31 ago. 2016

USB sin modificar permite transmitir radio frecuencia (RF)

Investigadores israelíes de Ben-Gurion University han demostrado que ya no se necesita modificar un dispositivo USB para utilizarlo como transmisor de radio frecuencia (RF).

En concreto, este sistema funciona con cualquier dispositivo que sea conectado a través de USB, funcionando mejor con los que usan cable, como un disco duro externo. El sistema de la NSA, llamado CottonMouth, obligaba a modificar el USB y a colar el dispositivo en el ordenador objetivo, mientras que USBee [PDF] puede funcionar con cualquier dispositivo ya conectado a un ordenador. Simplemente se usa el bus de datos del USB.
Los investigadores han demostrado cómo un dispositivo USB sin modificar se puede convertir en un transmisor de radio frecuencia (RF) y aprovechar para rendir datos potencialmente confidenciales desde sistemas Air-Gapped. USBee es un nuevo método que consiste en un dispositivo USB sin modificar y una pieza experimental de malware.

En los últimos años, expertos de este centro de investigación han estado analizando distintos métodos usando frecuencias de celulares, ruido de ventiladores y discos duros, señales electromagnéticas de tarjetas gráficas y el calor emitido por la CPU y la GPU. Otras técnicas, como AirHopper, que convierte la tarjeta de vídeo en un transmisor de FM; BitWhisper, que se basa en el intercambio de calor-inducido "termal pings"; GSMem, que depende de las frecuencias de los celulares; y Fansmitter, que utiliza el ruido emitido por un cooler de la computadora para transmitir datos.

El sistema hace justo lo opuesto a lo que hacen las radios de los teléfonos móviles. Los teléfonos utilizan el cable de los auriculares para actuar como receptores de señal, los cuales van al chip de la radio y permiten escucharla. El sistema creado por los investigadores israelíes hace lo contrario: utiliza el cable como una antena para emitir.

Para ello, primero tienen que tener acceso al ordenador e instalar el malware que obligue al dispositivo a emitir la señal. Aunque como vimos en Mr. Robot, es tan fácil como soltar varias memorias cerca del objetivo, y algún trabajador acabará insertándola en el ordenador para ver qué contiene, pudiendo así instalar automáticamente el malware.

El alcance del sistema es de 3 metros para una memoria USB, y de 8 metros si el dispositivo usa cable. La tasa de transferencia es… algo lenta, de unos 80 bytes por segundo, que, aunque parezca poco, es suficiente para robar una clave de cifrado de 4096 bits en menos de 10 segundos. Los datos son transmitidos a través de señales electromagnéticas hasta un receptor que utiliza GNU-radio para desmodular la señal. 
Lo interesante de USBee es que permite obtener información de cualquier ordenador a través del puerto USB 2.0, incluso cuando el ordenador está totalmente desconectado de Internet, no tiene altavoces, y tanto el WiFi como el Bluetooth están desactivados.

Este sistema es probable que ya lo conocieran algunas autoridades del espionaje como la propia NSA, y de no ser así, seguro que ya están contactando al grupo de investigadores, o directamente están probando a emular el sistema, ya que en el mundo del espionaje puede ser realmente útil para obtener información.

Para evitar este tipo de hackeo a distancia, se puede aislar una habitación de forma que quede como una Jaula de Faraday. Los investigadores han propuesto varias medidas, como prohibir equipos electrónicos cerca de equipos sensibles, utilizando sistemas de detección de intrusos y antivirus y blindaje para evitar que las emisiones electromagnéticas de los componentes. Sin embargo, los expertos señalaron que estos métodos no siempre sea muy eficiente ni viable. Por ejemplo, en el caso de sistemas de detección de intrusiones para detectar ciertos patrones, puede resultar en una alta tasa de falsos positivos.

Fuente: SecurityWeek

30 ago. 2016

Manipulación de URL en Google permite descargar malware

El investigador de seguridad británico Aidan Woods descubrió un problema en la página de inicio de sesión de Google que permite descargar archivos automáticamente en el sistema del usuario, cuando el mismo termina de hacer el login.
El problema radica en que Google permite agregar un parámetro "continue=[link]" a la URL de la página de inicio de sesión, lo cual indica al servidor de Google donde redirigir al usuario después de la autenticación.

Google ha anticipado que este parámetro podría causar problemas de seguridad y ha limitado su uso solamente para dominios de google.com utilizando la regla "*.google.com/*" pero, los atacantes podrían albergar malware en Google Drive/Docs y propagarlos desde allí.

