27 jul. 2017

Whatsapp-Phishing: cómo robar la sesión de un usuario de WhatsApp Web

Desde 2015 podemos usar WhatsApp Web mediante un navegador previamente “pareado” con nuestro móvil. Esto aumenta la usabilidad del popular chat pero también abre una vía más para que un tercero malintencionado intercepte nuestra comunicación (MiTM) y secuestre nuestra sesión.

Resumiendo el proceso de login con WhatsApp Web, el Servidor envía un código QR al navegador del usuario, el cual debe ser escaneado por la aplicación del teléfono para que verifique el login contra el servidor. Si es válido el servidor enviará el token correspondiente directamente al navegador:
Si os fijáis en el esquema anterior, el vector de ataque podría ser perfectamente un escenario típico de phising. El atacante sólo tiene que interceptar el código QR y presentárselo a la víctima mediante una página falsa, de tal manera que cuando lo escanee con el móvil y se valide, también recibirá el token que le permitirá autenticarse en WhatsApp Web:
Por seguridad, WhatsApp no muestra un código QR estático si no que el mismo va cambiando cada pocos segundos, algo que solventa perfectamente la herramienta que veremos a continuación capturándolo continuamente mediante scripting y enviándolo a la víctima mediante websockets.

Se trata de "whatsapp-phishing" del alemán Martin Wagner (Mawalu) a la que empezaremos a echarle un vistazo, ya sabéis, siempre con propósitos educativos:

Funcionamiento

La herramienta utiliza selenium para obtener los códigos QR y express.js + socket.io para mostrarlos en una página aparte. Su funcionamiento es el siguiente:
  • El programa inicia un servidor http y socket.io.
  • Si un nuevo cliente se conecta a socket.io, la aplicación realiza una solicitud a una instancia de selenium para iniciar un nuevo navegador y conectarse a web.whatsapp.com.
  • Posteriormente se obtienen los datos del código QR y los envia al cliente a través de la conexión websocket.
  • El javascript del cliente entonces muestra el código QR al usuario.
  • Si la víctima explora el código con su teléfono, el document.cookie y localStorage del navegador de selenium se descargan en un archivo en la máquina del atacante.
  • Los datos adquiridos se pueden utilizar para iniciar sesión en la cuenta de la víctima utilizando cualquier navegador.
Limitaciones
  • El usuario verá el navegador adicional cuando enumere sus dispositivos autenticados en Web Whatsapp.
  • La víctima recibirá una advertencia si un navegador adicional se registra en el cliente web mientras está utilizando Whatsapp Web.
  • Sigue siendo un ataque de ingeniería social: la víctima tiene que ser engañada para permitir el acceso.
Contenido completo en HackPlayers

Millones de datos de personal militar y testigos protegidos filtrados por el gobierno sueco

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos. Sin embargo, las consecuencias no han ido más lejos de, al cambio, U$S8.500.

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante) llegó a un acuerdo de mantenimiento de equipos informáticos para gestionar sus bases de datos y redes con IBM Suecia.
La STA subió su base de datos completa a servidores en la nube de IBM, la cual contenía detalles sobre todos los vehículos del país incluyendo aquellos correspondientes a la policía, registros militares e incluso testigos protegidos.Y fue esa misma base de datos es la que la agencia de transportes envió a vendedores suscritos, y además en texto plano, sin cifrar. Al descubrirse el error, la agencia de transportes simplemente envió un nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA sin pasar por medidas de seguridad necesarias. Los administradores de IBM en la República Checa tenían acceso a todos los datos y registros, mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien hizo público el escándalo, los datos incluidos en esta filtración incluyen:
A pesar de que la brecha se produjo en 2015, no fue descubierta hasta 2016 y acabó con la renuncia de Maria Agren, directora general de la STA, en enero de 2017, además de una multa de U$S8.500.

Lo más preocupante: La base de datos no será segura hasta este otoño, según palabras del nuevo director general Jonas Bjelfvenstam.

