28 may. 2017

Vulnerabilidades en sistemas SCADA HMI

Según el informe de Trend Micro "Hacker Machine Interface" [PDF], algunos vendedores de dispositivos SCADA se tomaron un promedio de 150 días para publicar parches de seguridad.
Las vulnerabilidades fueron encontradas en las interfaces HMI (Human Machine Interface) de sistemas de control industriales. Como su nombre lo indica, las HMI permiten a un operador controlar el sistema SCADA asociado. Estos sistemas suelen ser un "objetivo primario" y por eso sólo deberían instalarse en una red aislada y confiable. Sin embargo, el informe afirma que esto a menudo no es el caso

Trend Micro analizó todos los errores listados en ICS-CERT durante 2015 y 2016, así como otros 250 vulnerabilidades 0-Day de su propio programa ZDI. Los errores fueron clasificados de la siguiente manera:
  • Corrupción de memoria (20%)
  • Gestión de credenciales (19%)
  • Problemas de autenticación (23%)
  • Inyección de código (9%).
Como punto positivo, se encontró que la mayoría de los errores eran fácilmente prevenibles con una mejor codificación y Trend Micro instó a los desarrolladores de sistemas HMI a adoptar las prácticas de desarrollo más seguras.
 
Otra área que necesita ser abordada es la ventana de 146 días que actualmente existe en promedio entre la divulgación de una vulnerabilidad y la publicación del parche. En comparación, empresas como Microsoft y Adobe se toman "sólo" 116 días en promedio, y los proveedores de aplicaciones empresariales como HPE e IBM se toman 189 días.

Fuente: InfoSecurity

27 may. 2017

Todos los dispositivos Android vulnerables a través de la manipulación de permisos

Investigadores un nuevo ataque, llamado "Cloak and Dagger" [PDF], que funciona contra todas las versiones de Android, hasta la versión 7.1.2.
Este ataque permite a los delincuentes tomar el control total del dispositivo y robar datos privados, incluyendo pulsaciones de teclas, chats, PIN de dispositivo, contraseñas de cuenta en línea, contraseña de OTP y contactos.

El ataque no explota ninguna vulnerabilidad en el ecosistema de Android; en su lugar, abusa de un par de permisos legítimos de aplicaciones populares para acceder a determinadas funciones en un dispositivo Android.
  • SYSTEM_ALERT_WINDOW ("draw on top")
  • BIND_ACCESSIBILITY_SERVICE ("a11y")
Los investigadores realizaron con éxito pruebas en 20 personas y ninguna de ellas fue capaz de detectar ninguna actividad maliciosa.

El primer permiso, conocido como "draw on top", es una función de superposición que permite que las aplicaciones se superpongan en la pantalla de un dispositivo y en la parte superior de otras aplicaciones.

El segundo permiso, conocido como "a11y", está diseñado para ayudar a los usuarios con discapacidades visuales, permitiéndoles ingresar comandos de voz o escuchar el contenido usando la función de lector de pantalla.

Es un hecho conocido que los mecanismos de seguridad utilizados por Google no son suficientes y, dado que el ataque no requiere ningún código malicioso para realizar las tareas de troyanización, resulta fácil desarrollar y enviar una aplicación malintencionada a Google Play sin detección.

Esto es lo que los investigadores hicieron: "Hemos enviado una aplicación que requiere estos dos permisos y que contiene una funcionalidad que descarga y ejecuta código arbitrario (tratando de simular un comportamiento claramente malicioso). Esta aplicación se aprobó después de unas pocas horas (y todavía está disponible En la Google Play Store)".

Una vez instalados, los investigadores dicen que el atacante puede realizar diversas actividades maliciosas incluyendo:
  • Ataques de clickjacking
  • Grabación de teclas sin restricciones
  • Ataque de phishing furtivo
  • Instalación silenciosa de una aplicación en "modo Dios" (con todos los permisos habilitados)
  • Desbloqueo silencioso del teléfono y acciones arbitrarias (manteniendo la pantalla apagada)
En resumen, los atacantes pueden tomar control secretamente del dispositivo Android y espiar cada actividad que se realice en el teléfono. Los investigadores también han proporcionado varias demostraciones de vídeo.

Google no puede solucionarlo, al menos no tan rápido

Los investigadores han revelado este nuevo vector de ataque a Google, pero puesto que el problema reside en la forma en que se ha diseñado el sistema operativo Android, con dos características estándar que se comportan como se pretendía, el problema podría ser difícil de resolver.

