Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

jueves, 28 de agosto de 2014

Microsoft vuelve a publicar la actualización MS14-045


El pasado 15 de agosto Microsoft eliminó, y hasta recomendó la desinstalación del parche MS14-045 (publicado dentro del conjunto de boletines de seguridad de agosto). Ahora publica una nueva versión de esta actualización, con todos los problemas que motivaron su retirada ya corregidos.

Microsoft retiró la actualización MS14-045 del "Download Center" y recomendó a todos los usuarios desinstalar este parche. Todo indicaba que muchos usuarios habían sufrido la "pantalla azul de la muerte" tras la instalación de la actualización MS14-045.

Microsoft republica el boletín MS14-045 con lo que reemplaza la actualización 2982791 con la 2993651 para todas las versiones soportadas de Windows. De esta forma, según afirma Microsoft, esta nueva actualización soluciona todos los problemas que motivaron la retirada de la original.

Microsoft recomienda a todos los usuarios instalar la actualización 2993651, que reemplaza a la caducada 2982791. Igualmente recomienda a los usuarios que aun no hayan desinstalado la actualización original, hacerlo antes de aplicar la nueva.
 
Este boletín está calificado como "importante" y soluciona tres vulnerabilidades (CVE-2014-0318, CVE-2014-1819 y CVE-2014-4064) en los controladores modo kernel que podrían permitir a un usuario elevar sus privilegios en el sistema. Afecta a sistemas Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.   

________________________________________________________
Tomado de:  http://unaaldia.hispasec.com/2014/08/microsoft-vuelve-publicar-la.html


sábado, 23 de agosto de 2014

YO ESPERABA UN BUEN REPORTE DE PENTEST !


No me dedico a hacer pentest. Llegué a realizar algunos hace varios años y fueron internos, con alcances limitados. Tengo la certificación CEH pero no me pareció la gran cosa ni me creo hacker ni pentester por haberlo cursado exitosamente. También coordiné y contraté tres servicios de pentest, uno de ellos de muy alto nivel con hackers (en el buen sentido de la palabra, es decir, gente motivada a dominar la tecnología y con conocimientos muy profundos de TI).

Por lo tanto me siento con las credenciales suficientes para poder identificar tanto un buen ejercicio de pentest como un reporte con calidad de los hallazgos. En este artículo voy a abordar el segundo punto: el reporte.
La idea de este artículo me la dio la revisión de un reporte de un pentest. Al irlo leyendo me surgieron algunas críticas del mismo las cuales les comparto.

Carece de tabla de hallazgos

Al final de cuentas, para darle seguimiento a lo que encontró el pentest es necesario entregar una lista de hallazgos, los cuales (a modo de checklist) se irán eliminando conforme la empresa los solucione. Es importante mencionar que a un nivel alto (directivo) le darán seguimiento a la solución de los hallazgos de un pentest por medio de una tabla que incluirá:
  • nombre del hallazgo,
  • descripción del mismo,
  • fecha de solución y
  • estatus actual o avance.
Es todo. Al alto nivel no le interesará realmente saber más para darle seguimiento a la solución de los hallazgos. Por lo tanto, el reporte de decenas de páginas está bien para tener el detalle técnico, pero si me das el listado de hallazgos me facilitarás la vida por dos cuestiones:
  1. no tengo que hurgar y analizar en el reporte para armar la tabla de hallazgos que finalmente me pedirán y,
  2. evitas que yo omita un hallazgo porque no está claramente identificado como tal en el reporte.
Creerás que exagero y que en todos los reportes de pentest se pueden identificar claramente los hallazgos. Pues no. Unos se ponen a escribir y escribir poniendo screenshots aquí y allá sin una división clara del texto en el documento. ¿Cuántos hallazgos hay y cuáles son? Como que el pentester fue escribiéndolo conforme le venían las ideas a la mente y pone todo como un gran bloque de texto, donde los hallazgos están inmersos en algún lugar. Se vuelve un juego de “Encuentra a Wally”. Una tabla de hallazgos solucionaría este problema.

