19 de dic. de 2014

Software permite vulnerar la verificación de dos pasos de iCloud

Muchos recordarán el penoso incidente el que decenas de fotos de famosas fueron filtradas a internet conocido como Celebgate (o The Fappening). Una de las aplicaciones que se utilizaron para filtrarlas es Phone Breaker de Elcomsoft, quien acaba de liberar una nueva actualización compatible con la verificación de dos pasos de iCloud.

Phone Breaker puede extraer fotos y otra clase de información privada como registros de llamadas, archivos de iWork o eventos del calendario. También es capaz de descargar registros de aplicaciones de terceros, como los chats de WhatsApp que hayas respaldado en iCloud.

Para tener acceso a iCloud existen dos opciones.
  • Si no cuentas con Apple ID y contraseña, pero tienes una computadora que usaste para sincronizar con iCloud, el programa puede extraer el token de autenticación del PC o Mac por medio de un escaneo exhaustivo. Esto puede hacerse desde el computador o conectando el disco duro que se uso para sincronizarse.
  • Si tienes el Apple ID y contraseña de la persona puedes introducirlos en Phone Breaker y hacer la descarga. En caso que la verificación de dos pasos esté activa, es indispensable tener acceso a uno de los dispositivos de confianza o la clave de recuperación.
Elcomsoft asegura que si no tienes acceso a alguno de estos dos, no será posible acceder a la cuenta. Si son cuidadosos, al menos aquí podrían respirar tranquilos. Aunque hay que tomar en cuenta que no muchos usuarios de Apple tienen activada la verificación de dos pasos.
De momento el software solo puede acceder a los archivos antes mencionados, sin embargo se planea ofrecer una versión compatible con iCloud Drive a principios del próximo año. Sus creadores también dijeron que continuarán trabajando para ofrecer soporte a nuevos métodos de autenticación.

Debido a que esta noticia está generando tracción en varios medios, será interesante conocer la respuesta de Apple. Elcomsoft asegura que tiene fines legítimos ya que Phone Breaker puede usarse por las agencias de inteligencia o el ejército.

El problema es que no parece hacer una verificación exhaustiva de sus clientes, quienes por USD $799 pueden tener acceso a todas las funciones para extraer información de iCloud.

Fuente: Fayerwayer

Misfortune Cookie: vulnerabilidad que permitiría tomar el control de millones de routers

Más de 12 millones de dispositivos en todo el mundo estarían expuestos a esta nueva vulnerabilidad, bautizada como Misfortune Cookie ("galleta de la desgracia") que ya tiene su sitio oficial.
Check Point Software Technologies Ltd. ha anunciado el descubrimiento de Misfortune Cookie, una vulnerabilidad crítica identificada como CVE-2014-9222 y que permitiría a los intrusos tomar control de muchos de los gateways domésticos que dan acceso a Internet y utilizarlos para atacar a los dispositivos conectados a ellos.

Check Point ha detectado esta vulnerabilidad al investigar el uso del protocolo TR-069 y estaría presente en millones de routers domésticos de diferentes modelos y fabricantes en todo el mundo, y que podría llegar a permitir a un atacante tomar control del dispositivo y sus privilegios de administración.

La investigación ha detectado por lo menos 200 modelos [PDF] diferentes de dispositivos de diferentes fabricantes y marcas vulnerables Internet. La mayoría de estos dispositivos son residenciales. La lista incluye modelos de D-Link, Edimax, Huawei, ZTE, TP-Link y ZyXEL, entre otros.

El problema es el uso de una pieza de software vulnerable en el chipset de estos dispositivos. El software afectado sería el servidor web RomPager de la empresa AllegroSoft, que normalmente está embebido en el firmware de los dispositivos. Los dispositivos con versiones de RomPager menores a 4.34 (específicamente la versión 4.07) son vulnerables.

Hasta la fecha, los investigadores de Check Point han detectado al menos 12 millones de dispositivos útiles para ser fácilmente explotados, lo que convierte esta nueva vulnerabilidad en una de las más extendidas de los últimos años.

