Diseñan un sistema que repara bugs automáticamente insertando la funcionalidad de otros programas - y sin necesidad del código fuente

En la conferencia de la Asociación para el Diseño de Lenguajes de Programación de Equipamiento Informático, investigadores del MIT presentaron un nuevo sistema que repara bugs peligrosos en el software importando la funcionalidad desde otras aplicaciones más seguras.

Cabe destacar que el sistema, bautizado como CodePhage, no requiere acceso al código fuente de las aplicaciones cuya funcionalidad coge prestada. En vez de eso, analiza la ejecución de las aplicaciones y clasifica los tipos de controles de seguridad que realizan. Como consecuencia, puede importar chequeos de aplicaciones escritos en lenguajes de programación distintos al del programa que está reparando y proporciona una capa adicional de análisis que garantiza que el error ha sido reparado.

"Tenemos un montón de código fuente disponible en los repositorios de código abierto, millones de proyectos, y muchos de estos proyectos implementan especificaciones similares", dice Stelios Sidiroglou-Douskos, científico investigador del laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT que ha liderado el desarrollo de CodePhage. "Aunque podría no ser la funcionalidad principal del programa, con frecuencia existen subcomponentes que comparten funcionalidad a través de un gran número de proyectos".

Con CodePhage, el dice, "con el tiempo, lo que estaríamos haciendo es construir un sistema híbrido que toma los mejores elementos de todas estas implementaciones".

#SSLv3 ya está oficialmente obsoleto

Ataques como POODLE y BEAST pusieron en entredicho la seguridad de SSL. A principios de año, los principales fabricantes (Microsoft, Google y Mozilla) bloquearon SSL por defecto en sus navegadores y surgieron iniciativas como disablessl3.com para ayudar a los administradores a desactivarlo.

Todo ello ha acelerado que el IETF (Internet Engineering Task Force) declare definitivamente obsoleto a SSL v3. El documento de norma RFC7568 publicado este mes asevera SSLV3 como "no suficientemente seguro" y prohíbe volver a usarlo en nuevas aplicaciones:

"SSLv3 NO DEBE ser utilizado", dice el documento. "La negociación de SSLv3 desde cualquier versión de TLS no debe permitirse. Cualquier versión de TLS es más segura que SSLv3, aunque la versión más alta disponible es preferible".

RFC http://www.rfc-editor.org/rfc/rfc7568.txt

DEP SSL, hola TLS 1.2!

Empieza a configurar Firefox para que deje de filtrar datos sobre tí...

Firefox no es una excepción a la hora de recolectar y enviar datos de usuarios cuando se usan ciertas características. ¿Son totalmente necesarios o responden a un interés lucrativo?

Está claro que el navegador de Mozilla integra motores de búsqueda y plugins de terceros porque necesita subvenciones de sponsors - difícilmente las donaciones pueden ser el único pilar de su financiación - . 


Sea como fuere al menos permite desactivar (todas?) las opciones para mantener un mayor grado de privacidad. ¿Sensacionalistas? No lo creo, recomendamos visitar el proyecto de amq en GitHub donde se describen algunas opciones que podemos modificar. Escribe about:config en la barra de direcciones para empezar a cambiar las siguientes preferencias a 'false'.

Navegación Segura de Google

Filtra el historial de navegación a Google.
Ten en cuenta que si desactivas la funcionalidad (no recomendado) quitarás la protección contra sitios con malware y de phishing. Pero si quieres (quizás tengas otras alternativas), puedes modificar las siguientes opciones:
browser.safebrowsing.enable
browser.safebrowsing.downloads.enabled
browser.safebrowsing.malware.enabled

Recolección de estadísticas de Firefox

Infomes de estabilidad y rendimiento.
datareporting.healthreport.service.enabled
datareporting.healthreport.uploadEnabled
Estadíticas de uso.
toolkit.telemetry.enabled

WebRTC

Filtra la IP real cuando se usa VPN/TOR. Descripción y demo
media.peerconnection.enabled

Encrypted Media Extensions - EME (DRM)