Fuente: Hispasec

26 jul. 2017

FruitFly, malware presente en Mac por al menos 2 años

Un experto en seguridad informática ha revelado un código malicioso que ha estado presente en varios ordenadores Mac de Apple durante al menos 2 años. Hablamos de una nueva versión del malware FruitFly, un código malicioso descubierto por Patrick Wardle -ex hacker de la NSA y ahora investigador jefe de seguridad de Synack- quien ha desvelado que este malware tiene la capacidad de tomar el control de los terminales de manera remota para poder espiar con la cámara web, capturar imágenes de lo que se muestra en la pantalla y obtener credenciales de inicio de sesión.
Después, investigadores de Malwarebytes descubrieron una segunda versión llamada FruitFly 2 que ha estado infectando ordenadores Mac durante años sin ser detectado. Este malware trabaja en segundo plano, espía al usuario a través de la cámara web, captura imágenes de lo que se muestra en la pantalla y obtiene credenciales de inicio de sesión.

Espiaba a los usuarios a través de la webcam, obtenía credenciales de acceso y se ejecutaba en segundo plano sin ser detectado

El software puede trabajar incluso en la versión Yosemite de macOS, lanzada en octubre de 2014. Se desconoce qué versiones posteriores son vulnerables, quién es el responsable de este malware o cómo se introdujo en los ordenadores infectados.

Los antivirus y los sistemas de protección de Apple y firmas de seguridad han sido incapaces de detectar este malware durante años. Uno de los investigadores logró infectar 400 Macs en cuestión de dos días (la mayoría ubicados en Estados Unidos).

Según indica en ArsTechnica, tras el descubrimiento del malware por parte de Malwarebytes, Apple actualizó el sistema operativo macOS para detectar automáticamente la infección y combatirla.

Hoy miercoles, Wardle mostrará el proceso del malware en Black Hat Las Vegas en su charla Offensive Malware Analysis: Dissecting OSX/Fruitfly via a custom C&C Server.

Fuente: ArsTechnica

Cuestionan la confiabilidad de los certificados HTTPS con validación extendida

El experto en seguridad Troy Hunt escribe en su blog que los certificados HTTPS con validación extendida, o EV, no cumplen su objetivo fundamental, que es aumentar la confianza de los usuarios en el sitio web que visitan. Un certificado HTTPS corriente representa únicamente una garantía de que el dominio con el que se establece la comunicación es el mismo para el cual se ha adquirido el certificado en cuestión. En ningún caso constituye una garantía respecto de los propietarios del dominio.

Por lo tanto, para ciberdelincuentes es totalmente factible comprar un dominio para una campaña de phishing, que haya sido cifrado y firmado con un certificado válido, adquirido mediante la organización Let’s Encrypt u otros actores comerciales. En tal caso, se cumplirá una de las dos funciones del cifrado de comunicaciones; es decir, que la comunicación con el servidor es segura, sin que terceros puedan saber qué datos están siendo intercambiados entre el cliente y el servidor.
Sin embargo, el segundo aspecto; es decir, la verificación de la identidad de los propietarios del dominio, no cuenta con garantía alguna. Es precisamente este punto que debería ser garantizado por los certificados EV. La obtención de estos certificados hace necesario un procedimiento en que el emisor del certificado verifica la identidad del propietario del dominio. Esta verificación consiste en acreditar la persona jurídica. Por tratarse de un proceso que difícilmente puede ser automatizado, las empresas que ofrecen certificados EV cobran una tarifa extra por la emisión de los mismos.

El resultado es que el navegador muestra, para el caso de un dominio HTTPS con EV, el nombre de la organización junto al tradicional candado. Según un estudio referido por Troy Hunt, ninguno de los 10 mayores sitios web del mundo utilizan certificados con EV. Por ejemplo, Amazon, la mayor tienda online del mundo, no los utiliza, ni tampoco Google, empresa que ha impulsado la utilización de HTTPS al punto de notificar, mediante su navegador Chrome, cuando un sitio web es seguro o inseguro, queriendo decir que utiliza o no utiliza HTTPS. A partir de octubre próximo, Chrome advertirá al usuario cada vez que este ingrese datos en un formulario inseguro, incluso aquellos de un sólo campo, como suscripciones a newsletters.

