seguridad electrónica

seguridad informática

sniffers en la red

diseño de seguridad

compendio 2009

Ediciones Anteriores:

DICIEMBRE 2009

RFid ¿Camino al Estandar?

Desde hace años esta tecnología de transmisión de datos inalámbricos esta siendo utilizada para colaborar con muchos sistemas, por ejemplo pagos electrónicos, medicamentos, cadena de frío; pero todavía no está totalmente estandarizada...

Después de tantos testeos de seguridad realizados el resultado común en casi todos los trabajos es que si el objetivo es brindar una solución a largo plazo lo conveniente es orientarse en cumplimiento de las normativas de seguridad y estas normativas coinciden en que todas las tecnologías utilizadas deben estar estandarizadas con criterios de seguridad.

En el caso particular de RFid todavía no está 100% estandarizado, igual  quédese tranquilo que esto ocurre con todas las tecnologías primero la sacan al mercado y después de años se estandariza. Una solución de workaround es al menos securizar lo más cerca posible al estandard que va a venir. De esta forma analicemos que es lo que hay sobre RFid:

En primer lugar analicemos el stack de protocolos de esta tecnología:

De este gráfico obtenemos que de la arquitectura de protocolos el único grupo que está estandarizado al 100% es el grupo de protocolos encargados de la etapa de identificación (TDS y TDT), las otras dos etapas (Captura e Intercambio de información) no están completamente estandarizados.

Entonces ¿cuáles serían las tareas al momento de securizar o testear la seguridad RFid?, si queremos hacer un trabajo a corto plazo, utilizamos alguna metodología de penetration testing y analizaremos todos los ataques posibles a todos los dispositivos involucrados (que no es poco) TAG, Lector y Servidor; pero si queremos darle un valor agregado y definir soluciones a largo plazo hay que realizar trabajo de investigación y análisis: Cada dispositivo y cada una de las tres etapas deben estar en cumplimiento con los estándares que ya están definidos y terminados, y las que no estén estandarizadas habrá que estudiar cual es el proyecto y definir si el sistema de información que estoy analizando al menos está orientado con el estándar que todavía no esta aprobado.

Si ya sé, no estoy "reinventando la rueda" pero les hago esta pregunta ¿alguna vez testearon un dispositivo de conexión (ej. Access Point) y verificaron que cumpla con alguna Norma (ej ISO) o si tiene alguna certificación de seguridad?

Fuente: ISec Information Security Inc.

Estandard RFid: http://www.epcglobalinc.org/standards

NOVIEMBRE 2009

Los celulares, más vulnerables a virus

Los teléfonos móviles se exponen a los riesgos de seguridad informática propios del Internet; los primeros ataques a celulares registrados se dieron a través de mensajes de texto y el bluetooth

Los problemas de seguridad informática han dejado de pertenecer sólo a los equipos de cómputo y han comenzado a reflejarse cada vez más en los teléfonos móviles.

Los ataques enfocados a robar información personal o corporativa, descarga de sitios infectados con malware o la introducción de virus para desconfigurar los equipos comienzan a ser cada vez más frecuentes, sobre todo en los teléfonos inteligentes, de acuerdo con Jay Santos, ingeniero de seguridad de Check Point Software.

"Los riesgos se empiezan a multiplicar, hoy en día una Blackberry, un iPhone, o un Windows Mobile son prácticamente computadoras y se exponen a los riesgos a una computadora como a los de un teléfono celular", dijo el directivo Andrés Velázquez, director de investigaciones digitales del laboratorio de crímenes informáticos MaTTica.

Recientemente se dio a conocer un virus llamado Duh Worm que ataca a los equipos "desbloqueados" del iPhone de Apple con el propósito de obtener las contraseñas bancarias de los usuarios.

Velázquez considera que aunque este tipo de ataques son escasos, se comenzará a acelerar el proceso para pasar de infecciones con virus a la introducción de malwares para robar información.

"Los teléfonos celulares han pasado de ser un dispositivo de comunicación más a ser el medio más personal que existe", según el experto. Por lo que ser atacado por un virus o malwares no solo significa perder la libreta de direcciones, sino una serie de documentos que permiten saber todo acerca de una persona.

