Cloudbleed, ¿otro desastre en Internet?

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Cloudflare es una CDN (Content Deliver Network) usada por millones de sitios web para distribuir su contenido y para protegerse frente a ataques como DDoS (Distributed Denial of Service). Básicamente funciona como un proxy entre los sitios web y los clientes, actuando como intermediario para liberar a los servicios web de la carga de atender peticiones.

Además de esta protección anti-ddos también ofrece otras características de seguridad y optimización de rendimiento como ofuscación de correos, Server-Side Excludes y HTTPS rewrites.

El pasado 18 de febrero, Tavis Ormandy de Project Zero avisó a Cloudflare de un fallo en sus sistemas debido a un error en su código fuente:

Continue reading »

Malware casi invisible: infección y detección

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Hace una semana hablábamos sobre las técnicas que están empezando a utilizar los atacantes para desarrollar malware muy difícil de detectar. Este tipo de malware suele denominarse fileless por el hecho de que no guarda ni modifica archivos en el disco duro y se ejecuta completamente en memoria.

Esta semana ya tenemos algo más de información sobre estas amenazas. El medio de infección aún no está claro, pero podría tratarse de archivos adjuntos de Office con macros que al ejecutarse en la máquina de la víctima hace las veces de dropper que instala el malware en sí. Por sorprendente que nos parezca, aún hay usuarios que aceptan la ejecución de macros en Word cuando se lo pide un archivo que han descargado de alguna web poco fiable o que les ha llegado en un correo electrónico desde un remitente desconocido. Como siempre, el factor humano sigue siendo el eslabón más débil de la cadena de seguridad.

Otra posibilidad que se baraja es el uso de de dominios gratuitos difíciles de rastrear para alojar exploits que aprovechen vulnerabilidades Java o Flash para la infección.

Lo que sí tenemos más claro es el modus operandi que sigue el malware una vez que se ha descargado a la máquina de la víctima. Aquí llama la atención de que, aunque la técnica fileless es bastante novedosa, se utilizan herramientas muy comunes y conocidas por los administradores de sistemas desde hace mucho tiempo para implementarla.

Una de estas herramientas es Metasploit, en la que se ha utilizado la utilidad msfvenom para la creación de un script. Aquí podemos ver msfvenom en funcionamiento:

Continue reading »

Malware casi invisible

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Fue allá por el año 2011 cuando los analistas de seguridad se vieron sorprendidos por un nuevo tipo de malware que usaba sofisticadas técnicas de infección. Fue el derivado de Stuxnet más célebre y le llamaron Duqu. Al igual que Stuxnet, su complejidad y la forma modular en que se había diseñado llevó a la conclusión, que nunca se confirmó oficialmente, de que su desarrollo requería las capacidades de un país tecnológicamente avanzado, y que no podía ser obra de un grupo de delincuentes que no contasen con ese soporte.

Duqu desapareció en 2012, pero en 2015 Kaspersky se encontró de lleno con Duqu 2.0. Y se encontró de lleno porque varios de los propios sistemas internos de Kaspersky habían sido infectados con esta variante del malware.

https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

Duqu 2.0 utilizaba varias vulnerabilidades zero-day, pero una de sus principales características es que no escribía ni modificaba archivos en los discos de las víctimas. Es lo que pasó a llamarse fileless malware, es decir, un malware que reside completamente en memoria y no deja rastro en ningún archivo. Esta capacidad hace que el malware pueda permanecer sin ser detectado durante meses.

Hasta hace poco, este nivel de sofisticación sólo estaba al alcance de grupos organizados y financiados por gobiernos y formaba parte de su arsenal de ciberguerra contra otras naciones. Sin embargo, en los últimos días las mismas técnicas de diseño “únicamente en memoria” han sido encontradas por Kaspersky en malware que infecta las redes de, al menos, 140 bancos y otras empresas en 40 países. Podrían ser más víctimas debido a la dificultad de detectar estas infecciones.

De hecho, la detección se hace aún más difícil porque para la inyección del malware en la memoria se están utilizando herramientas legítimas habitualmente usadas en la administración de sistemas, como Powershell, netsh, mimikatz o Metasploit.

