad informática. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

Entre los expositores  destacados que conozco participan de esta gestión y sin ánimo de hacer algún desmerito a los que todavía no tuve el gusto de conocer, están:

Gonzalo Nina Mamani
“Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web”

Cristhian Lima Saravia
“Framework Pleni”

Erick Calderon Mostajo
“Herramientas de Aprendizaje OWASP”

Y desde Colombia participa nuestro amigo Jacobo Tibaquira a quien desde Pereira le tenía prometido un viaje a Santa Cruz del cual estoy seguro ahora que con la calidad del pueblo cruceño y de todos los bolivianos que participarán del evento, se llevará un recuerdo inolvidable de nuestra hermosa tierra.

Jacobo Tibaquira
Atacando al atacante (DRAGON JAR)

A continuación les dejo el programa para todos lo que estén interesados en participar de este excelente evento y el enlace a la web oficial para que puedan encontrar mayor información al respecto.

OWASP LATAM 2015 – BOLIVIA

Viernes 17 de abril

Hora Expositor Conferencia País
08:00 – 08:30 Registro – Acreditación
08:30 – 09:00 Video: Mundo Hacker – Proyecto OWASP
09:00 – 09:50 Jaime Iván Mendoza Ribera Análisis de vulnerabilidades web Santa Cruz, Bolivia
09:50 – 10:40 Cesar Roberto Cuenca Díaz Desarrollo Seguro Principios y Buenas Prácticas. La Paz, Bolivia
10:40 – 11:30 Juan Pablo Barriga Sapiencia Riegos en TI Sucre, Bolivia
11:30 – 12:00 Pausa para café
12:00 – 12:50 Walter Camama Menacho MiTM a nivel de browser con beef y metasploit Trinidad, Bolivia
12:50 – 13:40 Leonardo Camilo Quenta Alarcon Seguridad en sistemas financieros. Buenas prácticas de programación y aplicación de pruebas de penetración OWASP La Paz , Bolivia
13:40 – 14:30 Deyvi Bustamante Perez Exploit development Sucre , Bolivia
14:30 – 15:00 Pausa para café
15:00 – 15:50 Gonzalo Nina Mamani Sistema para la recolección de información orientado a la mejora en la evaluación de seguridad en aplicaciones Web Cochabamba , Bolivia
15:50 – 16:40 Hernán Marcelo Leytón Balderrama Seguridad en los Satélites de Comunicación Potosí, Bolivia
16:40 – 17:30 Juan Alberto Fajardo Canaza WAF Testing Framework Potosí, Bolivia

Sabado 18 de abril

Hora Expositor Conferencia País
08:00 – 08:30 Acreditación
09:00 – 09:50 Alex Villegas y Roller Ibanez Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 Cochabamba, Bolivia
09:50 – 10:40 Richard Villca Apaza Rompiendo el modelo de negocios: Debugging Android Apps La Paz, Bolivia
10:40 – 11:30 Cristhian Lima Saravia Framework Pleni Cochabamba, Bolivia
11:30 – 12:00 Pausa para café
12:00 – 12:50 Elvin Vidal Mollinedo Mencia Los 7 pecados de un desarrollador Web Santa Cruz, Bolivia
12:50 – 13:40 Alvaro Machaca Tola Análisis de riesgos aplicando la metodología OWASP La Paz , Bolivia
13:40 – 14:30 Erick Calderon Mostajo Herramientas de Aprendizaje OWASP La Paz , Bolivia
14:30 – 15:00 Pausa para café
15:00 – 15:50 Daniel Torres Sandi Headers seguros en HTTP Sucre , Bolivia
15:50 – 16:50 Gabriel Labrada Hernandez (INTEL MEXICO) Seguridad en Hardware y los servicios en la nube Mexico
16:50 – 17:50 Jacobo Tibaquira Atacando al atacante (DRAGON JAR) Colombia

La sede de este evento será la prestigiosa Universidad NUR, quien hace bastante años a la cabeza de un grupo de investigadores de seguridad han aportado con este tipo de eventos.

 Owasp Univ

Este artículo fue propuesto por nuestro amigo Cesar Roberto Cuenca Díaz quien dará también una conferencia en el evento sobre “Desarrollo Seguro Principios y Buenas Prácticas“.

Este año estamos bastante ocupados con proyectos fuertes en la empresa y en varios países incursionando en Europa y Asia, pero tenemos como una de las metas para el 2016 volver a Bolivia para participar del OWASP 2016 ya sea como Community SupportersSupporting Partners para compartir con la comunidad nuestras investigaciones y aportes.

Feliz OWASP 2016, que lo disfruten y aprendan bastante de la Comunidad.

