Múltiples vulnerabilidades en Moodle

Moodle ha publicado 13 nuevas alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas (2.7, 2.6, 2.5 y 2.4) y anteriores, ya fuera de mantenimiento de seguridad.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Doce de los trece problemas anunciados son consideradas como serios, con CVE asociados del CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas vulnerabilidades de Cross Site Scripting, XXE (XML External Entity) y de inyección de código.

Por otra parte un fallo en la autenticación Shibboleth podría permitir a un usuario tomar control sobre las sesiones de otros usuarios. Una vulnerabilidad podría permitir la obtención de nombres de usuario y cursos mediante la manipulación de "/user/edit.php" y otro problema en los foros podría permitir la escritura en grupos a los que no se tiene acceso.

Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que solucionan todos los problemas y pueden descargarse desde su página oficial Moodle.

Fuente: Hispasec

Hacker controla todas las habitaciones de un lujoso hotel chino automatizado

Jesus Molina, un experto en seguridad de California, dice haber 'hackeado' todas las habitaciones automatizadas del lujoso hotel de alta tecnología (hi-tech) St. Regis de la ciudad china de Shenzhen, informa el diario 'South China Morning Post'. El hotel de 5 estrellas proporciona a sus huéspedes un iPad por el medio de cual pueden controlar la mayoría de funciones en sus cuartos, como la luz, termostato y televisión.

Molina estaba alojado en el St Regis Shenzhen, que ofrece a sus huéspedes un iPad y aplicaciones digitales aplicación tipo "mayordomo" para controlar las características de la habitación, incluyendo el termostato, las luces y la televisión.

Después de algunas investigaciones, y tres cambios de habitación, descubrió que las direcciones de red de cada sala y los dispositivos dentro de ellas eran secuenciales, lo que le permitió escribir un script para controlar cada uno de más de 250 habitaciones del hotel.

"Los hoteles son particularmente malos en lo que respecta a la seguridad", dijo Molina. "El problema es la arquitectura de seguridad. En los hoteles y aeropuertos o en cualquier otro espacio con mucha gente es mucho más difícil".

Molina dijo que el sistema de automatización KNX (un estándar mundial de domótica e inmótica) utilizado en el hotel también era inseguro. Molina explicó que se podría dejar al hotel en la oscuridad o cambiar cada televisor al mismo canal. Para dar un ejemplo disparó las luces de "no molestar" en todas las habitaciones.

Molina informó del problema a la dirección del hotel y se deshabilitó toda la red mientras buscaban una solución de automatización más segura. Molina dijo que la atención recibida, daría lugar a que más hoteles mejoren sus sistemas de seguridad.

Joost Demarest, un portavoz de la Asociación KNX, dijo que la versión más reciente de la norma utiliza autenticación y cifrado y que además "es esencial que las redes Wi-Fi utilizadas por los invitados y el sistema de automatización sea diferente".

Molina presentará sus conclusiones en la conferencia de seguridad Black Hat, la próxima semana en ​​Las Vegas.

Fuente: SCMP

Herramienta de hacking para medidores de electricidad inteligentes

La aplicación de código libre llamado Termineter, permite a cualquier persona con un poco de conocimiento conectarse a los medidores de electricidad digitales o medidores inteligentes que están siendo instalados en los hogares por las compañías de electricidad.

Termineter es un framework escrito en Python que proporciona una plataforma para la prueba de la seguridad de los Smart Meters. Implementa los protocolos C12.18 y C12.19 y se comunica se conecta a los medidores inteligentes a través de un puerto infrarrojo que traen los medidores (conexión ANSI Type-2), y aunque inicialmente permite tener un acceso limitado a la data del medidor, el usuario pudiera llegar a adquirir privilegios de administrador, lo que le permitiría manejar el medidor a su antojo.

Los medidores de electricidad inteligentes permiten a las compañías, entro otras cosas revisar el consumo eléctrico remotamente, sin necesidad de enviar inspectores para que lean los registros.

Termineter potencialmente podría usarse para modificar el software del medidor, y reducir las tarifas que los usuarios pagan por la electricidad, o simplemente ordenarle al medidor que reporte menos consumo de energía a la compañía matriz.

