Cada vez son más populares las técnicas de fuzzing a la hora de descubrir nuevas vulnerabilidades en cualquier tipo de software, de hecho varias de las vulnerabilidades descubiertas por el equipo técnico de S21sec fueron descubiertas de esta manera (como por ejemplo la vulnerabilidad en el manejo de SSL de IIS de Microsoft, y su exploit sslbomb).
Durante los últimos meses, José Miguel Esparza ha estado desarrollando un fuzzer de red multiprotocolo, llamado Malybuzz con el que ha podido descubrir varias vulnerabilidades, en programas tan diversos como servidores de FTP o clientes de VoIP.
Fruto de la investigación durante estos meses, José Miguel ha escrito un artículo comentando diversos aspectos del fuzzing, así como una aplicación práctica de una de las técnicas expuestas en él.
Con este artículo se pretende dar las nociones básicas para el acercamiento del lector a una de las técnicas más utilizadas actualmente a la hora de descubrir vulnerabilidades en aplicaciones, el fuzzing. Más información en: Fuzzing y Seguridad.
S21sec en “Seguridad RFID Malaga 2007”
S21sec participó los días 11-13 de Julio en la 3ª conferencia organizada en torno al tema de la seguridad en sistemas RFID (http://www.rfidsec07.etsit.uma.es). El acogedor entorno de la ciudad de Málaga fue el escogido esta vez para recibir a un grupo de expertos de primer orden mundial. Entre todos ellos destacaba especialmente la presencia del criptógrafo israelita Adi Shamir, siendo conocido especialmente por la publicación en 1977 del algoritmo RSA, siendo la S del mismo la inicial de su apellido.
Así mismo,hay que destacar la presencia de Vincent Rijmen co-creador del algoritmo Rijndael o AES (Advanced Encryption Standard), usado, entre otros, como estándar de cifrado por el gobierno de los Estados Unidos. También hay que destacar la presencia de Melanie R. Rieback, quien lidera el grupo de la Vrije Universiteit Amsterdam y que ha desarrollado el prototipo para un Firewall RFID que han llamado RFID guardian. Este grupo de investigación ya se hizo conocido por sus avances en la seguridad RFID con el articulo que llevaba el chocante título de : “Is Your Cat Infected with a Computer Virus?” en el que mencionaban la posibilidad de que el chip RFID identificador de una mascota fuera infectado con un virus informático por medio de un ataque conocido como “SQL injection”.
La mayoría de las discusiones y presentaciones estaban relacionadas con logros criptográficos de alto nivel académico, ya sea de ruptura de códigos ya existentes, como de conseguir realizar un cifrado con una clave del mayor número de bits posibles con la menor energía posible. Esto último es fundamental en el sistema RFID, ya que el coste y el tamaño de cada tag van a ser delimitadores del alcance, autonomía y seguridad de los mismos.
El comentario general referente a las aplicaciones industriales es que se está disparando el uso de esta tecnología, especialmente en los consabidos campos de logística, control de accesos, marcado de animales, peajes, antifraude, etc… pero la preocupación principal reside en que los sistemas funcionen rápida y fiablemente, descuidando muchas veces la seguridad de los mismos, de manera similar a lo que paso en las primeras fases de Internet.
La expectativa es que la seguridad en RFID pase a ser algo que los usuarios e implementadores de RFID demanden cada vez más, conforme esta tecnología vaya pasando a ser parte habitual de nuestras vidas. Sirva como referencia el título de la presentación de Melanie R. Rieback:”Inventing the RFID Security Industry”, la seguridad RFID es un modelo de negocio que está arrancando.
Desde S21sec recomendamos la asistencia a este seminario el año próximo, en el que también estaremos presentes, a ser posible con un paper.
TRNGs al alcance de todos
Uno de los problemas principales en el mundo de la informática es la posibilidad de generar números aleatorios. Como ya anticipara Von Neumann, los generadores de números aleatorios basados en la computación determinista nunca podrán ser considerados como una fuente totalmente aleatoria de números debido a que su salida es siempre predecible.
Es por eso que desde hace años se han buscado maneras de proporcionar a los ordenadores de un generador de números aleatorios "auténtico" (TRNG) en lugar de un pseudo generador (PRNG). Por ejemplo, la hoy desaparecida empresa Atari en 1989 ingenió un sistema TRNG para uno de sus microordenadores, mediante la medida del ruido aleatorio producido en un circuito electrónico. Otros sistemas usados en la generación de este tipo de números aleatorios son la medida del tiempo de desintegración radioactiva , el "shot noise" o la desviación de tiempo de un reloj.
Intel a finales de los 90 decidió implementar un TRNG hardware en sus chipsets 8xx. Sin embargo pronto dejaron de incluirlo. De esta forma, muy poco software se benefició de este dispositivo que sin coste adicional, producía números aleatorios reales.