Nuestra entrevista para la Revista ITNOW para Centroamérica y el Caribe

A raíz de nuestra conferencia en la FIADI de Costa Rica, justo después de nuestra intervención se nos acercó una periodista para conversar con nosotros y en ese momento no sabíamos que pertenecía a la conocida revista IT NOW, la revista de Tecnología y Negocios mas importante en Centroamérica y el Caribe.

Un tiempo después nos contactó por correo para hacernos una entrevista para su revista y bueno acá les copio el resultado de la entrevista que publicó ITNOW el día de ayer.

———————————————————————————————————————–

White Hats Vs Black Hats

Estamos acostumbrados a los hackers que abren brechas de seguridad en sistemas vulnerables, pero no todos están en el lado oscuro. Aquí dos White Hats nos cuentan cómo protegen las redes.

Por: Quisi Aguilar

shutterstock_160373801-800x768En el mundo de los hackers el objetivo no es solo robar datos confidenciales como lo hacen los conocidos Black Hats o sombreros negros, sino también está la función de proteger esos datos mediante pruebas y soluciones en los agujeros de seguridad que presentan algunos sistemas. Esta función la desempeñan los White Hats o hackers de sombrero blanco.

Por eso nos adentramos en el mundo de dos White Hats, Alvaro Andrade y Rafael Revert fundadores de Ethical Hacking Consultores, quienes trabajan a diario analizando los sistemas de seguridad de las empresas con la ventaja que ellos entregan las vulnerabilidades y explicación de cómo pueden parchearlas o prevenirlas antes de que los Blacks Hats las encuentren para obtener un beneficio económico.

También existen los Grey Hats o hackers de sombrero gris que están en el medio, en algunas ocasiones usan su tiempo como Whites Hats y otras como Black Hats.

En el caso de los White Hats usan las mismas técnicas que los hackers de sombrero negro, solo que para un propósito opuesto, en lugar de afectar una empresa o una red buscan qué vulnerabilidades tiene para protegerla.

 ¿Qué le diría Luke Skywalker a un hacker? Aquí le contamos

 

“Depende mucho del cliente, en el caso de las instituciones bancarias emulamos  ataques de fishing, de malware y fraudes específicos en entornos controlados para que el cliente no tenga un alto impacto y si tiene un alto impacto inmediatamente lo remediamos”, explicó Rafael Revert, director técnico de servicios profesionales de Ethical Hacking Consultores.

A diferencia de los Black Hats, los hackers de sombrero blanco cuentan con tiempo y fechas determinadas para llevar a cabo los proyectos, ya que normalmente los crackers tienen tiempo ilimitado para lograr su objetivo de atacar una empresa.

A nivel mundial las empresas que contratan más servicios de ethical hacking son las gubernamentales debido a la necesidad de protegerse en temas de seguridad con toda la ola de ciberespionaje que ha estado creciendo en los últimos años. Los APT son un ejemplo de ello.

 Le recomendamos: ¿Se puede minimizar el ROI de un hacker?

¿Qué motiva a los White Hats?

“Algo que nos motiva a ambos es poder ver estos sistemas, ponerlos bajo prueba y ataques, uno como White Hat  tiene la motivación de vencer un este reto”, comentó Alvaro Andrade, director ejecutivo de Ethical Hacking Consultores.

Los Black Hat evidentemente tienen la motivación económica o de venganza al interrumpir en un sistema, y tendrán siempre el riesgo de que lo capturen, ya que su trabajo no es legal.

“Nuestra moralidad es más limpia y por eso decidimos irnos por la parte de ofrecer servicios con ciertos conocimientos técnicos avanzados para que atacantes del mismo país o de otro lugar no puedan realizar sus ataques a nuestros clientes, a quienes protegemos con nuestros servicios”, agregó Rafael Revert.

 Conozca: Hackers de cuello blanco

 

Es por ello que estos hackers de sombrero blanco hacen un pen test a sus clientes, con el que antes firman un acuerdo de confidencialidad y un contrato donde se especifican las medidas de seguridad que van a tomar.

“Cada empresa es distinta, eso es la parte interesante de hacer un servicio de ethical hacking donde se encuentra un problema diferente que se debe responder de manera diferente obviamente con los mismos estándares y metodologías que debemos de seguir con el tiempo que nos dicta el cliente, pero también tenemos el tiempo para descubrir cosas como tipos de fallas para que no se le repita al cliente y un atacante no les robe los datos”, explicó Revert.

Al igual que los Black Hat, los White Hat tienen una remuneración económica determinada por el nivel técnico y de conocimiento del hacker, los de sombrero blanco pueden tener buenos ingresos según las habilidades que desarrolle en sus proyectos.