Los creadores del programa dijeron que liberaron el software con la idea de demostrar las vulnerabilidades de los medidores, aunque admitieron que el programa podría ser abusado por cualquier persona para beneficio propio.

Fuente: Tecnomundo

Comienza la guerra contra el navegador anónimo Tor

Edward Snowden dijo de esta red que, "cuando de proteger la privacidad se trata, es una de mis herramientas favoritas". La utilizan desde disidentes políticos hasta víctimas de violencia doméstica. Y la propia Agencia de Seguridad Nacional (NSA) de EEUU aseguró en un documento confidencial publicado el año pasado por el periódico The Guardian que en el terreno de la seguridad virtual "es el rey" y no tiene "rivales por el trono".

The Onion Router (Tor) es una red de comunicaciones que pone el énfasis en el anonimato de sus usuarios. El programa, que puede descargarse en el sitio web de Tor Project, distribuye los datos del usuario a través de varios servidores, lo que hace muy complicado rastrear quién eres o dónde estás. Tor, además, elimina también las conocidas como "huellas digitales", de forma que no se puede seguir la historia virtual de quienes la utilizan.

En un momento en el que las cuestiones relacionadas con la privacidad están más de actualidad que nunca, es fácil entender el atractivo de este sistema. Esta red protege la identidad de los usuarios que no quieren que se les identifique y se les rastree a través de internet, al igual que la de los operadores de servidores que ofrecen esos servicios ocultos. Sin embargo, al estar más protegida de la visibilidad pública lo cierto es que sirve también como refugio para actividades ilegales, tanto pornografía infantil como comercio de drogas o de armas, por poner solo algunos ejemplos.

Por estos y otros motivos cada vez son más los países que le están declarando la guerra a esta red. A principios del mes de julio un juez en Austria dictaminó que todas las operaciones que se lleven a cabo a través de Tor constituyen una ofensa criminal y, por lo tanto, un acto delictivo. Por su parte, hace pocos días el gobierno ruso ofreció casi 4 millones de rublos (alrededor de 100.000 dólares) a quien sea capaz de idear una forma de descifrar los datos enviados así como los de los usuarios de Tor debido al incremento de su uso.

Hay que recordar en este sentido que ya en abril el presidente Vladimir Putin denominó a internet "un proyecto especial de la CIA".

Pero no han sido los únicos que están librando una batalla contra esta red con el pretexto de salvaguardar la seguridad nacional. Otros países como Egipto, China, Irán, Arabia Saudí o Libia llevan tiempo luchando para borrarla del mapa de internet. O por lo menos, en sus fronteras.

La pregunta que se hacen ahora muchos es: ¿es posible desvelar los datos y mensajes de los usuarios de Tor?

Contenido completo en fuente original: El Confidencial

Consideraciones forenses en 32 y 64 bits

Desde mediados de los años 90 casi todos los ordenadores que se han vendido, han sido con equipos con arquitectura de 32 bits, y en su mayoría han venido preinstalado con Windows. Después del lanzamiento de Windows 7, las ventas de equipos con Windows de 64 bits han aumentado considerablemente.

El precio de un ordenador con arquitectura de 64 bits ha disminuido tanto que son casi tan baratos como equipos de 32 bits. Y la gente preferirá equipos de 64 bits ya que puede manejar mucho más memoria (RAM).

Un equipo de 32 bits con Windows de 32 bits (valga la redundancia) puede usar un máximo de 3 a 4 GB (RAM) de memoria, sobre todo en torno a 3 GB, debido a que una gran parte del espacio de direcciones es usado por las tarjetas de vídeo y otros dispositivos tales como tarjetas de red, tarjetas de sonido, etc. Con los ordenadores de 64 bits se puede manejar mucha más memoria RAM como por ejemplo 192 GB.

En el momento de evolución de Windows 32 a 64 muchas cosas se han ido adaptando en la arquitectura del sistema operativo, muchas de ellas evidentemente no se ven por su implantación y otras están a simple vista como las carpetas del sistema operativo.