Google otorga el permiso "SYSTEM_ALERT_WINDOW" a todas las aplicaciones instaladas directamente desde la tienda oficial de Google Play desde Android Marshmallow (versión 6), lanzada en octubre de 2015.

Esta característica, que permite a las aplicaciones maliciosas secuestrar la pantalla de un dispositivo, es uno de los métodos más utilizados por los ciberdelincuentes para engañar a los usuarios de Android.

Sin embargo, Google ha planeado cambiar su política en Android O, que está programado para su lanzamiento en el tercer trimestre de este año.

Mitigación Temporal

La forma más sencilla de deshabilitar los ataques de Cloak y Dagger en Android 7.1.2 es desactivar el permiso de "dibujar en la parte superior" dirigiéndose a:

Configuración → Aplicaciones → Símbolo de equipo → Acceso especial → Dibujar sobre otras aplicaciones.

También se recomienda que compruebe los permisos de las aplicaciones antes de instalarlas.

Fuente: The Hacker News

26 may. 2017

Detenida banda que robó U$S900.000 a través de malware mobile

El Ministerio del Interior ruso anunció el lunes el arresto de 20 personas de una importante banda de delincuentes informáticos que había robado casi 900.000 dólares de cuentas bancarias, tras infectar más de un millón de teléfonos inteligentes con un troyano móvil llamado "CronBot". Estas detenciones formaron parte de un esfuerzo conjunto con la firma rusa de seguridad Group-IB.

La colaboración resultó en la detención de 16 miembros del grupo Cron en noviembre de 2016, mientras que los últimos miembros activos fueron detenidos en abril de 2017, todos viviendo en las regiones rusas de Ivanovo, Moscú, Rostov, Chelyabinsk, Yaroslavl y la República de Mari El.

Group-IB se enteró de Cron en marzo de 2015, cuando los delincuentes distribuían el bot disfrazado de aplicaciones Viber y Google Play. Cron abusaba de la popularidad de los servicios de banca SMS y distribuyó el malware en los dispositivos Android mediante la creación de aplicaciones diseñadas para imitar las aplicaciones oficiales de los bancos.

Una vez que las víctimas instalaban estas aplicaciones falsas en sus dispositivos, las aplicaciones permitían registrar las credenciales bancarias e interceptar los mensajes SMS que contenían los códigos de confirmación enviados por el banco para verificar las transacciones.

"El enfoque es bastante simple: después de que el teléfono de una víctima se infectaba, el troyano podría transferir automáticamente dinero de la cuenta bancaria del usuario a cuentas controladas por los intrusos." Para retirar el dinero robado, los hackers abrieron más de 6 mil cuentas bancarias.

Según la firma de seguridad, el grupo robaba aproximadamente 8.000 rublos promedio (casi 100 dólares) a cada víctima, consiguiendo una cantidad total de 50 millones de rublos (casi 900.000 dólares) de más de un millón de víctimas, con 3.500 dispositivos Android únicos infectados por día.

En junio de 2016, la banda alquiló otro malware llamado "Tiny.z" por U$S2.000 al mes, diseñado para atacar a clientes de bancos rusos, así como a bancos internacionales en Gran Bretaña, Alemania, Francia, Estados Unidos y Turquía, entre otros países .

Sin embargo, antes de que la banda pudiera lanzar ataques contra otros bancos, las autoridades lograron interrumpir sus operaciones realizando varios arrestos, entre ellos el lider de la banda, un residente de 30 años de edad de Ivanovo, Moscú.

Fuente: The Hacker News

Evento CSA SUMMIT Argentina 2017

La industria de la seguridad de la información está rápidamente transformándose en soluciones entregadas por y para la computación en nube. Únase a nosotros en el ya consagrado CSA SUMMIT 2017 para aprender sobre el progreso de las empresas en el cambio de la computación en nube y las nuevas tendencias clave en seguridad de la información.