Woods descubrió que podría pasarse drive.google.com o docs.google.com como parámetro y con un enlace que apunta a un archivo dañino alojado en esos servicios. Luego hacer que el proceso de login continuara, lo cual haría que el usuario que inicia sesión descargue el archivo.
https://accounts.google.com/ServiceLogin?service=mail&
continue=https://docs.google.com/uc?id?XXXXXXXXXXXXXXX&export=download
Los usuarios que recibieran este enlace fraudulento probablemente serían engañados facilmente porque es una URL real de inicio de sesión de Google.

Por ahora Google se negó a resolver el problema porque "esta técnica no afecta substancialmente la confidencialidad o integridad de los datos de los usuarios".

Fuente: Softpedia

100 años de números de la revista Time disponibles para descarga (97GB)

Michael Best es un activista digital que considera que toda la información debería ser libre y lucha para lograrlo. No es la primera vez que es noticia, pero ahora lo que hizo llegó a todos los rincones del mundo: hackeó a la revista TIME y se encargó de liberar casi 100 años en números.
"Decidí publicarlas porque pienso que pueden ser increíblemente útiles para muchas personas que no podrían pagarlas. Especialmente para estudiantes y académicos".
Asegura que no se trató de un hack como se conoce la palabra actualmente porque no tuvo que romper la seguridad de ningún sistema. "Me di cuenta que sólo el index de TIME estaba protegido, pero no los escaneos de las páginas", comentó el estadounidense.
Lo que hizo fue darse cuenta que en la URL de los escaneos que estaba viendo estaba el número de páginas y fecha. Por ese motivo, utilizó una aplicación llamada DownThemAll para poder descargarlas automáticamente y después simplemente las subió a la red para que cualquiera tuviera acceso.

Si bien cualquiera pensaría que los abogados de la revista se comunicarían por mail, asegura que "al menos por el momento", no lo hicieron. Sea como sea, su suscripción fue dada de baja.

El dump pesa 97GB, tiene 3.471 números de TIME (que es un equivalente a alrededor de 340.000 páginas) que van desde 1923 a 2015.

Best piensa que la información, toda la información y no solo la revista TIME, debería ser libre. Incluso comenzó a vender memorias USBs (no con la revista, sino con información gubernamental). La información estará online para que cualquiera que lo desee pueda descargarla gratis y el USB, según comentó, es una forma de apoyar su trabajo y de, al mismo tiempo, obtener algo a cambio.

Toda la información que recolecta la publica en un sitio que él mismo creó y mantiene llamado That 1 Archive. Casi toda la información que se aloja en la página está relacionada a temas gubernamentales. Entre los archivos hay información del FBI, la CIA y hasta filtraciones que tocan a UFO (Unidentified Flying Object en inglés y OVNI en castellano).

Fuente: MinutoUno

Pentesting en Moodle

Moodle es un CMS, un gestor de contenidos multimedia que facilita la gestión de contenido dinámico en un servidor web. La verdad es que como todos los demás CMS como Drupal, Wordpress o Joomla, se han publicado numerosas vulnerabilidades durante su desarrollo.

Moodle es muy empleado en universidades,centros de estudio y academias, pues se basa en una plataforma web online para la gestión de contenido que facilita la interacción entre profesor y alumnos.
En primer lugar, citar que las pruebas que se van a mostrar se realizarán en entornos controlados y virtuales, por lo que la finalidad de esta entrada es con fines educativas y formativos, no nos hacemos responsables de uso para otro fin.

Las vulnerabilidades que se van a mostrar se corresponden con Moodle 2.6.3 que a pesar de estar desactualizado, todavía se encuentra muy empleado hoy en día.

Para realizar las pruebas en un entorno seguro os invito a que instalen Moodle sobre Linux manualmente apoyándose en la documentación de Moodle aunque también se puede emplear el gestor AMPPS que lo tiene preinstalado.

Adquiriendo un enfoque de caja negra, es decir, sin ningún conocimiento del sitio web. Comencemos:

29 ago. 2016

La industria de salud está desprotegida

"Los ciberataques tienen el potencial de generar consecuencias desastrosas para los profesionales de la salud y la sociedad en su conjunto", por lo que los proveedores de atención médica deben ocuparse de tomar las medidas necesarias. Esta es una de las conclusiones del informe 2016 HIMSS Cybersecurity Study [PDF], en el que se entrevistó a 183 representantes de instituciones de salud de los Estados Unidos.

