Diseñan un sistema que repara bugs automáticamente insertando la funcionalidad de otros programas - y sin necesidad del código fuente

En la conferencia de la Asociación para el Diseño de Lenguajes de Programación de Equipamiento Informático, investigadores del MIT presentaron un nuevo sistema que repara bugs peligrosos en el software importando la funcionalidad desde otras aplicaciones más seguras.

Cabe destacar que el sistema, bautizado como CodePhage, no requiere acceso al código fuente de las aplicaciones cuya funcionalidad coge prestada. En vez de eso, analiza la ejecución de las aplicaciones y clasifica los tipos de controles de seguridad que realizan. Como consecuencia, puede importar chequeos de aplicaciones escritos en lenguajes de programación distintos al del programa que está reparando y proporciona una capa adicional de análisis que garantiza que el error ha sido reparado.

"Tenemos un montón de código fuente disponible en los repositorios de código abierto, millones de proyectos, y muchos de estos proyectos implementan especificaciones similares", dice Stelios Sidiroglou-Douskos, científico investigador del laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT que ha liderado el desarrollo de CodePhage. "Aunque podría no ser la funcionalidad principal del programa, con frecuencia existen subcomponentes que comparten funcionalidad a través de un gran número de proyectos".

Con CodePhage, el dice, "con el tiempo, lo que estaríamos haciendo es construir un sistema híbrido que toma los mejores elementos de todas estas implementaciones".

#SSLv3 ya está oficialmente obsoleto

Ataques como POODLE y BEAST pusieron en entredicho la seguridad de SSL. A principios de año, los principales fabricantes (Microsoft, Google y Mozilla) bloquearon SSL por defecto en sus navegadores y surgieron iniciativas como disablessl3.com para ayudar a los administradores a desactivarlo.

Todo ello ha acelerado que el IETF (Internet Engineering Task Force) declare definitivamente obsoleto a SSL v3. El documento de norma RFC7568 publicado este mes asevera SSLV3 como "no suficientemente seguro" y prohíbe volver a usarlo en nuevas aplicaciones:

"SSLv3 NO DEBE ser utilizado", dice el documento. "La negociación de SSLv3 desde cualquier versión de TLS no debe permitirse. Cualquier versión de TLS es más segura que SSLv3, aunque la versión más alta disponible es preferible".

RFC http://www.rfc-editor.org/rfc/rfc7568.txt

DEP SSL, hola TLS 1.2!

Empieza a configurar Firefox para que deje de filtrar datos sobre tí...

Firefox no es una excepción a la hora de recolectar y enviar datos de usuarios cuando se usan ciertas características. ¿Son totalmente necesarios o responden a un interés lucrativo?

Está claro que el navegador de Mozilla integra motores de búsqueda y plugins de terceros porque necesita subvenciones de sponsors - difícilmente las donaciones pueden ser el único pilar de su financiación - . 


Sea como fuere al menos permite desactivar (todas?) las opciones para mantener un mayor grado de privacidad. ¿Sensacionalistas? No lo creo, recomendamos visitar el proyecto de amq en GitHub donde se describen algunas opciones que podemos modificar. Escribe about:config en la barra de direcciones para empezar a cambiar las siguientes preferencias a 'false'.

Navegación Segura de Google

Filtra el historial de navegación a Google.
Ten en cuenta que si desactivas la funcionalidad (no recomendado) quitarás la protección contra sitios con malware y de phishing. Pero si quieres (quizás tengas otras alternativas), puedes modificar las siguientes opciones:
browser.safebrowsing.enable
browser.safebrowsing.downloads.enabled
browser.safebrowsing.malware.enabled

Recolección de estadísticas de Firefox

Infomes de estabilidad y rendimiento.
datareporting.healthreport.service.enabled
datareporting.healthreport.uploadEnabled
Estadíticas de uso.
toolkit.telemetry.enabled

WebRTC

Filtra la IP real cuando se usa VPN/TOR. Descripción y demo
media.peerconnection.enabled

Encrypted Media Extensions - EME (DRM)

