operación payback informática forense dropzones

biometría

comunidad antihackers
malware
Infosecurity Buenos Aires 2010
Antirrobo
intypedia

stuxnet
vulnerabilidades
ciberguerras

noticias bolsa
agenda lectores
pases

Ediciones Anteriores:

OCTUBRE 2010

Ataque y Detección del Hacker
Rafa Núñez

Enfoque Seguro - Venezuela

Disertante en Infosecurity Vip Buenos Aires 2010

Extraído de la Presentación de Infosecurity Vip - Buenos Aires 2010

Análisis del ciberdelito: ¿Cómo hacen para robar sin datos?. La cadena del delito se inicia cuando un Hacker inserta código malicioso y toma control de un equipo remoto. Estos equipos son llamados "equipos mula" y es a través de ellos que se ejecutan los ataques que terminan en el robo de dinero.

¿Cómo introducen el malware?

El atacante conoce a su víctima…

Los atacantes profesionales conocen a sus víctimas a través de diversas técnicas… Entre ellas las redes sociales. Los usuarios tienden a utilizar claves similares a sus fechas de nacimiento, fecha de aniversario, e incluso dígitos de la cédula. Esto le permite al intruso mejorar sus posibilidades…

¿Qué contiene el malware?

El malware puede realizar PHARMING: Cambia el archivo hosts y redirige el DNS de la página a una página pirata. El malware puede utilizarse como keylogger: Recoge las contraseñas del usuario y las envía a través de Internet. El malware puede recoger las claves utilizando overlapping: Una aplicación físicamente idéntica a la original se sobrepone sin causar suspicacia. El malware puede robar los certificados digitales de los clientes. Para todo esto, los bancos protegen a sus clientes utilizando varios factores de autenticación como la matriz de números, la imagen reconocible, el cambio de contraseña, tokens, etc.

¿A que otros riesgos nos enfrentamos?

Una herramienta como el blackberry puede resultar un riesgo a la hora de un robo. Mucha gente utiliza estos dispositivos sin la seguridad mínima para evitar robo de información. Adicionalmente, muchas veces lo utilizan para guardar las claves de banco que no pueden recordar… Cuando las tarjetas y celulares son hurtados al mismo tiempo, el delincuente aumenta sus probabilidades de conseguir información relevante antes de que la víctima llegue a reportar el robo.

Cada vez hay más redes organizadas en el crimen informático

RBN – Russian Business Network: Redes como la Russian Business Network se dedican a la obtención de dinero ilegalmente por internet por cualquier método. El hacker ya no realiza todo el trabajo, parte del trabajo lo compra o lo alquila. RBN es una organización delictiva que actúa en varios países del mundo. Esta red se dedica a vender información que recolectan sobre tarjetas de crédito, Internet Banking, etc. Incluso alquilan BotNets para realizar ataques y obtener claves. En EEUU se reportaron mas de 3.5 millones de bot’s asociados a RBN

SEPTIEMBRE 2010

EEUU se prepara para golpear el mundo en Internet
Noticia enviada por

Vicente Rodríguez Díaz
Consultor Especialista de Tecnología y Riesgo - Gerencia de Tecnología de la Información
Superintendencia de Bancos y Otras Instituciones Financieras - Venezuela

Después del 1 de octubre, miles de piratas informáticos, que trabajan como espías militares de Estados Unidos, se involucrarán en pleno a sus actividades de guerra cibernética.

En mayo de 2009 la Casa Blanca aprobó el Protocolo para las Políticas en el Ciberespacio, presentado al Presidente de los EEUU. por los miembros de una comisión especial. El documento resume el estado de la red de EEUU y la seguridad de la información nacional. Es el documento que propuso nombrar a un alto oficial para la ciberseguridad encargado de coordinar las políticas de ciberseguridad de EE.UU. y sus actividades.

El informe describe un nuevo marco global para facilitar la respuesta coordinada por parte del gobierno, el sector privado y los aliados en caso de un incidente cibernético significativo. El nuevo sistema de coordinación permitiría a federales, estatales, locales y tribales trabajar anticipadamente con la industria para mejorar los planes y recursos disponibles para detectar, prevenir y responder a incidentes significativos en seguridad cibernética. La iniciativa también supone proporcionar a estas instancias datos de inteligencia y opciones de carácter técnico y funcional, además de garantizarles la formación de nuevos especialistas en la defensa cibernética.

Antecedentes

Y un último paso pero no menos importante: a mediados de 2010, la base aérea de Lackland, en Texas, comenzó la construcción del primer centro especializado de inteligencia virtual, donde ya trabajan unos 400 especialistas. El 68 Escuadrón de Guerra de Redes (The 68th Network Warfare Squadron) y el 710 Escuadrón de Inteligencia de Vuelos (710th Information Operations Flight), de la Fuerza Aérea, fueron trasladados a San Antonio. Este lugar se eligió porque está cerca de instalaciones militares que contemplan operaciones de ciberguerra, como la Agencia para la Inteligencia, la Vigilancia y el Reconocimiento de la Fuerza Aérea y el Centro Criptología de Texas, de la Agencia de Seguridad Nacional, que comandan operaciones de información y criptología para el apoyo de la Fuerza Aérea de los Estados Unidos. Funcionarán integrados a los intereses del Comando Espacial, el Comando de la Fuerza Aérea y la Reserva de la Fuerza Aérea de los Estados Unidos.

Numerosas publicaciones de EEUU. muestran que la reforma de las fuerzas cibernéticas para la defensa nacional, así como la introducción de la doctrina y la estrategia de la guerra cibernética están a punto de completarse. En cuanto a la estrategia para la ciberguerra de EE.UU podemos suponer que está en consonancia con el concepto general de la ofensiva militar global de EE.UU.

El general Keith Alexander, jefe del nuevo super Cibercomando del Pentágono (ARFORCYBER), afirmó:

“Tenemos que tener capacidad ofensiva, lo que significa que, en tiempo real, seremos capaces de aniquilar a cualquiera que trate de atacarnos”. Keith Alexander comparó los ataques cibernéticos con las armas de destrucción masiva, y de acuerdo con sus recientes declaraciones los EEUU tienen previsto la aplicación ofensiva de este nuevo concepto de guerra.

Mientras Washington acusa a otros países de ayudar o patrocinar el terrorismo cibernético (las estadísticas oficiales estadounidenses acusan a China de la mayoría de los ataques informáticos contra los sistemas de EEUU), las fuerzas especiales de Estados Unidos se emplean a fondo en la formación del nuevo personal para las guerras cibernéticas.