A modo de ejemplo de un dispositivo TRNG externo disponible comercialmente hoy en día, es posible adquirir el SG100 que se conecta mediante un puerto serie al ordenador donde se desea generar los números aleatorios. Este dispositivo emplea principios de la física cuántica para esta generación, y permite interactuar con un espectro muy heterogéneo de plataformas y sistemas operativos mediante librerías de programación.
El que desee generar TRNGS desde su propia casa o en la oficina sin la adquisición de un producto comercial puede hacerlo gracias al uso de Internet. Por un lado, es preciso confiar en que los números devueltos por dichas páginas son realmente aleatorios (son generados con la ayuda de principios como los detallados anteriormente), y por otro lado, que sólo el cliente que los solicita los conoce. Es un pequeño precio a pagar por disponer de TRNGS de forma online y sin coste alguno. Una de estas páginas ha aparecido recientemente, prometiendo números TRNGS con una alta tasa de velocidad, alta disponibilidad, robustez del servicio pero sin la privacidad que puede requerir un servicio de este tipo.
El interesado en este tipo de solución debe sopesar los pros y contras de un TRNG online frente a uno en forma de dispositivo externo conectado al ordenador, y si la aplicación no requiere de la generación de números totalmente aleatorios, siempre puede hacer uso de las librerías de los sistemas operativos y lenguajes de programación para la generación de números pseudoaleatorios.
Es por eso que desde hace años se han buscado maneras de proporcionar a los ordenadores de un generador de números aleatorios "auténtico" (TRNG) en lugar de un pseudo generador (PRNG). Por ejemplo, la hoy desaparecida empresa Atari en 1989 ingenió un sistema TRNG para uno de sus microordenadores, mediante la medida del ruido aleatorio producido en un circuito electrónico. Otros sistemas usados en la generación de este tipo de números aleatorios son la medida del tiempo de desintegración radioactiva , el "shot noise" o la desviación de tiempo de un reloj.
Intel a finales de los 90 decidió implementar un TRNG hardware en sus chipsets 8xx. Sin embargo pronto dejaron de incluirlo. De esta forma, muy poco software se benefició de este dispositivo que sin coste adicional, producía números aleatorios reales.
A modo de ejemplo de un dispositivo TRNG externo disponible comercialmente hoy en día, es posible adquirir el SG100 que se conecta mediante un puerto serie al ordenador donde se desea generar los números aleatorios. Este dispositivo emplea principios de la física cuántica para esta generación, y permite interactuar con un espectro muy heterogéneo de plataformas y sistemas operativos mediante librerías de programación.
El que desee generar TRNGS desde su propia casa o en la oficina sin la adquisición de un producto comercial puede hacerlo gracias al uso de Internet. Por un lado, es preciso confiar en que los números devueltos por dichas páginas son realmente aleatorios (son generados con la ayuda de principios como los detallados anteriormente), y por otro lado, que sólo el cliente que los solicita los conoce. Es un pequeño precio a pagar por disponer de TRNGS de forma online y sin coste alguno. Una de estas páginas ha aparecido recientemente, prometiendo números TRNGS con una alta tasa de velocidad, alta disponibilidad, robustez del servicio pero sin la privacidad que puede requerir un servicio de este tipo.
El interesado en este tipo de solución debe sopesar los pros y contras de un TRNG online frente a uno en forma de dispositivo externo conectado al ordenador, y si la aplicación no requiere de la generación de números totalmente aleatorios, siempre puede hacer uso de las librerías de los sistemas operativos y lenguajes de programación para la generación de números pseudoaleatorios.
Pinchazo histórico
Aunque no es un hecho reciente, se están publicando informaciones referentes al “pinchazo” telefónico ocurrido en el operador telefónico Vodafone en Grecia. Referencias a estepinchazo se pueden consultar en los siguientes enlaces: http://www.latejedora.es/?p=938 y http://yorkshire-ranter.blogspot.com/2006/02/id-cards-and-vodafone-scandal.html.
En estos artículos se comenta la trama creada en el operador de telefonía móvil Vodafone en Grecia. Unos atacantes utilizando una puerta trasera ofrecida por el suministrador de equipos de telecomunicaciones Ericsson para el “lawfull interception” o pinchazos legales por órdenes judiciales, inyectaron código malicioso en las centrales de conmutación del operador consiguiendo intervenir teléfonos de importantes personajes públicos y privados de Grecia, desde el primer ministro, o ministros como el de asuntos exteriores, pasando por empresarios, etc… Una vez intervenido el teléfono se redirigía una copia de la llamada junto un SMS con datos como la localización etc… a un conjunto de teléfonos prepago (evitando así su seguimiento por facturación) localizados en un área muy concreta de Atenas. Aún no se sabe quién anduvo detrás de esta operación, pero las repercusiones políticas pueden ser sumamente importantes, así como las consecuencias al operador de telefonía (Vodafone) de deterioro de imagen y falta de control en la seguridad en sus infraestructuras.