Recomendaciones:

• Los celulares deben ser protegidos desde su punto más básico que es la inclusión de un PIN para evitar el acceso de cualquier otra persona que no sea el dueño.

• Verificar con los proveedores si el teléfono que poseemos puede contar con un antivirus, sobre todo en el caso de smartphones que permiten ingresar a Internet.

• En el caso de recibir ligas a través de mensajes de texto es mejor no abrir los archivos, ya que pueden contener virus que destruyan la información que guardamos en el celular.

• Es recomendable conocer el número de serie de la SIM card, así como el del celular, para poder bloquear el teléfono en caso de robo.

• Es bueno tomar los mismos cuidados que se tienen con las computadoras, al contar con funciones en principio similares.

Los teléfonos móviles comenzaron a ser atacados cuando contaron las funciones de mensajes de texto y bluetooth, en este último caso aplicando la técnica de "bluesniffing" en donde se realizaban ataques directos a los teléfonos para poder robar las libretas de direcciones y hacer llamadas, según Velázquez.

Fuente. CNN

OCTUBRE 2009

Malware 2009 - ANALISIS y PROPAGANCIÓN

Bitdefender

1. Trojan.Autorun.Inf: En el primer lugar del ranking de malware de 2009, encontramos al Trojan.Autorun.Inf, responsable del 31 % del número total de infecciones a nivel mundial. Sin embargo, el gran número de infecciones no es el resultado de la extensa propagación. El elevado número de infecciones se debe a que la técnica está siendo utilizada por diferentes familias de malware (Win32.Worm.Downadup, Trojan.PWS.OnlineGames and Trojan.TDss) para propagarse vía unidades extraíbles. Es uno de los más importantes vectores de malware, la función autorun se ejecuta automáticamente una vez que un archivo binario en un medio extraíble se conecta al PC. Antes de la llegada de Windows Vista, está basado en sistemas operativos Windows para que siga todas las instrucciones del archivo autorun.inf.

2. Win32.Worm.Downadup: ha logrado infectar a un número sin igual de ordenadores en todo el mundo y ha ocupado los principales titulares de cualquier revista del sector informático. El gusano ha sido diseñado por un equipo de cibercriminales profesionales, hecho que se constata por su utilización de las APIs de Windows menos conocidas y es extremadamente resistente a la desinfección. Por ejemplo, el gusano se protege de su eliminación quitando todos los permisos de los archivos NTFS de todos los usuarios del sistema, a excepción para ejecutarse y el directorio transversal. Puede comprometer ordenadores utilizando tres enfoques distintos:

   • Si el sistema de destino no ha sido parcheado contra la vulnerabilidad MS08-067, el gusano puede enviarse desde un ordenador de la red que ya haya sido infectado.

   • Una vez que se ha infectado un sistema que es parte de una red, el gusano puede localizar los sistemas limpios y lanzar un ataque de fuerza a la cuenta administrativa remota con el fin de tener acceso a los archivos compartidos del usuario.

   • Si el gusano se ha copiado en un medio extraíble (CD-R, DVD-R, una unidad flash o de red asignada como dispositivo de almacenamiento), éste aprovecha la función automática (si está activada) para transferirse automáticamente al equipo no infectado.

3. Trojan.Wimad: Tercero en el ranking de malware encontramos a Trojan.Wimad que se aprovecha de una característica menos conocida implementada por Microsoft con el fin de almacenar datos de la coordinación de medios digitales. El troyano afecta a los archivos ASF, un formato de archivo extensible que soporta la entrega de datos a través de una amplia variedad de redes y es muy fácil de reproducir a nivel local.

4. an.SkimTrim.HTML.A: Trojan.SkimTrim.HTML.A es parte de la familia adware NaviPromo. Conocido sobre todo por sus agresivas ventanas emergentes y la resistencia a la detección y desinfección, esta pieza de software publicitario utiliza una avanzada técnica de rootkit para ocultar sus archivos, tanto en el disco como en la memoria, por lo tanto, oculta su presencia tanto en los sistemas operativos como para los análisis de antivirus.