Infraestructura

El comando -formado por 1.000 hackers de élite y espías militares subordinados a un general de cuatro estrellas- es el eje de la nueva estrategia del Pentágono y se espera que sea plenamente operativa el 1 de octubre, según The Washington Post.

El Departamento de Defensa tiene “15 mil redes y 7 millones de dispositivos informáticos en uso en decenas de países, con 90 mil personas trabajando para mantener esas redes, cuyas operaciones depende en gran medida de las empresas comerciales” (7). Atraer a los aliados y a las empresas privadas que trabajan en el ámbito de las tecnologías de la información y de la seguridad es la propuesta de los Estados Unidos para establecer el nuevo orden en el espacio cibernético global.

Teniendo en cuenta todo esto, ¿qué podemos esperar? Es muy probable que podamos esperar el espionaje a través de puertas traseras, gracias a los software de compañías bien conocidas como Microsoft, además del bloqueo informativo, que limite dramáticamente el acceso a fuentes alternativas de información. De modo que a partir del 1 de octubre, todos los logros de la era de la información podrían ser cuestionados.

Más Información: http://www.globalresearch.ca/index.php?context=va&aid=20933

AGOSTO 2010

Módulos de optimización y hardening de un servidor Apache

Aceleración
* mod_gzip/mod_deflate: En general, casi todos los clientes web son capaces de "hablar" HTTP recibiendo los datos comprimidos por parte del servidor. La idea es configurar el servidor web para que sea capaz de servir los datos comprimidos, ahorrando parte del ancho de banda disponible acelerando el tráfico web. Tanto mod_gzip como mod_deflate son capaces de comprimir los datos servidos.

* mod_cache: Es sobre todo útil cuando se usa a la vez que mod_proxy (se verá más adelante). La idea es que Apache cachee los datos que ya ha servido, y no tenga que procesar las peticiones de nuevo. Este módulo depende a su vez de mod_disk_cache y mod_mem_cache para cachear la información en un espacio de disco o en memoria predefinidos para ello. En el caso de usarse con mod_proxy, la idea es que el servidor web final tenga una carga inferior para los contenidos más utilizados, estando estos cacheados en el servidor Apache que actúa como proxy intermedio.

Confidencialidad y autenticación

* mod_ssl: El tráfico web HTTP va en claro o sin cifrar. Si queremos ser capaces de hacer que el servidor web trabaje sirviendo datos cifrados desde extremo a extremo mediante HTTPS, debemos habilitar mod_ssl. De esta forma incluso podremos exigir a nuestros clientes la autenticación mediante certificados SSL X.509 de cliente (soportados mediante SSL v3).

* mod_auth_*: Si queremos que ciertas partes de los datos que servimos vía web requieran otro tipo de autenticación basado en usuario y contraseña, Apache nos provee de una infinidad de módulos para esta funcionalidad. El más básico es mod_auth. Podemos exigir autenticación Básica y Digest comparando los pares usuario/contraseña (o hash de la misma) contra un fichero, por convención llamado .htaccess, y permitir o no el acceso a los datos. Sin embargo, muchas veces se quiere utilizar para autenticar otros servidores de autenticación centralizada como pueden ser Radius, LDAP, Directorio Activo o una base de datos mysql por ejemplo. Para ello contamos con: mod_auth_radius, mod_auth_ldap o mod_auth_mysql por ejemplo.

Protección ante ataques

* mod_security: Tanto de forma embebida en el servidor web final, como en conjunción con mod_proxy para proteger ante accesos internos, mod_security es la alternativa libre en cuanto al software de Cortafuegos de Aplicación Web (o WAF) de los que hemos hablado varias veces en SbD. La idea es blindar el servidor web ante las peticiones que puedan ser ataques de tipo Inyección SQL o XSS, entre otros...

* mod_proxy: Una de las mejores maneras de aislar un servidor del mundo exterior es poner un proxy inverso de por medio. De esta manera, publicamos un servidor Apache en este caso hacia fuera y las peticiones se las lleva éste, como se hace en un sistema de correo con un relay que comprueba el spam y los virus. Así, si queremos incluso balancear tráfico entre diferentes servidores web finales, Apache con mod_proxy hará las peticiones hacia los internos. Como se comentó anteriormente, si además utilizamos mod_cache, podremos acelerar la aplicación web al cachear en el proxy inverso según que tipo de contenidos. Lo mismo ocurre con mod_security, al recibir Apache las peticiones, efectuará las que considere sanas hacia el servidor web final, no dejando pasar las demás.

* mod_evasive/mod_qos/mod_limitipconn/mod_antiloris: Dotar de la mayor disponibilidad posible el sistema es una de las labores de varios módulos diferentes. El más completo de todos es mod_evasive, aunque los otros módulos expuestos son buenas alternativas si sólo queremos limitar la Calidad de Servicio del servidor Apache mediante el ancho de banda y/o número de conexiones desde una determinada IP. Con mod_evasive incluso se puede reaccionar de forma dinámica cuando se detecte un ataque, bloqueando vía IPTables la IP atacante, avisos por correo o syslog, etc,... La idea principal de estos módulos es evitar los ataques de denegación de servicio debido al consumo de los recursos disponibles en el servidor. mod_antiloris está especificado para evitar ataques con la herramienta Slowloris. Lo he probado en una red local y efectivamente lo que antes bloqueaba mi Apache, al aplicarlo, permite que se siga utilizando por otras IPs.

Fuente: Security by Default

JULIO 2010

Otro 0 DAy, esta vez le toca a Wi-Fi WPA2

Vulnerabilidad encontrada en protocolo Wi-Fi WPA2

Esta vulnerabilidad permite, básicamente, a cualquiera con acceso autorizado a la red Wi-Fi, a través del aire desencriptar y robar información confidencial de cualquier otro que se encuentre conectado a la misma red inalámbrica, inyectar tráfico malicioso a la red y comprometer otros dispositivos autorizados, todo esto usando software de código abierto.

Hole 196 es el nombre de la vulnerabilidad encontrada en el protocolo de seguridad Wi-Fi WPA2 por un grupo de investigadores de seguridad inalámbrica de la compañía AirTight Networks. WPA2 es actualmente la forma de encriptación y autentificación más sofisticada y fuerte de todas las implementadas, estandarizadas y utilizadas hoy en día.