HIMSS (Healthcare Information and Management Systems Society) es una organización que usa los sistemas de gestión y recursos de TI para impulsar mejoras en la industria de la salud. Este sector se ha convertido en uno muy importante en el ámbito de la seguridad, ya que los incidentes tienen un grave impacto para las personas, no solo como usuarios sino como ciudadanos.

El estudio de HIMSS dividió a los encuestados en dos grupos:
  • Organizaciones de cuidado agudo (hospitales o proveedoras de servicios de salud)
  • Organizaciones de cuidado no agudo (atención ambulatoria, centros de salud mental)
"Los resultados son sorprendentes", dice el reporte, ya que el 84,9% de los proveedores de cuidado agudo y el 90,3% de los de cuidado no agudo están usando software antivirus. Esto significa que hay todavía una porción que no implementa la medida de seguridad básica, al igual que sucede en Latinoamérica: el último ESET Security Report halló que el 23% de los empresas utiliza una solución contra malware.

El firewall, otro componente básico de la seguridad ya que monitorea y filtra el tráfico de la red, tampoco tiene un nivel de implementación total. El informe halló que el 78,2% de los proveedores de cuidado agudo y el 90,3% de los de cuidado no agudo implementaron un firewall.
"Sin un firewall (o una tecnología equivalente), los proveedores no tienen la habilidad de prevenir o mitigar virus, malware y otras formas de software malicioso o indeseable", indica el estudio.

Otro hallazgo importante tiene que ver con el cifrado: el 31,9% de los prestadores del primer grupo y el 51,6% del segundo grupo no cifra los datos mientras se transmiten, por lo que podrían ser interceptados o alterados en tránsito. “La manipulación de esta información podría tener un efecto adverso en operaciones clínicas, administrativas y/o de atención al paciente”, afirma HIMSS.

El estudio analiza también la adopción de otras medidas como análisis de logs, gestión de parches y vulnerabilidades, IDS y soluciones MDM, entre otras. En todos los casos hay panoramas similares: porcentajes de adopción no tan bajos, pero que demuestran que todavía falta una mayor inversión y un mejor acceso a herramientas de seguridad.

Al parecer, los prestadores son conscientes de esto: el 85,3% del total de encuestados afirmó que la Seguridad de la Información creció como prioridad del negocio en el último año.

Sin dudas, los primeros pasos están dados pero, como sostiene el reporte: "Si bien los prestadores generalmente entienden sus vulnerabilidades, no estuvieron tan seguros respecto a su habilidad para detectar ataques y proteger a sus infraestructuras de ellos".

Fuente: We Live Security | Infografía sobre en instituciones de salud | ESET

SSH-Audit: auditar la configuración del servidor SSH

SSH-Audit es una herramienta gratuita, escrita en Python y que se encargará de escanear la configuración de nuestro servidor SSH y nos indicará si las diferentes configuraciones que hemos aplicado son seguras, o si por el contrario son débiles y hay que realizar cambios en la configuración de dicho servidor SSH.

Las principales características de ssh-audit es que es capaz de auditar todas y cada una de las partes del servidor SSH, podrá detectar el banner de inicio de sesión, detectará si estamos utilizando un protocolo totalmente inseguro como ssh1 e incluso si estamos utilizando compresión con la librería zlib.

A nivel de cifrado de comunicaciones, es capaz de verificar los algoritmos de intercambio de claves, la clave pública del host, el cifrado simétrico cuando ya se ha establecido la comunicación, y también los mensajes de autenticación de la información. Una vez que ha analizado todos y cada uno de estos parámetros, nos sacará un completo informe indicándonos desde cuando está disponible dicha opción, si ha sido eliminado o deshabilitado, si es inseguro, débil o si es seguro.

La herramienta nos marcará en diferentes colores cuando un determinado algoritmo es inseguro, débil o seguro, de esta manera podremos identificar rápidamente donde tenemos que intervenir para solucionarlo cuanto antes.
Otras características de esta herramienta es que nos permite mostrar la versión utilizada de SSH en base a la información de los algoritmos, además, tiene un histórico de OpenSSH y Dropbear para proporcionarnos la versión en la que se hizo un determinado cambio (se introdujo un nuevo cifrado, se quitó otro etc.).