5. Trojan.Agent.AKXM: Aunque los autorun.inf no son archivos maliciosos por sí mismos, son utilizados por los desarrolladores de malware para lanzar automáticamente diversas piezas de malware cuando el medio infectado es conectado. Trojant.Agent.AKXM es una pieza de malware que utiliza la característica de ejecución automática. El archivo está oculto y lleno de texto basura para evitar la detección. Siempre que se pueda acceder a la infección, el archivo .inf automáticamente crea rundll32.exe para cargar un archivo dll ubicado en (RECYCLER \ S-5-3-42-2819952290-8240758988-879315005-3665 \). El análisis reveló que la dll lanzada es, de hecho, una copia de Win32.Worm.Downadup.

6. Troajn.Autorun.AET: es una pieza de malware que se extiende a las carpetas compartidas de Windows vía medio extraíble (dispositivos de almacenamiento adjuntos a la red o unidades de red). El troyano explota la característica del Autorun implementada en los sistemas operativos Windows para ejecutarse automáticamente cuando un dispositivo infectado es conectado. Para saber más sobre cómo la característica del Autorun puede impactar en la seguridad de su equipo, por favor, revise el apartado anterior que concierne al Trojan.Autorun.Inf.

Fuente: Bitdefender para Infosecurity 2009 - Lima

SEPTIEMBRE 2009

Hacker Halted 2009 - Miami : La Seguridad de la Información, un tema que preocupa a especialistas a nivel mundial.

Miami Florida fue la sede donde se reunieron cerca de quinientos Hackers Éticos certificados de todo el mundo durante el Hacker Halted, evento que se realizó por 14° ocasión a cargo del International Council of E-Commerce Consultants (EC-Council).

Hacker Halted es una serie de conferencias con expertos en seguridad de la información, quienes presentan temas fascinantes y discuten sobre amenazas globales a la seguridad. De igual forma instructores líderes en el mundo dirigen capacitaciones de primera clase a través de Hacker Halted I Academy.

El objetivo de este evento es incrementar el nivel de conciencia a través de una mejor educación y ética en la seguridad de la información. En esta ocasión, el presidente del EC-Council, Sanjay Bavisi abrió la serie de conferencias con una noticia relevante para los gobiernos del mundo, a través de IMPACT (The International Multilateral Partnership Against Cyber Threats) la primera iniciativa público-privada en contra del cyberterrorismo, otorgará un millón de dólares en becas que beneficiarán a 190 países quienes estarán capacitados para prevenir delitos informáticos.

Durante la conferencia de apertura Jay Bavisi cedió la palabra a Howard Schmidt quien tiene experiencia de 31 años en áreas de seguridad en el gobierno Local y Federal de los Estados Unidos. Howard abrió su conferencia con esta frase “En épocas difíciles, no ahorren dinero recortando en seguridad, al final del día eso les costará más. 90% de los ataques provienen de vulnerabilidades que ya se conocían y no fueron remediadas en su momento, hay que trabajar todos los días reduciendo las brechas de seguridad en nuestros sistemas y para esto hay que estar capacitado”

Según Schmidt, las empresas y gobiernos enfrentan cuatro retos:

1. Entender los riesgos en su ambiente (elaborar una matriz de riesgos).
2. Tener una estrategia definida para los riesgos.
3. Moverse de una filosofía de tecnología a una de negocios.
4. Asegurarse que su sistema de seguridad no se rompa en poco tiempo.

Los ataques a las redes nunca se detienen, es importante considerar siempre que es más difícil para un intruso acceder a un lugar donde nunca ha estado, aquí la importancia de mantener actualizadas todas las aplicaciones.

Cinco pasos para mantenerse protegidos:

1. Asegurarse de tener lo básico bien hecho. Es crítico documentar cada cambio realizado para mantenerse protegido
2. Trabajar en grupos de seguridad. Examinar todas las funciones que hay para ser más efectivos.
3. Planear para la incertidumbre. Desarrollar planes y asignar responsables.
4. Adaptarse a los retos. Hacer que los negocios vayan mejor.
5. Hacer cada quien su parte. Asegurar su propia parte en el ciberespacio.