Kaustubh Phanse, investigador de AirTight afirma que no hay nada que se pueda hacer, al menos nada estándar que no sea crear una revisión del protocolo, para solucionar o “parchar” la vulnerabilidad “Hole 196″ y la describe como “una vulnerabilidad ‘Zero Day’ que crea una ventana de oportunidad para la explotación”. En el proceso no es necesario crackear ninguna clave, pues el atacante esta dentro de la red.

El ataque en sí no es sofisticado, pero sí es creativo, realiza una variante de "Man in the middle" (MITHM) en principio y luego lanza una serie de ataques de autenticación sobre las llaves del protocolo WPAd del tipo Group Temporal Key (GTK) las cuales son vulnerables a spoofing y data forgery.

Más Información: http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html

JUNIO 2010

Atacan el sitio web del Aeropuerto Internacional de la Ciudad de México

El sitio web del Aeropuerto Internacional de la Ciudad de México fue atacado con mensajes en contra del gobierno federal.

“Esto ya es el colmo con ustedes, primero cumplan ustedes y luego nosotros, en todo salimos perjudicados nosotros y ¿ustedes? solo se lavan las manos como me gustaría juntar a toda la gente y acabar con cada uno de los del gobierno por RATAS [...] Como puede ser posible que vendan las bases de datos del RENAUT para que hicieron esa mam… (el renaut), mejor bayan a aprender a lavarse los calzones o a atacar a quien de verdad se lo merece. [...] Estamos cansados de su gobierno, de sus reglas, de todo lo relacionado con ustedes los del gobierno, no saben lo que de verdad es mexico. Ustedes solo ven fraude y $$$ y anosotros nos hechan a un lado."

El ataque, perpetrado por un usuario que se identifica como etizx, es una respuesta al problema de la venta de datos del Registro Nacional de Usuarios de Telecomunicaciones (RENAUT), uno de los temas que más preocupa en materia de seguridad. Y es que en los últimos meses, México es un país en ebullición en reformas a la legislación en acceso y tecnologías a la información.

La bomba amenaza con reventar. Amén del ataque al sitio web del Aeropuerto, el domingo también hubo un acto vandálico contra el portal del Ayuntamiento de Guadalajara, en la que se respondía en contra de la implementación del Canon Digital en México. Aunque el hackeo fue rápidamente corregido, no deja de ser una llamada de atención sobre la situación actual.

¿Será que veremos más ataques a futuro? Espero que no. El vandalismo digital no es la solución: sólo transmite el mensaje de que la sociedad civil es intransigente y visceral (vaya, hasta la mala ortografía de los reclamos los deja muy mal parados). Más que ayudar, golpea a las iniciativas que pelean contra el Canon Digital con los mecanismos adecuados. Este tipo de ataques sólo endurecen la postura del gobierno, dándole pretextos de que regular Internet es lo correcto. Recuerden: la violencia (aunque sea digital) siempre genera más violencia.

Fuente: alt1040.com

MAYO 2010

Phishing por medio de las pestañas del navegador: Tabnabbing

Un usuario navega hacia la página del atacante, que no tiene por qué simular ningún banco o página de login. Simplemente es una página más equipada con un código JavaScript que hará el “truco”.

La víctima cambia de pestaña (o de programa, lo importante es que pierda el foco) y sigue con sus visitas cotidianas a otras páginas. Mientras, la web del atacante cambia por completo gracias al JavaScript: el favicon, el título, el cuerpo… todo excepto el dominio, lógicamente. La página ahora podría parecerse a (por ejemplo) la web de login de Gmail. La víctima, vuelve a la pestaña más tarde y piensa que ha caducado su sesión. Introduce sus credenciales y estos viajan en dirección al atacante.

Se supone que el usuario bajará la guardia puesto que, hasta ahora, se supone que una pestaña no “muta” a nuestras espaldas y por tanto, si aparece como “Gmail”, por ejemplo, es que lo hemos visitado previamente. Los usuarios que mantengan habitualmente muchas pestañas abiertas, saben que es fácil olvidar qué se está visitando exactamente en cada momento.

Según el propio descubridor, se podría investigar en el historial de CSS del navegador para averiguar qué páginas visita el usuario y mostrarse como una de ellas dinámicamente, para hacer más efectivo el ataque. Existen otros métodos para incluso averiguar en qué sitios está realmente autenticado el usuario, con lo que la técnica resultaría más efectiva.

Si el atacante consigue incrustar JavaScript en la web real que se quiere falsificar (por ejemplo a través de publicidad contratada a terceros) entonces la página cambiaría sobre el dominio real… y entonces sí supondría un ataque “casi perfecto”.

El descubridor, en su entrada http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/ ha colgado una prueba de concepto. Si se visita esa web, luego se pasa a otra pestaña durante 5 segundos (tiempo arbitrario impuesto por el descubridor), y se vuelve, mostrará una imagen de Gmail que toma de http://img.skitch.com/20100524-b639xgwe ... 387ene.png superpuesta sobre la página. Cambiará el favicon y el título. Obviamente, el ataque en este ejemplo está específicamente diseñado para que sea “visible”.

Supone un método ingenioso y nuevo de intentar suplantar una página. Funciona en Firefox, Opera y (de forma un poco irregular) en Internet Explorer 8. Parece que Chrome no es vulnerable, aunque es posible que aparezcan métodos para que sí lo sea.

El ataque sigue confiando en que el usuario no este pendiente de la direccion URL, por tanto, cuando la víctima vuelve a la pestaña, estaría ante un caso de phishing “tradicional” sino fuera porque la pestaña cambió “a sus espaldas”. Realmente pensamos que no será un ataque puesto en práctica de forma masiva por los atacantes, aunque obviamente puede ser utilizado selectivamente. La razón es que el phishing tradicional, burdo y sin trucos, sigue funcionando y reportando importantes beneficios a quienes lo ponen en práctica sin mayores complicaciones técnicas. Y ambos se basan en que el usuario medio NO aprovecha los beneficios de los certificados ni se fija en las URLs donde introduce las contraseñas.

Mitigación

Para no sufrir “tabnabbing”, es necesario fijarse en las URLs antes de introducir contraseñas, como siempre. Desactivar JavaScript para las páginas en las que no se confíe, ya sea a través de la Zonas para Internet Explorer o No-Script para Firefox.

