Base de datos de vulnerabilidades "usable"

Para todos aquellos que alguna vez habéis tenido que pelearos con el apasionante mundo de las bases de datos de vulnerabilidades, queremos llamar vuestra atención sobre una nueva web recientemente publicada, que hace que las búsquedas sean un poco más fáciles y "usables", tal y como reza el título de la web.

"Useable" CVE Security Vulnerability Data

Como en otras BBDD, podremos buscar vulnerabilidades por fabricante, producto o versión. Nos da también la opción de realizar búsquedas por el tipo de las mismas (XSS, SQL injection, DoS....), y por las diferentes métricas (vectores de acceso, tipo de autenticación, complejidad, integridad, etc) establecidas para cada una de ellas por el NVD (National Vulnerability Database). Además se pueden hacer búsquedas a través de la referencia de Microsoft, o listar vulnerabilidades por fecha, tipo, vendedor o producto.

Reto 4: una ayuda para Juanito

Juanito es el técnico de informática de una pequeña empresa o PYME. Siempre ha tenido todos sus equipos actualizados y controlados, hasta que un buen día se topó con un buen quebradero de cabeza: de repente los logs del backup diario informaban que no se había podido resguardar nada.

Intuyendo problemas, Juanito cogió su taza de café friki y se apresuró hacia su pequeña sala de servidores.

De repente se sorprendió al comprobar que todos los ordenadores de la sala estaban apagados.¿Qué demonios ha pasado?”, pensó. No había habido problemas con el suministro eléctrico y tampoco recordaba haber hecho algún cambio últimamente que pudiera haber provocado tal ‘cagada'.

De repente empezaron a sonar los teléfonos: los usuarios reclamaban el acceso al correo y a Internet… Encendió todos los servidores para dar servicio, se agarró los machos y empezó a analizar el problema…

Después de varias pruebas, sospechó que pudiera tratarse de algún tipo de virus. Pero tras analizar un montón de discos con su antivirus actualizado de Panda e incluso con otros programas antivirus/antispyware no encontró nada. Lo único que le llamó poderosamente la atención fueron algunos registros de su proxy. Concretamente varios accesos a una página web sospechosa y de contenido… digamos… adulto-lúdico-festivo…

Tras estar navegando por la web durante dos rápidas horas y observar distintas señoritas ligeras de ropa, consiguió evadirse un momento de tanta distracción y descargó un fichero muy sospechoso que la web instaba a ejecutar para la instalación de un códec de video.

Evidentemente ese fichero tenía algo raro y el estaba convencido que podía ser la causa de los problemas. De repente un portazo atronador hizo levantar a Juanito de su silla, “¡Dios, el jefe!”, exclamó pudiendo apenas contener su esfínter.

El jefe, mirando de reojo la voluminosa muchacha que aparecía en la pantalla del ordenador de Juanito y con la vena (de la frente) hinchada le gritó: “¡¡¿Juanito, que diablos ha pasado?!! Faltan ficheros en el servidor de finanzas y por si fuera poco nos acaba de llamar el banco para que autoricemos una operación que nadie ha realizado. ¡Quiero que recuperes las últimas facturas y un informe en la mesa, YAAA!!”.

Tras otro portazo y varios amagos de infarto, Juanito contuvo un momento el aliento: tenía que aclarar lo sucedido lo antes posible. Estaba nervioso y perdido, por lo que cogió tembloroso su teclado y nos escribió pidiendo ayuda…

¿Quieres ayudar a Juanito a conservar su empleo y a Zapatero a no aumentar (más aún) la lista del paro?