Un binario de un plugin (de código cerrado) se distribuye con Firefox desde la V38. Permite la reproducción de medios cifrados y permite utilizar p.ej. Netflix sin Microsoft Silverlight. Para eliminar completamente el plugin hay que instalar una acumulación EME gratuita de Firefox.
media.eme.enabled
media.gmp-eme-adobe.enabled

Firefox Hello

Firefox conecta a servidores de terceros (Telefonica) sin pedir permiso.
loop.enabled

Pocket integration

Un servicio de terceros para administrar listas de lectura de artículos.
browser.pocket.enabled

Geolocalización

geo.enabled

Sugerencias de búsquedas

Todo lo que escribimos en la casilla de búsquedas se envía al motor de búsqueda. Las sugerencias basadas en el historial local seguirían funcionando.
browser.search.suggest.enabled
pd. Nuevas opciones y propuestas son siempre bienvenidas en:
https://github.com/amq/firefox-debloat

AntiCuckoo: una herramienta para detectar y crashear el Sandbox de Cuckoo

David Reguera de Buguroo está trabajando en el desarrollo de anticuckoo, una herramienta escrita en C/C++ para detectar y crashear el sandbox de Cuckoo:

- se ha probado en la versión oficial y la de Accuvant
- detecta toda clase de hooks de Cuckoo
- busca datos sospechosos en memoria, sin APIs, escaneando página por página
- con el argumento "-c1" provoca un crash del sandbox. Lo hace modificando el valor de la instrucción RET N de una API hookeada (el HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la intrucción RET N modificada corrompe su stack)


TODO
- agente y proceso de detección en python (al 70%)
- mejorar la detección comprobando los bytes correctos en los sitios conocidos (por ejemplo las APIs nativas siempre tienen las mismas firmas, etc.).
- detección de las entradas TLS de Cuckoo

Repositorio: https://github.com/David-Reguera-Garcia-Dreg/anticuckoo

PoC para evadir ASLR en todas las versiones de 32 bits de Internet Explorer

Los investigadores de la Zero Day Initiative de HP (ZDI) normalmente no publican los detalles completos y el código de explotación de los bugs que encuentran y reportan a los fabricantes hasta después de que las vulnerabilidades hayan sido corregidas. Pero esta vez han hecho un excepción y han publicado un exploit para evadir ASLR (address space layout randomization) en todas las versiones de Internet Explorer de 32 bits

¿La razón? Microsoft, a pesar de haber pagado $125K a ZDI por su programa Blue Hat Bonus, no cree que esta vulnerabilidad afecte a suficientes usuarios y no tiene pensado corregirla:

"En esta situación, la declaración de Microsoft es técnicamente correcta - las versiones de 64 bits aprovechan más ASLR que las versiones de 32 bits. Un sistema de 64 bits tiene un espacio de direcciones mucho más grande que un sistema de 32 bits, lo que hace a ASLR mucho más eficaz. Sin embargo lo que se pierde aquí es que el bypass descrito y presentado sólo funciona para sistemas de 32 bits, que es la configuración por defecto en millones de sistemas. Para demostrar esto, hemos publicado el código de prueba de concepto (PoC) para demostrar este bypass en Windows 7 y Windows 8", dice Dustin Childs de HP en su blog.

"Desde Microsoft se siente que estos problemas no afectan a la configuración por defecto de IE (que afecta a un gran número de clientes), lo que a su juicio significa que no vale la pena sus recursos y el riesgo de regresión potencial. No estamos de acuerdo con esa opinión y estamos liberando la información del PoC a la comunidad con la creencia de que los usuarios interesados ​​deben estar tan bien informados como sea posible con el fin de tomar las medidas apropiadas para que encuentren sus propias instalaciones ", dijo.