Fuente:vulnerabilityteam.blogspot.com

ABRIL 2010

Fugas de Información: La Realidad de Nuestro Medio
Esteban Lubensky
Gerente General, GMS

Ecuador

Esta columna se desprende de una charla de Esteban Lubensky, Gerente General, GMS - Ecuador para Infosecurity Quito; cambiamos un poco la orientación técnica de esta sección para analizar una realidad latente en todas las tareas de TI: La fuga de información. Todo pentester debe tener siempre en mente esta realidad y estas soluciones que presenta Esteban Lubensky al momento de elaborar sus informes.

La gravedad del problema de fugas de información: En marzo del 2008, IDC declaró el problema de fugas de información como el más grande en el manejo de seguridad TI en las empresas, porencima de virus, troyanos, gusanos, etc. (IDC, “Information Protection and Control Survey: Data Loss Prevention and Encryption Trends,” Doc # 211109, Marzo 2008).

¿Por qué es difícil entender la realidad de fugas de información?

• No podemos reportar nada sobre los incidentes que no se detectan

• Aún cuando detectamos un incidente, muchas veces no es posible o conveniente reportarlo

• No tenemos a quién entregar información

¿Cómo manejar el problema?

• Necesidad de cubrir múltiples frentes: Es necesario proteger tanto contra incidentes intencionales como accidentales. Combinación de esfuerzos en: Políticas administrativas, Seguridad perimetral, Seguridad interna.

• Políticas administrativas: Se debe partir de un inventario de información, el cual tome en cuenta sus distintos estados (estática, en uso, en tránsito): Información confidencial de terceros (ej. datos de
  clientes o proveedores), incluyendo Información financiera, Propiedad intelectual, Información comercial. Identificar la información permite determinar quién debe poder accederla y por cuáles motivos, por ejemplo Creación de perfiles de usuarios.

• Seguridad perimetral: efectiva para prevenir hackeo externo de aplicaciones / bases de datos dentro
  de la red, prevenir infecciones de malware por navegación peligrosa, bloqueo bidireccional de amenazas de spyware y phishing, bloqueo de transferencia de archivos vía mail, P2P o chat, hasta cierto punto, filtrado de correo saliente, en ciertos casos, hay funcionalidad para el cifrado de correo.

• Seguridad interna: control de malware efectivo para detectar y neutralizar malware que extrae datos (ej: Keyloggers, Screensweepers); efectivo para detectar y neutralizar malware que abre otras puertas (ej: Administradores remotos, Escaladores de privilegios)

• Seguridad interna: control de puertos, efectivo para asegurar un buen uso de dispositivos de
  almacenamiento masivo y generar trazabilidad de archivos.

• Seguridad interna: control de activos efectivo para inventarios, identificación de programas riesgosos no autorizados (ej. P2P), identificación de programas o dispositivos para almacenamiento masivo, bloqueo automático de instalación / uso de elementos no autorizados, inventario de archivos por tipo.

• Seguridad interna: NAC efectivo para administración de niveles de acceso según perfiles de
  usuario y generar trazabilidad de accesos.

• Seguridad interna: cifrado de datos efectivo para mitigar el impacto de cualquier incidente de fuga de
  información.

• Seguridad interna: monitoreo de usuarios efectivo para herramienta de disuasión, investigación a fondo de cualquier persona sospechosa, trazabilidad completa de uso de archivos, apertura, escritura, grabación, impresión.

MARZO 2010

Los perfiles de los hackers

Mercedes Martín
Responsable de Iniciativas de Seguridad y Privacidad
Microsoft España

Según representa el siguiente gráfico, los hackers pueden categorizarse en diferentes perfiles, cuyas motivaciones con el transcurso del tiempo van cambiando: En primer lugar se encuentran aquellos hacker inexpertos, personas sin amplios conocimientos que hacen uso de aplicaciones ya desarrolladas y se autoforman siguiendo tutoriales y diferentes manuales explicativos que se encuentran en la red, y cuya principal motivación es su innata curiosidad pero sin deseos de producir daños.

Avanzando un poco, se encuentra el grupo de hackers amateur, representado por programadores con muchos conocimientos informáticos aunque sin solida formación, motivados por obtener ganancias económicas.

Y en la cumbre, se encuentran los hackers especialistas, movidos por intereses nacionales, nuevos grupos en auge pertenecientes a grupos muy organizados: servicios de inteligencia, diferentes áreas de espionaje industrial, grupos terroristas, criminales profesionales…

Y claro, no podía ser menos, los hackers también cuentan con ramas de especialización. NO !!! no todos los hackers son iguales:

Tienen su correspondiente especialidad, desde Lammers o Script-Kiddies, Crackers, Carders, Phreakers, Newbie, White Hats, Dark Hats, Hacktivistas, War driver, Trashing …., y así una larga e interminable lista. Nombrare los que me causan especial atención:

Hacktivistas: hackers con motivaciones ideológicas, con ética propia, promoviendo entre sus cibercomunidades, políticas propias tales como los derechos humanos, uso libre de las tecnologías, igualdad social…

White Hats: También conocidos como “hackers del lado del bien”, es decir, hackers éticos, expertos en seguridad informática, cuyos objetivos son descubrir e identificar vulnerabilidades de seguridad, avisando a las compañías propietarias de las vulnerabilidades descubiertas en sus productos.

ESTABLECIMIENTO DE MAFIAS

Y es que el negocio del malware es tan elevado que ha llegado a superar los ingresos que deja el negocio de la droga en todo el mundo, según datos de la consultora Frost & Sullivan. Hoy en día los compradores y vendedores de malware se reúnen a través de un “mercado negro”, web sites diseñados especialmente para este propósito. En estos sitios virtuales existen foros y subastas, donde puede llegar a encontrarse desde virus diseñados a medida, tarjetas de crédito con sus correspondientes PIN’s, hasta una amplia oferta de Exploits 0-days clasificados por producto y vulnerabilidad. Los precios pueden rondar desde 200 euros hasta alcanzar soluciones a medida que superan los 30.000 Euros.

Fuente: Iniciativas de Seguridad y Privacidad - Microsoft España

ENERO 2010 - FEBRERO 2010

BOTNETS Point & Click >> lo que se viene

Christian Vila / ISEC +
Senior Security Consultant
ISEC Information Security Inc.
www.isec-global.com

Desde hace tiempo (años) venimos comentando en varias columnas sobre las botnets, es mas en algunas columnas de esta edición se trata "malware" que es el medio de infección que origina estas redes destinadas a fines delictivos...

¿Cómo se generan? en la complejidad y diversidad de los ataques actuales una Botnet es el resultado de proliferación de malware a través de internet, mails, tarjetas de memoria, dispositivos usb, routers y adsl´s.