Si es así, pincha este enlace, analiza el malware y responde a las siguientes preguntas para que Juanito entienda lo sucedido y pueda elaborar el informe para su jefe:

Preguntas:

1. ¿Qué tipo de malware es?. ¿Cuáles son las consecuencias para el equipo infectado?
2. ¿Cuál es su nombre y versión?
3. ¿A dónde intenta conectarse?
4. ¿Cuál es el nombre y la ruta del ejecutable del binario en el equipo infectado?
5. ¿Cuál es el nombre del proceso del malware?
6. ¿Se trata de un código malicioso persistente? En caso afirmativo, ¿cómo se inicia en el arranque?
7. En resumen, ¿Cuál es el proceso de infección que realiza el malware? ¿por qué se apagaron todos los ordenadores de la sala? Explica un poco el cronograma de los hechos.

Por favor, ayuda a Juanito pero no publiques la solución en los comentarios y, como siempre, mándanos la solución y el procedimiento seguido a:


Protégete de los keyloggers: KeyScrambler

Alguna vez, jugueteando con algún keylogger para hacer alguna trapería a algún amigo, me di cuenta del potencial que tiene este tipo de aplicaciones. En cierto modo se pueden considerar más peligrosos que algunos virus, ya que los keyloggers registran todo lo que tecleas, permitiendo al “atacante” registrarlo todo, como las urls a las que te conectas, las búsquedas de google o peor aún, las credenciales con las que accedes a tus cuentas de correo, cuentas bancarías,… ¡¡Qué mal rollo!! Pues la verdad es que sí, y no solo eso, ya que además tienen distintas capacidades adicionales cómo capturar la pantalla del usuario o técnicas de click-jacking que permiten espiar donde muchos pensábamos que no se llegaba. Esto permitiría al keylogger recoger todos los elementos necesarios para permitir a un atacante averiguar tus credenciales.

Nos ponemos en el caso de un usuario que va a acceder a su cuenta bancaría para realizar una consulta del saldo de la misma y, sin que él se percate, tiene un keylogger ejecutándose en segundo plano en su PC.

Podemos pensar que con las medidas de seguridad presentes en la mayoría de las páginas de los bancos estamos seguros ante este tipo de de malware, pero nos equivocamos. Vemos que el usuario escribe su DNI que es el identificador de la cuenta y la clave (no visible en pantalla) en base a una correspondencia aleatoria de caracteres con números:


Búsqueda cifrada en Google

A finales de la semana pasada, Google lanzó un nuevo servicio beta para búsquedas cifradas con SSL (Secure Sockets Layer). Simplemente escribe "https" al comienzo de la URL: https://www.google.com.

Ahora nuestras búsquedas no podrán ser interceptadas mientras transitan por Internet y por lo tanto nuestros gustos estarán un poco más a salvo de las miradas indiscretas de la Red (excepto de Google claro, porque obviamente, aún tendrá un registro de lo que hemos buscado).


Además, otro aspecto importante del uso de la búsqueda cifrada, es que los registros de acceso no se archivarán en el historial y no aparecerá el autocompletado automático durante una búsqueda posterior en nuestro navegador. Esto es importante porque hay que tener en cuenta que, para nuestra privacidad, es más peligroso aún la exposición de los datos almacenados localmente en el equipo: la caché, el historial y nuestros términos de búsqueda.


Muchos diréis también que vuestros navegadores como IE8 o Firefox, tienen ya un modo de exploración privada que se comporta de manera similar en el equipo local: se protege completamente la sesión de navegación no guardando el historial de Internet, las cookies, los archivos temporales de Internet u otros datos. Sin embargo, recordar que estos modos de navegación no protegen los datos cuando estan siendo transmitidos por Internet, por lo que no está de más usar adicionalmente Google bajo http seguro...

De momento eso sí, la versión beta de búsqueda cifrada de Google sólo funciona con la funcionalidad de búsqueda básica - no con las imágenes, vídeos, mapas, etc.

Nueva edición del Asegúr@IT (y ya van 8)

El próximo viernes 9 de julio se celebra en Valencia (instalaciones de la Bolsa) la octava edición del evento Asegúr@IT.

