Ataques DoS efectivos mediante colisiones de hashes

Durante la conferencia 28c3 (28th Chaos Communication Congress) de finales del año pasado en Berlín, Alexander “alech” Klink y Julian “zeri” Wälde ofrecieron una interesante charla titulada "Ataques de denegación de servicio eficientes sobre plataformas de aplicaciones web". En ella hablan de ataques basados en colisiones de hashes que causan fácilmente pérdidas de servicio en un gran porcentaje de aplicaciones web.

Pero, ¿en qué consisten estos ataques?. Muchas aplicaciones web automáticamente recogen los parámetros de cada petición y los pegan en un hash de pares de claves para aumentar el rendimiento y la velocidad. La idea es "colisionar" estos hashes mediante peticiones http post para que el servidor objetivo consuma una gran cantidad de CPU al procesarlos.

Si un atacante es capaz de entender los valores usados en el algoritmo de hashing puede pre-calcular un conjunto de valores de hashes que den como resultado el mismo. Comparar estos hashes se convierte en una función cuadrática que puede crear una carga muy pesada en el servidor web.

Por ejemplo, enviar aproximadamente dos megabytes de valores que computan el mismo hash provoca que el servidor tenga que comparar más de 40 billones de strings. Wow!

Es fácil encontrar estas colisiones en lenguages que no aleatorizan las funciones de hashing: node.js/v8, php, python, ASP, ruby, java, etc. Sólo unos pocos se salvan, como cruby (1.9 ~2008) o perl (5.8.1 ~2003). De hecho se comenzó esta investigación a partir de la FAQ de seguridad de Perl (perldoc perlsec) en la que se habla de un fallo de seguridad en versiones anteriores a la 5.8.1, que permitían ataques de colisiones de hashes. Podéis encontrar los lenguajes y versiones afectas y parcheadas aquí.

Y finalmente, ¿cómo puedo explotar esta vulnerabilidad? Pues existe una herramienta escrita en Java que puede ayudar a comprobar fácilmente si nuestro servidor es vulnerable: PostTester. Eso sí, la versión gratuita está limitada sólo a direccionamiento privado (127.0.0.x, 10.xxx, 172.16.xx a 172.31.xx y 192.168.xx).

Fuente: HackPlayers

Seguir leyendo »

Graves carencias y negligencia en servicios de almacenamiento en la nube

Nuevo informe revela graves problemas de seguridad con servicios de almacenamiento en la nube como Dropbox y similares.

Investigadores alemanes del Instituto Fraunhofer han analizado el funcionamiento de Dropbox, Cloudme, Mozy, Ubuntu One y otros tres servicios de almacenamiento en la nube. Su informe, titulado "On The Security of Cloud Storage Services" ("Sobre la Seguridad de los Servicios de Almacenamiento en la Nube"), demuestra que la seguridad de tales servicios es, en la mayoría de los casos, insuficiente.
Ninguno de los servicios estudiados cumple con un estándar satisfactorio de seguridad, y varios de ellos no utilizan el cifrado necesario para proteger los datos de sus usuarios. Presentan, además, problemas técnicos y carencias en el interfaz de usuarios, que pueden resultar en que información confidencial subida por éstos a la nube usuario sea indexada por buscadores.

Cloudme, Dropbox y Wuala presentan problemas en el registro de nuevos usuarios, donde ni siquiera se controla que la dirección de correo electrónico ingresada por estos es correcta. Esto implica que desconocidos pueden, por ejemplo, abrir una cuenta en nombre de otra persona, subir material ilegal y luego denunciar a la víctima a la policía.

El servicio Cloudme no cifra la transferencia de datos, mientras que Crashplan, Teamdrive y Wuala utilizan protocolos propios, no certificados por entidades especializadas. Dropbox no utiliza cifrado en sus propios servidores, por lo que tiene acceso a todos los datos subidos por los usuarios. Mozy, por su parte, transmite los nombres de los archivos sin cifrarlos.

Cuando los usuarios optan por intercambiar sus archivos con otros usuarios, no suscriptores del servicio, lo normal es que el sistema genere una URL larga y aleatoria. Según los investigadores, este proceso tiene varios errores, que pueden resultar en que los datos queden a disposición de intrusos.

Los científicos del Instituto Fraunhofer recomiendan a los propios usuarios cifrar sus datos con programas como Truecrypt, EncFS y GnuPrivacyGuard, antes de subirlos a la nube.

Por otra parte, el informe hace referencia a los problemas jurídicos que se presentan al almacenar datos en servicios con sede en Estados Unidos. En tal caso, se corre el riesgo de que las autoridades exijan al proveedor la entrega de los datos, invocando la ley "Ley Patriótica". Esta situación también afecta a proveedores europeos de servicios de almacenamiento en la nube.

En 2011, una publicación alemana reveló que las autoridades estadounidenses tienen acceso a los servidores de Google en Europa.