¿QUE?!! routers y adsl´s; si desde hace un tiempo venimos hablando de malware que toma control de dispositivos de conexión

Una nueva botnet descubierta por investigadores checos del departamento Institute of Computer Science de la Universidad de Brno. El malware ha sido bautizado como Chuck Norris debido a un comentario en el código fuente del mismo y que destaca por infectar routers y módems DSL en lugar de PCs propiamente dichos.

Se instala en routers y módems probando las claves por defecto de la mayoría de routers y se beneficia de que la mayoría de dispositivos están preparados para ser manejados de manera remota. En palabras de uno de los investigadores, hace uso también de un exploit importante de equipos D-Link.

Fuente: TheInquierer.es

Las Botnets Point and Click  son redes robot "llave en mano", compradas o alquiladas por un período de tiempo por spammers y phishers y automáticamente pueden ser utilizadas; en el caso de la noticia anterior llegan a comprometer hasta a dispositivos instalados por default como routers o adsl´s, se instalan y ejecutan en la ram del dispositivo para luego propagarse al resto de la red interna un ataque similar a drive by pharming (el ataque es el mismo pero los efectos son distintos mientras que las botnets se propagan para tomar control de servidores y estaciones de trabajo envenenándolos de malware, drive by pharming intenta modificar los dns definidos en los dispositivos)

Al estar envenenada la ram del dispositivo dispara diversos códigos (malware) a todo lo que esté conectado, entonces reseteando el dispositivo dejo sin efecto la infección (lo cual es obvio) pero en realidad la infección al resto de la red que está detrás del dispositivo no queda desinfectada.

Solución: En principio no use la pass por default en el router de perímetro, después las soluciones son las recomendadas por los antivirus ya que lo que utilizan malware para infectar y tomar control de los equipos.

DICIEMBRE 2009

RFid ¿Camino al Estándar?

Desde hace años esta tecnología de transmisión de datos inalámbricos esta siendo utilizada para colaborar con muchos sistemas, por ejemplo pagos electrónicos, medicamentos, cadena de frío; pero todavía no está totalmente estandarizada...

Después de tantos testeos de seguridad realizados el resultado común en casi todos los trabajos es que si el objetivo es brindar una solución a largo plazo lo conveniente es orientarse en cumplimiento de las normativas de seguridad y estas normativas coinciden en que todas las tecnologías utilizadas deben estar estandarizadas con criterios de seguridad.

En el caso particular de RFid todavía no está 100% estandarizado, igual  quédese tranquilo que esto ocurre con todas las tecnologías primero la sacan al mercado y después de años se estandariza. Una solución de workaround es al menos securizar lo más cerca posible al estandard que va a venir. De esta forma analicemos que es lo que hay sobre RFid:

En primer lugar analicemos el stack de protocolos de esta tecnología:

De este gráfico obtenemos que de la arquitectura de protocolos el único grupo que está estandarizado al 100% es el grupo de protocolos encargados de la etapa de identificación (TDS y TDT), las otras dos etapas (Captura e Intercambio de información) no están completamente estandarizados.

Entonces ¿cuáles serían las tareas al momento de securizar o testear la seguridad RFid?, si queremos hacer un trabajo a corto plazo, utilizamos alguna metodología de penetration testing y analizaremos todos los ataques posibles a todos los dispositivos involucrados (que no es poco) TAG, Lector y Servidor; pero si queremos darle un valor agregado y definir soluciones a largo plazo hay que realizar trabajo de investigación y análisis: Cada dispositivo y cada una de las tres etapas deben estar en cumplimiento con los estándares que ya están definidos y terminados, y las que no estén estandarizadas habrá que estudiar cual es el proyecto y definir si el sistema de información que estoy analizando al menos está orientado con el estándar que todavía no esta aprobado.

Si ya sé, no estoy "reinventando la rueda" pero les hago esta pregunta ¿alguna vez testearon un dispositivo de conexión (ej. Access Point) y verificaron que cumpla con alguna Norma (ej ISO) o si tiene alguna certificación de seguridad?

Fuente: ISec Information Security Inc.

Estandard RFid: http://www.epcglobalinc.org/standards

NOVIEMBRE 2009

Los celulares, más vulnerables a virus

Los teléfonos móviles se exponen a los riesgos de seguridad informática propios del Internet; los primeros ataques a celulares registrados se dieron a través de mensajes de texto y el bluetooth

Los problemas de seguridad informática han dejado de pertenecer sólo a los equipos de cómputo y han comenzado a reflejarse cada vez más en los teléfonos móviles.

Los ataques enfocados a robar información personal o corporativa, descarga de sitios infectados con malware o la introducción de virus para desconfigurar los equipos comienzan a ser cada vez más frecuentes, sobre todo en los teléfonos inteligentes, de acuerdo con Jay Santos, ingeniero de seguridad de Check Point Software.

"Los riesgos se empiezan a multiplicar, hoy en día una Blackberry, un iPhone, o un Windows Mobile son prácticamente computadoras y se exponen a los riesgos a una computadora como a los de un teléfono celular", dijo el directivo Andrés Velázquez, director de investigaciones digitales del laboratorio de crímenes informáticos MaTTica.

Recientemente se dio a conocer un virus llamado Duh Worm que ataca a los equipos "desbloqueados" del iPhone de Apple con el propósito de obtener las contraseñas bancarias de los usuarios.

Velázquez considera que aunque este tipo de ataques son escasos, se comenzará a acelerar el proceso para pasar de infecciones con virus a la introducción de malwares para robar información.

"Los teléfonos celulares han pasado de ser un dispositivo de comunicación más a ser el medio más personal que existe", según el experto. Por lo que ser atacado por un virus o malwares no solo significa perder la libreta de direcciones, sino una serie de documentos que permiten saber todo acerca de una persona.

Recomendaciones:

• Los celulares deben ser protegidos desde su punto más básico que es la inclusión de un PIN para evitar el acceso de cualquier otra persona que no sea el dueño.

• Verificar con los proveedores si el teléfono que poseemos puede contar con un antivirus, sobre todo en el caso de smartphones que permiten ingresar a Internet.

• En el caso de recibir ligas a través de mensajes de texto es mejor no abrir los archivos, ya que pueden contener virus que destruyan la información que guardamos en el celular.

• Es recomendable conocer el número de serie de la SIM card, así como el del celular, para poder bloquear el teléfono en caso de robo.