Por último, ssh-audit no requiere dependencias, únicamente necesitamos instalado Python2 o Python3 en nuestro sistema operativo.

Lo primero que tenemos que hacer es bajarnos el archivo .py del GitHub oficial de ssh-audit, a continuación lo ejecutaremos como cualquier otra herramienta Python de la siguiente manera:
python ssh-audit.py [-nv] host[:port]
El argumento -n deshabilitará los diferentes colores en la salida de toda la información, y el -v nos mostrará absolutamente toda la información.

Fuente: RedesZone

Vulnerabilidades en vBulletin exponen más de 27 millones de cuentas (Parchea!)

Más de 27 millones de cuentas de usuarios, la mayoría del dominio mail.ru, se han visto expuestas debido a vulnerabilidades no parcheadas en foros con software vBulletin.

vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

En total se han visto afectadas más de 27 millones de cuentas de usuario a través de casi una docena de sitios web. La mayoría de las cuentas comprometidas, hasta 25 millones, están vinculadas a los foros de tres juegos (CFire, Parapa y Tanks) alojados bajo el dominio mail.ru. También se han visto expuestas, más de 190.000 cuentas de expertlaw.com y más de 100.000 cuentas en gamesforum.com.

Según el grupo LeakedSource en torno a la mitad de contraseñas han sido fácilmente obtenidas mediante herramientas de cracking, debido a que todos los sitios usan alguna variación de MD5 con o sin salt única. Entre los datos filtrados se encuentran nombres de usuario, direcciones de correo, contraseñas, números de teléfono, direcciones IP y cumpleaños.

Todos los sitios comprometidos funcionaban con una versión sin parchear del software vBulletin, que permitía la realización de ataques de inyección SQL a través del complemento (add-on) incluido Forumrunner en versiones anteriores a la 4.2.2 o 4.2.3. La actualización estaba disponible desde mediados de junio. Una vez más, la importancia de mantener actualizado todo el software.

La compañía Funcom ha reconocido la intrusión y el compromiso de los datos de los usuarios de los foros TheSecretWorld.com, AgeofConan.com, Anarchy-Online.com y LongestJourney.com. Aunque confirman que el software se actualizó el día 19 de agosto no pueden determinar exactamente cuando se produjo la intrusión. Como medida de seguridad temporal Funcon ha reiniciado todas las contraseñas de estos foros.

Fuente: Hispasec

28 ago. 2016

Mozilla publica servicio para comprobar la seguridad HTTPS

Hoy en día, la seguridad de una página web es un aspecto muy importante al que todos los administradores de sistemas deben prestar atención. Configurar correctamente una conexión HTTPS no es suficiente para decir que una web es segura, sino que debe cumplir con varios aspectos más que garanticen tanto la seguridad del contenido de la página como de todas las conexiones que se establecen desde y hacia ella. Para ayudarnos a comprobar la seguridad de estas páginas, Mozilla ha creado una nueva plataforma llamada Mozilla Observatory.

Observatory es una plataforma de código abierto, desarrollada por Mozilla durante varios meses, que nos va a permitir comprobar de forma gratuita la seguridad de cualquier web y mostrar los resultados con una nota que va desde la A como seguridad máxima hasta la F, como suspensa en seguridad.

Los diferentes tests que lleva a cabo la plataforma son:
  • Políticas de seguridad de contenidos.
  • Cookies – Protección contra el espionaje.
  • Compartición cruzada de contenidos.
  • HTTP Public Key Pinning.
  • HTTP Strict Transport Security.
  • Redirecciones.
  • Subrecursos.
  • X-Content-Type-Options.
  • X-Frame-Options.
  • X-XSS-Protection.
Mozilla ha decidido aprovechar, además, el potencial del hosting gratuito de GitHub, por lo que podemos acceder a esta plataforma y empezar a utilizarla desde el siguiente enlace.

Según uno de los creadores, esta plataforma fue programada para analizar la seguridad de casi un millón y medio de páginas web de cierto prestigio de forma automática y, de todas ellas, más del 91% han suspendido los tests.

