Nuevo número de Hakin9: Seguridad en los móviles

Desafortunadamente estamos antes el último número gratuito de Hakin9 puesto que, a partir del próximo número de mayo, será necesario pagar por una suscripción mensual.

Así que sentaros, descargar este nuevo número y disfrutar. Este mes la estrella es un tema emergente, la seguridad móvil...

Habituales

En general
-Últimas noticias desde el mundo de la seguridad IT [Armando Romero, eLearnSecurity]
Herramientas
-Passware Forensic Kit 10.3 [Michael Munt]
-Spyshelter [David Knife]
El experto en fraude dice...
-Tendencia y análisis del malware en los móviles [Julian Evans]
Amenazas emergentes
-¿Por qué son los 0-days tan importantes? [Matthew Jonkman]

Básico
-Cómo usar Netcat [Mohsen Mostafa Jokar]
-Seguridad - Objetivos, proceso y consejos [Rahul Kumar Gupta]

Ataque
-The backroom message that’s stolen your deal [Yury Chemerkin]

Defensa
-Seguridad y privacidad en los smartphones [Rebecca Wynn]
-Defendiendo los teléfonos móviles y las PDAs [Gary S. Miliefsky]

Informe especial
-Informe de mi viaje a la conferencia RSA 2011 [Gary S. Miliefsky]

Aumentando el rendimiento de Snort con Barnyard2

En entornos en los que un IDS Snort tiene que procesar una gran cantidad de tráfico es muy posible que su rendimiento se vea afectado y acabe descartando paquetes.

Esto es debido a que Snort no procesa el siguiente paquete hasta que no termina de escribir la alerta en la base de datos. Este proceso de escritura es lento si hablamos de que es necesario una conexión TCP y un insert en la base de datos por cada alerta.

Para estos casos se puede configurar Snort (/etc/snort/snort.conf) para que escriba las alertas en un fichero local en lugar de hacerlo directamente en red:

output unified2:  filename snort.log, limit=128

Con esta línea diremos a Snort que escriba las alertas en un fichero con nomenclatura base snort.log. (el. snort.log.1245910233) con un tamaño máximo de 128MB cada uno.

Como veis se trata del formato unified2, un formato binario optimizado que permitirá a nuestro querido "cerdito" generar alertas más rápidamente.

Pero si tenemos las alertas en un fichero local, ¿cómo las escribimos entonces en la base de datos?.

MySQL.com vulnerable a Blind SQL Injection

Esta tarde hablaba con Arán en Twitter sobre de la publicación de una vulnerabilidad de inyecciones SQL ciegas contra el mismísimo portal de MySQL.com. Jackh4x0r decidió publicar esta misma mañana los detalles sobre un parámetro vulnerable que TinKode y Ne0h ya descubrieron en enero de este mismo año, además de otra vulnerabilidad de tipo XSS.

El caso es que, si seguís los enlaces, veréis que han salido a la luz las bases de datos del site, las tablas y columnas, y hasta los usuarios y las contraseñas de Robin Schumacher (director) Kaj Arnö y muchos otros. Todo, como os comentaba, gracias a una inyección ciega
basada en error:

Redifusión de la noticia de Antena 3 sobre el acceso a móviles de famosas

Hace unos días seguro que leísteis acerca del robo de algunas fotos de varias famosas de Hollywood mediante el hackeo de sus smartphones.

Hoy en el telediario de Antena 3 se han hecho eco de esta noticia y quería compartir con vosotros el vídeo. En el podréis ver algunas de las comprometidas fotillos y escuchar algunos comentarios de... ese gorrito, esa camiseta de la Foca... sí, nuestro "security pr0n star" más internacional, nuestro hamigo Chema Alonso, y es que, poco a poco, vamos viendo como la seguridad de los nuevos teléfonos inteligentes empieza a tomarse en serio.
..



Seminario "Wikileaks: el valor de la información"

“Julian Assange se conecta a un chat. Son las 18.41 de la tarde de ayer sábado, el cerco policial se estrecha en torno a él. La justicia sueca le reclama, la Interpol ha emitido una nota roja, recibe varias amenazas de muerte, está en el ojo del huracán. A las 18.41, encuentra por fin el momento de mantener una charla vía chat con EL PAÍS. Parece estar bastante tranquilo, según se deduce de su manera de responder.”