No obstante, de acuerdo con Alvaro un black hat puede encontrar una falla de seguridad que no haya sido reportada en los sistemas escala para plantas nucleares, por ejemplo y darles de baja o desarrollar un malware y  esa falla costaría millones de dólares venderla en la deep web, aunque encontrar una falla así tampoco es tan fácil.

Enlace a la noticia en ITNOW: White Hats Vs Black Hats

Al fin Whatsapp implementa cifrado en sus mensajes

El día de ayer, whatsapp informó al público que implementaron un novedoso sistema de cifrado donde en teoría corrigen una de las vulnerabilidades mas fuertes de este sitema de mensajes por lo que perdió bastante mercado ante otras soluciones como Telegram, Hangouts o Line que inclusive puedes instalarlas en la computadora y no solo en el Celular.

Whatsapp se asoció con la organización Open Whisper Systems para incorporar el software Textsecure (de código abierto) en su red de mensajería móvil, que logra que sólo los participantes de una conversación tengan acceso a ella, es decir, logrando que sea (en teoría) prácticamente invulnerable a la mirada de terceros.

whatsapp-cifradoTextsecure usa una técnica de encriptación de punta a punta que transforma al mensajero en uno de los más seguros del mundo. El cifrado funciona con claves digitales intercambiadas por los usuarios y nadie más; esto hace que sea casi imposible que otros puedan acceder al contenido de la conversación, sea Whatsapp o la Policía.

Aunque la noticia me llamó bastante la atención y hasta me puso a pensar sobre la nueva valoración que puede tener este asunto para tema de evidencia digital en materia penal, luego leyendo un poco mas sobre el asunto, me entero que esta solución solo salió para sistemas Android y no para iOS, Blackberry o windows mobile que tanta falta hace.

Otro aspecto negativo a mi parecer es que no sirve para cifrar chats grupales de Whatsapp, ni fotos, videos o audios que se transmitan en una conversación, con lo que prefiero seguir con mi buen Telegram hasta que saquen una solución completa en Whatsapp.

De todas formas esa publicidad donde te dicen que es la mejor seguridad del mundo que es indecifrable e irompible o cosas así, ya me la conozco y es cuando mas uno tiene que cuidarse.

Esperemos ver algunas novedades en las próximas semanas sobre este tema.

Los USB tienen una vulnerabilidad muy peligrosa y casi invisible

Ya se conocía lo sencillo que podía ser contaminar una unidad de almacenamiento que se conecte a través de puertos USB a los ordenadores. Pero ahora han encontrado que cualquier dispositivo con USB, bien sea un ratón o un teclado puede ser utilizado por los hackers para acceder a los ordenadores personales con ataques que pueden evadir todo tipo de protecciones de seguridad conocidas.

Esto es lo que ha desvelado Karsten Nohl, investigador de SR Labs, una firma de seguridad de Berlín. Nohl apuntó que los hackers pueden cargar software malicioso en los firmware de los USB a través de pequeños chips que vienen en los dispositivos con USB. Lo peor de este es que no se detecta porque a ese nivel no hay escudos de protección.

«No puedes saber de dónde ha venido el virus. Es casi como un truco de magia», ha dicho dijo Nohl. Este hallazgo demuestra que los errores de software de estos pequeños componentes, invisibles para el usuario promedio, son extremadamente peligrosos si los cibercriminales logran cómo explotarlas.

Nohl ha realizado ataques escribiendo códigos maliciosos en los chips de control de USB unidades de memorias y de smartphones. Una vez que se conecta el dispositivo al ordenador, el software «malvado» puede registrar las pulsaciones del teclado, espiar comunicaciones y eliminar datos.

El investigador, que describirá todo el proceso de hallazgo y ataque en su conferencia en el Black Hat de las Vegas la semana próxima, apunta que los equipos no detectan estos virus porque los antivirus están diseñados sólo para analizar malware escrito en memoria y no en el firmware que controla el funcionamiento de estos dispositivos.

Nohl ha dicho que no estaría sorprendido si las agencias de inteligencia como la Agencia de seguridad nacional (NSA) ya hayan averiguado cómo lanzar ataques utilizando esta técnica. El investigador ha podido en sus pruebas tener acceso remoto a un ordenador, cambiar la configuración DNS de la red, y eneseñar a la máquina a enrutar el tráfico de internet a través de servidores de internet maliciosos. Una vez que el ordenador se infecta puede ser utilizado para infectar todo los dispositivos USB que se conecten a ese equipo.

Nueva vulnerabilidad en Whatsapp permite suplantar la identidad del remitente

Gracias a este tipo de noticias es que cada vez me alegro mas de haber migrado a Telegram y poco a poco ir dejando la red de Whatsapp.