Un atacante podría tomar el control de millones de routers de todo el mundo para controlar y robar datos de los dispositivos, cableados e inalámbricos, conectados a sus redes.

Misfortune Cookie es una grave vulnerabilidad presente en millones de hogares y pequeñas empresas de todo el mundo y, si no se detecta y se controla, podría permitir a los delincuentes no sólo robar datos personales, sino también controlar las casas de las personas", ha explicado Shahar Tal, director del Grupo de Malware y Vulnerabilidades de Check Point Software Technologies.

AllegroSoft publicó una versión que soluciona la vulnerabilidad pero la misma fue proporcionada a los fabricantes con licencia y el ciclo de instalación del parche automático, es increíblemente lento (a veces inexistente) en estos tipos de dispositivos. En general, todos los fabricantes de dispositivos vulnerables necesitan obtener una versión actualizada de RomPager o parchearla manualmente.

Para más información sobre esta nueva vulnerabilidad, sobre los dispositivos afectados y sobre cómo consumidores y empresas pueden protegerse de ella, visite Mis.Fortunecook.ie. Check Point ha publicado un whitepaper 'Protecting against Misfortune Cookie and TR-069 ACS Vulnerabilities' [PDF] explicando los detalles.

Fuente: Checkpoint y Mis.Fortunecook.ie

Google sigue trabajando en PGP para GMail

En junio de este año, Google anunció una versión Alfa de una extensión llamada "End-to-End" para Google Chrome, que permite enviar y recibir mensajes de correo electrónico en forma segura. Finalmente, la compañía ha publicado el código fuente vía GitHub para que los investigadores pueden revisarlo.

En un intento de cifrar totalmente los mensajes de GMail, Google está desarrollando una herramienta fácil de usar por cualquier usuario y basado en el estándar de cifrado Pretty Good Privacy (PGP).

PGP es estándar de cifrado punto a punto (end-to-end) utilizado para cifrar correos electrónicos durante casi 20 años. PGP proporciona cifrado y autenticación pero su implementación es demasiado complicada para la mayoría de la gente, por lo tanto, la nueva herramienta fue diseñada para facilitar el cifrado.

Llevar el servicio de PGP a GMail resultará en un cifrado fuerte y fácil de utilizar por todos en el correo electrónico. La extensión End to-End de Chrome se basa en OpenPGP (IETF RFC 4880), todavía está en fase de desarrollo y cualquier investigador pueden revisarlo porque su código es Open Source.

El proyecto también incluye contribuciones del equipo de seguridad de Yahoo! y cuando su código sea más estable, Google lo dará a conocer en su Chrome Web Store."Todavía no creemos que sea tan útil como debe ser y de hecho en el código fuente hay referencias a nuestro servidor de claves, sobre el que también estamos trabajando", dijo

Anteriormente, cuando Google liberó el código en su repositorio de Google Code, pidió a la comunidad que lo probara y evaluara a cambio de recompensas financieras. La empresa agradeció a quienes presentaron los fallos y se registraron dos vulnerabilidades.

Según Somogyi, "El principal desafío para los ingenieros es desarrollar un sistema adecuado para manejar el proceso de distribución y administración de claves, que es uno de los más difíciles problemas de usabilidad con relacionados con la criptografía".

La extensión podría ser lanzada como "alfa" durante el próximo año.