Reporte ejecutivo de los hallazgos.

Por alguna razón muchos pentesters creen que todos hablan su lenguaje (y de paso, aquí quiero incluir a algunos de los encargados de seguridad en las empresas que también hablan con sus terminajos que pocos entienden). Cuando quieres explicarle a tus jefes los hallazgos, pides a los pentesters una presentación y/o resumen ejecutivo. Más de uno falla rotundamente.
Simplemente no pueden salirse de sus XSS, Cross-Site Request Forgery (CSRF), Unvalidated Redirects and Forwards y demás tecnicismos. En sus reportes y presentaciones no hay tablas. No hay impactos. Inexistentes los cuadros de riesgo donde se pueda ver rápidamente la vulnerabilidad, los diferentes perfiles del atacante que podría concretar el ataque, el riesgo y consecuencia. A los ejecutivos sinceramente no les interesa lo difícil que fue encontrar una debilidad, cuál fue el exploit de Metasploit usado (¡y peor aún, con lujo de detalles!) y que si el ataque evade el Enhanced Mitigation Experience Toolkit.
Lo que quieren saber son impactos, riesgos, dificultad para solucionar el hallazgo, facilidad para concretar el ataque, otras defensas que mitiguen el riesgo y soluciones viables a implementar y en qué plazo. No hables de árboles, coméntame del bosque.

Falta investigación de las propuestas de solución

En lo que casi todo pentester falla es al momento de proponerte una solución para el hallazgo. Por cierto, unos ni siquiera ponen esta sección de “soluciones” que porque no es parte del pentest. Es como si fueras al doctor y te dice que tienes varias enfermedades que detectó pero que no te puede decir qué hacer porque su trabajo acaba al momento de encontrarlas. En fin, regresemos al tema.
Decía que las soluciones de los pentesters muchas veces fallan porque si bien son buenos encontrando huecos de seguridad, son pésimos para proponer soluciones efectivas corporativas. Se ve que nunca han estado laborando en una empresa del lado de los administradores de TI. Inclusive a veces te ponen una liga que encontraron en internet, que al final de cuentas revisas y no tiene nada que ver con una solución empresarial, es para que la aplique un usuario casero.
Otras veces el pentester te manda a una liga con “las mejores prácticas”; un documento de cientos de hojas donde yo tengo que adivinar cuál práctica es la que soluciona el hallazgo. En general, mi punto es que los pentesters le dedican tiempo a encontrar huecos de seguridad pero no se sientan para explorar buenas soluciones que se puedan implementar en la vida real corporativa. Si creen que este no es su trabajo, ni me lo digan, sería una discusión infinita (y yo que estoy tratando de hacer que sus reportes salgan mejor).

Ausencia de claridad de las explicaciones

En el mundo de TI nos falla a muchos escribir con claridad. A veces pienso que es todo un arte perdido. Uno se encuentra con párrafos (¡y hasta páginas!) completos que es necesario volver a leer al menos dos veces para entender lo que quisieron decir. Tan fácil que es:
  • incluir un resumen, tabla de hallazgos y conclusión (varias personas es lo único que leerán),
  • ser directo y al grano,
  • incorporar encabezados dentro del documento,
  • sustituir texto con tablas, imágenes, gráficas o screenshots siempre que se pueda,
  • usar bullets que son más fáciles de digerir que kilos de texto,
  • cortar: asegurarse de que cada palabra y párrafo es realmente necesario tenerlo ahí,
  • usar sujeto y predicado, en ese orden; concepto de primaria pero a veces olvidado,
  • evitar el “se”: se recomienda, se bajará el riesgo, se hizo, se tendrá. En lugar del “se”, mejor identificar el quién siempre que se pueda,
  • utilizar verbos en lugar de sustantivos “para la solución de “ -> “para solucionar”,
  • poner siglas con su significado,
  • usar forma positiva en lugar de la negativa: “no es improbable que se eliminen las debilidades por lo tanto no es recomendable parcharlas a menos de que haya certeza de que no se ha mitigado el riesgo previamente por haber evitado una solución no confiable”. WTF?
  • leer el reporte al menos 3 veces buscando incoherencias, errores gramaticales y demás; y no dije 2 veces, dije 3,
  • corregir faltas ortográficas, ¡por Dios!
Fuente: Search Data Center