Lo anterior es sólo una prueba de las interesantes conferencias que se llevaron a cabo durante el Hacker Halted 2009, evento de 3 días en el cual especialistas se reunieron a compartir experiencias y mejores prácticas en temas de seguridad. Algunos de los expertos que estuvieron presentes son: David Litchfield una de las autoridades mundiales en seguridad en bases de datos, G. Mark Hardy autor de “The Information Security Handbook for Enterprise Computing, Client/Server Security Handbook” y contribuyó también con el libro “Network Security Secrets”, Tim Pierson instructor líder en seguridad y virtualización, Ira Winkler experto en seguridad en internet, investigación de crímenes y espionaje industrial, Ari Takanen especialista en redes next-generation y seguridad en ambientes críticos y Jeff Bardin premio de excelencia 2007 por prácticas en seguridad, entre otros.

Fuente: ConcepTI

AGOSTO 2009

SNIFFERS EN LA RED - No te creas todo lo que dicen!

Christian Vila / ISEC +
Senior Security Consultant
ISEC Information Security Inc.
www.isec-global.com

Muchas veces con el afán de solucionar problemas o de investigar sobre ciertos temas escribimos una búsqueda en alguno de los buscadores, abrimos las primeras páginas que aparecen y listo ya tenemos la información que estamos buscando y encima lo aceptamos como verdad absoluta...

Hagamos la prueba de leer lo que nos dice Internet sobre los Sniffers de Red, escriban esta búsqueda "detección de sniffers" seguro que encontrarán algunos sitios que explican como con algún programita y algunos clicks del mouse se descubre como por arte de magia si alguien nos esta "sniffeando" dentro de la red. Inclusive algunos sitios de los cuales sospechar sería una blasfemia, como Wikipedia, por ejemplo.

Sin embargo siempre es bueno ir las fuentes, como en cada ocasión que se quiera investigar algún tema, dejemos de lado los programitas mágicos y comencemos con las técnicas de los ataques. Fíjense como un tema tan básico como es la detección de sniffers puede engañar a más de algún experto solo por seguir la corriente de Internet.

SNIFFING: es un ataque definido como "PASIVO" o sea no modifica ningún paquete de NINGÚN protocolo solo los detecta y los lee; lamentablemente son indetectables en la red y la única forma de detectarlos es estar sentado en la máquina que esta haciendo sniffing o por algún método de forencia pero siempre sobre la máquina que realiza el ataque.

Existen si otras técnicas que favorecen la captura de los paquetes realizando distintos ataques en la red local, por ejemplo arp poison, modo promiscuo de las placas de red, ipspoofing, etc.; pero esto es otro tema de lo que hay mucho escrito y ESTO ES LO QUE DETECTAN LOS FAMOSOS PROGRAMITAS ANTISNIFFERS.

Van a encontrar sniffers de hhtp, sniffers de msn, sniffers de Voip pero si realmente no se comprende bien la técnica de los ataques, que tareas realiza, qué protocolos utiliza, en que nivel OSI se encuentra, si no se testea en ambientes controlados; solo me queda correr programitas, hacer un par de clicks y creer lo que me dicen...

...por todo lo dicho los aliento a ir más allá de lo que muestran los papers de internet, por cada ataque que quieran investigar antes de correr cualquier herramienta testear bien como funciona, por ejemplo les dejo una idea: ¿Que ocurriría si cambio el switch por un hub y corro un sniffer como "wireshark"?¿Es necesario poner mi placa en modo promiscuo, es necesario envenenar la red de paquetes ARP?. Es increíble lo que se puede hacer con un HUB conectándolo antes de un Access Point.