Este artículo viene a demostrar que en la actualidad hay que extremar precauciones para poder evitar este tipo de situaciones, ya que aunque en sectores de actividad diferentes, con repercusiones distintas, existen multitud de sistemas críticos con posibilidad de ser atacados o bien desde el exterior o como en este caso a través del interior del propio operador. Es necesario, mantener unas políticas de seguridad actualizadas, estrictas y personalizadas para cada caso concreto, limitando así la posibilidad de sufrir ataques tan peligrosos como el comentado anteriormente.
Cross Webmail Worm
Rosario Valotta ha presentado una prueba de concepto de un gusano muy interesante. Este gusano, bautizado como “Nduja Connection”, no aprovecha la vulnerabilidad del sistema cliente, sino que aprovecha fallos de XSS en webmails (muy conocidos, por cierto), para replicarse.
El año pasado pudimos ver como Yammaner(.js) infectaba la red de Yahoo, pero en esta ocasión el virus se propaga por diversos webmails, y una vez enviado el primero, bastará con visualizar el correo para que el gusano se reenvíe a toda la libreta de contactos.
En su página podemos ver detallada información de cómo funciona el gusano:
Comprobación del dominio sobre el que se encuentra.
- Consulta la bandeja de entrada mediante XMLHTTPRequest en busca de direcciones de correo electrónico a los que propagarse.
- Mediante otro XMLHTTPRequest obtiene las direcciones de correo electrónico de los contactos.
- Se propaga enviándose a las direcciones recolectadas.
Se puede consultar toda la información y un video donde muestra la propagación del mismo aquí.
El año pasado pudimos ver como Yammaner(.js) infectaba la red de Yahoo, pero en esta ocasión el virus se propaga por diversos webmails, y una vez enviado el primero, bastará con visualizar el correo para que el gusano se reenvíe a toda la libreta de contactos.
En su página podemos ver detallada información de cómo funciona el gusano:
Comprobación del dominio sobre el que se encuentra.
- Consulta la bandeja de entrada mediante XMLHTTPRequest en busca de direcciones de correo electrónico a los que propagarse.
- Mediante otro XMLHTTPRequest obtiene las direcciones de correo electrónico de los contactos.
- Se propaga enviándose a las direcciones recolectadas.
Se puede consultar toda la información y un video donde muestra la propagación del mismo aquí.
Vulnerabilidad de Cross Browser Scripting en IE y Firefox
Recientemente se ha publicado en diversos blogs la posibilidad de realizar ataques maliciosos basados en una vulnerabilidad de Cross Browser Scripting entre Internet Explorer (IE) y Firefox.
La vulnerabilidad en sí, permite a un atacante ejecutar código malicioso de manera remota, siempre que la víctima esté utilizando IE y además tenga instalado Firefox. El ataque consiste en conseguir que la víctima utilice su IE para navegar hasta una página específicamente diseñada para el ataque. Una vez en ella, la víctima hará sin ser consciente, una llamada al navegador Firefox al que pasará cierto código malicioso. Debido a una vulnerabilidad de Firefox, éste no verifica la validez de los datos que le llegan desde el IE y en consecuencia ejecutará el temido código.
Una prueba de concepto de este interesante ataque puede encontrarse aquí. Se basa en utilizar un manejador de Firefox para clientes web basados en IE en la línea de direcciones del navegador. Este manejador es firefoxurl y viene a equivaler a otros manejadores de protocolos más conocidos como ftp. Puede verse cómo se consigue que Firefox haga distintas acciones del tipo: ejecutar una consola (cmd.exe), crear un perfil en la máquina local, cargar archivos almacenados en el disco duro, etc. Como ya hemos dicho, esto se debe a que los parámetros se pasan directamente como opciones, las cuales no son validadas por Firefox.
¿Camiones transparentes al RFID?
Las ventajas de la tecnología RFID son innegables y está llamada a ser la sucesora de los códigos de barras, que ya cambiaron la industria y la forma de controlar la información logística. Sin embargo, la tecnología RFID es de reciente implantación, y al igual que en los comienzos de las redes WLAN, las compañías están más preocupadas por un rápido despliegue e implementación que por considerar los riesgos que entraña la misma.
¿Es concebible un escenario en el cual una persona ajena a una organización consiga leer externamente el contenido de un camión de la misma? En principio, según el artículo siguiente esto sería teóricamente posible. El uso de etiquetas EPC ha facilitado el control logístico de los objetos, al contener un identificador único a lo largo de toda la cadena logística. Esta información puede ser obtenida con herramientas (HW & SW) estándar desde la cercanía del camión. El rango de obtención de esta información depende altamente de la potencia y antenas empleadas.