Cuenta con la partición de ponentes de empresas como Microsoft, Wintercore, Informatica64, Taddong e Hispasec además de representantes del blog Security By Default.

Os dejo la agenda, con las charlas y sus correspondientes ponentes.

¡Date prisa, este evento es gratuito pero está limitado a 100 plazas!

09:00 - 09:15 Registro

09:15 – 09:45 La Foquetta: FOCA Reporting Tool
¿Haces pentesting? ¿Utilizas la FOCA con intensidad? Ven a esta sesión y comprueba cómo funciona la Foquetta, una utilizad para generar informes relativos a los datos descubiertos por la herramienta para presentar informes. Chema Alonso, de Informática64 presentará esta sesión para que saques el máximo partido de la FOCA.

09:45 – 10:30 Malware Families
La creación de malware es una disciplina tan profesionalizada que hace tiempo que llegó a la fase de especialización. En esta sesión, Sergio de los Santos, de Hispasec Sistemas, nos guiará por un recorrido de las principales familias de malware desarrolladas hoy en día y ejemplos de los elementos más significativos.

10:30 – 11:15 Frenando el malware con escaneos multimotor
El malware utiliza cualquier canal para poder colarse en los sistemas. Un ordenador infectado es mucho más que una máquina controlada. Puede significar muchas otras máquinas controladas y dinero robado. En esta sesión se verán las funcionalidades de Forefront Protection Manager for Exchange/SharePoint para evitar esto en la empresa con soluciones multimotor.

11:15 – 11:45 Café


11:45 – 12:30 CSI: Siempre quisiste ser forense

Alejandro Ramos, de Security By Default, uno de los blogs de seguridad más importante en lengua española, dará una sesión sobre las técnicas de Análisis Forense aplicadas.

12:30 – 13:15 Nuevas amenazas en dispositivos móviles

Cada vez más, los dispositivos móviles son elementos críticos de acceso a información sensible. Descubra en esta presentación las nuevas amenazas que se ciernen sobre ellos, porque si no se protegen adecuadamente, dentro de muy poco serán la vía de ataque preferida. David Pérez y José Picó, de Taddong, mostrarán estas amenazas en una charla que te mete el miedo en el cuerpo.

13:15 – 14:00 Bindiffing Patches

Rubén Santamarta, investigador de seguridad de la empresa Wintercore, realizará una charla sobre el proceso de analizar los parches de los productos para conocer cuáles eran los fallos de seguridad en el software.

14:00 – 14:15 Ruegos y preguntas

Grave fallo de seguridad en una web del Ministerio de Vivienda

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.

El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".

Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.

En esta página, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.

De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía aceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.

Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.

Fallos en la votación telemática sobre la Diagonal

Muchos estaréis al tanto del desastre que ha supuesto para el Ayuntamiento de Barcelona la votación telemática sobre el futuro de la Diagonal y que ya ha supuesto algunos ceses incluso el de la técnica municipal responsable de la misma, Pilar Conesa.

Y es que, a pesar de que es elogiable que este Ayuntamiento haya decidido llevar a cabo un proceso tecnológico e innovador para las votaciones, el proceso telemático sufrió un sinfín de incidencias: problemas de conexión 3G, saturación del ancho de banda, fallos de aplicación (se necesita tener instalado en el terminal la versión 6 de Java) e incluso la omisión de una de las opciones de voto (no aparecía la opción C).

El alcalde Hereu sigue esperando un informe de la plataforma creada por Indra y Scytl. La cosa está que arde e incluso se llevaron a cabo suplantaciones, tal y como podemos leer hoy en El País:

“Alberto Fernández Díaz (PP) se encontró con que alguien le había suplantado y no pudo votar porque estaba registrado que lo había hecho. El Ayuntamiento anunció que perseguirá al autor de la suplantación por un delito electoral. Uno de los problemas del sistema es que basta conocer el DNI y la fecha de nacimiento de una persona para solicitar vía teléfono móvil una clave para votar.