• Es bueno tomar los mismos cuidados que se tienen con las computadoras, al contar con funciones en principio similares.

Los teléfonos móviles comenzaron a ser atacados cuando contaron las funciones de mensajes de texto y bluetooth, en este último caso aplicando la técnica de "bluesniffing" en donde se realizaban ataques directos a los teléfonos para poder robar las libretas de direcciones y hacer llamadas, según Velázquez.

Fuente. CNN

OCTUBRE 2009

Malware 2009 - ANALISIS y PROPAGANCIÓN

Bitdefender

1. Trojan.Autorun.Inf: En el primer lugar del ranking de malware de 2009, encontramos al Trojan.Autorun.Inf, responsable del 31 % del número total de infecciones a nivel mundial. Sin embargo, el gran número de infecciones no es el resultado de la extensa propagación. El elevado número de infecciones se debe a que la técnica está siendo utilizada por diferentes familias de malware (Win32.Worm.Downadup, Trojan.PWS.OnlineGames and Trojan.TDss) para propagarse vía unidades extraíbles. Es uno de los más importantes vectores de malware, la función autorun se ejecuta automáticamente una vez que un archivo binario en un medio extraíble se conecta al PC. Antes de la llegada de Windows Vista, está basado en sistemas operativos Windows para que siga todas las instrucciones del archivo autorun.inf.

2. Win32.Worm.Downadup: ha logrado infectar a un número sin igual de ordenadores en todo el mundo y ha ocupado los principales titulares de cualquier revista del sector informático. El gusano ha sido diseñado por un equipo de cibercriminales profesionales, hecho que se constata por su utilización de las APIs de Windows menos conocidas y es extremadamente resistente a la desinfección. Por ejemplo, el gusano se protege de su eliminación quitando todos los permisos de los archivos NTFS de todos los usuarios del sistema, a excepción para ejecutarse y el directorio transversal. Puede comprometer ordenadores utilizando tres enfoques distintos:

   • Si el sistema de destino no ha sido parcheado contra la vulnerabilidad MS08-067, el gusano puede enviarse desde un ordenador de la red que ya haya sido infectado.

   • Una vez que se ha infectado un sistema que es parte de una red, el gusano puede localizar los sistemas limpios y lanzar un ataque de fuerza a la cuenta administrativa remota con el fin de tener acceso a los archivos compartidos del usuario.

   • Si el gusano se ha copiado en un medio extraíble (CD-R, DVD-R, una unidad flash o de red asignada como dispositivo de almacenamiento), éste aprovecha la función automática (si está activada) para transferirse automáticamente al equipo no infectado.

3. Trojan.Wimad: Tercero en el ranking de malware encontramos a Trojan.Wimad que se aprovecha de una característica menos conocida implementada por Microsoft con el fin de almacenar datos de la coordinación de medios digitales. El troyano afecta a los archivos ASF, un formato de archivo extensible que soporta la entrega de datos a través de una amplia variedad de redes y es muy fácil de reproducir a nivel local.

4. an.SkimTrim.HTML.A: Trojan.SkimTrim.HTML.A es parte de la familia adware NaviPromo. Conocido sobre todo por sus agresivas ventanas emergentes y la resistencia a la detección y desinfección, esta pieza de software publicitario utiliza una avanzada técnica de rootkit para ocultar sus archivos, tanto en el disco como en la memoria, por lo tanto, oculta su presencia tanto en los sistemas operativos como para los análisis de antivirus.

5. Trojan.Agent.AKXM: Aunque los autorun.inf no son archivos maliciosos por sí mismos, son utilizados por los desarrolladores de malware para lanzar automáticamente diversas piezas de malware cuando el medio infectado es conectado. Trojant.Agent.AKXM es una pieza de malware que utiliza la característica de ejecución automática. El archivo está oculto y lleno de texto basura para evitar la detección. Siempre que se pueda acceder a la infección, el archivo .inf automáticamente crea rundll32.exe para cargar un archivo dll ubicado en (RECYCLER \ S-5-3-42-2819952290-8240758988-879315005-3665 \). El análisis reveló que la dll lanzada es, de hecho, una copia de Win32.Worm.Downadup.

6. Troajn.Autorun.AET: es una pieza de malware que se extiende a las carpetas compartidas de Windows vía medio extraíble (dispositivos de almacenamiento adjuntos a la red o unidades de red). El troyano explota la característica del Autorun implementada en los sistemas operativos Windows para ejecutarse automáticamente cuando un dispositivo infectado es conectado. Para saber más sobre cómo la característica del Autorun puede impactar en la seguridad de su equipo, por favor, revise el apartado anterior que concierne al Trojan.Autorun.Inf.

Fuente: Bitdefender para Infosecurity 2009 - Lima

SEPTIEMBRE 2009

Hacker Halted 2009 - Miami : La Seguridad de la Información, un tema que preocupa a especialistas a nivel mundial.

Miami Florida fue la sede donde se reunieron cerca de quinientos Hackers Éticos certificados de todo el mundo durante el Hacker Halted, evento que se realizó por 14° ocasión a cargo del International Council of E-Commerce Consultants (EC-Council).

Hacker Halted es una serie de conferencias con expertos en seguridad de la información, quienes presentan temas fascinantes y discuten sobre amenazas globales a la seguridad. De igual forma instructores líderes en el mundo dirigen capacitaciones de primera clase a través de Hacker Halted I Academy.

El objetivo de este evento es incrementar el nivel de conciencia a través de una mejor educación y ética en la seguridad de la información. En esta ocasión, el presidente del EC-Council, Sanjay Bavisi abrió la serie de conferencias con una noticia relevante para los gobiernos del mundo, a través de IMPACT (The International Multilateral Partnership Against Cyber Threats) la primera iniciativa público-privada en contra del cyberterrorismo, otorgará un millón de dólares en becas que beneficiarán a 190 países quienes estarán capacitados para prevenir delitos informáticos.

Durante la conferencia de apertura Jay Bavisi cedió la palabra a Howard Schmidt quien tiene experiencia de 31 años en áreas de seguridad en el gobierno Local y Federal de los Estados Unidos. Howard abrió su conferencia con esta frase “En épocas difíciles, no ahorren dinero recortando en seguridad, al final del día eso les costará más. 90% de los ataques provienen de vulnerabilidades que ya se conocían y no fueron remediadas en su momento, hay que trabajar todos los días reduciendo las brechas de seguridad en nuestros sistemas y para esto hay que estar capacitado”

Según Schmidt, las empresas y gobiernos enfrentan cuatro retos:

1. Entender los riesgos en su ambiente (elaborar una matriz de riesgos).
2. Tener una estrategia definida para los riesgos.
3. Moverse de una filosofía de tecnología a una de negocios.
4. Asegurarse que su sistema de seguridad no se rompa en poco tiempo.