Mantener el contenido de la carga bien oculto ha sido siempre una prioridad entre los transportistas, principalmente por temas de asaltos y robos en carretera. ¿Se imaginan transportar un camión cargado de pantallas de plasma dentro de una caja transparente en el camión por una zona peligrosa? No hay que olvidar los necesarios descansos y pernoctaciones en áreas de descanso en carreteras, que son los momentos más vulnerables del transporte.
Por otro lado, si las etiquetas no están protegidas con autenticación y contraseña, un usuario externo podría cambiarlas o deshabilitarlas, pudiendo aprovecharse de esta situación para usos delictivos.
Sin embargo, pese a la posibilidad teórica de realizar este tipo de seguimiento o lectura sin consentimiento, hay que tener en cuenta que en el sistema RFID hay diferentes niveles de autenticación. El número EPC es enviado por el lector RFID a un servidor, quien a su vez ha de autenticarse en un servidor ONS que resuelve dicho número de manera similar a un servidor DNS. La información suministrada por el ONS dirige la petición a un servidor PML con extensa información sobre el producto.
¿Es concebible un escenario en el cual una persona ajena a una organización consiga leer externamente el contenido de un camión de la misma? En principio, según el artículo siguiente esto sería teóricamente posible. El uso de etiquetas EPC ha facilitado el control logístico de los objetos, al contener un identificador único a lo largo de toda la cadena logística. Esta información puede ser obtenida con herramientas (HW & SW) estándar desde la cercanía del camión. El rango de obtención de esta información depende altamente de la potencia y antenas empleadas.
Mantener el contenido de la carga bien oculto ha sido siempre una prioridad entre los transportistas, principalmente por temas de asaltos y robos en carretera. ¿Se imaginan transportar un camión cargado de pantallas de plasma dentro de una caja transparente en el camión por una zona peligrosa? No hay que olvidar los necesarios descansos y pernoctaciones en áreas de descanso en carreteras, que son los momentos más vulnerables del transporte.
Por otro lado, si las etiquetas no están protegidas con autenticación y contraseña, un usuario externo podría cambiarlas o deshabilitarlas, pudiendo aprovecharse de esta situación para usos delictivos.
Sin embargo, pese a la posibilidad teórica de realizar este tipo de seguimiento o lectura sin consentimiento, hay que tener en cuenta que en el sistema RFID hay diferentes niveles de autenticación. El número EPC es enviado por el lector RFID a un servidor, quien a su vez ha de autenticarse en un servidor ONS que resuelve dicho número de manera similar a un servidor DNS. La información suministrada por el ONS dirige la petición a un servidor PML con extensa información sobre el producto.
¿Estás seguro cuando navegas?
Anteriormente se pensaba que la gente que se infectaba era porque se conectaba a determinados sitios "peligrosos" infectados por multitud de software malicioso. Recientes estudios demuestran que no sólo ciertas páginas web son fuentes de problemas sino que incluso las de toda confianza pueden ser comprometidas.
Un informe de Sophos sobre los sitios web maliciosos afirma que se ha pasado de unos 5000 nuevos sitios cada día en Abril hasta los 30000 (http://www.informationweek.com/research/showArticle.jhtml?articleID=200001941). Quizás lo más grave es que el 80% de ellos responden a sitios legítimos que han sido comprometidos.
Una de las causa de este incremento tan espectacular es la infección por IFrame, que inyecta ficheros HTML maliciosos en las páginas web. El total de páginas infectadas por IFrame alcanzó los dos tercios del total. Usando este exploit se infectaron una gran cantidad de páginas web de Italia, incluyendo algunas páginas oficiales.
Uno de los últimos aprovechó el boom del lanzamiento del iPhone (http://www.informationweek.com/news/showArticle.jhtml?articleID=200001909). Ese site malicioso intentaba explotar más de diez vulnerabilidades de ActiveX para instalar una serie de malware, incluyendo un rootkit. Este malware está diseñado para abrir una puerta trasera en el ordenador y convertirlo en un bot a las órdenes del atacante.
Ante tal despliegue y avalancha de sitios comprometidos ya no es suficiente ser prudente, no abrir páginas enviadas por correos no solicitados o páginas de dudosa reputación, parece que se hace necesario usar algunas herramientas, (como la desarrollada desde S21sec labs para la detección de páginas que intentan inyectar código malicioso aprovechando alguna vulnerabilidad), para comprobar los sites desconocidos, aunque al final puede terminar ocurriendo como los antivirus (http://blog.s21sec.com/2007_06_01_archive.html) que ante tantos frentes han resultado sobrepasados por exceso.
Suscribirse a:
Entradas (Atom)