Fuente: DiarioTI

Seguir leyendo »

Good to Know: Google brinda consejos para proteger la información en la red

Para eso crearon la plataforma "Good to Know" ("Está bien saberlo"), estrenada en Alemania, Estados Unidos y Reino Unido. El gran buscador, experto en el manejo de datos, apuesta a informar a los internautas sobre el funcionamiento de la red, la forma adecuada en que deben administrar sus datos y cómo protegerlos.

Enseñan cómo elegir una contraseña segura, detectar si una persona está suplantando la identidad de otro individuo o incluso de una organización o verificar si tu cuenta es segura de una forma muy sencilla. La idea es que a través de una serie de recomendaciones, puedas manejar tu presencia online y te sientas seguro en la red.

La nueva plataforma hoy está disponible en una docena de idioma, incluso en español. Y, en las próximas semanas, con la incorporación del Centro de Seguridad Familiar, estará disponible en unos 30 idiomas.

Fuente: Universia

Seguir leyendo »

Lección 14 de Intypedia: funciones unidireccionales y hash

En el servidor Web de intypedia se encuentra disponible la Lección 14 de la Enciclopedia de la Seguridad de la Información con el título Funciones unidireccionales y hash, cuyo autor es el Dr. Hugo Krawczyk, investigador de IBM Estados Unidos.

En esta lección Alicia explica a Bernardo las características y usos de las funciones unidireccionales y los hash en criptografía, resaltando su importancia como primitivas de autenticación así como sus debilidades ante ataques y colisiones.

La lección tiene una duración de 14:56 minutos y está formada por 4 escenas o capítulos. Como siempre, la lección viene acompañada por 3 documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión, las diapositivas y ejercicios para autoevaluación.

Fuente: Intypedia

Seguir leyendo »

Vulnerabilidad en LinkedIn permite obtencion de contraseñas

El proceso para iniciar sesión de LinkedIn es vulnerable a ataques de fuerza bruta y es posible, mediante un diccionario, descubrir la password de usuarios. Este ataque es factible debido a un error en la validación del token de seguridad (CSRF token) que permite enviar tantos request remotos como queramos, probando distintos usuarios y usando el mismo token.

La única protección que existe, es que luego de decenas de intentos, nos muestra un Captcha, sin embargo, luego de esperar un tiempo y con un nuevo Token, es posible continuar con el ataque.
Para obtener un Token y poder probar el ataque, debemos atrapar el POST que se hace en el formulario de login y obtener el “sourceAlias” y “csrfToken”.

Cuando realizamos el ataque, no es necesario enviarle estos valores metiante POST, ya que no discrimina el métido por el cual se le entregan los valores, pudiendo generar un simple script que haga consultas mediante GET pasandole las variables por URL.

El paso siguiente es armar un script que nos ayude a enviar requests hacia el script “login-submit” de LinkedIn, validar la respuesta y comprobar la contraseña. Lo que hace el script es leer un archivo de texto que usará como diccionario para realizar el ataque. Cuando queramos cambiar el Token debemos modificar el valor de la variable “TOKEN” dentro del script.

Nota: LinkedIn fue notificado hace 2 semanas sobre esta vulnerabilidad, pero no respondieron.

Contenido completo en fuente original Zerial

Seguir leyendo »

Guía práctica para no ser pescado por el #phishing (video)

Organizada por CXO Community, Dixit Comunicación de Negocios, y con el apoyo de la Universidad del CEMA, se realizó la V Jornada de Seguridad de la Información en la Industria Financiera.

Como segundo encuentro del 2012 se inició la serie temática especializada en Seguridad de la Información. Se dio tratamiento a los aspectos de actualidad, tales como; la seguridad como modelo de negocios, las amenazas más esperadas del 2012, la seguridad en las transacciones financieras, la fuga de datos, Guía práctica para no ser pescado (www.antiphishing.com.ar) por Cristian Borghello, el monitoreo preventivo y el fraude.



Ya a nadie llama la atención que los delincuentes ganen millones a través del Phishing en todo América Latina. Pero, ¿cómo luchar contra este tipo de engaño, fraude y estafa cada vez más común? ¿Cuáles son las estrategias y técnicas para combatirlo? Se presentará y analizará un protocolo de detección, anulación que cualquier organización puede llevar adelante en su lucha contra el Phishing.

Fuente: CXO Community

Seguir leyendo »

#Wikileaks sufre DDoS

El portal encargado de filtrar información confidencial de distintos gobiernos y organizaciones transnacionales, Wikielaks, fue víctima de una serie de Ataques de Negación de Servicio (DDoS) que como resultado inhabilitaron el sitio por un periodo de cinco horas.

De acuerdo con la cuenta de Twitter de Wikileaks, el sitio fue atacado por más de tres días consecutivos y aún no se sabe quién o quiénes estuvieron detrás de los embates.

Por medio de las redes sociales, los responsables del sitio anunciaron que aunque la página había sido derribada, ya funcionaba un portal espejo. Dicho portal permitiría a los internautas tener acceso a la información sin ningún contratiempo.

Los embates contra WikiLeaks se presentan días después de que el sitio The Pirate Bay fue atacado de la misma manera.