La primera infección detectada fue un controlador de dominio en un banco que albergaba en su memoria una copia de Meterpreter, viejo conocido para los que nos gusta la seguridad informática.

Según Kaspersky, el objetivo principal de este malware son los ordenadores que ejecutan las aplicaciones para los cajeros automáticos y los atacantes se acercan a ellos para llevarse el dinero.

La próxima semana tendremos más detalles sobre este tipo de malware.

Analizando el funcionamiento de PoisonTap. Continuación.

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

En el artículo anterior empezamos el análisis de cómo funciona PoisonTap y qué pasos sigue para comprometer un equipo. Nos habíamos quedado en el momento en que PoisonTap ya ha conseguido que el sistema le reenvíe todo el tráfico que va dirigido a Internet:

http://www.franciscosepulveda.eu/2016/11/20/analizando-el-funcionamiento-de-poisontap/

Además de implementar un servidor DHCP, también tiene instalado un pequeño servidor web basado en node.js:

https://nodejs.org/en/

Y aplica DNS Spoofing a las peticiones que llegan desde la víctima. Este DNS Spoofing provoca que cualquier petición desde la víctima termine en el servidor web interno de PoisonTap. Este servidor envía a la víctima respuestas en HTML y Javascript que generan iframes ocultos para dominios que están listados entre el primer millón de páginas más visitadas en Alexa. Si lo vemos de una forma muy simple, esto tiene como objetivo que el navegador de la víctima piense que va a visitar esas páginas, enviando las cookies que probablemente tenga almacenadas. De esta forma PoisonTap consigue las cookies de usuario pudiendo almacenar decenas de miles de ellas.

http-cookie-google

Como es PoisonTap el que hace las veces de servidor web, es él quien decide qué encabezados enviar a la víctima y puede saltarse la seguridad de las X-Frame-Options.

Al capturar estas cookies, el atacante podría suplantar a la víctima para continuar sesiones que tenga abiertas en diferentes páginas sin necesidad de volver a introducir las credenciales.

Al mismo tiempo, ya que obliga a la víctima a visitar páginas usando los iframes ocultos, sustituye archivos javascript de CDNs (Content Delivery Networks) como los de Google o de jQuery por otros modificados con backdoors que permiten al atacante acceder a cualquier dominio que cargue esos archivos infectados.

¿Cómo podemos protegernos contra PoisonTap?

La protección frente a este nuevo “juguete” es una tarea conjunta entre los servidores y los usuarios.

En primer lugar, los servidores Web deberían utilizar siempre HTTPS y garantizar que el flag “Secure” está habilitado en las cookies para evitar que puedan capturarse vía HTTP. Otra medida de seguridad es utilizar Subresource Integrity para estar seguros de que los archivos Jabascript que se cargan no han sido manipulados.

https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

Otra medida de seguridad muy importante en los servidores es aplicar HSTS, aunque aún hará falta que pase más tiempo para que esto sea algo común.

http://www.wikiwand.com/en/HTTP_Strict_Transport_Security

¿Y los usuarios? ¿Qué podemos hacer para protegernos? Bloquear el ordenador mientras no lo estamos utilizando no sirve para nada, ya que el ataque sigue siendo perfectamente posible. Desactivar los puertos USB tampoco es algo práctico y, aunque contásemos con un mecanismo simple para activarlos y desactivarlos, probablemente se nos olvidaría con frecuencia. Otra medida que podemos tomar es cerrar siempre el navegador cuando nos vamos a alejar de nuestro equipo, pero esto tampoco solemos hacerlo. Estamos en otra de esas situaciones en las que la seguridad está reñida con la comodidad para los usuarios.

Sin duda, la mejor opción es confiar en que se empiecen a utilizar de forma general protocolos seguros para sustituir a los habituales que se diseñaron sin tener en mente todos estos posibles ataques.

Analizando el funcionamiento de PoisonTap

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Esta pasada semana hemos visto cómo en muchas webs de tecnología y de seguridad se nos avisaba de un nuevo gadget que puede hackear nuestro ordenador simplemente con conectarlo a un puerto USB. Este nuevo juguete se llama PoisonTap.

