Categoría : Noticias de Seguridad

Inicio/Archivo por Categoría Noticias de Seguridad (Page 9)

Heartbleed – Grave fallo de Seguridad descubierto en OpenSSL

Después del conocido fallo de seguridad ms08-067 Netapi, del cual a la fecha seguimos encontrando varios servidores vulnerables en las auditorías que realizamos, esta semana se ha publicado una falla de seguridad en la tecnología de encriptación web OpenSSL que ha puesto en peligro la seguridad de datos confidenciales y altamente sensibles de millones de portales en Internet debido al bug que se ha denominado “Heartbleed”, el cual se ha calificado como el mayor fallo de seguridad descubierto en los últimos años.

Que es el Bug Heartbleed?

El bug Heartbleed que ya fue asignado con el BugID CVE-2014-0160, es una vulnerabilidad bastante seria que se ha encontrado en una librería del conocido Software criptográfico OpenSSL, el cual permite a un atacante de forma remota, obtener pequeños bloques de memoria (hasta 64kb) del servidor atacado, logrando acceder a información secreta y confidencial que fue dividida en 4 categorias:

  1. Material de la llave primaria
  2. Material de la llave secundaria
  3. Contenido protegido
  4. Datos colaterales

Mayor información sobre este bug, aunque esta en ingles lo puedes encontrar en heartbleed.com

De acuerdo con http://www.openssl.org/news/openssl-1.0.1-notes.html la extensión heartbeat fue introducida en marzo del 2012 con la liberación de la versión 1.0.1 de OpenSSL. Esto implica que la vulnerabilidad ha estado latente alrededor de 2 años.

Verifica si eres vulnerable:

Puedes hacerlo desde http://filippo.io/Heartbleed/ solo necesitas poner tu URL y te dirá si eres o no vulnerable.
Este es un script en Python para probarlo desde la línea de comandos http://s3.jspenguin.org/ssltest.py Si deseas testear múltiples sitios web, puedes usar una versión modificada con una salida fácilmente parseable.
Si usas Chrome puedes instalar el plugin Chromebleed checker que te avisa y alerta cuando visites un sitio vulnerable.

Heartbleed-test

Que puedo hacer si soy vulnerable?

Recomendamos realices los siguientes pasos:

  1. Actualiza tu versión de OpenSSL a 1.0.1g o superior
  2. Regenera tu llave primaria
  3. Solicita y remplaza el certificado SSL

Algún exploit para pentesters?

La vulnerabilidad es tan fuerte que ya salieron los primeros exploits que arpovechan esta falla de seguridad, los puedes descargar de los siguientes enlaces.

OpenSSL vulnerable to CVE-2014-0160, get cookies and user sessions
OpenSSL TLS Heartbeat Extension – Memory Disclosure
OpenSSL 1.0.1f TLS Heartbeat Extension – Memory Disclosure (Multiple SSL/TLS versions)

Lo mejor es que están en Python, así que puedes agregarlos a tu arsenal de Metasploit. Aca les dejo una captura de la información que puede extraerse de un objetivo.

heartbleed-example

Diviertete y envíanos tus consultas a info@ehacking.com.bo o a nuestro formulario de contacto.

Ataque masivo a Yahoo, obliga a cambiar contraseñas a los usuarios

No terminaba de escribir sobre el Hack que le hicieron a las cuentas Facebook y Twitter de Skype cuando me entero que también hoy hackearon algunos de los servidores de Yahoo comprometiendo así millones de cuentas de los usuarios.

Según la información que pude obtener de diferentes fuentes, el rror residió en una vulnerabilidad antigua y conocida en uno de los servidores de Yahoo al estar correindo un kernel antiguo que permite el acceso de root al sistema.

El ataque se realizó mediante la manipulación de uno de los parámetros en las URLs utilizadas en Yahoo Mail, la cual permitía ejecución de código remoto arbitrario.

El parámetro es utilizado dentro de un función php eval(), que toma una cadena (donde va el parámetro manipulado) y lo ejecuta como código php. La documentación de la función php advierte explícitamente contra de su uso siempre que sea posible y donde no haya otra opción, pide que la cadena que se pasa en a la función eval() se valide con cuidado.

Yahoo al enterarse del compromiso de su servidor ha procedido a enviar un correo a todos los usuarios de Yahoo Mail recomendando que cambien sus contraseñas con el siguiente texto.

“Hemos identificado un esfuerzo coordinado para obtener acceso no autorizado a las cuentas de correo de Yahoo . Tras el descubrimiento , tomamos medidas inmediatas para proteger a nuestros usuarios , lo que les empuja para restablecer las contraseñas de las cuentas afectadas”

Obviamente no revelaron el número de cuentas comprometidas y sabiendo como son la mayoría de los ususarios dudo que mas del 20% de los que recibieron la alerta de Yahoo, vayan a cambiar sus contraseñas.