_____________________________________________________________
Tomado de:  http://blog.segu-info.com.ar/2014/08/yo-esperaba-un-buen-reporte-de-pentest.html#yo-esperaba-un-buen-reporte-de-pentest

Se respetan derechos de autor


CÓMO HACKEAR GMAIL EL 92% DE LAS VECES !




La debilidad se puso a prueba a través en Android, pero los investigadores afirman el método podría ser utilizado a través de todas las plataformas porque el error radica en componentes compartidos en otros sistemas operativos: la capacidad de las aplicaciones para acceder a la memoria compartida de un dispositivo móvil. Sin embargo, no se han llevado a cabo pruebas en otros sistemas.

El ataque funciona cuando un usuario descarga una aplicación aparentemente inofensiva, como por ejemplo fondo de pantalla. Una vez instalado, los investigadores fueron capaces de explotar un canal lateral (side channel attack): la memoria compartida utilizada por un proceso, que puede ser accedida sin permisos o privilegios de las aplicaciones.

Los cambios dentro de la memoria compartida se monitorean, y estos cambios se correlacionan con lo que el equipo llama a un "activity transition event". En este ataque hay dos etapas: en primer lugar, el ataque debe llevarse a cabo en tiempo real, por ejemplo en el momento en que el usuario inicia SU sesión en GMail. En segundo lugar, hay que hacer que el hack sea indetectable para el usuario.

El método utilizado para explotar la falla fue un éxito en seis de siete aplicaciones probadas (82% al 92%). Entre las aplicaciones que se infiltraron con éxito estaban GMail, Chase Bank y H&R Block. La única aplicación que resultó difícil de atacar fue Amazon, con una tasa de éxito del 48 por ciento.

Zhiyun Qian, profesor asociado de la Universidad de California en Riverside, comentó: "Por diseño, Android permite que las aplicaciones puedan ser interceptadas y/o secuestradas. Pero la cosa es que hay que hacerlo en el momento adecuado para que el usuario no se dé cuenta".

Qian sugiere a los usuarios "no instalar aplicaciones no confiables", y para los desarrolladores, el investigador dice que un equilibrio más adecuado entre la seguridad y la funcionalidad debe ser inamovible.

El documento, Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks [PDF] fue presentado ayer en el evento USENIX Security Symposium en San Diego y fue presentado con este video.

Fuente: ZDNet
__________________________________________________________
Tomado de : http://blog.segu-info.com.ar/2014/08/como-hackear-gmail-el-92-de-las-veces.html#como-hackear-gmail-el-92-de-las-veces
Se respetan derechos de autor  


lunes, 18 de agosto de 2014

Cómo puedes ser espiado a través de Youtube y Windows Live

Cada vez nos sorprendemos menos ante este tipo de noticias. Pongamos la situación: queremos ver un simple vídeo y accedemos a él a través de un enlace totalmente inocuo. Esa acción no es peligrosa... pero al llevarla a cabo podríamos acabar siendo espiados. Una serie de empresas están vendiendo una serie de soluciones que prácticamente son plug and play.
Basta con conectar el dispositivo a puntos de intercambio para, por ejemplo, inyectar información en tráfico no cifrado (como puede ser un vídeo de gatitos de YouTube). Junto con el streaming en cuestión, lo que haría este dispositivo (con el software modificado, que conste) sería inyectar malware que se aprovecha, por ejemplo, de vulnerabilidades en versiones antiguas de Flash o de Java.