Fuente: The Hacker News

18 de dic. de 2014

BlueMaho: suite para testing de dispositivos bluetooth

BlueMaho es una vieja tool con un GUI-Shell (interface) para manejar un conjunto de herramientas utilizadas en pruebas de seguridad de Bluetooth. Es gratuita, de código abierto y está escrita en Python (utiliza wxPython). Puede ser utilizada para búsqueda de vulnerabilidades conocidas en dispositivos Bluetooth y, sobretodo lo más importante, encontrar vulnerabilidades desconocidas. También puede obtener lindas estadísticas.
Ya no está actualizada, pero tiene muchas características que te dan un punto de partida ideal para empezar a jugar:
  • búsqueda de dispositivos, mostrar información avanzada, registros SDP, proveedor, etc.
  • tracking de dispositivos mostrar dónde y cuantas veces se ven los dispositivos, y sus cambios de nombre
  • Loop scan puede escanear todo el tiempo, mostrando dispositivos en línea
  • Alertas con sonido si se encuentra un nuevo dispositivo
  • on_new_device se puede especificar qué comando debe ejecutarse cuando se encuentra un nuevo dispositivo
  • Se puede utilizar dongles separados uno para scaning (loop scan) y otro para ejecutar otras herramientas o exploits
  • envío de archivos
  • Cambio de nombre, clase, modalidad, BD_ADDR de dispositivos locales HCI
  • Guarda los resultados en base de datos
  • Crea completas estadísticas (dispositivos únicos por día/hora, proveedores, servicios, etc.)
  • tests de dispositivo remotos en busca de vulnerabilidades conocidas (ver exploits para más detalles)
  • tests de dispositivo remotos para vulnerabilidades desconocidas (ver herramientas para más detalles)
  • se pueden personalizar temas
Fuente: HackPlayers

La reutilización de malware permitió los mayores ataques mundiales

CyActive publicó un informe donde identificó cinco malware (reporte, infografía)  que les permitió a los delincuentes obtener un ROI más alto: menor esfuerzo por dólar, mediante el reciclaje de código fuente y utilizando métodos antiguos para infligir nuevos tipos de daños.
Según el informe hubo 35 componentes reutilizados en el top cinco:
  1. Turla/Snake (imagen inferior): el malware más avanzados del grupo, activo desde 2005 e incluye 12 componentes reutilizados.
  2. BlackPoS: más de U$S200 millones en daño, disponible en línea para y con 8 componentes reciclados.
  3. Gyges: malware gubernamental con 8 componentes reciclados.
  4. Mariposa: operado sin ser detectados durante tres años, se centró en el espionaje cibernético, reutiliza 6 componentes.
  5. ZBerp: atacó 450 instituciones financieras alrededor del mundo, 4 componentes reciclados.
Mientras que los ranking típicos de las peores brechas de seguridad se centran en las consecuencias financieras de los ataques, este informe se centra en el grado que estas violaciones pudieron haberse evitado con la facilidad simplemente detectando el malware reciclado que se utilizó para lograr el impacto deseado.

El análisis revela una asimetría de inversión, en donde el costo y el esfuerzo de los ataques continúan siendo beneficioso para los delincuentes, mientras que las finanzas y recursos humanos necesarios para detectar y prevenir estos ataques aumenta progresivamente. El informe, que muestra el malware que causó la mayor cantidad de estragos a instituciones financieras, minoristas y gobiernos, arroja luz sobre el fenómeno de la reutilización, y lo simple que puede ser para los atacantes provocar millones de dólares en daños por sólo una fracción de los costos de defensa Cibernética.

Cristian de la Redacción de Segu-Info

Falla de seguridad en Delta permitía acceder a pases de abordar de otros pasajeros

Dani Grant, becaria de producto en BuzzFeed, compartió en su blog el descubrimiento de una falla de seguridad en el sistema de pases de abordar de Delta y otras aerolíneas. Esta consiste en que cualquier persona puede acceder a los datos de un pase de abordar vía web con sólo tener su URL.
Grant pensó correctamente que, si enviaba la URL de su pase de abordar a alguien, ese destinatario podría abrirlo sin problema alguno. El identificador del pase en la URL consiste sólo en un número, por lo que, al modificarlo, se podía ver el pase de otras personas.

Con este acceso se puede hacer check-in por la persona en cuestión, ver su número de viajero frecuente, modificar su asiento y potencialmente cambiar su vuelo. Por otra parte, no es posible modificar el nombre del pasajero, por lo que es imposible robar el pase de abordar sin una identificación falsa.

La respuesta inicial de Delta fue indiferente, enviando a Grant un mensaje genérico donde la compañía ofrece disculpas por la mala experiencia. Por otro lado, después de que la falla cobró popularidad, la compañía comunicó que ésta no tuvo un impacto negativo en la seguridad de los vuelos, pero que ya implementó una solución para prevenir cualquier altercado.