Expertos en seguridad y proveedores de la nube discutirán gobierno, las amenazas más recientes, las mejores prácticas, privacidad de datos y las innovaciones de seguridad con relación a este nuevo entorno.
  • Criptografía en la nube
  • Cloud Security
  • Seguridad de aplicaciones Web en Cloud 
  • Privacidad de datos 
  • Auditoria de Sistemas en la Nube
  • Análisis de virus, gusanos y todo tipo de malware 
  • Vulnerabilidad social 
  • Riesgos de seguridad móvil 
  • Plan de Recuperación en la Nube 
  • Cloud Computing. 
  • Continuidad de Negocios en la Nube 
  • Gobierno de T.I. 
  • Oradores
Evento que se celebrará el miercoles, 29 de junio de 2017 desde las 08:30 hasta las 18:30 (ART) en el 725 Continental Hotel, BUENOS AIRES - Av. Roque Sáenz Peña 725 - Ciudad Autónoma de Buenos Aires, Argentina

Registro gratuito

25 may. 2017

Ejecución remota de código en Samba (Parchea!)

Se ha confirmado una grave vulnerabilidad en Samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir.

Samba permite que los sistemas operativos que no sean Windows, como GNU / Linux o Mac OS X, compartan carpetas compartidas de red, archivos e impresoras con el sistema operativo Windows.

Esta vulnerabilidad permite ejecución remota de código (RCE), identificada como CVE-2017-7494, tiene más de 7 años de antiguedad y afecta a todas las versiones de Samba 3.5.0 (y superiores), que se publicó el 1 de marzo de 2010.
El problema puede permitir a un cliente malicioso subir una librería compartida a un compartido que permita la escritura y posteriormente hacer que el servidor la cargue y la ejecute.

Según Shodan hay más de 485.000 computadoras con Samba y con el puerto 445 expuesto a Internet, y según los investigadores de Rapid7, hay más de 104.000 computadoras expuestas a Internet que parecían estar ejecutando versiones vulnerables de Samba: De estas, 92.000 están ejecutando versiones no soportadas de Samba.

El exploit de Samba ya ha sido portado a Metasploit y permite a los investigadores (y delincuentes) explotar esta falla fácilmente.
Se han publicado parches para solucionar esta vulnerabilidad. Se han publicado las versiones Samba 4.6.4, 4.5.10 y 4.4.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir este parámetro a la sección Global de smb:
"nt pipe support = no" 
Y reiniciar smbd.

Más Información

Fuente: Hispasec y HackerNews

EsteemAudit explota RDP, ¿el próximo #WannaCry?

Han pasado casi dos semanas desde que el programa de rescate de WannaCry comenzó a propagarse, infectó casi 300.000 computadoras en más de 150 países en tan sólo 72 horas. Aunque Microsoft publicó los parches para las vulnerabilidades de SMB de WannaCry, la compañía aún no lanzó los parches para las otras tres herramientas de hacking publicadas por NSA, denominadas "EnglishmanDentist", "EsteemAudit" y "ExplodingCan".
EsteemAudit es una herramienta de hacking de Windows desarrollada por NSA y también filtrada por Shadow Brokers y apunta al servicio RDP (puerto 3389) en máquinas con Microsoft Windows Server 2003 y Windows XP. En este momento Shodan muestra alrededor 24.000 equipos con sistemas operativos abiertos.

Dado que Microsoft ya no soporta Windows Server 2003 y Windows XP, a diferencia de EternalBlue la compañía no ha lanzado ningún parche de emergencia para EsteemAudit hasta ahora.
Omri Misgav y Tal Liberman, investigadores de seguridad de la empresa Ensilo, que el año pasado presentaron el ataque AtomBombing, ahora han publicado un parche no oficial para EsteemAudit.

EsteemAudit también puede usarse como crear un gusano, similar a WannaCry, y permite a los atacantes propagarlo en las redes empresariales, dejando miles de sistemas vulnerables al ransomware, al espionaje y a otros ataques maliciosos.

Los autores de Ransomware como CrySiS, Dharma y SamSam, que ya están infectando computadoras a través del protocolo RDP usando ataques de fuerza bruta, pueden aprovechar EsteemAudit en cualquier momento para ataques generalizados y tan dañinos como WannaCry.

"Actualmente, los sistemas basados ​​en Windows XP representan más del 7 por ciento de los sistemas operativos de escritorio que todavía están en uso y se calcula que hay más de 600.000 computadoras que alojan más de 175 millones de sitios web sobre Windows Server 2003, representando aproximadamente el 18 por ciento de la cuota de mercado global", dicen los investigadores.

De las tres explotaciones restantes, "EnglishmanDentist", "EsteemAudit" y "ExplodingCan", ninguna se reproduce en plataformas que ejecutan Windows 7 o superior.