Habrá un antes y un después del 'Cablegate’ - Joseba Elola, El País, 04/12/2010.

Este es uno de los impactantes textos de introducción del tríptico de un seminario llamado "Wikileaks: el valor de la información" que tendrá lugar el próximo 30 de Marzo, de 9:30 a 12:30, en la Sala 3005 EUITT de la Universidad Politécnica de Madrid.

Aprobado el dominio '.xxx' para las webs de contenido pornográfico

ICM Registry, la compañía que propuso que se crease el registro '.xxx' ha anunciado que la creación ha sido definitivamente aprobada por la ICANN, la Corporación de Internet para la Asignación de Nombres y Números.

Ayer, miembros de la ICANN declararon que para mantener la neutralidad en la asignación de dominios, debería crearse '.xxx' y permitir que los sitios de Internet con contenido sexual explícito comiencen a usarlo voluntariamente.

De este modo, ya se pueden pre-registrar los dominios '.xxx' a través de ICM, que recuerda a sus visitantes que es una entidad "sin afiliación actual o histórica con la industria del entretenimiento adulto".

RSA comprometida: Posibles riesgos y contramedidas

RSA es la división de seguridad de EMC Software y es conocida sobre todo por sus tokens SecurID con dos factores de autenticación. Como muchos sabréis, el pasado 17 de marzo confirmaron un ciberataque con robo de información que podría "reducir la efectividad" de su seguridad y alertaron a sus clientes para que estuvieran especialmente atentos a la protección de sus infraestructuras.

Funcionamiento genérico

El sistema SecurID puede ser implementado como un token físico o por software. En ambos casos, la autenticación se basa en una contraseña única sincronizada u OTP (One-time Time-synchronized Password) que es facilitada por estos tokens de manera temporal.

La función que genera la contraseña se basa en el uso de un algoritmo propietario que utiliza la hora actual y una semilla de 128 bits que combinadas producen un código rotativo llamado 'tokencode'.
El usuario se autentica mediante la combinación de un tokencode y un PIN, generando una contraseña única que es enviada al servidor, si bien el PIN puede ser requerido o no según cada implementación.

El servidor de back-end que recibe el password (conocido también como servidor ACE) tiene estas mismas semillas y el algoritmo, y por lo tanto puede realizar el mismo cálculo para verificar que la contraseña se generó a partir del código de token actual.

OpenVAS-4 released!

La principal alternativa a Nessus, OpenVAS (Open Vulnerability Assessment System), liberó ayer su release 4.

A partir de OpenVAS 3.1 y después de ocho meses de desarrollo, se trata del mayor salto que han dado nunca, según su comunidad.


Los cambios más importantes son un framework de informes basado en plugins, un modo maestro-esclavo y un escáner mejorado.

Caribou: Abriendo sistemas de control de acceso por tarjeta desde Android

Ian Robertson es un investigador de seguridad que ha creado Caribou, una aplicación en Android capaz de abrir fácilmente cualquier sistema de acceso con tarjeta basándose en una vulnerabilidad descubierta por Michael Gough que afecta a los sistemas de HID.

Simplemente necesitas conocer la dirección IP del controlador y que éste sea accesible desde Internet cosa que, aunque parezca mentira, sucede en muchos casos.

¿Qué no te lo crees? Echa un vistazo al siguiente vídeo visto en CyberSecurityGuy:

Analizador de malware de Beenu

Ayer leí en Twitter acerca de un interesante analizador de malware de código abierto hecho en Python por Beenu y que utiliza el PeFile de Ero Carrera.

Las versión 2.9 acaba de salir y sus características incluyen:

1. Análisis de cadenas para el registro, llamadas a la API, comandos IRC, llamadas a DLLs y detección de VM.

2. Muestra las cabeceras del PE con todos los detalles de las secciones, símbolos de exportación e importación, etc.

3. En la distro, puede ejecutar un dump en ascii del ejecutable con múltiples opciones (ver argumento -help).

4. En Windows, puede generar varias secciones de un PE: DOS Header , DOS Stub, PE File Header , Image Optional Header , Section Table , Data Directories , Sections

Charlas de software libre en Leganés

Si estás en Madrid o tienes la oportunidad de dejarte caer por aquí, te recomendamos asistir a las charlas de software libre que organiza el GUL-UC3M (Grupo de Usuarios de Linux de la Universidad Carlos III de Madrid) en el Campus de Leganés.

