, 16 octubre 2014 | Imprime

Lo prometido es deuda. Nunca publicamos dos posts el mismo día, pero tampoco se publican dos 0-day el mismo día.

En este caso, se trata de una vulnerabilidad crítica en SSLv3 (Secure Sockets Layer) que ha sido descubierta por el equipo de seguridad de Google y bautizada con el nombre de Poodle: Padding Oracle On Downgraded Legacy Encryption. No nos los pregunten. No sabemos si les gustó “Poodle” y buscaron una frase que le pegase, o salió así juntando las siglas. Este protocolo, que tiene más de 15 años y está ya obsoleto, solía utilizarse para securizar las comunicaciones SSL y fue reemplazado por TLS. Sin embargo, y aquí viene la gracia, por cuestiones de retrocompatibilidad la opción de hacer uso del SSL sigue estando disponible.

¿En qué consiste el ataque? Un hacker que consigue interceptar el tráfico enviado en SSL 3.0 entre un cliente y un servidor (por ejemplo, a través de un ataque de tipo MitM por ejemplo o gracias a un punto de acceso Wi-Fi malicioso), podría lograr descifrar y recuperar información crítica como las cookies de sesión.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 16 octubre 2014 | Imprime

(N.D.E. Primero vamos con Sandworm. En un rato, les hablamos de POODLE)

Se acumulan las malas noticias para los expertos en seguridad (y al final, para todos los administradores de sistemas). Ayer, la compañía de seguridad Isight Partners publicaba un informe en que destapaba a grupo de ciberespionaje ruso denominado “Sandworm Team” [PDF] (también llamado Quedach por F-Secure), que llevaba desde 2009 atacando a objetivos de interés en Ucrania y Europa del Este.

La noticia fundamental (más allá de la atribución rusa, que hasta disponer de más detalles es más bien difusa y hace sospechar a los paranoicos) es el uso de este grupo de un nuevo 0-day que afecta a ficheros de Office y para el que, hasta hoy, no había parche.

La vulnerabilidad (CVE-2014-4114), que afecta a Windows Vista en adelante (incluidas las versiones de servidor), explotaba la capacidad de Office de incluir ficheros OLE (Object Linking and Embedding) de localizaciones externas. Todo empezaba con un correo electrónico (un ataque de spear-phishing en el que se adjuntaba un fichero .ppsx ppsx (un fichero de Powerpoint que al abrirlo se pone automáticamente en modo presentación, lo único diferente a un .pptx standard).

No me gusta esta entradaMe gusta esta entrada (+7 rating, 7 votes)
Loading ... Loading ...






, 14 octubre 2014 | Imprime

Leyendo noticias sobre actualidad TIC he encontrado tres artículos que me han llamado la atención y me han hecho pensar sobre el futuro próximo de nuestras redes sociales (y casi de nuestra vida, por extensión). Vamos a comentarlos brevemente.

Todos los que utilizamos las redes sociales de manera habitual, por no decir cada día, somos conscientes de que estamos compartiendo y publicando parte de nuestra información privada. Cada cual puede elegir la cantidad y el tipo de información que publica y hasta cierto punto, quién tiene acceso (a priori) a ésta. Sin embargo, debemos recordar que además de la gente con la que nosotros decidimos compartir nuestra información, también están los sistemas y algoritmos de la propia red social. Que incorporan más inteligencia, asociación de datos y correlación de información de la que podamos pensar e imaginar. Más, mucha más.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 13 octubre 2014 | Imprime

Hace unos días, a través de la cuenta de Twitter de @securityartwork lanzamos la iniciativa de intentar recopilar un listado de novelas o relatos relacionados con el mundo de la ciberseguridad, pidiendo a sus seguidores que hiciesen sus recomendaciones literarias twiteando con el hashtag #novelaseguridad.

El recopilatorio resultó de lo más interesante:

No me gusta esta entradaMe gusta esta entrada (+4 rating, 6 votes)
Loading ... Loading ...






, 8 octubre 2014 | Imprime

Resumiendo el artículo anterior: tenemos un PDF malicioso que explota la vulnerabilidad CVE-2013-2729, con un código JavaScript ofuscado del que queremos extraer el dominio contra el que se conecta. ¡Manos a la obra!

Si limpiamos las 3 imágenes y el código propio del objeto PDF, el resultado es un fichero de 180 líneas de JavaScript con 4 scripts, 4 funciones y 49 variables. Lo primero que tenemos que hacer es “arreglar” el código ya que los símbolos de “<>&” están codificados como “&lt;&gt;&amp;”
respectivamente.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 6 octubre 2014 | Imprime

En esta tercera parte de la serie sobre el firewall perimetral PFSense vamos a ver las configuraciones avanzadas del sistema. Para nos que no han seguido la serie, aquí tienen la primera entrada y la segunda.