Diversos medios de comunicación acusaron a Anonymous de ser el responsable de los embates contra la página para compartir archivos debido a que los ataques de DDoS son característicos del grupo y recientemente hubo un desencuentro entre ambas partes.

Fuente: bSecure

Seguir leyendo »

Comparativa de Web Scanners

SecToolAdict ha publicado una lista de 60 scanners web comerciales y Open Source así como una comparativa entre ellos. El informe está basado en el proyecto WAVSEP (Web Application Vulnerability Scanner Evaluation Project), una aplicación web vulnerable ex profeso y pensada para realizar evaluación de comportamiento de este tipo de scanners.

Esta investigación cubre las últimas versiones de 12 scanners comerciales y 48 scanners de código libre, mientras que la comparación cubren los siguientes aspectos:

• Número y tipo de características vulnerabilidades detectadas
• Precisión en la detección de SQL Injection
• Precisión en la detección de Cross-Site Scripting
• Datos generales y funciones especiales de escaneo

Como resultado, el informe se centra en la presentación de la información en un formato simple de gráficos comprensibles.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

SoapUI: Auditar Seguridad Webservices (WSDL & WADL)

SoapUI es una herramienta Open Source con soporte para Windows y Mac OS X pensada para testear el funcionamiento de WebServices. De manera sencilla carga todos los interfaces de los ficheros WSDL o WADL y permite que se puedan lanzar tests de funcionalidad, test de carga o test de seguridad automatizados para evaluar el comportamiento de los mismos.

Desde el punto de vista de una auditoría de seguridad web, hace muy sencillo cargar el interfaz completo de un sitio y empezar a realizar las pruebas al uso, ya que con sólo crear un proyecto con el fichero de interfaz, ya tenemos todo lo listo para empezar a probar.

Por ejemplo, la Nasa tiene muchos de los ficheros de descripción de interfaz publicados en Google, y con crear un nuevo proyecto ya están listas todas las peticiones, para que solo sea necesario sustituir los valores marcados con un signo de interrogación.
La herramienta permite muchas opciones, y hay un manual de buena calidad publicado en Español, que puedes utilizar para sacarle el máximo provecho, pero desde el punto de vista de un auditor, lo más cómodo es tener las peticiones, y enchufarlas a través de un proxy a tu herramienta de auditoría manual preferida, como Zap o Burp.

Una vez grabadas las peticiones, ya podrás lanzar tus tests de hacking preferidos, o hacerles fuzzing, pero si lo prefieres, puedes hacer también los tests desde la propia herramienta, tal y como si lo hicieras directamente desde el propio navegador.

Hay que tener en cuenta que los ficheros de interfaz de WebServices pueden dar acceso a procedimientos que no están en uso en las aplicaciones web, por lo que un proceso de crawling de la web no sacaría todos, por ello, lo mejor es cargar todos los interfaces y probarlos uno a uno.

Fuente: El Lado del Mal

Seguir leyendo »

Evoluciona el CISO a líder de negocios

Tanto la seguridad en la información como gran parte de los Directores de Seguridad (CISO, por sus siglas en inglés) tienen ahora un papel más importante como líderes estratégicos de negocios, reveló el estudio "Encontrar una voz estratégica: Visiones de la evaluación de directores de seguridad de la información 2012″, realizado por IBM".

El análisis dio a conocer que 25% de los 130 líderes de seguridad encuestados son considerados como ejecutivos senior del tipo “Influenciador”, es decir, toman decisiones en las estrategias de negocio que siguen sus empresas.
Este tipo de director de seguridad se siente más seguro y preparado que sus colegas que no tienen la misma participación y pueden caer en la categoría de “Protectores”.

“La trayectoria del CISO ahora está madurando en forma similar a la del director de finanzas (CFO), desde la década de 1970 y el director de informática (CIO), desde la década de 1980: de técnico a habilitador de negocios estratégicos. Esto demuestra cómo la seguridad de IT se ha convertido en una parte integrante clave de las organizaciones”, comentó David Jarvis, autor del informe y consultor senior del IBM Center for Applied Insights.

Según el informe, más del 30% de los CISO entrevistados aseguraron que los altos mandos le prestan más atención a la seguridad, principalmente por la preocupación de la violación de datos y de ciberataques de hackers.
Una de las características del CISO de tipo “Influenciador” es ver la seguridad como un parte habitual de los debates de negocio y de la cultura. Estos líderes se encuentran enfocados en la educación, colaboración y comunicación en toda la empresa, asegura el reporte de IBM.

Algunas de las organizaciones más visionarias cuentan con comités de seguridad o de riesgo para cuestiones que abarquen asuntos legales, operaciones comerciales, finanzas y recursos humanos.
Este tipo de CISO utiliza las métricas para monitorear el progreso. Realiza un seguimiento de la educación, concientización, integración de nuevas tecnologías y capacidad de manejar amenazas de los empleados.
“Estos datos pintaron un perfil de una nueva clase de líderes CISO que están desarrollando una voz estratégica, y allanando el camino hacia una posición más proactiva e integrada de la seguridad informática”, concluyó Jarvis.

Fuente: bSecure

Seguir leyendo »