Para darnos cuenta de lo exigente que es este test no tenemos más que intentar analizar Google, una de las webs con mayores medidas de seguridad, para comprobar cómo saca una nota deficiente en cuanto a seguridad. Incluso paradójicamente, la propia Mozilla suspende su propio test.
Observatory-by-Mozilla-Test-Mozilla
Sin duda, Observatory es una plataforma muy útil y efectiva, quizá demasiado, pero lo que sí está claro es que la mayoría de las páginas web que visitamos día a día no son seguras y, por un lado o por otro, pueden estar exponiendo nuestra seguridad o privacidad debido a la gran variedad de ataques diferentes a los que se exponen las webs.

Fuente: RedesZone

27 ago. 2016

OSINT y Hacking en IPv6

En esta una pequeña investigación se puede observar lo fácil que sería para los malos aprovecharse de las fuentes abiertas para tomar el control de máquinas, a través de la explotación de vulnerabilidades conocidas. ¿Cómo obtener la relación vulnerabilidad – máquina? Fácil, el secreto está en el OSINT.

Fuentes como scans.io proporcionan los resultados de escaneos semanales a diferentes puertos en todo el espacio de direccionamiento IPv4, por lo que si conocemos vulnerabilidades de ciertas versiones de software, tenemos toda la información necesaria y cruzada.

Rafa Sanchez y Fran Gomez han creado MrLooquer, el cual es un servicio para generar Intelligence en IPv6. Un servicio orientado al descubrimiento de direcciones IPv6 y servicios que ejecutan sobre éstas. Esto provoca que MrLooquer sea una fuente de información, la cual con un trabajo similar al realizado en mi trabajo sobre IPv6 se podrían lograr resultados sorprendentes.

MrLooquer surge con la finalidad de ser una herramienta útil para los expertos en seguridad en redes enfocada a IPv6, pero no solo eso, también tiene el objetivo de ayudar a entender las relaciones existentes entre entidades tales como: Dominio-IPv4-IPv6-Puerto.

Si quieres más información sobre seguridad y hacking IPv6, tienes los siguientes artículos:

26 ago. 2016

Disponible OpenSSL 1.1

OpenSSL es un proyecto de código abierto, bajo licencia Apache, que ofrece a los usuarios un robusto y completo kit de herramientas para utilizar e implementar los protocolos de seguridad TLS y SSL y disponer fácilmente de varias librerías criptográficas. Al ser un kit de herramientas crítico para la seguridad, es necesario mantenerlo siempre actualizado de manera que, además de poder utilizar sus últimas funciones, podamos hacer uso tanto de los algoritmos como de los protocolos de la forma más segura posible.

Recientemente, los responsables del proyecto han liberado una nueva actualización mayor del kit de herramientas criptográficas, OpenSSL 1.1, la cual da comienzo a una nueva rama de desarrollo y cuyos cambios respecto a la versión anterior, publicada en mayo de este mismo año, vamos a ver a continuación.

Novedades y mejoras del nuevo OpenSSL 1.1

El nuevo OpenSSL 1.1 busca mejorar todo lo relacionado con la seguridad y, sobre todo, el rendimiento de la herramienta. Por ello, esta nueva versión implementa la función "pipelining" y cuenta con una nueva API que mejora el rendimiento al poder aprovechar al máximo los diferentes hilos del procesador.

Además, también debemos tener en cuenta:
  • Se ha añadido soporte para los protocolos ChaCha20 y Poly1305 en las librerías libcrypto y libssl.
  • Esta nueva versión cuenta con un nuevo motor AFALG.
  • Soporte para contraseñas maestras.
  • Vuelven a funcionar los tests basados en Perl, Test::Harness y Test::More
  • Las estructuras internas de libssl se han vuelto opacas.
  • Se han mejorado los niveles de seguridad generales de todo el conjunto de herramientas.
  • OpenSSL ahora cuenta con soporte para el algoritmo scrypt.
  • La librería de redes BIO vuelve a funcionar, y es totalmente compatible con IPv6.
  • Al compilar la herramienta se deshabilitan por defecto las interfaces en desuso.
Además, se han eliminado varias características de la suite:
  • Se retira el soporte para SSLv2.
  • RC4 ya no forma parte de los cifrados por defecto de libssl.
  • Se ha eliminado el soporte de Kerberos.
  • No se admite el cifrado de 40 y 56 bits en libssl.
Por último, para los usuarios interesados en conocer las limitaciones de la licencia de las aplicaciones, el texto del copyright de OpenSSL se ha simplificado.

Después de conocido el ataque SWEET32 (ataque a los protocolos de 3DES y Blowfish de 64 bits) es muy importante actualizar a esta nueva versión.

Fuente: Redes Zone