Un binario de un plugin (de código cerrado) se distribuye con Firefox desde la V38. Permite la reproducción de medios cifrados y permite utilizar p.ej. Netflix sin Microsoft Silverlight. Para eliminar completamente el plugin hay que instalar una acumulación EME gratuita de Firefox.
media.eme.enabled
media.gmp-eme-adobe.enabled

Firefox Hello

Firefox conecta a servidores de terceros (Telefonica) sin pedir permiso.
loop.enabled

Pocket integration

Un servicio de terceros para administrar listas de lectura de artículos.
browser.pocket.enabled

Geolocalización

geo.enabled

Sugerencias de búsquedas

Todo lo que escribimos en la casilla de búsquedas se envía al motor de búsqueda. Las sugerencias basadas en el historial local seguirían funcionando.
browser.search.suggest.enabled
pd. Nuevas opciones y propuestas son siempre bienvenidas en:
https://github.com/amq/firefox-debloat

AntiCuckoo: una herramienta para detectar y crashear el Sandbox de Cuckoo

David Reguera de Buguroo está trabajando en el desarrollo de anticuckoo, una herramienta escrita en C/C++ para detectar y crashear el sandbox de Cuckoo:

- se ha probado en la versión oficial y la de Accuvant
- detecta toda clase de hooks de Cuckoo
- busca datos sospechosos en memoria, sin APIs, escaneando página por página
- con el argumento "-c1" provoca un crash del sandbox. Lo hace modificando el valor de la instrucción RET N de una API hookeada (el HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la intrucción RET N modificada corrompe su stack)


TODO
- agente y proceso de detección en python (al 70%)
- mejorar la detección comprobando los bytes correctos en los sitios conocidos (por ejemplo las APIs nativas siempre tienen las mismas firmas, etc.).
- detección de las entradas TLS de Cuckoo

Repositorio: https://github.com/David-Reguera-Garcia-Dreg/anticuckoo

PoC para evadir ASLR en todas las versiones de 32 bits de Internet Explorer

Los investigadores de la Zero Day Initiative de HP (ZDI) normalmente no publican los detalles completos y el código de explotación de los bugs que encuentran y reportan a los fabricantes hasta después de que las vulnerabilidades hayan sido corregidas. Pero esta vez han hecho un excepción y han publicado un exploit para evadir ASLR (address space layout randomization) en todas las versiones de Internet Explorer de 32 bits

¿La razón? Microsoft, a pesar de haber pagado $125K a ZDI por su programa Blue Hat Bonus, no cree que esta vulnerabilidad afecte a suficientes usuarios y no tiene pensado corregirla:

"En esta situación, la declaración de Microsoft es técnicamente correcta - las versiones de 64 bits aprovechan más ASLR que las versiones de 32 bits. Un sistema de 64 bits tiene un espacio de direcciones mucho más grande que un sistema de 32 bits, lo que hace a ASLR mucho más eficaz. Sin embargo lo que se pierde aquí es que el bypass descrito y presentado sólo funciona para sistemas de 32 bits, que es la configuración por defecto en millones de sistemas. Para demostrar esto, hemos publicado el código de prueba de concepto (PoC) para demostrar este bypass en Windows 7 y Windows 8", dice Dustin Childs de HP en su blog.

"Desde Microsoft se siente que estos problemas no afectan a la configuración por defecto de IE (que afecta a un gran número de clientes), lo que a su juicio significa que no vale la pena sus recursos y el riesgo de regresión potencial. No estamos de acuerdo con esa opinión y estamos liberando la información del PoC a la comunidad con la creencia de que los usuarios interesados ​​deben estar tan bien informados como sea posible con el fin de tomar las medidas apropiadas para que encuentren sus propias instalaciones ", dijo.