Paper: Abusing Silent Mitigations - Understanding weaknesses within Internet Explorer’s Isolated Heap and MemoryProtection

PoC (use-after-free): https://github.com/thezdi/abusing-silent-mitigations

Fuentes:
- There and back again: a journey through bounty award and disclosure
- HP Releases Details, Exploit Code for Unpatched IE Flaws

Roban las claves de descifrado de un PC mediante la medición de emanaciones electromagnéticas

Si recordáis hace tiempo ya vimos que es posible obtener claves de cifrado RSA de 4096 bits escuchando el sonido de emite la CPU. Ahora investigadores de la Universidad de Tel Aviv han dado una vuelta más de tuerca y son capaces de obtener las claves de cifrado de GnuPG en segundos midiendo las emanaciones electromagnéticas que se generan durante el proceso de descifrado. Y algo tambie increible, no es necesario disponer de un caro laboratorio para hacerlo: los investigadores usaron un FUNcube Dongle Pro + (174,5€), conectados a un pequeño Rikomagic MK802 IV con Android (unos 80€), para medir las emisiones en 1,6 y 1,75 MHz. Incluso puede ser posible lanzar el ataque con una radio AM estándar con la salida de audio grabado por un smartphone.


En un extracto del paper "Stealing Keys from PCs using a Radio: Cheap Electromagnetic Attacks on Windowed Exponentiation" explican:


"Demostramos la extracción de claves secretas de descifrado de ordenadores portátiles, mediante la medición no intrusiva de emanaciones electromagnéticas durante unos segundos y a una distancia de 50 cm. El ataque puede ser ejecutado utilizando equipamiento barato y fácil de obtener: un receptor de radio de tipo consumidor o un dongle USB de radio. La configuración es compacta y puede operar independientemente; se puede ocultar fácilmente, por ejemplo, dentro de pan de pita. Los ordenadores portátiles normales, e implementaciones populares de cifrados RSA y ElGamal, son vulnerables a este ataque, incluyendo aquellos que implementan el descifrado utilizando algoritmos exponenciales modernos de ventana deslizante, o incluso su variante resistente a canal lateral, con exponenciación ventana fija (m-ary).

Se extrajeron con éxito las claves de varios modelos de ordenadores portátiles ejecutando GnuPG (software de cifrado de código abierto, implementación del estándar OpenPGP), en pocos segundos. El ataque envía unos textos cifrados cuidadosamente elaborados, y cuando estos se descifran por el equipo de destino, se desencadena la aparición de valores estructurados especiales dentro del software de descifrado. Estos valores especiales causan fluctuaciones observables en el campo electromagnético que rodean el ordenador portátil, de una manera que depende del patrón de bits de la clave (específicamente, la ventana de clave-bits en la rutina de exponenciación). La clave secreta se puede deducir de estas fluctuaciones, a través del procesamiento de señales y el criptoanálisis".

 
En principio el ataque demostrado por el equipo de Tel Aviv puede ser poco fiable en la práctica, porque los PCs generalmente realizan múltiples tareas al mismo tiempo y no sólo exclusivamente descifran datos. Eso significa que un montón de ruido se añade al proceso, arruinando lo intentos de extraer las claves privadas de las máquinas.

No obstante, habrá que estar atentos al Taller sobre Hardware Criptográfico y Sistemas Embebidos (CHES) en Francia en septiembre de 2015, donde los investigadores israelíes tienen la intención de presentar su trabajo...

Fuente: Stealing secret crypto-keys from PCs using leaked radio emissions

Las 10 certificaciones de IT más prometedoras para el 2015

Con cada vez mayor competencia en el mercado de trabajo, las certificaciones se han vuelto más y mas importantes. Está claro que las certificaciones tienen un gran valor para cualquier empresa y un título específico aumenta las posibilidades de conseguir un mejor puesto de trabajo en empresas de TI. El grupo de Azure de EFY ha compilado una la lista de las 10 certificaciones de TI que promete mejores opciones de trabajo para este año:

1. Project Management Professional (PMP)


Esta es la certificación más importante y reconocida para los directores de proyectos. PMP es conocida por la experiencia, la educación y las competencias para liderar y dirigir proyectos. La demanda de esta certificación se ha incrementado en el mercado y asegura un sueldo elevado a los gerentes de proyectos.