Finalmente, Hunt pone de relieve que EV puede crear confusión entre los usuarios de Internet debido a que el nombre de la empresa no siempre coincide con el nombre del dominio.

Fuente: DiarioTI

25 jul. 2017

Lista de comprobación de seguridad de apps Android

Esta es una lista de comprobación con consideraciones de seguridad para diseñar, probar y liberar aplicaciones seguras de Android.

Se basa en el estándar de verificación de seguridad de aplicaciones móviles de OWASP y en la Mobile Security Testing Guide. Se debe seguir los enlaces de cada elemento de la lista de verificación para obtener instrucciones y recomendaciones detalladas.

Data Storage

Platform Interaction

Cryptography

Authentication

Network

Code Quality

Defense-in-Depth

Fuente: Bernhard Mueller

Reckitt Benckiser habría perdido USD117 millones por ciberataque

La compañía Reckitt Benckiser Group recortó sus pronósticos de ventas anuales del 3% al 2% a raíz del ataque cibernético de fines de junio, en la primera indicación detallada del costo financiero que tuvo una gran compañía debido a ese suceso.
La acción [...] también causó dificultades en las terminales de carga, las cadenas de información tecnológica y otras piezas de infraestructura en el mundo.

El fabricante del refrescante Air Wick y los artículos Dettol espera que las ventas crezcan alrededor de un 2%, en lugar del 3% proyectado por la compañía. "Esto es más de lo que estábamos esperando", dijo el analista James Edwardes, de RBC Capital Markets en una nota. Las acciones cayeron alrededor de un 3,2% en los primeros movimientos de la bolsa de Londres.

Una estimada pérdida del 1% anual en ventas de la compañía equivaldría a unos 90 millones de libras (117 millones de dólares). Reckitt Benckiser también está luchando con los efectos derivados del escándalo en Corea del Sur en torno a un desinfectante que utilizaba un componente tóxico.

El ciber ataque causó una cantidad de dificultades en las terminales de carga, las cadenas de información tecnológica de las compañías y otras piezas de infraestructura de vital importancia en el mundo.

Reckitt Benckiser se unió a empresas como las firma de envíos FedEx Corp. y A.P. Moller para asistir a las víctimas de junio ultimo. Empleados de la compañía Mondelez International trabajaron con teléfonos móviles y e-mails personales después de que el sistema de computación de sus empresas fuera infectado.

Beiersdorf AG , fabricante de la crema Nivea, sufrió pérdidas por "muchos millones" de euros como resultado del ataque, según informó la revista Stern, que citó a un manager no identificado, cuyos comentarios no fueron confirmados por la compañía. Las acciones de Beiersdorf cayeron un 1% en Frankfurt.

El malware empezó a extenderse en Ucrania y demandó dinero en rescate para liberar los sistemas de computación. Reckitt dijo que cree haber contenido el problema y está trabajando para resolver importantes temas de IT, mientras algunas fábricas todavía no están operando con normalidad.

La división de cuidado de la salud de Reckitt Benckiser, que incluye marcas como los preservativos Durex y los antigripales Neurofen, sufrió el mayor daño por el ataque, según una fuente cercana.

Los ingresos del segundo trimestre cayeron un 2%, según estimación de la compañía, que también informó que espera recobrar en el tercer trimestre algunas de las ventas caídas, y que los sistemas del producto infantil Mead Johnson –recientemente adquirido por la empresa- no fueron afectados.

"Estos impactos son excepcionales y no una consecuencia de la fortaleza propia del negocio", afirmó en un artículo la analista de Berenberg Rosie Edwards.

Fuente: PMfarma

24 jul. 2017

Aplicación vulnerable iOS para pentesting

OWASP iGoat es un proyecto de la Fundación OWASP inspirado en WebGoat y desarrollado por Swaroop Yermalkar.

Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnerabilidades, así que puedes atacar, arreglar o ambos.
Este proyecto está diseñado en modo cliente/servidor. El cliente está escrito en Objective-C y corre sobre cualquier dispositivo con iOS 9+, o puedes usar un emulador, y el servidor está escrito en Ruby y lo puedes correr en cualquier sistema con Ruby, de forma local o remota.

Actualmente iGoat está en su versión 3.0 y cubre más de 25 vulnerabilidades agrupadas en varias categorías. El código del proyecto está en Github.

Aquí hay un vídeo de introducción al proyecto.

Fuente: Cyberhades

23 jul. 2017

WS-Attacker: Pentesting de Web Services

WS-Attacker es un Framework modular para realizar pruebas de intrusión contra servicios web. Es desarrollado por la Cátedra de Seguridad de Redes y Datos de la Universidad Ruhr de Bochumm (Alemania) y la empresa 3curity GmbH.

La idea básica detrás de WS-Attacker es proporcionar la funcionalidad para cargar archivos WSDL y enviar mensajes SOAP a los end points del Servicio Web (que se ejecuta utilizando el marco SoapUI subyacente). Esta funcionalidad puede ampliarse utilizando varios plugins y librerías para crear ataques específicos contra los Web Services. Pueded encontrar más información sobre la arquitectura de WS-Attacker y su extensibilidad en su Paper.

Características

En la versión actual WS-Attacker soporta los siguientes ataques:
Fuente: HackPlayers | WS-Attacker

22 jul. 2017

Diferencias entre ISO 31000 e ISO 27001

Si bien para implementar ISO 27001 sea preciso hacer uso de ISO 31000 lo cierto es que la primera puede resultar muy útil para la aplicación de la segunda a pesar de que existen muchas diferencias entre ISO 31000 e ISO 27001.

ISO 31000

ISO 31000 nos entrega directrices acerca de la forma de gestionar los riesgos – de cualquier tipo – en las organizaciones, sin concentrarse en la seguridad de la información ya que también aborda la continuidad de negocio, el mercado, e incluso riesgos operacionales.

Igualmente, la norma, nos entrega un glosario detallado de términos relativos a la gestión de riesgos, estableciendo un marco general que incluye un ciclo PDCA (Planificación, ejecución, seguimiento y mejora), para la gestión del riesgo.

ISO 31000 no proporciona metodologías específicas o exclusivas, ya que el tratamiento del riesgo es general. Aborda cualquier tipo de riesgos y no profundiza en ninguno de ellos.

ISO 27001

ISO 27001 es un estándar especializado en el tema de la seguridad de la información, lo que significa que una organización debe establecer procesos que le permitan salvaguardar, controlar, almacenar su información gestionando cualquier riesgo que pudiese afectarla eventualmente.

Pero entonces, conociendo las diferencias entre ISO 31000 e ISO 27001, ¿Cuál es la relación entre ISO 31000 e ISO 27001? ¿Por qué, muchas organizaciones creen que una es indispensable para la aplicación de la otra? Veamos:

Relación entre ISO 31000 e ISO 27001

La duda surge de la actualización 2013 de ISO 27001 en la que se menciona el estándar ISO 31000. Y surge particularmente porque, la versión 2005 de la norma no hacía esta referencia.

Pero ¿Qué es lo que dice exactamente?
"Cláusula 4.1 La organización puede considerar los contextos externos e internos de acuerdo con la cláusula 5.3 de la norma ISO 31000"
Por supuesto, si leemos con detalle las cláusulas 5.3.2 y 5.3.3 de ISO 31000 entendemos que son muy útiles, ya que nos proporcionan una guía muy valiosa sobre el tema de los contextos internos y externos.

Pero por supuesto, es bueno tener en cuenta que esta mención es hecha en una nota, lo que indica que no son directrices obligatorias. Es solo un punto de referencia.