Los ataques a las redes nunca se detienen, es importante considerar siempre que es más difícil para un intruso acceder a un lugar donde nunca ha estado, aquí la importancia de mantener actualizadas todas las aplicaciones.

Cinco pasos para mantenerse protegidos:

1. Asegurarse de tener lo básico bien hecho. Es crítico documentar cada cambio realizado para mantenerse protegido
2. Trabajar en grupos de seguridad. Examinar todas las funciones que hay para ser más efectivos.
3. Planear para la incertidumbre. Desarrollar planes y asignar responsables.
4. Adaptarse a los retos. Hacer que los negocios vayan mejor.
5. Hacer cada quien su parte. Asegurar su propia parte en el ciberespacio.

Lo anterior es sólo una prueba de las interesantes conferencias que se llevaron a cabo durante el Hacker Halted 2009, evento de 3 días en el cual especialistas se reunieron a compartir experiencias y mejores prácticas en temas de seguridad. Algunos de los expertos que estuvieron presentes son: David Litchfield una de las autoridades mundiales en seguridad en bases de datos, G. Mark Hardy autor de “The Information Security Handbook for Enterprise Computing, Client/Server Security Handbook” y contribuyó también con el libro “Network Security Secrets”, Tim Pierson instructor líder en seguridad y virtualización, Ira Winkler experto en seguridad en internet, investigación de crímenes y espionaje industrial, Ari Takanen especialista en redes next-generation y seguridad en ambientes críticos y Jeff Bardin premio de excelencia 2007 por prácticas en seguridad, entre otros.

Fuente: ConcepTI

AGOSTO 2009

SNIFFERS EN LA RED - No te creas todo lo que dicen!

Christian Vila / ISEC +
Senior Security Consultant
ISEC Information Security Inc.
www.isec-global.com

Muchas veces con el afán de solucionar problemas o de investigar sobre ciertos temas escribimos una búsqueda en alguno de los buscadores, abrimos las primeras páginas que aparecen y listo ya tenemos la información que estamos buscando y encima lo aceptamos como verdad absoluta...

Hagamos la prueba de leer lo que nos dice Internet sobre los Sniffers de Red, escriban esta búsqueda "detección de sniffers" seguro que encontrarán algunos sitios que explican como con algún programita y algunos clicks del mouse se descubre como por arte de magia si alguien nos esta "sniffeando" dentro de la red. Inclusive algunos sitios de los cuales sospechar sería una blasfemia, como Wikipedia, por ejemplo.

Sin embargo siempre es bueno ir las fuentes, como en cada ocasión que se quiera investigar algún tema, dejemos de lado los programitas mágicos y comencemos con las técnicas de los ataques. Fíjense como un tema tan básico como es la detección de sniffers puede engañar a más de algún experto solo por seguir la corriente de Internet.

SNIFFING: es un ataque definido como "PASIVO" o sea no modifica ningún paquete de NINGÚN protocolo solo los detecta y los lee; lamentablemente son indetectables en la red y la única forma de detectarlos es estar sentado en la máquina que esta haciendo sniffing o por algún método de forencia pero siempre sobre la máquina que realiza el ataque.

Existen si otras técnicas que favorecen la captura de los paquetes realizando distintos ataques en la red local, por ejemplo arp poison, modo promiscuo de las placas de red, ipspoofing, etc.; pero esto es otro tema de lo que hay mucho escrito y ESTO ES LO QUE DETECTAN LOS FAMOSOS PROGRAMITAS ANTISNIFFERS.

Van a encontrar sniffers de hhtp, sniffers de msn, sniffers de Voip pero si realmente no se comprende bien la técnica de los ataques, que tareas realiza, qué protocolos utiliza, en que nivel OSI se encuentra, si no se testea en ambientes controlados; solo me queda correr programitas, hacer un par de clicks y creer lo que me dicen...

...por todo lo dicho los aliento a ir más allá de lo que muestran los papers de internet, por cada ataque que quieran investigar antes de correr cualquier herramienta testear bien como funciona, por ejemplo les dejo una idea: ¿Que ocurriría si cambio el switch por un hub y corro un sniffer como "wireshark"?¿Es necesario poner mi placa en modo promiscuo, es necesario envenenar la red de paquetes ARP?. Es increíble lo que se puede hacer con un HUB conectándolo antes de un Access Point.

Fuente: ISec Information Security Inc

JULIO 2009

Web Aplication Vulnerabilities Parte 5 de 5

Traducción y resumen de artículo para Security Focus:

- Five common Web application vulnerabilities
- Sumit Siddharth, Pratiksha Doshi

5ta Parte: Enumeración de Usuarios

Enumeración de usuarios es un tipo de ataque en el cual la secuencia de comandos de validación le dice al atacante si el nombre de usuario proporcionado es correcto o no. La explotación de esta vulnerabilidad permite al atacante a experimentar con diferentes nombres de usuario y determinar los válidos con la ayuda de estos mensajes de error.

Rating: bajo.

Productos vulnerables: Nortel Contivity VPN client, Juniper Netscreen VPN, Cisco IOS [telnet].

Ejemplo de Mensaje de error:

Ejemplo de mensaje correcto:

Enumerar usuarios puede ayudar a un atacante que intenta utilizar algunos nombres de usuario triviales con contraseñas fácilmente adivinables, como prueba / prueba, admin / admin resultados / resultados y así sucesivamente. Estas cuentas son creadas a menudo por los desarrolladores para realizar pruebas y muchas veces las cuentas no son desactivadas o el desarrollador se olvida de cambiar la contraseña.

Contramedidas:

Mostrar mensajes de error que eviten la divulgación de nombres de un usuario válido. Asegúrese de que si existen cuentas genéricas realizar pruebas para que sus contraseñas no sean triviales o que estas cuentas estén totalmente eliminadas antes de que la aplicación se ponga en producción.

Fuente: SecurityFocus

JUNIO 2009

Web Aplication Vulnerabilities Parte 4 de 5

4ta Parte: Cross Site Scripting - XSS

El éxito de este ataque requiere quela víctima ejecute una url con código malicioso que a primera vista parecería ser código legítimo. Cuando se clickea sobre una url modificada manualmente un atacante puede hacer ejecutar código sobre el browser de la vítima, por ejemplo algún código java malicioso puede ser ejecutado en el contexto de un sitio web que se aprovecha del bug XSS.