2. Certified Information Systems Security Professional (CISSP)


CISSP es un estándar reconocido a nivel mundial por sus logros en el conocimiento del individuo en el campo de la seguridad de la información. Las empresas prefieren a un candidato con la certificación CISSP, ya que asegura profundo conocimiento y las habilidades de la arquitectura, el diseño, la gestión y los controles de seguridad del entorno empresarial. Los exámenes CISSP cubren todos los temas necesarios y críticos como la gestión de riesgos, el cloud computing, seguridad móvil, la seguridad de desarrollo de aplicaciones, etc.

3. Microsoft Certified Solutions Developer (MCSD)

Esta certificación debes tenerla si eres es un desarrollador con experiencia en el análisis y diseño de software de solución empresarial con lenguajes y herramientas de desarrollo de Microsoft. Un candidato con MCSD es miembro de Microsoft Certified Professionals y los MCPs tienen un gran valor en el mercado de trabajo.

Recomendaciones: JsiTech

JsiTech es un blog que inicialmente nació dedicándose a Linux y al software libre pero desde hace un tiempo su autor, Jason Soto, viene desarrollando el tema de la seguridad y el hacking y hoy día es el tema principal de este magnífico blog.



Podemos decir por tanto que JsiTech es un blog dedicado a la seguridad informática, ethical hacking y de vez en cuando algo de Linux. La idea principal es hablar de temas generales de seguridad, además de dar a conocer herramientas y técnicas de hacking.

Con JsiTech, Jason pretende compartir el conocimiento y que sea de provecho para toda la comunidad, además de mantenernos informados sobre las nuevas vulnerabilidades y ataques que día a día salen a la luz.

Visítenlo y nos seguimos leyendo

Sitio: www.jsitech.com


Y si tú también tienes un sitio que quieres que conozcamos o deseas publicar aquí tu post no lo dudes y participa :)

Vulnerabilidad en overlayfs permite escalar privilegios en todas las versiones de Ubuntu

La vulnerabilidad CVE-2015-1328 permite escalar privilegios como root localmente en la configuración por defecto en todas las versiones soportadas de Ubuntu.
 
El sistema de ficheros overlayfs no comprueba correctamente los permisos cuando se crean nuevos archivos en un directorio superior, concretamente las funciones de ovl_copy_up_*. Los únicos permisos que se comprueban son si el propietario del archivo que se está modificando tiene permiso para escribir en el directorio superior. Por otra parte, cuando un archivo se copia desde el directorio inferior los metadatos del archivo se copian literalmente, en lugar de los atributos como el owner que se cambia por el usuario que ha ejecutado los procedimientos de copy_up_*.

Veamos un ejemplo de una copia 1:1 de un fichero del root:

(ten en cuenta que la opción workdir= no es necesaria en los viejos kernels)

user () ubuntu-server-1504:~$ ./create-namespace
root () ubuntu-server-1504:~# mount -t overlay -o
lowerdir=/etc,upperdir=upper,workdir=work overlayfs o
root () ubuntu-server-1504:~# chmod 777 work/work/
root () ubuntu-server-1504:~# cd o
root () ubuntu-server-1504:~/o# mv shadow copy_of_shadow
(exit the namespace)
user () ubuntu-server-1504:~$ ls -al upper/copy_of_shadow
-rw-r----- 1 root shadow 1236 May 24 15:51 upper/copy_of_shadow
user () ubuntu-server-1504:~$ stat upper/copy_of_shadow /etc/shadow|grep Inode
Device: 801h/2049d      Inode: 939791      Links: 1
Device: 801h/2049d      Inode: 277668      Links: 1

Ganadores de los Premios a los mejores bloggers de seguridad de la UE en 2015

Hace un par de días, en la vigésima edición de la conferencia Infosecurity Europe, se anunciaron los ganadores de los premios a los mejores bloggers de seguridad de Europa en 2015, en la que estuvieron también nominados como finalistas nuestros compañeros de SbD. Este año tampoco hubo suerte (pues todos sabemos lo difícil que es que gane en la UE un blog escrito en la lengua de Cervantes), pero siempre está bien conocer quien se llevó finalmente el gato al agua:

The Best Corporate Security Blog The Best European Corporate Security Blog  The Best Euro Podcast The Best Security Podcast The Best Security Video Blog The Best Personal Security Blog The Best European Personal Security Blog The Most Entertaining Blog The Most Educational Blog The Best New Security Blog
The Best EU Security Tweeter The Grand Prix Prize for the Best Overall Security Blog Fuente: EU Security Blogger Award Winners

OpenSesame, hackeando garajes en segundos

OpenSesame es un dispositivo que puede abrir de forma inalámbrica y en segundos casi cualquier puerta de garaje con acceso mediante un pin fijo. Utiliza un nuevo ataque descubierto por Samy Kamkar que se aprovecha del limitado espacio de claves pero que reduce el tiempo para obtener el código en un 95%. Y para llevarlo a cabo sólo necesita un *bonito* juguete de Mattel, un Radica Girltech IM-ME con un efectivo chip RF TI CC1110 sub-GHz y reprogramado con un GoodFET.

Pero centrémonos en el ataque. ¿En qué consiste exactamente? En un equipo inalámbrico normal se utiliza un código de 8 a 12 bits. Si un simple click envía el mismo código 5 veces y cada "bit" tarda 2ms en enviarse con un tiempo de espera de otros 2ms, las cuentas son claras: 12 bits * 2ms transmisión * 2ms espera * 5 veces = 240ms, que es lo que tarda en enviarse una combinación de 12 bits. Entonces, para un ataque de fuerza bruta del espacio de claves de 8, 9, 10, 11 y 12 bits:

(((2 ** 12)*12) + ((2 ** 11)*11) + ((2 ** 10)*10) + ((2 ** 9)*9) + ((2 ** 8)*8)) = 88576 bits

88576 bits * 4ms * 5 retransmisiones = 1771.52 segundos = 29 minutos

Sólo 8 caracteres para hacer fallar a Skype, teniendo incluso que reinstalarlo

Los usuarios de Skype han descubierto un bug en la aplicación bastante llamativo: sólo enviando la cadena de texto “http://:” (sin las comillas) se bloquea (crash) la aplicación y, lo peor, lo hace cada vez que se intente iniciar sesión de nuevo. Según comenta el usuario “Giperion” "limpiar el historial de chats no ayuda, porque cuando Skype descargue el historial del servidor volverá a fallar."


El bug funciona en Windows, Android e iOS, aunque parece no tener efecto en Mac o la versión de Skype de Windows 8.1 (la app tactil de metro).

Como comenta otro usuario “Lazymax” es posible volver a utilizar Skype si el usuario que te ha mandado la cadena de texto borra el mensaje y si instalas una versión más vieja de Skype (en Android e iOS sólo tienes las últimas versiones disponibles).

Skype ya ha confirmado el bug y está trabajando para solucionarlo.

Fuentes:
- A Simple Message Can Crash Skype So Badly You Need to Reinstall It
- These 8 characters crash Skype, and once they’re in your chat history, the app can’t start

Curso gratuito 'Modern Windows Exploit Development'

Hay varios cursos sobre el desarrollo de exploits pero suelen ser muy caros. También hay un montón de papers, artículos y vídeos en Internet, pero la información está muy dispersa y no siempre es para principiantes. Massimiliano Tomassoli ha publicado el curso Modern Windows Exploit Development con el que podrás aprender a desarrollar exploits en Windows desde el principio. Eso sí, aunque sea un curso introductorio no es un "juego de niños" y se requieren al menos conocimientos de ensamblador x86.

Os dejo el índice de contenidos del curso y os animo a realizarlo:
  1. WinDbg
  2. Mona 2
  3. Structure Exception Handling (SEH)
  4. Heap
  5. Windows Basics
  6. Shellcode
  7. Exploitme1 (ret eip overwrite)
  8. Exploitme2 (Stack cookies & SEH)
  9. Exploitme3 (DEP)
  10. Exploitme4 (ASLR)
  11. Exploitme5 (Heap Spraying & UAF)
  12. EMET 5.2
  13. Internet Explorer 10
    1. Reverse Engineering IE
    2. From one-byte-write to full process space read/write
    3. God Mode (1)
    4. God Mode (2)
    5. Use-After-Free bug
  14. Internet Explorer 11
    1. Part 1
    2. Part 2
Fuente: http://expdev-kiuhnm.rhcloud.com/

¿Tienes un Mac de hace más de un año? Pues tienes un Mac vulnerable...