Fuente: ISec Information Security Inc

JULIO 2009

Web Aplication Vulnerabilities Parte 5 de 5

Traducción y resumen de artículo para Security Focus:

- Five common Web application vulnerabilities
- Sumit Siddharth, Pratiksha Doshi

5ta Parte: Enumeración de Usuarios

Enumeración de usuarios es un tipo de ataque en el cual la secuencia de comandos de validación le dice al atacante si el nombre de usuario proporcionado es correcto o no. La explotación de esta vulnerabilidad permite al atacante a experimentar con diferentes nombres de usuario y determinar los válidos con la ayuda de estos mensajes de error.

Rating: bajo.

Productos vulnerables: Nortel Contivity VPN client, Juniper Netscreen VPN, Cisco IOS [telnet].

Ejemplo de Mensaje de error:

Ejemplo de mensaje correcto:

Enumerar usuarios puede ayudar a un atacante que intenta utilizar algunos nombres de usuario triviales con contraseñas fácilmente adivinables, como prueba / prueba, admin / admin resultados / resultados y así sucesivamente. Estas cuentas son creadas a menudo por los desarrolladores para realizar pruebas y muchas veces las cuentas no son desactivadas o el desarrollador se olvida de cambiar la contraseña.

Contramedidas:

Mostrar mensajes de error que eviten la divulgación de nombres de un usuario válido. Asegúrese de que si existen cuentas genéricas realizar pruebas para que sus contraseñas no sean triviales o que estas cuentas estén totalmente eliminadas antes de que la aplicación se ponga en producción.

Fuente: SecurityFocus

JUNIO 2009

Web Aplication Vulnerabilities Parte 4 de 5

4ta Parte: Cross Site Scripting - XSS

El éxito de este ataque requiere quela víctima ejecute una url con código malicioso que a primera vista parecería ser código legítimo. Cuando se clickea sobre una url modificada manualmente un atacante puede hacer ejecutar código sobre el browser de la vítima, por ejemplo algún código java malicioso puede ser ejecutado en el contexto de un sitio web que se aprovecha del bug XSS.

Rating: Moderado a Crítico.

Algunos productos vulnerables: Microsoft IIS web server, Yahoo Mail, Squirrel Mail, Google search.

El ataque de Cross Site Scripting se realiza a través de formularios en los cuales hay interacción con el usuario, los siguientes son los objetivos más populares:

• Los buscadores de internet.

• Foros de discusión.

• Programas de login de usuarios.

A continuación un ejemplo de ataque XSS:

<form action="search.php" method="GET" />
Welcome!!
<p>Enter your name: <input type="text" name="name_1" /><br />
<input type="submit" value="Go" /></p><br>
</form>

<?php
echo "<p>Your Name <br />";
echo ($_GET[name_1]);

?>

El valor pasado por la variable 'name_1' no está sanitizado entonces puede ser explotado para ejecutar código arbitrario.

Otro ejemplo de explotación de este ataque:

http://victim_site/clean.php?name_1=<script>code</script>
or
http://victim_site/clean.php?name_1=<script>alert(document.cookie);</script>

Contramedidas:

El siguiente código se recomienda ingresar para resolver estos ataques:

<?php

$html= htmlentities($_GET['name_1'],ENT_QUOTES, 'UTF-8');
echo "<p>Your Name<br />";
echo ($html);
?>

Fuente: SecurityFocus

MAYO 2009

Web Aplication Vulnerabilities Parte 3 de 5

3er Parte: Vulnerabilidades Format String

Esta vulnerabilidad se produce cuando el ingreso de entradas de usuario están sin filtrar, generalmente son parámetros en código perl o C que realizan funciones de formato, tales como printf ().

Un usuario malintencionado puede utilizar el especificador de formato "%s" o "%x", entre otros, para imprimir los datos de la pila o posiblemente otros lugares de la memoria. Inclusive, puede escribir datos arbitrarios en lugares arbitrarios de la memoria utilizando el especificador de formato %n.

Las vulnerabilidades Format String se podrían clasificar en tres categorías: denegación de servicio, lectura y  escritura.

Rating: Moderado a Crítico.

Algunos Productos Vulnerables:

McAfee AV, Usermin, Webmin, various Apache modules, winRar, ettercap, entre otros.