Las juventudes de ERC denunciaron que habrían podido votar en lugar de la infanta Cristina porque disponían de los datos mínimos que solicitaba el procedimiento de voto y que no lo hicieron para no incurrir en un delito.”

Terminando procesos en Windows

Para mí, uno de los mejores visores/editores de procesos (si no el mejor) es Process Hacker y una de las herramientas para matar procesos más ‘capaces’ es su Terminator.

En su última versión, Terminator incluye hasta 14 métodos distintos para acabar con la resistencia de casi cualquier proceso. A continuación y gracias a la información publicada en el blog de su autor (el gran wj32), vemos una descripción de la mayoría de estos métodos:

TerminateProcess o NtTerminateProcess

Todo el mundo conoce TerminateProcess. Sólo hay que abrir un identificador para el proceso de destino y llamar a TerminateProcess. En caso de que TerminateProcess esté hookeado (se interceptan las llamadas, mensajes o eventos), se puede llamar a la función equivalente de la API nativa, NtTerminateProcess.

CreateRemoteThread, ExitProcess

Para usar este método hay que encontrar la dirección de ExitProcess dentro del proceso destino. Normalmente la dirección del proceso es la misma que ExitProcess y es posible utilizar GetModuleHandle y GetProcAddress. Después, hay que crear un subproceso dentro del proceso de destino que ejecuta ExitProcess, matando al proceso en cuestión.

Solución al reto 3 del GP de Bahrein

Aprovechando el gran premio de España de Fórmula 1 celebrado en Barcelona durante el pasado fin de semana, queríamos publicar la solución a nuestro tercer reto estenográfico, cuyo objetivo era descubrir un mensaje oculto dentro de un vídeo grabado a través de una cámara subjetiva en el coche de Fernando Alonso.

La verdad es que no abundan los retos de hacking estenográficos de video y me llamaba la atención sobre todo por el tema de los mensajes subliminales en este formato audiovisual. Quién no conoce las historias de los mensajes ocultos de Coca-cola, de una firma local de palomitas en un cine, las barrabasadas de Disney (echar un vistazo al fotograma que adjunto de la película Los Rescatadores) u otros muchos ejemplos curiosos como este video de los Lunnis.

En algunos casos mitos y en otros realidad, el mensaje «subliminal» (de Sub- y el latín limen, inis, umbral, por debajo del umbral de conciencia) se trata de un mensaje oculto (esteganografiado) que por su debilidad o brevedad no es percibido conscientemente, pero influye en la conducta (o eso se supone).

Pero tranquilos, el reto del Gran Premio de Bahrein que planteábamos contenía un mensaje oculto pero no subliminal. Nada que vuestro subconsciente percibiera y que os pudiera lavar el cerebro ;-)

Seguridad básica en el iPad

Tras el primer contacto con el iPad vamos a hablar ahora de las cosas básicas para proteger la seguridad y privacidad de sus usuarios.

El iPad es un juguete nuevo y bonito, pero también un mini-ordenador que contiene grandes cantidades de información personal y privada en mensajes de correo electrónico, listas de contactos, fotos, imágenes y aplicaciones para redes sociales y otros servicios.

Lo prudente es pensar cómo mantener esa información privada a salvo en caso de robo o pérdida del dispositivo (aunque haya sido temporalmente).

De momento, el malware es casi un desconocido para el iPad, pero los usuarios deben, como con cualquier otro equipo, evitar el uso de redes Wi-Fi desconocidas (que podrían ser utilizadas por algunos para esnifar el tráfico y recoger datos valiosos) y también permanecer alerta a las estafas más comunes, como el phishing.

Los consejos básicos y primordiales para los usuarios de iPad son:

Bloquear el iPad:

Esta es la medida de seguridad básica contra las miradas indiscretas. Es gratis y fácil: toca el icono "Configuración" en la pantalla principal y luego selecciona "General" y "Bloqueo con código". A continuación, establece el código de cuatro dígitos que quieras utilizar para desbloquear el iPad cuando lo enciendas o lo saques de su hibernación.