Esto me hace suponer que tendremos mas noticias de Yahoo en los siugientes días.

Este es otro caso mas donde la Violación de Datos Personales queda impune por parte de los que decían mantener seguros nuestros datos.

Poco o nada pueden hacer los usuarios afectados y quiero ver que hará Yahoo con las cuentas de las personas que realmente fueron comprometidas y no puedan recuperar su información.

Ejército Electrónico Sirio Hackea las cuentas Facebook y Twitter de Skype

Se que suena un poco confuso el título pero así fue, hoy un grupo de piratas informáticos autodenominados Ejército Electrónico Sirio Hackearon las cuentas Facebook y Twitter de la plataforma de comunicaciones Skype (Microsoft).

“No usen correos electrónicos de Microsoft (Hotmail, Outlook) ellos monitorean tus cuentas y venden los datos a los gobiernos”, indicaba el mensaje publicado en las cuentas de Skype.

La cuenta también retuiteó un mensaje que dirigía a una URL alojada en los servidores del blog de Skype que rapidamente eliminaron hasta de la caché de Google.

Esta dirección, a todas luces adulterada, tenía el mismo mensaje.

Casi de inmediato Skype borró el falso post y el tuit y emitió un mensaje asegurando que la información de los usuarios no fue comprometida.

Como siempre digo “hagas lo hagas por proteger algo, siempre habrá alguien que pueda romperlo”.

Continuar leyendo

Después de Hackear Target, ahora venden las tarjetas Online

El reciente ataque a la empresa Target en donde robaron 40 millones de tarjetas de débito y crédito, permitió a los delincuentes crear un “nuevo producto”: cientos de miles de tarjetas en blanco emitidas por bancos fuera de Estados Unidos y que se están utilizando en todo el mundo.

Brain Krebs publicó una historia acerca del sitio rescatador.la donde explica cómo dos bancos compraron tarjetas a los ladrones para descubrir cómo obtenían los números de tarjeta de crédito que luego codifican en nuevas tarjetas en blanco y las utilizan para ir de compras.

Una característica clave de esa tienda en particular es que cada tarjeta se asigna a un determinado nombre “base”. El término escogido es un argot que se refiere a una palabra código arbitraria que describe todas las tarjetas robadas de un comerciante específico. En ese primer caso el nombre base fue “Tortuga”.

Ahora se publicó una segunda operación llamada “Operation Barbarossa”, que consta de más de 330.000 tarjetas de débito y de crédito emitidas por bancos en Europa, Asia, América Latina y Canadá.

barb-all

Según un banco grande en los Estados Unidos que adquirió el muestreo de las tarjetas a través de varios países, todas las tarjetas en la base de Barbarossa también fueron utilizados durante el período de tiempo de la brecha de Target.

Las tarjetas para la venta en la base de Barbarossa varían en precio desde U$S 23,62 a U$S 315 por tarjeta. Los precios parecen estar influenciados por una serie de factores, incluyendo el banco emisor, el tipo de tarjeta (débito o crédito), qué tan pronto expire la tarjeta y si la tarjeta tiene una notación especial que a menudo indica un límite superior de crédito, como por ejemplo una tarjeta platino.

Los precios también parecen estar influenciados por lo raro que es encontrar tarjetas de un banco específico disponible en el mercado negro. Las tarjetas más caras fueron emitidas por los bancos en Singapur, Corea del sur y los Emiratos Árabes Unidos.

Continuar leyendo

Llego PengoWin! El repositorio de Herramientas de Seguridad desde Windows

Es la 1:15 de la madrugada en Panamá y leyendo un post de mi amigo Lorenzo Martinez, me entero que Óscar Banchiero acaba de publicar su proyecto PengoWin en su primera versión 1.0.

Según lo que leí en la web del proyecto, es un repositorio de mas de 200 herramientas relacionadas con todas las áreas de seguridad informática, actualizadas hasta la ultima versión disponible a la salida de hoy, (27/11/2013) y algunas tools clásicas que fueron proyectos abandonados o discontinuos pero aun sirven en la tareas de auditoría y pentesting.

Estos programas están relacionados con Seguridad Informática, Análisis Forense,Wireless Security y muchos otras preparadas para las diferentes fases y tareas de un Pentesting como Reconocimiento, Scanning, Metadatos, Criptografia, Cracking, Esteganografia, Virtualizacion, Vulnerabilidades, etc.

Acá el video de presentación del proyecto:

De momento solo se puede descargar por torrent, el enlace del mismo es este:

https://www.dropbox.com/s/7f2x6gs1n136e65/PengoWin_V1_27122013.iso.torrent

La imagen descargada es un .iso de 3.74 GB.

Como dice Lorenzo, esperemos que más adelante podamos ver actualizaciones y mejoras en este proyecto del cual felicito a Óscar por la iniciativa.

Que lo disfruten.