SYSTEM32 vs SysWOW64

Lo que voy a decir puede llevar a la confusión, pero son definiciones dadas por el propio Microsoft.

Aunque parezca lo contrario, la carpeta System32 está destinada a archivos de 64 bits y la carpeta SysWOW64 está diseñada para archivos de 32 bits. Aunque esto puede no parecer lógico, tiene que ver con la compatibilidad de los programas y programadores de aplicaciones.

Cuando se ejecuta una aplicación de 32 bits en un entorno de 64 bits, se produce un redireccionamiento de forma transparente siempre y cuando la aplicación intente acceder al directorio SYSTEM32 o al registro de Windows. Este redireccionamiento lo implementa una capa de compatibilidad llamada WOW64.

WOW64 es una abreviatura de "Windows on Windows 64-bit" (se puede leer como "Windows de 32 bits en Windows de 64-bit"). Es un emulador que permite a las aplicaciones basadas en Windows de 32 bits se ejecuten sin problemas en Windows de 64 bits.

Para implementar esto, WOW64 intercepta todas las llamadas al sistema de las claves de registro abiertas y reescribe la ruta para que apunte a dos ramas del registro, como son, HKLM\Software y HKEY_CLASSES_ROOT.

Bajo cada una de estas ramas, WOW64 crea una clave llamada Wow6432Node. En esta clave se almacena la información de configuración de 32 bits Todas las demás partes del Registro son compartidos entre las aplicaciones de 32 bits y de 64 bits (por ejemplo, HKLM y SYSTEM).

Es muy importante que un archivo compilado a 32 bits o 64 bits se instale en la carpeta de sistema correcto. De lo contrario, el programa que necesita el archivo no será capaz de cargar el archivo y probablemente no funcione como se espera.

Dos versiones, dos carpetas y una ejecución transparente

A modo de recordatorio:
Nombre de la carpetaBITSDescripción
System3264Carpeta del sistema de Windows (directorio del sistema) para archivos de 64 bits
SysWOW6432Carpeta del sistema de Windows (directorio del sistema) para archivos de 32 bits
Archivos de programa64Carpeta para los archivos de programa de 64 bits
Archivos de programa (x86)32Carpeta para los archivos de programa de 32 bits

¿Esto es un problema en el ámbito forense?

Puede que sí, puede que no. Veamos un caso concreto:

Supongamos que tenemos un malware de nombre 'malware.exe' y que tiene el siguiente hash:
41d8cd98f00b204e9800998ecf8427e

Ahora vamos a copiar el fichero a las carpetas SYSTEM32 y SysWOW64.

Una vez copiados calculamos sus huellas y efectivamente vemos que coinciden, pero he aquí el problema: ¿Que ocurre si copiamos un fichero del mismo nombre y con diferente tamaño?. EL hash debería de ser identico.

Veamos los resultados...

Es el mismo HASH...¿como es posible?.

Efectivamente tenemos un mismo hash en diferentes directorios y con diferentes archivos. ¿Es problema de colisiones MD5?. De ninguna manera, eso debido a que el programa md5sum de 32 bits intentó leer el archivo del directorio 'Win32\malware.exe', el sistema operativo 'se percata' y de forma transparente redirigió a 'C:\Windows\SysWOW64\malware.exe' obteniendo el mismo resultado.

Es decir, pogamos el caso de un malware diseñado para un entorno de 32 bits que se ejecuta en un sistema de 64 bits, esto implicaría que parte de los cambios que se van a producir en el registro se van a realizar en sobre la clave 'HKLM\SOFTWARE\Wow6432Node'. Esto además permitiria falsear la búsqueda en aquellas herramientas forenses de 32 bits en un entorno de 64. Lo cual a su vez falsearía las evidencias en un informe.

Por lo tanto una revisión 'normal' por medio de un análisis forense o bien utilizando indicadores de contenido (IOCs) se saltaría este paso dado que tengamos claro que ocurre una redirección, es decir, tenemos que tener en cuenta que hay que revisar ambos directorios y utilizar herramientas que soporten ambas arquitecturas y por su puesto la siguiente clave (entre otras)

'SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run'

Por lo tanto es indispensable la revisión de estas carpetas y sus contenidos.