Por otra parte, en la cláusula 6.1.3 de ISO 27001 nos dice:
"La Gestión de la Seguridad de la información, está alineada con la norma ISO 31000"
Es claro que esto no significa que un estándar se convierta en requisito esencial del otro. Solo dice que los requisitos entre ambas normas son compatibles a pesar de las diferencias entre ISO 31000 e ISO 27001.

Diferencias entre ISO 31000 e ISO 27001 – Las normas frente a frente

Como ya lo hemos advertido, ISO 31000 no suministra ninguna recomendación específica sobre el tratamiento de la Seguridad de la información y la Gestión de tales riesgos. Por el contrario, ISO 27001 si lo hace y de una forma sobresaliente.

El Análisis de Riesgos podemos decir que es el corazón de la Norma ISO 22301, la cual concede a este apartado de análisis y gestión del riesgo mayor importancia si cabe, que su predecesora la norma BS 25999.

La Norma ISO 31000 como estándar internacional publicado en 2009 para analizar y gestionar los riesgos, esta directamente recomendado por la norma ISO 22301 para realizar este apartado con todas las garantías. Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad de un negocio.

ISO 27001 proporciona el Know-How necesario para identificar activos, amenazas y vulnerabilidades, pero también para evaluar las consecuencias de un determinado riesgo y calcular su probabilidad de ocurrencia.

Es claro que no necesitamos ISO 31000 para implementar ISO 27001. Lo anterior no significa que ISO 31000 no resulte de utilidad, sobre todo para identificar contextos externos e internos y para obtener un marco apropiado para la gestión de todo tipo de riesgos a nivel de toda la organización.

Si tenemos en cuenta que ISO 31000 nos ayuda a abordar la Gestión de Riesgos de forma estratégica y global, podemos considerar este estándar como un excelente marco de gestión de todo tipo de riesgos, que puede trabajar en asocio – no dependencia – de cualquier otra norma, incluida por supuesto ISO 27001.

Fuente: ISO Tools

21 jul. 2017

Explotar EternalRomance y EternalSynergy en Windows 2016

Las recientes incidencias de ransomware han sido atribuidas en parte a herramientas de hackeo de la NSA, en particular al exploit EternalBlue. En la mayoría de los casos, estas herramientas sólo podían ser utilizadas contra versiones "antiguas" del sistema operativo Windows. Sin embargo, se ha logrado utilizar una versión modificada del exploit EternalSynergy contra versiones más recientes de Windows.

EternalSynergy es una de las herramientas de la NSA incluida en las revelaciones de The Shadow Brokers. Microsoft ha asegurado que EternalSynergy no funciona con las últimas versiones de Windows debido a mejoras realizadas en el Kernel del sistema operativo. Sin embargo, Worawit Wang (aka sleepya_) ha logrado adaptar la herramienta a versiones más recientes de Windows. La versión modificada de EternalSynergy ataca la misma vulnerabilidad de SMB, aunque utilizando una técnica diferente.

La nueva versión de EternalSynergy afecta una larga lista de versiones de Windows, incluyendo Windows 8.1, Windows Server 2012 y 2016. Wang asegura que, por ahora, los usuarios de Windows 10 están protegidos, pero que "esto podría cambiar". Con ello, alrededor del 75% de todas las computadoras operadas con Windows en todo el mundo son vulnerables a la nueva versión de EternalSynergy.

Wang optó por distribuir la herramienta a todo interesado en descargarla vía GitHub y ExploitDB junto con una descripción de cómo utilizarla contra computadoras vulnerables. Pero, hacer funcionar el exploit no es sencillo y Wang no ha publicado detalles sobre cómo hacerlo.
Por eso, Sheila A. Berta (aka UnaPibaGeek), Security Researcher en ElevenPaths, escribió un paso a paso de cómo explotar EternalRomance & Synergy en Windows Server 2016. Hace unos días Sheila también publicó cómo comprometer Windows 7/2008 R2 y 2012 R2 a través del exploit ETERNALBLUE.

Por lo tanto, todo usuario que aún no haya implementado la actualización de seguridad MS17-010 de Microsoft es vulnerable a potenciales ataques. Parchea!