Los equipos Mac de más de un año son vulnerables a ataques que permiten sobrescribir remotamente el firmware con el que arranca la máquina, un exploit que permite controlar dispositivos vulnerables desde la primera instrucción.

El ataque, de acuerdo con una entrada de blog publicada el viernes por el conocido investigador de seguridad de OS X Pedro Vilaca, afecta a Macs enviados antes de mediados del 2014 que pueden entrar en modo de suspensión. Concretamente la protección conocida como FLOCKDN, que controla que el acceso de las aplicaciones en modo usuario a la BIOS sea sólo de lectura, se desactiva cuando la máquina se recupera del modo de suspensión. Esto deja el firmware abierto a que cualquier aplicación pueda reescribir o flashear la BIOS y, por lo tanto, que los atacantes puedan modificar el Interfaz Extensible del Firmware (EFI) que es el que controla el arranque del sistema y otras funciones de bajo nivel antes de cargar el sistema operativo.

Gracias a este fallo y mediante la explotación de vulnerabilidades que permitan elevar privilegios como root (como las que se encuentran regularmente en Safari y otros navegadores web), se podría ejecutar código para forzar al equipo a entrar en modo suspensión para luego lanzar un payload en la recuperación, dejando un firmware malicioso que sobrevive incluso al formateo del disco duro y a la reinstalación del sistema operativo.

El ataque es más grave que el exploit Thunderstrike que salió a la luz a finales del año pasado. Si bien ambos dan a los atacantes el mismo control persistente a nivel bajo de un Mac, el nuevo ataque no requiere acceso físico...

Pedro Vilaca ha confirmado que el exploit funciona en un MacBook Pro Retina, un MacBook Pro 8.2 y un MacBook Air, todos con la última versión del firmware EFI de Apple. Sin embargo, los Macs desde mediados a finales de 2014 parecen ser inmunes a los ataques. No se sabe si Apple parcheó la vulnerabilidad silenciosamente en máquinas más nuevas o si se corrigió de casualidad.

Por el momento, la única manera de prevenir ataques es cambiar la configuración de OS X por defecto desactivando el modo de suspensión.

Fuentes:
- The Empire Strikes Back Apple – how your Mac firmware security is completely broken
- New exploit leaves most Macs vulnerable to permanent backdooring
- Apple Macs vulnerable to EFI zero-day
- Macs older than 1 year may be vulnerable to security exploit

Nueva herramienta para gestionar los riesgos humanos

¿Cómo priorizar los riesgos humanos? La mayoría las organizaciones / responsables de seguridad tienen tiempo y recursos limitados para la sensibilización del personal. Sólo se puede enseñar a la gente y cambiar ciertas conductas como resultado. Eso significa tener un programa de concienciación verdaderamente eficaz, priorizar los riesgos humanos y centrarse en ellos. Más fácil decirlo que hacerlo.

Gracias a Roderick Currie de SANS, ahora hay una herramienta para ayudar a hacer precisamente eso. Se trata de una simple hoja de cálculo. La idea es listar todos los diferentes riesgos humanos por los que estamos preocupados. A continuación, evaluar el número de incidentes que han tenido relación con ese riesgo, qué tan probable crees que otro incidente vaya a suceder y el impacto si lo hace.

Esta hoja de cálculo utiliza un enfoque cualitativo para medir el riesgo humano, es decir, se utiliza la escala de bajo, medio y alto. Si bien este enfoque no es ni preciso ni exacto, es rápido, sencillo y normalmente 'suficientemente bueno'. Te permite identificar rápidamente en qué riesgos humanos debemos centrarnos.

Quizás parece una tontería pero estas herramientas son importantes ya que demasiadas organizaciones escogen al azar sobre estos temas sin una base sólida. Para gestionar el riesgo humano de verdad, tienes que primero priorizarlos. Puedes descargar un modelo de riesgo de ejemplo y una plantilla aquí.

Fuente: New Tool for Prioritizing Your Human Risks