Hoy WhatsApp volvió a ser el centro de atención en materia de seguridad por una nueva vulnerabilidad que ha sido descubierta por dos hackers españoles y que permite al atacante suplantar la identidad del remitente del mensaje. Pese a todo, dijeron que es un fallo complicado de utilizar y no está al alcance del usuario medio, lo que tampoco me deja tranuilo ya que la comunidad internacional de seguridad es bastante amplia y alberga tanto a White Hats como Black Hats.

Jaime Sánchez y Pablo San Emeterio son 2 conocidos hackers españoles especializados en la búsqueda de vulnerabilidades en diferentes aplicaciones donde su último descubrimiento tiene que ver con el servicio de mensajería más utilizado del mundo, WhatsApp.

Estos dos hackers han detectado un fallo muy importante en la conocida aplicación de mensajes ahora en manos de Facebook por la que un atacante puede modificar el remitente de un determinado mensaje de WhatsApp para simular que es otra persona la que nos envía un mensaje, por ejemplo un amigo, y hacernos caer así en alguna trampa mediante el envío de un link o de un archivo que contenga software malicioso. Además, la posibilidad de modificar el remitente sin dejar rastro puede tener otras consecuencias en diferentes ámbitos, como por ejemplo si se aportan los mensajes como prueba en demandas de divorcio, acoso, calumnias, etc.

O en un caso mas serio, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera se ha tenido acceso físico. Basta con saber el número de la victima. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

Desde ya que mas allá de llevarle una broma a alguien, las implicancias jurídicas de este tipo de acciones serían las mas fuertes ya que los jueces ni siquiera podrían aceptar como evidencia o prueba admisible este tipo de mensajes electrónicos en un proceso judicial ya que existe la forma de demostrar que los mensajes pudieron haber sido plantados a propósito por un tercero para implicar al imputado y así plantear la duda razonable y ganar el juicio.

Cito a continuación algo que comento un buen amigo de la FIADI cuando lo entrevistaron en España y me gustó lo que dijo ya que es algo que lo comento siempre con mis estudiantes del Diplomado de Delitos Informáticos e Informática Forense, “La justicia no está preparada, no existe a día de hoy la figura de un Juez 2.0”, (Cuando entrevistaron a Federico Bueno de Mata, profesor de Derecho Procesal de la Universidad de Salamanca y premio extraordinario de tesis sobre la prueba electrónica).

Bueno ya estaremos viendo que sorpresas más nos depara esta tan usada aplicación Whatsapp. De momento y para que lo vayan pensando o para los que estén indecisos les presento algunas razones de porque deberían mudarse a Telegram.

whatsapp-vs-telegram

Infección de Cajeros ATM con Malware para robar dinero

En el blog de Brian Krebs se hace eco de la noticia de un nuevo ataque que tiene como objetivo los ATM. Las dos personas que hicieron el ataque eran de origen Ucraniano y llegaron a robar hasta 100000 dólares de hasta 7 cajeros automáticos.

Esta es la imagen del equipo incautado:

macau arrests Nuevo ataque a cajeros automáticos II

Equipo incautado

En este nuevo ataque los criminales utilizaron un dispositivo que se conecta a un  ordenador portátil, y se introduce luego en el cajero, en el sitio donde se colocarían las tarjetas. Con este conjunto de herramientas, los hombres fueron capaces de instalar malware capaz de desviar los datos y PIN de tarjetas de los clientes. El dispositivo parece ser una placa de circuito verde rígido que es de aproximadamente cuatro o cinco veces la longitud de una tarjeta de cajero automático.

Esta imagen os resultará muy familiar:

terminator Nuevo ataque a cajeros automáticos II

Si pienso en el ataque me recuerda a esta escena de la película Terminator.

Cuando se introduce la placa  en el cajero automático, el cajero se bloquea y deja una pantalla en negro. Después de retirar el dispositivo, el cajero se reiniciará y el cajero empezará a registrar y grabar todas las tarjetas que se introduzcan en e cajero.

Si os acordáis de la imagen de antes, en la que se mostraba en material incautado, si lo vemos un poco mas de cerca…

macao skimmers Nuevo ataque a cajeros automáticos II

Tarjeta física

Esa lamina verde es lo que se introducía en el cajero para instalar el malware.

Quizás, os podáis preguntar como los malos consiguen atacar los cajeros, saber como funcionan. Aquí tenemos un ejemplo:

atm 300x122 Nuevo ataque a cajeros automáticos II

Los malos son capaces de comprar un ATM por Ebay,por lo que se pueden encargar de saber como funcionan ciertos modelos. Esto y vías de investigación les ayudan a conseguir fallos para luego poder explotarlos.

Visto en: www.dragonjar.org