De ese modo, cuando viéramos el vídeo, también recibiríamos un bicho capaz de espiar nuestro tráfico en Internet o de enviar a algún servidor extranjero contenidos de nuestro disco duro. Lo mismo ocurría, por cierto, con las páginas de inicio de sesión de los servicios online de Microsoft y vulnerabilidades no corregidas de Java. Hay que decir que es imposible, al menos de momento, inyectar tráfico malicioso en conexiones HTTPS, por lo que estarían a salvo de este tipo de ataque.

Lo realmente interesante es que existe un mercado para este tipo de soluciones, que no son precisamente baratas (partiendo del millón de dólares) y del que forman parte incluso gobiernos de muchos países. Curiosamente Edward Snowden también describió un proyecto de la NSA llamado QUANTUMINSERT, y otros servicios de inteligencia como los del Reino Unido, Israel, Rusia o China podrían haber desarrollado sus propias versiones.
La solución para evitar ser infectados por este tipo de soluciones podría pasar, además de por cifrar el contenido de nuestros ordenadores, por ser usuarios de una VPN. En tanto que el tráfico cifrado, hasta donde sabemos, no puede ser interceptado ni alterado.


Fuente: GenBeta


---------------------------------------------------------------------------------------------------
Tomado de:  
http://blog.segu-info.com.ar/2014/08/como-puedes-ser-espiado-traves-de.html#como-puedes-ser-espiado-traves-de
Se respetan derechos de autor

lunes, 11 de agosto de 2014

Microsoft detecta fotos de pedofilia en cuenta de SkyDrive

Tomado de   http://blog.segu-info.com.ar/2014/08/microsoft-detecta-fotos-de-pedofilia-en.html
Se respetan derechos de autor 
Un hombre de 20 años fue arrestado en el estado de Pennsylvania, Estados Unidos, por compartir imágenes de contenido sexual explícito de una menor, después de que Microsoft escaneara y encontrara las fotos en uno de sus servicios, y avisara a la policía. Además de contribuir con la detención del joven, el caso demostró que el gigante del software también escanea los archivos de los usuarios, como Google.

En 2009, Microsoft desarrolló PhotoDNA, una tecnología para detectar la difusión de imágenes de explotación de niños. PhotoDNA crea una firma única para cada imagen, similar a una huella dactilar y que ayuda a detectar pornografía.

Esto se hace convertiendo la fotografía en blanco y negro y fragmentándola en una cuadrícula. Luego se analiza cada celda de la cuadrícula para crear un histograma que describe cómo cambian los colores de intensidad dentro de ella; y la información obtenida se convierte en su "ADN".

Microsoft descubrió las imágenes de la niña guardadas en la cuenta que el joven Tyler James Hoffman tiene en "Sky Drive", el servicio de almacenamiento en la nube de la multinacional estadounidense, y dio aviso al Centro Nacional para Niños desaparecidos y Explotados, que luego alertó a la policía.

Si bien el caso se conoció hoy, el arresto se produjo el pasado 31 de julio, después de que Hoffman fuera acusado de cinco cargos vinculados a la posesión y distribución de imágenes con contenido sexual de menores, según informó el sitio especializado en filtraciones de documentos legales "Thesmokinggun". Este medio publicó además la declaración jurada de los policías que llevaron adelante el arresto, en la que los oficiales explicaron que la detención fue motivada por el gigante del software.
"Según Microsoft, este individuo subió una imagen", señala el documento policial que luego describe las características de la foto de la adolescente.

Más allá del delito atribuido a Hoffman, el caso reavivó el debate en torno a la privacidad de las cuentas que las personas tienen en los servicios de comunicación de Internet. "La pornografía infantil viola la ley así como nuestros términos de servicio, que dejan claro que hacemos uso de tecnologías automatizadas para detectar conductas abusivas que puedan dañar a nuestros usuarios o a otras personas", justificó Mark Lamb, de la unidad de crímenes digitales de Microsoft, en un comunicado.

