¿TrueCrypt es entonces seguro o no? Liberado el primer informe de #IsTrueCryptAuditedYet

Si os acordáis hace unos meses os hablamos de un proyecto (#IsTrueCryptAuditedYet) que buscaba financiación colectiva para auditar el código de Truecrypt y verificar que no existe ningún backdoor o código malintencionado que pudiera comprometer la seguridad de los datos de los usuarios.

El 21 de enero de 2014 se anunció que iSec Research Lab ayudaría a revisar algunas partes de la versión 7.1a del popular software de cifrado. Esto incluía la revisión del bootloader y del driver de kernel de Windows en busca de posibles backdoors del sistema y otros fallos de seguridad.

Básicamente llevaron a cabo una revisión del código disponible públicamente (http://www.truecrypt.org/downloads2) e hicieron algo de fuzzing en diversos interfaces.

El 14 de abril se liberó el informe cuyos resultados muestran un total de 11 vulnerabilidades (4 medias, 4 bajas y 3 informativas):

1. Weak Volume Header key derivation algorithm
2. Sensitive information might be paged out from kernel stacks
3. Multiple issues in the bootloader decompressor
4. Windows kernel driver uses memset() to clear sensitive data
5. TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure
6. IOCTL_DISK_VERIFY integer overflow
7. TC_IOCTL_OPEN_TEST multiple issues
8. MainThreadProc() integer overflow
9. MountVolume() device check bypass
10. GetWipePassCount() / WipeBuffer() can cause BSOD
11. EncryptDataUnits() lacks error handling

Eso sí, iSEC no encontró evidencia de backdoors o código malicioso intencionado en ninguna parte. Las vulnerabilidades eran debidas a que no se siguieron buenas prácticas de programación segura (falta de comentarios, funciones obsoletas, tipos de variable inconsistentes, etc) y algunas debilidades en las comprobaciones de integridad de cabeceras de volumen (Volume Header integrity check).

Ahora a esperar a la II fase de criptoanálisis...

SANS ahora en España de la mano de One eSecurity

SANS Institute es una organización considerada líder mundial en formación y certificación en Seguridad de la Información. Ofrece una amplia gama de cursos diseñados especialmente para que los alumnos acaben dominando, a nivel teórico y práctico, la metodología y herramientas necesarias para la defensa de los sistemas y redes contra las amenazas más peligrosas.

One eSecurity, a través de su relación estratégica con SANS Institute, acerca esta formación de excelencia y se convierte en el Socio en exclusividad para la enseñanza de los cursos de SANS en España, ofreciendo a nivel nacional formación avanzada en el ámbito de la seguridad de la información. En España, con material en inglés pero impartido en español.

Calendario de cursos para 2014

 Curso   Localidad   Fecha    
 FOR408: Computer Forensic Investigations - Windows In-Depth
 Madrid   26-31 Mayo   
  
 SEC560: Network Penetration Testing and Ethical Hacking
 Madrid   2-7 Junio   
  
 SEC401: Security Essentials Bootcamp Style  Madrid   23-28 Junio    
 SEC575: Mobile Device Security and Ethical Hacking
 Madrid   22-27 Septiembre   
  
 SEC504: Hacker Techniques, Exploits & Incident Handling
 Madrid   20-25 Octubre   
  
 SEC503: Intrusion Detection In-Depth  Madrid   10-15 Noviembre    

El Modo Dios en Windows 7 (God Mode)

Desde principios de 2010 se conoce (y todavía sigue vigente) una característica oculta en Windows 7 denominada "God Mode" que permite a los usuarios acceder a todos los paneles de control del sistema operativo dentro de una sola carpeta. De hecho incluye más de 270 elementos configurables, muchísimos más de los que encontramos directamente dentro del Panel de Control estándar.
Lo más sorprendente es que basta con crear un nuevo directorio y renombrarlo con la siguiente cadena de texto al final:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Pruébalo y verás que serás capaz de manejar todo desde un solo lugar, desde cambiar la apariencia del puntero del ratón hasta hacer una nueva partición del disco duro. Se trata de un acceso directo para desarrolladores oculto y no documentado... y existen unos cuantos accesos directos más:

    Default Location – {00C6D95F-329C-409a-81D7-C46C66EA7F33}
    Biometrics – {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
    Power Settings – {025A5937-A6BE-4686-A844-36FE4BEC8B6D}
    Notification Area – {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
    Manage Credentials – {1206F5F1-0569-412C-8FEC-3204630DFB70}
    Get New Programs – {15eae92e-f17a-4431-9f28-805e482dafd4}
    Default Programs – {17cd9488-1228-4b2f-88ce-4298e93e0966}
    NET Framework Assemblies – {1D2680C9-0E2A-469d-B787-065558BC7D43}
    Wireless Networks – {1FA9085F-25A2-489B-85D4-86326EEDCD87}
    Network Neighborhood – {208D2C60-3AEA-1069-A2D7-08002B30309D}
    My Computer – {20D04FE0-3AEA-1069-A2D8-08002B30309D}
    Printers – {2227A280-3AEA-1069-A2DE-08002B30309D
    RemoteApp and Desktop – {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
    Windows Firewall – {4026492F-2F69-46B8-B9BF-5654FC07E423}
    Performance – {78F3955E-3B90-4184-BD14-5397C15F1EFC}
    Sync conflicts: {289978AC-A101-4341-A817-21EBA7FD046D}
    Sync setup folder: {2E9E59C0-B437-4981-A647-9C34B9B90891}
    Windows Update: {36eef7db-88ad-4e81-ad49-0e313f0c35f8}
    Bluetooth Devices: {28803F59-3A75-4058-995F-4EE5503B023C}


Referencia: http://support.microsoft.com/kb/979240/es

Kevin Mitnick en Mundo Hacker Day 2014 (Madrid, 29 de abril)

Como ya sabéis, Mundo Hacker es una serie presentada por Antonio Ramos y Mónica Valle en el que semanalmente se debate sobre los distintos peligros en la red y cómo combatirlos. 

Ahora han organizado el evento MUNDO HACKER DAY 2014 que tendrá lugar el próximo 29 de abril en el Teatro Goya de Madrid y en el que destaca especialmente la participación de Kevin Mitnick (Cóndor). 

Así que ya sabes, si estas por Madrid por esas fechas tienes la oportunidad de ver en vivo a uno de los hackers más famosos de la historia...

http://www.mundohackerday.com

PoCs para explotar masivamente la vulnerabilidad Heartbleed (OpenSSL CVE-2014-0160)

Un fallo en la implementación de Heartbeat, una funcionalidad añadida a TLS/DTLS para refrescar una sesión segura sin necesidad de renegociar, permite leer partes de la memoria del proceso hasta 64kB. ¿Qué significa ésto? que cualquier persona en cualquier lugar del mundo y sin dejar casi huella puede obtener las sesiones de cualquier usuario autenticado en un servidor que corra OpenSSL 1.0.1 o posterior (hasta 1.0.1g), es decir, millones de servidores a los que accedemos mediante HTTPS son vulnerables.

Por eso la vulnerabilidad CVE-2014-0160 bautizada como Heartbleed (corazón sangrante) es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha.

Para solucionarlo las opciones son deshabilitar el soporte de Heartbeat (-DOPENSSL_NO_HEARTBEATS), actualizar OpenSSL y regenerar claves. ¿Cuándo? Pues debería ser inmediatamente porque ya están apareciendo algunos PoC que facilitan su explotación de forma masiva...

Comprueba localmente la complejidad de tus contraseñas... o si no hay más remedio ofuscala un poco antes (mi arma)

El otro día un compi de la oficina me comentó que un auditor externo le pidió que introdujera su contraseña en un sitio web para ver si la complejidad era la adecuada. Evidentemente no voy a decir el nombre de la empresa, ni la ISO de seguridad (fina ironía) para la que se realizaba la auditoría, ni el sitio que utilizó para chequear el password, pero lo que no me cansaré de decir es que introducir las credenciales en un sitio web de Internet para comprobar si una cuenta ha sido comprometida o para ver la complejidad de la contraseña es de todo... menos seguro. 
 