Llama la atención el coste tan bajo que tiene el hardware necesario para construirlo, ya que basta con una Raspberry Pi Zero y podemos encontrarla por unos 5€. Sin embargo, si contamos con cualquier otra versión de Raspberry Pi, también sirve pero será necesario contar con el adaptador Ethernet a USB.

¿Qué puede hacer PoisonTap si se conecta a nuestro equipo?

  • Captura todo el tráfico que enviamos a Internet
  • Captura cookies y sesiones de los sitios web más conocidos (el primer millón de sitios que aparecen en Alexa).
  • Instala un troyano para los sitios web mencionados y es persistente, permaneciendo en el equipo incluso si desconectamos el dispositivo.
  • Fuerza a nuestro ordenador a enviar peticiones a los sitios web utilizando nuestras cookies

Todo esto lo consigue incluso si nuestro equipo está en la pantalla de bloqueo y tiene protección por contraseña.

¿Cómo funciona?

El funcionamiento de PoisonTap se divide en fases empezando por el secuestro de la red para luego capturar las cookies e instalar el troyano. Aquí vamos a hablar de la primera fase, la red, y en otros artículos explicaremos el resto del proceso.

Cuando se conecta PoisonTap a un puerto USB simula ser una tarjeta Ethernet que es reconocida por el sistema operativo, aunque la carga como un adaptador de baja prioridad (métrica alta). En la siguiente captura vemos 2 tarjetas, eth0 y wlan0, de mi portátil con diferentes métricas, 100 y 600.

route

Estos valores de métricas hacen que mi ordenador “prefiera” utilizar la tarjeta de cable en lugar de la inalámbrica. Dicho de otra forma, la tarjeta inalámbrica tiene una prioridad menor que la de cable. Lo mismo ocurre con PoisonTap, el sistema operativo le asigna una prioridad menor (una métrica mayor).

Con esta configuración, mi ordenador seguiría prefiriendo la tarjeta de cable, pero PoisonTap consigue que esto sea así sólo para el tráfico local, engañando al sistema operativo para que le envíe todo el tráfico que vaya dirigido a Internet. ¿Cómo lo hace?

El comportamiento por defecto de cualquier sistema operativo cuando detecta una nueva tarjeta de red es enviar una petición DHCP para solicitar una dirección IP. PoisonTap implementa un servidor DHCP que se va a encargar de responder a esta solicitud, pero en lugar de entregar direcciones IP de una subred (por ejemplo, 8.8.8.8), devuelve una respuesta que hace creer al sistema operativo que todas las direcciones IP (desde 0.0.0.0 a 255.255.255.255) pertenecen a la “red local” del dispositivo PoisonTap.

Como en cualquier sistema operativo una red local siempre tiene prioridad sobre la puerta de enlace, todo el tráfico que vayamos a enviar a cualquier red (por ejemplo a 8.8.8.8) se enviará al dispositivo PoisonTap en lugar de a nuestro router de salida a Internet. El tráfico que vaya a la red local se enviará por la tarjeta de red que esté conectada a esa red local y no se enviará directamente a PoisonTap.

¿Cómo consigue PoisonTap capturar nuestras cookies? Tenemos la costumbre de tener abiertas ventanas de navegador incluso si no las estamos leyendo en ese momento. Si esto es así, es bastante probable que el sitio web que estamos visitando provoque de forma periódica la recarga de la página, o bien que envíe peticiones HTTP request para carga un nuevo anuncio, para recopilar datos analíticos o registrar nuestros movimientos en la página. Basta con que en nuestro navegador abramos una página conocide y accedamos a las herramientas de desarrollador para ver que hay envío de tráfico incluso si nosotros no estamos haciendo nada en la página. Aquí vemos un ejemplo de mi navegador Chrome en una página de Amazon sin tocar nada:

web

Si esperamos unos segundos veremos que una página aparentemente inactiva sí que está generando tráfico, que en este caso iría a PoisonTap.

Con esto finalizaría la primera fase del proceso para comprometer el equipo. En otro articulo veremos cómo utiliza las cookies que está recibiendo y de qué forma instala el troyano.