Paper: Abusing Silent Mitigations - Understanding weaknesses within Internet Explorer’s Isolated Heap and MemoryProtection

PoC (use-after-free): https://github.com/thezdi/abusing-silent-mitigations

Fuentes:
- There and back again: a journey through bounty award and disclosure
- HP Releases Details, Exploit Code for Unpatched IE Flaws

Roban las claves de descifrado de un PC mediante la medición de emanaciones electromagnéticas

Si recordáis hace tiempo ya vimos que es posible obtener claves de cifrado RSA de 4096 bits escuchando el sonido de emite la CPU. Ahora investigadores de la Universidad de Tel Aviv han dado una vuelta más de tuerca y son capaces de obtener las claves de cifrado de GnuPG en segundos midiendo las emanaciones electromagnéticas que se generan durante el proceso de descifrado. Y algo tambie increible, no es necesario disponer de un caro laboratorio para hacerlo: los investigadores usaron un FUNcube Dongle Pro + (174,5€), conectados a un pequeño Rikomagic MK802 IV con Android (unos 80€), para medir las emisiones en 1,6 y 1,75 MHz. Incluso puede ser posible lanzar el ataque con una radio AM estándar con la salida de audio grabado por un smartphone.


En un extracto del paper "Stealing Keys from PCs using a Radio: Cheap Electromagnetic Attacks on Windowed Exponentiation" explican:


"Demostramos la extracción de claves secretas de descifrado de ordenadores portátiles, mediante la medición no intrusiva de emanaciones electromagnéticas durante unos segundos y a una distancia de 50 cm. El ataque puede ser ejecutado utilizando equipamiento barato y fácil de obtener: un receptor de radio de tipo consumidor o un dongle USB de radio. La configuración es compacta y puede operar independientemente; se puede ocultar fácilmente, por ejemplo, dentro de pan de pita. Los ordenadores portátiles normales, e implementaciones populares de cifrados RSA y ElGamal, son vulnerables a este ataque, incluyendo aquellos que implementan el descifrado utilizando algoritmos exponenciales modernos de ventana deslizante, o incluso su variante resistente a canal lateral, con exponenciación ventana fija (m-ary).

Se extrajeron con éxito las claves de varios modelos de ordenadores portátiles ejecutando GnuPG (software de cifrado de código abierto, implementación del estándar OpenPGP), en pocos segundos. El ataque envía unos textos cifrados cuidadosamente elaborados, y cuando estos se descifran por el equipo de destino, se desencadena la aparición de valores estructurados especiales dentro del software de descifrado. Estos valores especiales causan fluctuaciones observables en el campo electromagnético que rodean el ordenador portátil, de una manera que depende del patrón de bits de la clave (específicamente, la ventana de clave-bits en la rutina de exponenciación). La clave secreta se puede deducir de estas fluctuaciones, a través del procesamiento de señales y el criptoanálisis".

 
En principio el ataque demostrado por el equipo de Tel Aviv puede ser poco fiable en la práctica, porque los PCs generalmente realizan múltiples tareas al mismo tiempo y no sólo exclusivamente descifran datos. Eso significa que un montón de ruido se añade al proceso, arruinando lo intentos de extraer las claves privadas de las máquinas.

No obstante, habrá que estar atentos al Taller sobre Hardware Criptográfico y Sistemas Embebidos (CHES) en Francia en septiembre de 2015, donde los investigadores israelíes tienen la intención de presentar su trabajo...

Fuente: Stealing secret crypto-keys from PCs using leaked radio emissions

Las 10 certificaciones de IT más prometedoras para el 2015

Con cada vez mayor competencia en el mercado de trabajo, las certificaciones se han vuelto más y mas importantes. Está claro que las certificaciones tienen un gran valor para cualquier empresa y un título específico aumenta las posibilidades de conseguir un mejor puesto de trabajo en empresas de TI. El grupo de Azure de EFY ha compilado una la lista de las 10 certificaciones de TI que promete mejores opciones de trabajo para este año:

1. Project Management Professional (PMP)


Esta es la certificación más importante y reconocida para los directores de proyectos. PMP es conocida por la experiencia, la educación y las competencias para liderar y dirigir proyectos. La demanda de esta certificación se ha incrementado en el mercado y asegura un sueldo elevado a los gerentes de proyectos.

2. Certified Information Systems Security Professional (CISSP)


CISSP es un estándar reconocido a nivel mundial por sus logros en el conocimiento del individuo en el campo de la seguridad de la información. Las empresas prefieren a un candidato con la certificación CISSP, ya que asegura profundo conocimiento y las habilidades de la arquitectura, el diseño, la gestión y los controles de seguridad del entorno empresarial. Los exámenes CISSP cubren todos los temas necesarios y críticos como la gestión de riesgos, el cloud computing, seguridad móvil, la seguridad de desarrollo de aplicaciones, etc.