Sí, ya sé que algunas páginas son confiables y sólo piden la contraseña y ningún dato adicional, pero créanme si os digo que es posible deducir el usuario a través de otros métodos, envenenar la caché DNS o falsificar ARP, hacer un MiTM y... bueno ya sabéis.
Además ¿a qué no dirías tu PIN de la tarjeta del banco a un desconocido aunque sea con un pasamontañas puesto en la cabeza? Claro que no, podría haberte reconocido por la ropa o porque te ha visto antes o (peor) obligarte a identificarte...

Para estos casos siempre lo mejor es el sentido común: si vas a tener que introducir tu contraseña en un sistema de terceros modifícala (ofúscala) antes. 

Passivedns: investiga un incidente relacionado con un ataque DNS

Los servidores de nombres de dominio (DNS) pueden contener varios tipos de vulnerabilidades que permiten a un usuario malintencionado redirigir a los visitantes de un sitio web a otro de terceros. Los ataques más comunes suelen ser envenenamiento de caché o ARP spoofing y suelen ser muy efectivos en caso de que el servidor DNS no esté parcheado o fortificado.

Passivedns es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.

Passivedns se puede utilizar como un sniffer de paquetes estándar de DNS para monitorizar el tráfico de red y para buscar en el historial y mostrar la primera vez que se ha consultado una URL y la IP contestada por el DNS.



Los logs se van a almacenar en passivedns.log. Esto será útil para el analista de seguridad y puede ser utilizado para crear el informe relacionado con el incidente. Puedes descargar la herramienta en el siguiente enlace: https://github.com/gamelinux/passivedns

Fuente: passivedns network sniffer to log DNS query

apk_binder_script: herramienta para "bindear" apks

apk_binder_script es una herramienta que nos permite unificar dos apks en uno o agregar un servicio en código smali al apk objetivo. Para ello copia código smali, activos y manifiesto e implementa un receiver que actúa de loader cargando la clase que se ha especificado como parámetro (un servicio). 

La aplicación original se ejecuta normalmente y, en paralelo, el servicio es invocado por el loader en base a dos eventos:

    android.intent.action.BOOT_COMPLETED
    android.intent.action.ACTION_POWER_CONNECTED

Se pueden agregar acciones y permisos según se desee. En resumen, nos permite "extender" las funcionalidades de un apk, implementar puertas "administrativas", etc.

apk_binder_script está desarrollado en python y está probado en Windows y Linux. Utiliza apktool (incluído en el paquete) y por lo tanto también Java.

Descubren un troyano que roba dinero de carteras QIWI

Kaspersky ha descubierto un nuevo troyano llamado "Trojan-SMS.AndroidOS.Waller.a" que es capaz de enviar SMS premium y robar el dinero de un monedero electrónico QIWI. Después de ejecutarse, este malware conecta con su servidor C&C y espera nuevas instrucciones. A continuación se muestra una imagen de la petición al servidor C&C.
 


Una cartera QIWI es un sistema de monedero electrónico que comparte marca con Visa. El sistema de pago se puso en marcha en 2007 y permite a sus clientes realizar pagos en línea en servicios públicos, facturas de móviles, Internet y compras en línea. QIWI ha extendido su mercado en siete países, entre ellos Rumanía, Brasil, Kazajstán, Bielorrusia, Moldavia, Jordania y los EE.UU. QIWI también cuenta con franquicias en otros 15 países.

¿Cómo funciona el malware?

Los cibercriminales operan con su servidor de comando y control con playerhome.info como nombre de dominio que está registrado por una empresa francesa con un número de teléfono francés. Sin embargo, los detalles de la cuenta de correo electrónico muestran la ubicación de Yandex, un motor de búsqueda ruso. Para alojar un dominio, los ciberdelincuentes aprovecharon la ayuda del servicio de nube CloudFlare.

Cómo fingir ser un hacker

1 - Entra es este sitio: http://hackertyper.net/
2 - Pulsa F11 para poner el navegador en pantalla completa.
3 - Pon cara de concentrado y escribe como un loco.