¿Se puede automatizar el proceso?

¡¡Por supuesto que tiene solución!!. Una buena herramienta para este análisis es utilizar la herramienta RegRipper, ya que analiza claramente estas carpetas y verifica las ramas del registro anteriormente mencionadas. Por otro lado otra herramienta como Registry Browser permite ver las diferencias en las modificaciones del registro contemplando los métodos de redirecciones.

Lo dicho, no os olvideis de revisar el sistema dependiendo de la arquitectura.

Fuente: Conexión Inversa

España:designan operadores para infraestructuras críticas

La Comisión Nacional para la Protección de las Infraestructuras Críticas (CNPIC), ha designado a los primeros 37 operadores críticos. Estos operadores gestionan más de 150 infraestructuras críticas de la electricidad, el gas, el petróleo, el sector nuclear y el sector financiero. Se consideran infraestructuras críticas "aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre la vida de las personas".

Durante el acto de entrega de las resoluciones de designación como operadores críticos, el secretario de Estado de Seguridad, Francisco Martínez, reconoció que la importancia de proteger estas infraestructuras frente a ataques deliberados, bien físicos o cibernéticos, ha ido aumentado exponencialmente durante los últimos años como consecuencia de la creciente dependencia que la sociedad actual tiene de estas instalaciones.

"Dado que el 80% de nuestras infraestructuras están gestionadas por organizaciones ajenas a las Administraciones Públicas, se hace especialmente necesario que el papel de los operadores sea fundamental dentro del nuevo esquema de seguridad que el Ministerio del Interior quiere implantar", explicó Martínez.

37 Nuevos operadores crítocos

La mayoría de los 37 operadores críticos designados ya tienen mucho trabajo avanzado y cuentan con departamentos de seguridad dirigidos por personal cualificado, que integrarán los puntos de contacto con la Secretaría de Estado de Seguridad en materia de protección de infraestructuras críticas.

Los nuevos operadores tendrán, a su vez, en el CNPIC el punto directo de interlocución con la Secretaría de Estado de Seguridad en lo relativo a sus responsabilidades, funciones y obligaciones. Además, Martínez se reunirá en los próximos días con los responsables de seguridad de los operadores para planificar las próximas acciones sobre protección de infraestructuras críticas de forma conjunta.

Fuente: Europa Press

Infiltran defensa de Israel y roban documentos de Cúpula de Hierro

De acuerdo con una investigación realizada por una empresa de seguridad con sede en Maryland Cyber ​​Engineering Services Inc. (CyberESI), parece ser que hackers chinos se han infiltrado en las bases de datos de tres contratistas de defensa israelí y robaron los planes para el sistema de defensa antimisiles Cúpula de Hierro, el escudo antimisiles de Israel. CyberESI aún no ha liberado el informe públicamente.

Este graves denuncias sobre el grupo chino fueron detallados por Brian Krebs en su blog.

Cúpula de Hierro es el escudo antimisiles más eficaz existente y está diseñado para interceptar y destruir misiles de corto alcance y proyectiles de artillería disparados desde una distancia de 4 kilometros a 70 kilometros de distancia. Subvencionado por los EE.UU., el programa antimisiles Cúpula costó un total U$S mil millones, y se ha utilizado en gran parte del conflicto en curso con la Franja de Gaza.
Los atacantes también fueron capaces de obtener los planos de otros interceptores de misiles, incluidos los vehículos aéreos no tripulados, misiles balísticos y el interceptor de misiles Arrow III que fue diseñado por Boeing y otras empresas estadounidenses.

Se cree que los ataques fueron ejecutados por el grupo "Comment Crew" de Beijing, un grupo de "luchadores cibernéticos vinculados a Ejército Popular de Liberación de China (EPL)". El ataque fue a las redes corporativas de las principales empresas de tecnología de defensa israelíes, entre ellos Elisra Group, Israel Aerospace Industries, y Rafael Advanced Defense Systems, entre el 10 de octubre de 2011 y el 13 agosto de 2012.