Fuente: Fayerwayer

17 de dic. de 2014

PSAD: herramienta para detectar escaneo de puertos

Utilizando PSAD, una herramienta formada por tres demonios del sistema (dos demonios principales y un demonio ayudante) que se ejecutan en máquinas Linux y analizan mensajes de registro de iptables para detectar escaneos de puertos y el resto de tráfico sospechoso. Un despliegue típico es ejecutar psad en  sistemas Linux con firewall iptables donde tiene el acceso más rápido a los datos de registro.

Psad incorpora muchas firmas del sistema de detección de intrusos Snort para detectar: programas de puerta trasera (EvilFTP, Novia, SubSeven...), herramientas DDoS (tipo mstream) y los análisis de puertos avanzados (FIN, NULL, XMAS) que son fáciles de realizar contra un sistema a través de nmap. Cuando se combina con fwsnort y la extensión de comparación de cadena Netfilter, psad es capaz de detectar muchos ataques descritos en el conjunto de reglas de Snort que involucran datos de capa de aplicación. Además, psad hace uso de varios campos de cabecera de paquetes asociados con los paquetes TCP SYN para realizar fingerprinting pasivo (de una manera similar a p0f) de los sistemas de donde se originan los escaneos.
Psad trabaja configurando el syslog para escribir todos los mensajes "kern.info" a una tubería al archivo "/var/lib/psad/psadfifo" y luego lee todos los mensajes de la tubería capturando todos los paquetes que se han registrado (y posiblemente desechado) por el cortafuegos. De esta manera psad se suministra con un flujo de datos puro que contiene exclusivamente los paquetes que el cortafuegos ha considerado no apto para entrar en la red.

PSADconsta de tres demonios:
  • Psad, es responsable de procesar todos los paquetes que han sido registrados por el servidor de seguridad y la aplicación ,con el fin de determinar qué tipo de análisis se ha movilizado contra la máquina o la red.
  • Kmsgsd, para adquirir los mensajes de registro Netfilter de syslog. Kmsgsd lee los mensajes de la tubería "/var/lib/psad/psadfifo" y escribe los mensajes de registro de firewall relacionado con el archivo psad datos "/var/log/psad/fwdata". Psad no puede detectar los escaneos de puertos o el resto del tráfico sospechoso sin kmsgsd ejecutandose en la máquina. kmsgsd utiliza el archivo de configuración psad.conf que por defecto se encuentra en "/etc/psad/psad.conf".
  • Psadwatchd, monitoriza procesos de los demonios en un intervalo cinco segundos para asegurarse de que kmsgsd y psad se están ejecutando en el sistema. Si cualquiera de los otros dos demonios han muerto, psadwatchd reiniciará los demonios y notificara a cada dirección de correo electrónico que aparece en la variable EMAIL_ADDRESSES (ver "/etc/psad/psad.conf") que el demonio se ha reiniciado. Psadwatchd utiliza el archivo de configuración "psad.conf" que por defecto se encuentra en "/etc/psad/psad.conf".
Características principales de PSAD:
  • Detección de TCP SYN, FIN, NULL, y las exploraciones XMAS, así como exploraciones UDP.
  • Soporte para registros IPv4 y Ipv6 generados por iptables e ip6tables respectivamente.
  • La detección de muchas reglas del sistema de detección de intrusos Snort.
  • Análisis forense del archivo de registro de iptables e ip6tables.
  • Fingerprinting pasivo del sistema operativo a través de paquetes TCP SYN.
  • Alertas de correo electrónico que contienen: características de escaneo TCP/ UDP / ICMP, reverse DNS, información WHOIS, regla de Snort que coincide, información sobre sistema operativo mediante fingerprining.
  • Alertas basadas en contenido para: los ataques de desbordamiento de búfer, comandos de aplicaciones sospechosas y el resto del tráfico sospechoso a través del uso de la extensión de comparación iptables string y fwsnort.
  • Umbrales de exploración configurables y asignación de niveles de peligro.
  • Analiza el Iptables RuleSet para verificar la orientación de la política "drop default".
  • Auto-bloqueo de direcciones IP de exploración a través de iptables e ip6tables, basado en nivel de peligro de escaneado (esta función no está activada de forma predeterminada).
  • Generación de salida de archivo CSV de mensajes de registro de análisis de iptable e ip6tables, que se puede utilizar como entrada para AfterGlow. Esto permite visualizar gráficamente registros.
  • Modo de estado que muestra un resumen de la información de exploración actual con recuentos asociados de paquetes y los niveles de peligro.
Fuente: Guru de la Informatica