Fuente: Telam

 

Actualización del kernel para SuSE Linux Enterprise 10

Tomado de: http://unaaldia.hispasec.com/2014/08/actualizacion-del-kernel-para-suse.html   
Se respetan derechos de autor.

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 10 SP3 LTSS. Se han solucionado 17 vulnerabilidades e incluye 2 correcciones.
Los problemas corregidos están relacionados con la generación de direcciones IPv6 temporales, el subsistema HID (Human Interface Device), el uso de UDP Fragmentation Offload (UFO), múltiples desbordamientos de búfer cuando se usa CONFIG_IP_VS, múltiples subdesbordamientos de búfer en la implementación XFS, la inicialización de determinadas estructuras de datos y con el tratamiento de llamadas FDRAWCMD ioctl.
Otros problemas están relacionados con la función ipc_rcu_putref en ipc/util.c, la función aac_compat_ioctl de drivers/scsi/aacraid/linit.c, la función l2tp_ip_recvmsg en net/l2tp/l2tp_ip.c y la función pn_recvmsg en net/phonet/datagram.c .
Además se han corregido otros dos problemas no relacionados directamente con fallos de seguridad.
Los CVE asignados son: CVE-2013-0343, CVE-2013-2888, CVE-2013-2893, CVE-2013-2897, CVE-2013-4470, CVE-2013-4483, CVE-2013-4588, CVE-2013-6382, CVE-2013-6383, CVE-2013-7263, CVE-2013-7264, CVE-2013-7265, CVE-2014-1444, CVE-2014-1445, CVE-2014-1446, CVE-2014-1737 y CVE-2014-1738.
En todos los casos los problemas podrían permitir evitar restricciones de seguridad, obtener información sensible, elevar los privilegios del usuario, realizar ataques de denegación de servicio, ejecución de código arbitrario y otros impactos no especificados.
Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".
Más información:
Security update for Linux Kernel SUSE-SU-2014:0832-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140832-1.html

jueves, 7 de agosto de 2014

Ciberbanda rusa acumula 1.2 billones de credenciales de acceso robadas

Tomado de:  http://blog.auditoria.com.mx/2014/08/ciberbanda-rusa-acumula-1-2-billones-de-credenciales-de-acceso-robadas/
Se respetan derechos de autor

Podría ser la más grande violación de datos de credenciales conocida a la fecha.

En su monitoreo de la Deep Web la empresa de seguridad Hold Security ha descubierto que una ciberbanda rusa  ha logrado juntar el mayor número de credenciales de acceso robadas de Internet, 1.2 billones de juegos únicos de direcciones de correo electrponico y contraseñas. Dijo que la banda no tiene nombre y le ha apodado Cybervor, vor es una palabra rusa que quiere decir ladrón,
De acuerdo con Hold Security -quien ayudó al descubrimiento del hackeo a Adobe el año pasado- los datos no necesariamente fueron robados del usuario sino que pudieron haber sido robados a terceras partes a los que el usuario confía sus datos personales, como proveedores de productos o servicios, empleadores, amigos o familiares.
Narra que la ciberbanda en principio adquirió en el mercado negro las bases de datos de credenciales robadas que se utilizaron para atacar a los proveedores de correo electrónico, redes sociales y otros sitios web para distribuir spam a víctimas e instalar redirecciones maliciosas en sistemas legítimos. Después, a principios de este año, tuvieron acceso a los datos desde redes botnet que usaron los sistemas de las víctimas para identificar vulnerabilidades de SQL en los sitios que visitaron y las utilizaron para robar datos. La lista de sitios web afectados es de cientos de miles, tanto de empresas líderes como sitios personales o pequeños.
Recomienda a las empresas verificar si su sitio web es susceptible inyección SQL. La verificación debe ser a todo el sitio web, incluyendo a sitios auxiliares y subdominios si existieran.
Hold Security está proporcionando sin costo a los usuarios el servicio de monitoreo de identidad. Una vez registrado el usuario podrá verificar si sus credenciales se encuentran en la lista de CyberVor.