Puedes elegir entre varios intervalos de tiempo de inactividad antes de que se vuelva a pedir el código de nuevo. Evidentemente, recomendamos uno no demasiado largo. También es aconsejable establecer que el iPad pueda borrar todos los datos si alguien introduce un código incorrecto 10 veces. Si se causa un borrado accidental, siempre se podrá restaurar la información anterior con la sincronización del dispositivo con el ordenador.

Hay que tener en cuenta que el código no siempre detendrá al ladrón, ya que podría acceder a los contenidos en el dispositivo conectándolo a un ordenador. También podrías comprar una caja física con una cerradura para mantener alejados a los compañeros de trabajo, a los amigos y a la familia :-)

Búsqueda o desactivación de un dispositivo perdido o robado

El servicio MobileMe de Apple tiene una característica llamada "Encontrar mi iPad" (o iPhone) que puede ayudar a los usuarios a localizar un dispositivo perdido.

A través del ordenador, podemos registrarnos en MobileMe y activar esta función, accediendo a la cuenta y siguiendo las instrucciones que aparecen en pantalla para ver la ubicación aproximada del iPad perdido en un mapa.

Si nos damos cuenta por ejemplo que lo hemos dejado en un bar, podemos configurar de forma remota un código de cuatro dígitos y bloquearlo (si no lo hemos hecho ya) haciendo clic en "Bloqueo remoto". También podremos escribir un mensaje que se mostrará en pantalla (incluso estando bloqueado) para cualquiera que lo pueda ver - como, "Ups! Creo que me he dejado el iPad en el bar. Por favor, llamamé al teléfono xxx-xx-xx-xx".

Y si vas a la barra del bar y no lo encuentras o no lo puedes ver, puedes cambiar el volumen y/o reproducir un nuevo sonido para ayudarte a localizarlo.

Fuente: Ways to keep an iPad secure and private

Y por último, un poco de humor relacionado con la (evidente) falta de funcionalidades: Mas humor sobre el Ipad

Una introducción a los web exploit kits

Crimepack, Unique, YES, Eleonore, Liberty, Fiesta, Adpack, Fragus... etc, son sólo algunos ejemplos del fehaciente impulso que tienen hoy en día los web exploit kits o exploit packs en la industria del cibercrimen.

Se trata de toolkits web que permiten a sus infames compradores lanzar numerosos ataques y aprovecharse de diversas vulnerabilidades (incluso 0-days) sin conocer ni una línea de código.

Además de su facilidad de uso, cada vez incluyen un mayor número de exploits y tienen un código más ofuscado, facilitando la introducción de troyanos y reduciendo de manera significativa las capacidades de detección de los productos de seguridad del mercado.

A propósito de esta entrada, os recomiendo echar un vistazo al informe de M86 sobre los exploit toolkits en terminos de precios, uso, simplicidad y caracteríticas.

La revista Hakin9 ahora gratis

¡La revista Hakin9 es ahora un magazine online, mensual y GRATUITO! Suscríbete a su boletín de noticas y disfruta cada mes de sus interesantes artículos.

En el último número disponible podemos encontrar:

Básico:
- Firewalls para principiantes
Ataque:
- Pwning routers ADSL embebidos
- Escribiendo un shellcode WIN32 con un compilador de C
- Forense de memorias flash móviles
Defensa:
- Threar Modeling Basics
Regular:
- ID Fraud Expert Says by Julian Evans: Servicios de protección del robo de identidad – una nueva industria que nace
- Revisión de herramientas: NTFS Mechanic, Active@ Undelete Professional, KonBoot v1.1
- Entrevista con:
* Victor Julien, lead coder para la Open Information Security Foundation
* Ferruh Mavituna, penetration tester de aplicaciones web y desarrollador de herramientas de seguridad