Las tres empresas de tecnología de defensa israelíes fueron responsables por el desarrollo de la "Cúpula de Hierro" y los atacantes se concentraron en las tres empresas a través de ataques de phishing de correo electrónico y una vez que los sistemas fuoern violados, exfiltraron todo tipo de documentos, desde los correos electrónicos enviados por un director general hasta las presentaciones en PowerPoint que contienen toda la información necesaria acerca de la Cúpula de Hierro y otros proyectos balísticos sofisticados.

El grupo de hackers salio a la luz en mayo de este año cuando el Departamento de Justicia de los Estados Unidos acusó a cinco de sus presuntos miembros con diversos delitos de piratería y espionaje. El grupo supuestamente se infiltró en los sistemas norteamericanos que participan en la energía nuclear, metales y productos solares industrias, con el fin de "robar información que proporcionaría una ventaja económica" para las empresas chinas.

Aunque no se conoce con exactitud la cantidad de datos que el grupo fue capaz de obtener, pero CyberESI identificó más de 700 documentos que fueron robadas de Israel Aerospace Industries (IAI), que asciende a 763Mb incluyendo documentos de Word, hojas de cálculo, archivos PDF, correos electrónicos, y los binarios ejecutables, informaron Krebs. Se cree que el número real es mucho mayor.

Cristian de la Redacción de Segu-Info

Roban 20.000 direcciones de correo electrónico de la web del BCE

"Lamentamos informarle de que se ha producido una violación de las normas de seguridad en la base de datos de la página web del Banco Central Europeo (BCE)". Este es el mensaje que el organismo que encabeza Mario Draghi ha enviado hoy para informar de que su página web ha sido pirateada. Una portavoz de la entidad ha señalado que el número de direcciones de correo electrónico robadas asciende a 20.000, además de otros datos relacionados con las personas que se daban de alta en la página para asistir a seminarios u otros actos organizados por el BCE.

El organismo ha señalado que el robo no ha afectado a ninguna información que pueda afectar al mercado."La base de datos sirve a parte de la página web que recoge información relacionada con conferencias, visitas u otros eventos. Esta parte está separada físicamente de los sistemas internos del BCE", señala la entidad en un comunicado.

El robo se destapó el pasado lunes, cuando el BCE recibió un correo electrónico anónimo que le exigía dinero a cambio de las direcciones robadas. El organismo asegura que, pese a que la mayor parte de la información que tiene en su base de datos está encriptada, datos como correos electrónicos, direcciones postales y números de telefóno no estaban protegidos. Y esos son a las que accedieron los delincuentes. "Ningún sistema interno se ha visto comprometido", aseguran en el organismo.

El BCE está poniéndose en contacto con las personas cuyos emails u otros datos pueden haberse visto afectados y está cambiando todas las contraseñas como medida de precaución. "La policía alemana ha sido informada y hemos dado los pasos necesarios para que una situación así no vuelva a repetirse", señala el banco en el email enviado a su listado de contactos.

Fuente: El País

Reino Unido dejará de criminalizar descargas ilegales

El gobierno británico dejará de criminalizar, a partir de 2015, a las personas que descarguen contenidos ilegales de Internet, y en su lugar promoverá, a través de notificaciones, los medios legítimos para obtenerlos.
La iniciativa implicará el envío de cuatro comunicaciones que expliquen los motivos por los cuáles la descarga en cuestión es considerada un delito.

Estas, a su vez, informarán sobre los canales legales para obtener esos contenidos, aunque si el usuario en infracción desestima esas notificaciones, no será castigado, según informó la agencia de noticias Europa Press.

En el Reino Unido, la descarga de películas, música o videojuegos de forma ilegal tiene como represalia la restricción del acceso a Internet.

El nuevo esquema de no criminalización de las descargas ilegítimas es producto de acuerdos entre el gobierno, proveedores de Internet y representantes de la industria de la música y el cine, y lleva el nombre de "Programa Voluntario de Alertas de Copyright".

Fuente: Ambito

Presentaciones de la Syscan360:2014