Dado que Microsoft no ha publicado ningún parche para esta vulnerabilidad, se recomienda a los administradores actualizar sus sistemas a versiones superiores para protegerse de los ataques de EsteenAudit. Si es difícil actualizar, sería bueno proteger el puerto RDP, ya sea deshabilitándolo o colocándolo detrás de un firewall.

Mientras tanto, enSilo ha lanzado un parche para ayudar a los usuarios de Windows XP y Server 2003 a proteger sus máquinas contra EsteemAudit. Puede aplicar el parche para proteger sus sistemas, pero tenga en cuenta que no es un parche oficial de Microsoft.

Fuente: The Hacker News

Memorias SSD vulnerables a ataques de corrupción de datos

Sin lugar a dudas, el medio de almacenamiento por antonomasia en la mayoría de los equipos, tanto a nivel de empresas como en el caso de usuarios particulares. Los discos SSD son un medio de almacenamiento extremadamente rápido en operaciones de lectura y escritura. Sin embargo, un grupo de expertos en seguridad han detectado que las unidades no están libres de fallos de seguridad debido en parte a la tecnología utilizada.

Estos dispositivos están formados por agrupaciones de memorias NAND, que son las que se encargan de almacenar la información. Un alto número de estas unidades permite obtener las capacidad que en la actualidad son referencia (128 y 256 GB).

Los discos SSD han pasado ya por dos generaciones que utilizaban diferente tecnología de almacenado de la información. La primera de ellas, hacía uso de SLC (en inglés single-level cell). Esto quiere decir que un chip NAND se utilizaba para almacenar un bit de información. Con la llegada de la segunda generación, se abandonó esta idea para dejar paso a MLC, o lo que es lo mismo, un chip servía para almacenar dos bits de información.

Esta es la tecnología que se utiliza en los discos SSD desde el año 2015. De acuerdo a un estudio realizado por expertos en seguridad [PDF], estos discos duros son al menos vulnerables a dos ataques.

El primero de los fallos de seguridad que se ha tratado de explicar ha sido bautizado como "Programa de interferencias" por sus descubridores. El funcionamiento es muy sencillo. Para ser más exactos, el atacante solo tendría que escribir un patrón en la unidad para provocar que la tasa de fallos aumente cuatro veces más de lo habitual, provocando que los errores de escritura en una NAND afectan a las unidades de almacenamiento aledañas.

Esta vulnerabilidad no solo permite que corrompa los datos almacenados en la memoria, sino que la vida de los discos SSD también se ve afectada de forma negativa. Hay que recordar que el número de escrituras en un disco de este tipo es finito y se puede acortar de forma considerable con este ataque.

Muchos comparan este ataque con el Rowhammer que afectaba a la memoria RAM.

El segundo ataque que afecta a estas unidades de almacenamiento está relacionado con la lectura de información que se ve alterada durante el proceso. Esto se consigue provocando que las operaciones de lectura realizadas se encuentren muy por encima del número habitual. Esto provoca que la información leída sea incoherente y se mezcle la información de las lecturas vecinas.

Teniendo en cuenta que se necesita disponer de acceso a la unidad de alguna manera, no se trata de un ataque sencillo de realizar. Es cierto que de poder llevarse a cabo alguno de los dos, el primero sin lugar a dudas es el más letal para la unidad.

Fuente: Redes Zone | Bleeping Computer

24 may. 2017

Los subtítulos permiten ejecución de código (Parchea!)

Investigadores de Check Point han anunciado una nueva y sorprendente forma de ataque que puede dejar expuestos a millones de usuarios de todo el mundo, los subtítulos. Mediante un archivo de subtítulos malicioso descargado por el reproductor de medios del usuario el atacante podrá tomar el control total del sistema. Se ven afectadas plataformas de reproducción de vídeo y streaming tan populares como VLC, Kodi (XBMC), Popcorn-Time y strem.io, aunque también puede afectar a otros sistemas.
Se estiman hasta 200 millones de instalaciones de reproductores afectados lo que según los investigadores estiman que puede convertirse en una de las vulnerabilidades más difundidas, de fácil acceso y de resistencia cero de los últimos años.