Reacción de los mercados al robo de información

El reciente ataque a Sony es el último de una larga serie de brechas y violaciones de seguridad en grandes corporaciones que buscan números de tarjeta de crédito del cliente, las contraseñas de usuario, documentos internos, correos electrónicos y cualquier tipo de información sensible.
Bloomberg ha publicado un recuento de lo que han hecho los delincuentes en el último tiempo y cómo ha reaccionado (o no) el mercado de valores en el período inmediatamente posterior.

Fuente: Bloomberg

FIDO aprobado ¿Comienza la era post-contraseña?

Los responsables de FIDO han publicado las especificaciones finales de la versión 1.0 de un estándar que pretende iniciar una nueva era donde las inseguras contraseñas y PINs queden como un mal recuerdo. Microsoft ya había unido a FIDO hace un tiempo, junto a otras empresas.

La alianza FIDO nació en julio de 2012 para hacer frente a la falta de interoperabilidad entre tecnologías de autenticación, solucionando los problemas que enfrentan los usuarios teniendo que crear y recordar múltiples nombres de usuario y contraseñas.

El sistema de autenticación FIDO promete ser más fuerte, privado y fácil de usar al autenticar en servicios en línea por ejemplo utilizando sensores biométricos. La junta de administración de FIDO incluye empresas de la talla de Google, Microsoft, ARM, Alibaba, RSA, Samsung o VISA, lo que asegura una rápida implantación de la norma.
Tanto es así que ya se han presentado productos prácticos con este sistema como el SecurePad de Synaptics que puedes ver en la imagen de portada, uno de los principales fabricantes mundiales de touchpad utilizados en millones de ordenadores portátiles que incluye un lector de huellas digitales.

El Synaptics SecurePad permite desbloquear (encender) un ordenador portátil mediante autenticación segura simplemente tocando el lector. El soporte FIDO con autenticación basada en la criptografía de clave pública, también permitirá acceder a sitios y servicios web utilizando la huella digital.

Fuente: Muy Seguridad

16 de dic. de 2014

RPEF: troyanizar routers hogareños

Seguro que todavía resuenan en vuestros oídos noticias sobre la presencia de backdoors en muchos modelos de routers. D-Link, Netis, Netgear, Linksys, Belkin, TRENDnet, MediaLink, Sercomm ... la lista es muy larga.

Si tu también quieres hacerte el "chino" y vender en eBay tu viejo router con un regalo sorpresa añadido (es broma, no seais malos), puedes usar RPEF...

En la Defcon 20, Michael Coppola presentó una herramienta en Python llamada RPEF (Router Post-Exploitation Framework) con la que automatiza el proceso para añadir un backdoor en un buen número de firmwares para distintos modelos de routers SOHO:
  • Belkin: F5D7230-4_v1xxx
  • D-Link: DIR-601_1.01NA y DIR-601_2.01NA
  • Linksys: WRT120N_1.0.07_(Build_02)
  • NETGEAR: WGR614v10_1.0.2.26NA, WGR614v9_1.2.30NA, WNDR3700v1_1.0.16.98NA, WNDR3700v2_1.0.0.12 y WNR1000v3_1.0.2.26NA
  • TRENDnet: TEW-651BR_v2.2R_2.00B12 y TEW-652BRP_v3.2R_3.00B13
La sintaxis básica del script (python 2.6) es:
./rpef.py  [output file] [payload]
Una vez que el firmware malicioso está actualizado/instalado y funcionando en el router, el atacante tendrá a su disposición un sniffer de red desde la línea de comandos o un bot que se puede conectar a un canal IRC especificado para lanzar una herramienta DDoS... interesante ¿verdad?

Fuente: Hackplayers