Las charlas se impartirán del 14 al 18 de Marzo y hay previstas algunas relacionadas directamente con el mundo de la seguridad como "Análisis Forense", "¡Alarma, servidor LAMP comprometido!" y "ISO27000: La seguridad por norma".

Además, la asistencia es totalmente gratuita así que, si dispones de un rato libre, ¿a qué esperas para pasarte? ;)

Más información en http://gul.es.

Reventando navegadores web en Pwn2Own 2011

Pwn2Own, la competición anual de hacking de navegadores web que tiene lugar durante la conferencia CanSecWest en Vancouver, tuvo como primeras víctimas IE8 sobre Windows 7 64-bit y Safari 5 sobre Mac OS X.

Internet Explorer 8 fue destrozado por el investigador independiente irlandés y desarrollador de Metasploit Stephen Fewer. "Él ha utilizado tres vulnerabilidades para saltar ASLR y DEP, pero también elude el modo protegido. Esto es algo que no habíamos visto nunca antes en el Pwn2Own", comenta Aaron Portnoy, el organizador del concurso.


Safari 5, corriendo en un MacBook Air, fue comprometido en tan sólo cinco segundos por la compañía de seguridad francesa VUPEN Security. Ambos atacantes ganaron 15.000 dólares por comprometer con éxito los navegadores.

Además, Charlie Miller ha conseguido ganar la competencia de móviles hackeando el iPhone 4. Mediante un drive-by exploit consiguió que el navegador fallara y, al reiniciar, ha obtenido la libreta de direcciones del smartphone.


También Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann han conseguido hackear el Webkit de Blackberry.


Sin duda nuevas vulnerabilidades y exploits que los navegadores tendrán que estudiar y parchear, y eso que algunos fabricantes se apresuraron a lanzar algunas actualizaciones antes del concurso...

Nuevo número de (IN)SECURE Magazine

Decirle a un senior manager "hay una vulnerabilidad día-cero que podría permitir a un atacante obtener el acceso como root en el servidor de base de datos" no tiene el mismo impacto que decirle al mismo manager "un fallo de seguridad en el sistema podría permitir a un atacante descargarse toda la información de las tarjetas de crédito de nuestros clientes".

Este frase, tan verdadera como la vida misma, es un extracto del artículo escrito por Brian Honan "Management are from Mars, information security professionals are from Venus" que podréis encontrar, junto con otras interesantes lecturas, en el nuevo número de la revista (IN)SECURE Magazine, cuyos contenidos son los siguientes:

.NET Runtime Optimization Service Privilege Escalation Exploit 0day

Hoy descubrimos un nuevo e interesante 0-day de Xenomuta para obtener los privilegios de NT AUTHORITY\SYSTEM en Windows 2003 R2, XP (sp3) y Windows 7 (y probablemente también en otras versiones).

La vulnerabilidad reside en la posibilidad de sobreescribir el ejecutable mscorsvw.exe del servicio ".NET Runtime Optimization Service v2.0.50727_X86" sin privilegios de administrador.

Lo que hace el exploit es generar un servicio que utiliza el mismo id para sobreescribir el original y obtener el privilegio.

Podéis obtener el código en:
http://xenomuta.tuxfamily.org/exploits/ngen-pwn3r.c
http://www.exploit-db.com/exploits/16940/

Los ataques del Dragón Nocturno

'Night Dragon' o 'Dragón Nocturno' es el nombre con el que McAfee ha bautizado a una serie de ataques desde China contra grandes multinacionales del petróleo y empresas petroleoquímicas. El objetivo de estos ataques, ya observados desde noviembre de 2009, parece ser la obtención de información confidencial relacionada con operaciones sobre gas y petróleo, desde ofertas hasta documentos financieros.

'Night Dragon' consiste en una serie de ataques realizados en distintas fases: primero atacan servidores públicos, normalmente sitios web, mediante técnicas conocidas como SQL injection o spear-phishing y posteriormente suben una shell para utilizar el servidor comprometido como pivote hacia la red interna.