La manera más habitual de acceder a estas configuraciones es a través del navegador. Es importante que al acceder al navegador lo hagamos de manera segura (por https), para ello ya existe un certificado creado por defecto en nuestro pfsense, pero es recomendable que nos creemos uno nosotros, para ello se accede al siguiente bloque:

No me gusta esta entradaMe gusta esta entrada (+3 rating, 3 votes)
Loading ... Loading ...






, 2 octubre 2014 | Imprime

Hace algunas semanas el equipo de Bluebox hizo pública una vulnerabilidad en la verificación de las firmas que permite falsear la autenticidad de una aplicación Android. Cuando instalamos una aplicación, a no ser que hayamos modificado manualmente las preferencias de verificación de aplicaciones, Android comprueba que las aplicaciones hayan sido firmadas digitalmente por una entidad de confianza y en esto basa su sistema de seguridad.

Lo que supone esta vulnerabilidad, conocida como ‘Fake ID’ y que afecta a terminales con Android desde su versión 2.1 a la versión 4.3 (Google solucionó el problema en Kit Kat, Android 4.4), es que se puede coger una aplicación legítima, cuyo funcionamiento requiera, por ejemplo, tener acceso a los servicios de ĺocalización, añadirle código malintencionado que provoque el envío de esta información al atacante y que todo esto sea transparente para el usuario. Pueden ver los detalles técnicos en cualquiera de los enlaces o en multitud de información presente en Internet.

No me gusta esta entradaMe gusta esta entrada (+10 rating, 10 votes)
Loading ... Loading ...






, 30 septiembre 2014 | Imprime

Como dice Toni Villalón, los malos no tienen vacaciones… así que los que trabajamos en respuesta ante incidentes tampoco. Hace unos días una de nuestras usuarias creó un ticket con un correo que le parecía malicioso (una muestra más de que la concienciación en seguridad cuesta de realizar, pero que a largo plazo termina rindiendo beneficios).

La usuaria nos mandó un fichero con extensión .msg (el resultado de “Guardar Como…” en Outlook). Para abrirlo en Ubuntu lo más sencillo es emplear el script en Perl msgconvert.pl, que nos lo convierte a MIME (un formato mucho más estándar y manejable).

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 26 septiembre 2014 | Imprime |  Also available in English

El otro día, un amigo me contaba que estaba en su trabajo, tomando un café; uno de esos de la máquina que se ha convertido en el estándar de facto en la mayoría de las empresas, vamos, una Nespresso. Cuando le dio al botón, algo raro pasó y la máquina se quedó colgada —cada vez se parecen más a los ordenadores— y con luces parpadeantes. Apagó y volvió a encender (mi amigo es informático) y la cosa se arregló sola —igualito que un ordenador— y pudo satisfacer su necesidad de cafeína.

Unos minutos después, mientras disfrutaba del café y de la conversación (mi amigo es español), recibió una llamada telefónica de alguien que se identificó como personal del servicio de mantenimiento de la cafetera y que le preguntó si tenía algún problema con la máquina. ¿Con la cafetera? No… bueno, sí, pero ¿cómo lo sabe usted? ¿Que tienen la cafetera monitorizada? ¿Que les ha enviado un mensaje de avería? ¿Con qué línea de comunicación? Ah! 3G… No, no sabía. Gracias. Adiós.

Mi amigo se quedó un tanto estupefacto. Ni se le había ocurrido pensar que la cafetera tuviera línea directa con el exterior. No es que fuera mala idea. De hecho, es una idea excelente para el servicio de mantenimiento, ya que pueden detectar averías, incluso realizar mantenimiento preventivo y, claro está, analizar patrones de consumo de los usuarios: a qué hora se toman más cafés, cuánto tiempo está la máquina funcionando, si se suele quedar sin agua o el usuario la rellena antes de que se vacíe, si se calienta. Toda la información necesaria no solo para mantener la cafetera, sino para mejorar su diseño en siguientes versiones, o incluso optimizar su funcionamiento sin más que actualizar el software (firmware para ser más preciso) que controla la operación del dispositivo.

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 25 septiembre 2014 | Imprime

Hoy nos hemos levantado con una noticia a la altura del reciente Heartbleed: una vulnerabilidad en el intérprete de comandos Bash permite la posibilidad de ejecutar código remoto en la máquina. Esta vulnerabilidad ha sido catalogada como CVE-2014-6271 con una puntuación de CVSS de 10.

Están afectadas todas las versiones hasta 4.3 incluida. La vulnerabilidad se produce cuando el intérprete no procesa adecuadamente las variables de entorno. Mediante la declaración de funciones puede incluir al final código que será ejecutado independientemente del nombre de la variable; esto es especialmente crítico en servidores web que tengan instalados módulos CGI. Una forma rápida de comprobar si somos vulnerables o no es ejecutando el siguiente código:

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...