3. Microsoft Certified Solutions Developer (MCSD)

Esta certificación debes tenerla si eres es un desarrollador con experiencia en el análisis y diseño de software de solución empresarial con lenguajes y herramientas de desarrollo de Microsoft. Un candidato con MCSD es miembro de Microsoft Certified Professionals y los MCPs tienen un gran valor en el mercado de trabajo.

Recomendaciones: JsiTech

JsiTech es un blog que inicialmente nació dedicándose a Linux y al software libre pero desde hace un tiempo su autor, Jason Soto, viene desarrollando el tema de la seguridad y el hacking y hoy día es el tema principal de este magnífico blog.



Podemos decir por tanto que JsiTech es un blog dedicado a la seguridad informática, ethical hacking y de vez en cuando algo de Linux. La idea principal es hablar de temas generales de seguridad, además de dar a conocer herramientas y técnicas de hacking.

Con JsiTech, Jason pretende compartir el conocimiento y que sea de provecho para toda la comunidad, además de mantenernos informados sobre las nuevas vulnerabilidades y ataques que día a día salen a la luz.

Visítenlo y nos seguimos leyendo

Sitio: www.jsitech.com


Y si tú también tienes un sitio que quieres que conozcamos o deseas publicar aquí tu post no lo dudes y participa :)

Vulnerabilidad en overlayfs permite escalar privilegios en todas las versiones de Ubuntu

La vulnerabilidad CVE-2015-1328 permite escalar privilegios como root localmente en la configuración por defecto en todas las versiones soportadas de Ubuntu.
 
El sistema de ficheros overlayfs no comprueba correctamente los permisos cuando se crean nuevos archivos en un directorio superior, concretamente las funciones de ovl_copy_up_*. Los únicos permisos que se comprueban son si el propietario del archivo que se está modificando tiene permiso para escribir en el directorio superior. Por otra parte, cuando un archivo se copia desde el directorio inferior los metadatos del archivo se copian literalmente, en lugar de los atributos como el owner que se cambia por el usuario que ha ejecutado los procedimientos de copy_up_*.

Veamos un ejemplo de una copia 1:1 de un fichero del root:

(ten en cuenta que la opción workdir= no es necesaria en los viejos kernels)

user () ubuntu-server-1504:~$ ./create-namespace
root () ubuntu-server-1504:~# mount -t overlay -o
lowerdir=/etc,upperdir=upper,workdir=work overlayfs o
root () ubuntu-server-1504:~# chmod 777 work/work/
root () ubuntu-server-1504:~# cd o
root () ubuntu-server-1504:~/o# mv shadow copy_of_shadow
(exit the namespace)
user () ubuntu-server-1504:~$ ls -al upper/copy_of_shadow
-rw-r----- 1 root shadow 1236 May 24 15:51 upper/copy_of_shadow
user () ubuntu-server-1504:~$ stat upper/copy_of_shadow /etc/shadow|grep Inode
Device: 801h/2049d      Inode: 939791      Links: 1
Device: 801h/2049d      Inode: 277668      Links: 1

Ganadores de los Premios a los mejores bloggers de seguridad de la UE en 2015

Hace un par de días, en la vigésima edición de la conferencia Infosecurity Europe, se anunciaron los ganadores de los premios a los mejores bloggers de seguridad de Europa en 2015, en la que estuvieron también nominados como finalistas nuestros compañeros de SbD. Este año tampoco hubo suerte (pues todos sabemos lo difícil que es que gane en la UE un blog escrito en la lengua de Cervantes), pero siempre está bien conocer quien se llevó finalmente el gato al agua:

The Best Corporate Security Blog The Best European Corporate Security Blog  The Best Euro Podcast The Best Security Podcast The Best Security Video Blog The Best Personal Security Blog The Best European Personal Security Blog The Most Entertaining Blog The Most Educational Blog The Best New Security Blog
The Best EU Security Tweeter The Grand Prix Prize for the Best Overall Security Blog Fuente: EU Security Blogger Award Winners