Las herramientas asociadas a estos ataques tienen como arma principal el troyano RAT zwShell, pero también incluyen muchas otras variadas como ASPXSpy, Reduh, Webshell, gsecdump, Cain & Abel, Gh0stRAT, etc.

En definitiva 'Night Dragon' no es una sola pieza de malware, ni un solo ataque. Más bien, es una serie de ataques con características y objetivos similares. El enfoque metodológico adoptado por estos ataques es un
clásico ejemplo de cómo determinados atacantes funcionan contra un objetivo claro y común...

Solución al reto 10 del patrón de desbloqueo

Si recordáis, nuestro último reto consistía en obtener un patrón de desbloqueo similar al utilizado en Android a partir de una emulación en flash. A continuación explicamos cómo se desarrolló el reto y cómo solucionarlo.

Desarrollo del reto

El actionscript está basado en una modificación del
código de Carlos Yanez en Active Tuts+ y fundamentalmente tiene tres niveles de protección:

1.- Chequeo de dominio para prevenir la ejecución del swf desde otros sitios que no sean "googlegroups.com" o "sites.google.com", superponiendo un cuadro de texto "Protegido" para impedir el MOUSE_OVER sobre los puntos del patrón:


if ( checkDomain.indexOf("googlegroups.com" ) == -1  ) {
if ( checkDomain.indexOf("sites.google.com" ) == -1 ) {
var myText:TextField = new TextField();
var myFormat:TextFormat = new TextFormat();
myFormat.font = "Verdana";
myFormat.size = 26;
addChildAt(myText, (0 + this.numChildren) );
myText.width = 600;
myText.height = 800;
myText.textColor = 0xCD7F32;
myText.multiline =true;
myText.wordWrap =true;
myText.x = 40 ;
myText.y = 70;
myText.text = " Protegido" ;
TextField(myText).setTextFormat( myFormat );
}
}

Metasploit race condition contra Avira

Os dejo un interesante vídeo de Zataz en Securitytube sobre una condición de carrera o race condition en Avira.

Recordamos vía Wikipedia que múltiples procesos están en condición de carrera si el resultado de los mismos depende del orden en que se ejecute. Si los procesos que están en condición de carrera no son correctamente sincronizados, puede producirse un error de corrupción de datos, lo que puede ser aprovechado por exploits locales para vulnerar los sistemas.

En este caso el exploit utilizado en el vídeo se aprovecha de la vulnerabilidad MS11-006 (Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow) y el payload inyectado es el reverse TCP de meterpreter.

Como podrás comprobar, un antivirus "Avira AntiVir Personal" actualizado detectará el ataque pero tarde, por lo que llegaremos a conseguir la sesión de meterpreter y obtendremos acceso al sistema. Esta condición de carrera parece ser también aplicable a otros productos de Avira como Avira AntiVir Premium y Avira Premium Security Suite.

Nuevo número de Hakin9: Robo de identidad

Estrenamos el mes de marzo con un nuevo número de la revista Hakin9 (Vol.6 No.3).
En esta ocasión me ha llamado especialmente la atención el artículo sobre la captura del movimiento o trayectoria del puntero de un ratón bluetooth que podría derivar en la obtención de contraseñas introducidas en teclados virtuales por software :-O
¿Y a vosotros?

Habituales
En general
-Últimas noticias desde el mundo de la seguridad IT [Armando Romero, eLearnSecurity]
Revisión del libro
-
Ninja Hacking [Michael Munt]
-Una guía de hacking ético para principiantes [Shyaam Sundhar]

El experto en fraude dice...
-
Prueba de identidad de sus datos personales [Julian Evans]
Amenazas emergentes
-Eligiendo un motor IDS/IPS [Matthew Jonkman]

Básico
-La mejor manera de aprender y aplicar criptografía [Arkadius C. Litwinczuk]
-Análisis de un scam [Rich Hoggan]

Ataque
-
¡Los ratones Bluetooth podrían filtrar tus contraseñas! [Aniket Pingley, Xian Pan, Nan Zhang, Xinwen Fu]

Defensa
-Secure Env for PT [Antonio Merola]
-Conociendo VoIP - parte III [Winston Santos]
-Protegiendo contra el robo de identidad [Gary Miliefsky]