Según Check Point esta vulnerabilidad abre un Nuevo vector de ataque desconocido hasta el momento: cuando un reproductor multimedia carga los subtítulos de una película. Los repositorios de subtítulos se consideran, en la práctica, como una fuente fiable por el usuario o el reproductor. Sin embargo, la investigación realizada revela que pueden manipularse para conseguir que un archivo de subtítulos alcance la mayor puntuación para de esa forma sea servido al usuario. Incluso en aplicaciones que obtienen los subtítulos de forma automática desde Internet podrá ser posible construir ataques sin interacción del usuario.

El problema reside del tratamiento que los reproductores multimedia realizan de los archivos de subtítulos y del gran número de formatos de subtítulos. En la actualidad hay más de 25 formatos diferentes de subtítulos, cada uno con sus propias características. La necesidad de tratar múltiples formatos al final conlleva diferentes vulnerabilidades.

En el aviso de Check Point confirman la existencia de vulnerabilidades en VLC, Kodi, Popcorn Time y Stremio. Aunque creen que otros reproductores multimedia también pueden tener fallos similares. También aseguran que algunos de los problemas se han corregido, pero aun hay algunos bajo investigación. Para permitir a los desarrolladores corregir todas las vulnerabilidades no han ofrecido mayores detalles técnicos.

Para demostrar las vulnerabilidades y el alcance que pueden tener han publicado un vídeo en el que se muestra como un atacante puede llegar a tomar el control del ordenador en el momento en que se cargan los subtítulos.

Los reproductores afectados han publicado actualizaciones para corregir estos problemas, aunque como comentábamos antes es posible que en breve publiquen nuevas versiones.

Fuente: Hispasec

Curso en línea - Seguridad de la Información en PyMES implementando ISO/IEC 27001


Modalidad: Curso en vivo. Grabamos cada clase y la dejamos a tu disposición para que la vuelvas a ver cuantas veces quieras. 
Fecha y hora: Miércoles 31 de Mayo, Miércoles 7, 14, 21 y 28 de Junio, Miércoles 5, 12, 19, y 26 de Julio, Miércoles 2, 9 y 16 de Agosto de 19 a 21 hs - Horario de Argentina (UTC-03:00). 
Duración: 12 clases de 2 horas cada una (24 horas en total) + 8 horas de actividades prácticas. 
Audiencia: Líderes de TI, Líderes de Seguridad de la Información, Auditores en general.

Objetivos:
Muchas veces se cree que la implementación y certificación de este tipo de normativas está limitada a grandes organizaciones. Sin embargo, encontramos empresas de pequeña o mediana envergadura con mucho menor nivel de complejidad en sus procesos, y por lo tanto en sus sistemas e infraestructuras tecnológicas.
Esta simplicidad hace que sea mucho más sencillo el lograr implementar este tipo de normativa, ya sea para mejora de los procesos internos, como para la obtención de una certificación de esta naturaleza.
En este curso aprenderás a implementar esta norma en tu organización, que no sólo la hará más segura, sino también más madura y preparada para enfrentar los nuevos desafíos.
Cada uno de los conceptos explicados serán reforzados con ejemplos prácticos y simples para que puedas en un corto plazo tener tu Sistema de Gestión implementado en la organización.

Más información e inscripción en la web de Aula25

Libro Hacking aplicaciones iOS

Hacking iOS Applications (PDF) es un libro electrónico gratuito publicado por Security Innovation sobre, como su título indica, cómo hackear aplicaciones iOS, es decir, dispositivos móviles de Apple como iPhones o iPads.

El libro comienza con la creación de tu propio laboratorio, extracción y generación de ficheros binarios, análisis, depuración y diferentes técnicas de ataques contra estos.
El índice es el siguiente:
  1. Setting Up iOS Pentest
  2. Acquiring iOS
  3. Generating iOS Binary (.IPA file) from Xcode Source Code
  4. Installing iOS Binaries on Physical
  5. iOS Binary Package
  6. Compiling Customer-Provided Source Code for Pentesting on Latest iOS Using Xcode
  7. iOS Security Model
  8. Exploring iOS File System Application Data Using SSH Over
  9. Application Data Encryption
  10. Binary Analysis
  11. Decrypting iOS Applications (AppStore Binaries)
  12. iOS Application Debugging - Runtime Manipulation
  13. Reverse Engineering Using Hopper
  14. Reverse Engineering Using IDA PRO 112
  15. MITM
  16. Side Channel Leakage
Fuente: CyberHades