Rating: Moderado a Crítico.

Algunos productos vulnerables: Microsoft IIS web server, Yahoo Mail, Squirrel Mail, Google search.

El ataque de Cross Site Scripting se realiza a través de formularios en los cuales hay interacción con el usuario, los siguientes son los objetivos más populares:

• Los buscadores de internet.

• Foros de discusión.

• Programas de login de usuarios.

A continuación un ejemplo de ataque XSS:

<form action="search.php" method="GET" />
Welcome!!
<p>Enter your name: <input type="text" name="name_1" /><br />
<input type="submit" value="Go" /></p><br>
</form>

<?php
echo "<p>Your Name <br />";
echo ($_GET[name_1]);

?>

El valor pasado por la variable 'name_1' no está sanitizado entonces puede ser explotado para ejecutar código arbitrario.

Otro ejemplo de explotación de este ataque:

http://victim_site/clean.php?name_1=<script>code</script>
or
http://victim_site/clean.php?name_1=<script>alert(document.cookie);</script>

Contramedidas:

El siguiente código se recomienda ingresar para resolver estos ataques:

<?php

$html= htmlentities($_GET['name_1'],ENT_QUOTES, 'UTF-8');
echo "<p>Your Name<br />";
echo ($html);
?>

Fuente: SecurityFocus

MAYO 2009

Web Aplication Vulnerabilities Parte 3 de 5

3er Parte: Vulnerabilidades Format String

Esta vulnerabilidad se produce cuando el ingreso de entradas de usuario están sin filtrar, generalmente son parámetros en código perl o C que realizan funciones de formato, tales como printf ().

Un usuario malintencionado puede utilizar el especificador de formato "%s" o "%x", entre otros, para imprimir los datos de la pila o posiblemente otros lugares de la memoria. Inclusive, puede escribir datos arbitrarios en lugares arbitrarios de la memoria utilizando el especificador de formato %n.

Las vulnerabilidades Format String se podrían clasificar en tres categorías: denegación de servicio, lectura y  escritura.

Rating: Moderado a Crítico.

Algunos Productos Vulnerables:

McAfee AV, Usermin, Webmin, various Apache modules, winRar, ettercap, entre otros.

• Los ataques de denegación de servicio se caracterizan por la utilización de múltiples instancias del especificador de formato %s, este especificador se utiliza para leer datos de la pila si se generan múltiples peticiones hasta que el programa intente leer datos desde una dirección ilegal se provocará que el programa se caiga.

• Los ataques de lectura utilizan el especificador de formato %x, el cual es utilizado para imprimir secciones de la memoria para las cuales el usuario normalmente no tienen acceso.

• Los ataques de escritura utilizan especificadores de formato %d, %u o %x para sobrescribir el puntero de instrucción y forzara la ejecución de un shell (con permisos del usuario).

Este es un ejemplo del archivo miniserv.pl (Webmin) que provoca esta vulnerabilidad:

if ($use_syslog && !$validated)
{
        syslog("crit",
               ($nonexist ? "Non-existent" :
                $expired ? "Expired" : "Invalid").
               " login as $authuser from $acpthost");
        }

Contramedida:

Modificar el código fuente para que la entrada es verificada correctamente

Fuente: SecurityFocus

ABRIL 2009

Web Aplication Vulnerabilities Parte 2 de 5

2da Parte: SQL injection

La inyección de SQL es un método muy antiguo, pero aún es popular entre los atacantes. Esta técnica permite a un atacante obtener información crucial de un servidor Web de la base de datos. Dependiendo de las medidas de seguridad de la aplicación, el impacto de este ataque puede variar desde la divulgación de información básica hasta la ejecución remota de código y total compromiso del sistema.

Rating: Medio y Crítico

Productos Vulnerables:
PHPNuke, MyBB, Mambo CMS, ZenCart, osCommerce

MS SQL tiene la característica de llamadas de procedimiento almacenado extendido (extended stored procedure), que permite ejecutar comandos a nivel de sistema a través del servidor de MS SQL - como agregar un usuario. Además, los mensajes de error mostrados por el servidor de MS SQL revelan más información que un servidor MySQL. Mientras que MS SQL Server no es especialmente propenso a ataques de inyección de SQL, hay medidas de seguridad que deben aplicarse para que sea segura y no permitir que el servidor SQL dé información crítica del sistema.

Este es un ejemplo de un código que puede ingresar un usuario y es utilizado directamente como una query de SQL:

<form action="sql.php" method="POST" />
<p>Name: <input type="text" name="name" /><br />
<input type="submit" value="Add Comment" /></p>
</form>
<?php
$query = "SELECT * FROM users WHERE username = '{$_POST['username']}";
$result = mysql_query($query);
?>

Este script funciona normalmente cuando el campo username no contiene ningún caracter malicioso:

$query = "SELECT * FROM users WHERE username = 'steve'";

Sin embargo una inyección de sql podría resultar de esta forma:

$query = "SELECT * FROM users WHERE username = '' or '1=1'";


Como la condición "or" es siempre verdadera, la función mysql_query va a retornar los registros de la tabla de datos. Un ejemplo similar sería usar "AND" y un comando de SQL que generaría un mensaje de error específico:

Es obvio que este tipo de mensajes de error ayuda a un atacante a obtener la información que está buscando (nombre de la tabla, de la base de datos, usuarios, hashes de contraseñas, etc.). Mostrar mensajes de error personalizados puede ser una buena solución para este problema, sin embargo, existe otra técnica conocida como ataque de inyección de SQL a ciegas (Blind SQL Injection), donde el atacante es todavía capaz de llevar a cabo una inyección de SQL, incluso cuando la solicitud no revela ningún mensaje de error del servidor de base de datos que contenga información útil para el atacante.

Contramedidas:

Evite conectar a la base de datos como superusuario o como el propietario de la base de datos. Utilice siempre usuarios personalizados para conectar a la base de datos con el mínimo privilegio necesario para realizar la tarea asignada.

PHP tiene dos funciones para MySQL que sanitizan los imputs del usuario: addslashes (el más viejo) y mysql_real_escape_string (el método recomendado). Esta función viene con PHP >= 4.3.0, por lo que debe comprobar primero si existe esta función y que esté ejecutando la última versión de PHP 4 o 5.

Fuente: Security Focus