• Los ataques de denegación de servicio se caracterizan por la utilización de múltiples instancias del especificador de formato %s, este especificador se utiliza para leer datos de la pila si se generan múltiples peticiones hasta que el programa intente leer datos desde una dirección ilegal se provocará que el programa se caiga.

• Los ataques de lectura utilizan el especificador de formato %x, el cual es utilizado para imprimir secciones de la memoria para las cuales el usuario normalmente no tienen acceso.

• Los ataques de escritura utilizan especificadores de formato %d, %u o %x para sobrescribir el puntero de instrucción y forzara la ejecución de un shell (con permisos del usuario).

Este es un ejemplo del archivo miniserv.pl (Webmin) que provoca esta vulnerabilidad:

if ($use_syslog && !$validated)
{
        syslog("crit",
               ($nonexist ? "Non-existent" :
                $expired ? "Expired" : "Invalid").
               " login as $authuser from $acpthost");
        }

Contramedida:

Modificar el código fuente para que la entrada es verificada correctamente

Fuente: SecurityFocus

ABRIL 2009

Web Aplication Vulnerabilities Parte 2 de 5

2da Parte: SQL injection

La inyección de SQL es un método muy antiguo, pero aún es popular entre los atacantes. Esta técnica permite a un atacante obtener información crucial de un servidor Web de la base de datos. Dependiendo de las medidas de seguridad de la aplicación, el impacto de este ataque puede variar desde la divulgación de información básica hasta la ejecución remota de código y total compromiso del sistema.

Rating: Medio y Crítico

Productos Vulnerables:
PHPNuke, MyBB, Mambo CMS, ZenCart, osCommerce

MS SQL tiene la característica de llamadas de procedimiento almacenado extendido (extended stored procedure), que permite ejecutar comandos a nivel de sistema a través del servidor de MS SQL - como agregar un usuario. Además, los mensajes de error mostrados por el servidor de MS SQL revelan más información que un servidor MySQL. Mientras que MS SQL Server no es especialmente propenso a ataques de inyección de SQL, hay medidas de seguridad que deben aplicarse para que sea segura y no permitir que el servidor SQL dé información crítica del sistema.

Este es un ejemplo de un código que puede ingresar un usuario y es utilizado directamente como una query de SQL:

<form action="sql.php" method="POST" />
<p>Name: <input type="text" name="name" /><br />
<input type="submit" value="Add Comment" /></p>
</form>
<?php
$query = "SELECT * FROM users WHERE username = '{$_POST['username']}";
$result = mysql_query($query);
?>

Este script funciona normalmente cuando el campo username no contiene ningún caracter malicioso:

$query = "SELECT * FROM users WHERE username = 'steve'";

Sin embargo una inyección de sql podría resultar de esta forma:

$query = "SELECT * FROM users WHERE username = '' or '1=1'";


Como la condición "or" es siempre verdadera, la función mysql_query va a retornar los registros de la tabla de datos. Un ejemplo similar sería usar "AND" y un comando de SQL que generaría un mensaje de error específico:

Es obvio que este tipo de mensajes de error ayuda a un atacante a obtener la información que está buscando (nombre de la tabla, de la base de datos, usuarios, hashes de contraseñas, etc.). Mostrar mensajes de error personalizados puede ser una buena solución para este problema, sin embargo, existe otra técnica conocida como ataque de inyección de SQL a ciegas (Blind SQL Injection), donde el atacante es todavía capaz de llevar a cabo una inyección de SQL, incluso cuando la solicitud no revela ningún mensaje de error del servidor de base de datos que contenga información útil para el atacante.

Contramedidas:

Evite conectar a la base de datos como superusuario o como el propietario de la base de datos. Utilice siempre usuarios personalizados para conectar a la base de datos con el mínimo privilegio necesario para realizar la tarea asignada.

PHP tiene dos funciones para MySQL que sanitizan los imputs del usuario: addslashes (el más viejo) y mysql_real_escape_string (el método recomendado). Esta función viene con PHP >= 4.3.0, por lo que debe comprobar primero si existe esta función y que esté ejecutando la última versión de PHP 4 o 5.

Fuente: Security Focus