En la RSA Conference que está teniendo lugar estos días en San Francisco, California unos pentesters han presentado los detalles de un trabajo de "pentesting" o "penetration testing" realizado en una empresa del sector energético.
Tras haber recolectado las direcciones de correo electrónico del grupo de usuarios de los sistemas SCADA con los que se gestionaba la red de suministro y distribución eléctrica, los pentesters han podido tomar control de la red eléctrica después de haber tenido éxito en un ataque de phishing que dirigía a los usuarios a una página web que presentaba un error, y al mismo tiempo descargaba malware en los equipos de los usuarios por medio de los que adquirieron su control. La empresa mantenía sin segregar las redes corporativa y de control, la primera de ellas con acceso a Internet, factor principal de éxito del ataque.
Los detalles sobre el trabajo pueden verse aquí.
Cada vez más se va notando el interés de las empresas usuarias de sistemas de control de instalaciones industriales o infrastructuras críticas (PLC, DCS o SCADA) en la gestión de la seguridad de la información, después de haber caído en la cuenta de que las redes y sistemas de control son vulnerables por las diferentes razones que se presentan en este artículo de algunos de nuestros compañeros de S21sec (ver páginas 18 a 20).
Recientemente hemos tomado parte en un proyecto en Oriente Medio para evaluar el estado o la madurez y proponer recomendaciones sobre el sistema de gestión de seguridad de la información de una empresa de producción de petróleo, gas y electricidad. Esta empresa ya tenía clara la importancia de la segregación de las redes corporativa y de control en cuyo proceso de implantación estaba inmerso, habiéndonos dado la oportunidad de participar también en el diseño lógico de la nueva arquitectura de red una vez finalizada la segregación física.
Esperemos poder seguir prestando nuestros servicios de consultoría de gestión, operativa y técnica en materia de seguridad de la información a las entidades que cuentan con sistemas de control de infraestructuras industriales o infraestructuras críticas.
Álvaro Del Hoyo
Departamento de Consultoría
Mostrando entradas con la etiqueta phishing. Mostrar todas las entradas
Mostrando entradas con la etiqueta phishing. Mostrar todas las entradas
jueves 10 de abril de 2008
Comprometida red de suministro y distribución eléctrica por pentesters
miércoles 27 de febrero de 2008
Más seguridad para el protocolo HTTP (II)
Hace aproximadamente un mes, comentábamos el esfuerzo por parte de la IETF de reforzar la seguridad del protocolo HTTP con la creación de un borrador. Entonces ya indicamos que se trataba de un borrador inicial y estaba incompleto, y así es, siguen trabajando en él. La anterior url ya no está disponible, ahora podemos encontrar la nueva versión en Security Requirements for HTTP.
¿Por qué es importante este tipo de documentos?
Actualmente las aplicaciones basadas en web se estan volviendo cada vez más sofisticadas y vitales para los negocios online creando así nuevos riesgos de seguridad. Este tipo de documentos ayudará a los desarrolladores web y analistas de seguridad a tener una visión más detallada de los riesgos subyacentes.
Emilio Casbas ¿Por qué es importante este tipo de documentos?
Actualmente las aplicaciones basadas en web se estan volviendo cada vez más sofisticadas y vitales para los negocios online creando así nuevos riesgos de seguridad. Este tipo de documentos ayudará a los desarrolladores web y analistas de seguridad a tener una visión más detallada de los riesgos subyacentes.
S21sec labs
lunes 18 de febrero de 2008
¿Qué haces hijo? -Estudiar matemáticas papá-
...mientras tanto, al otro lado de la habitación...
Si ahora convierto 216.163.137.3 a binario obtengo 11011000 10100011 10001001 00000011 ahora lo transformo a decimal y me queda 3634596099 que pasándolo finalmente al sistema hexadecimal ya tengo d8a38903, esto es, http://0xd8a38903
Existe gran cantidad de información disponible sobre esta técnica de ofuscación de urls aprovechándose del desconocimiento de su estructura, pero, ¿cuál es la base de todo esto?. Gran parte, se debe a las diversas implementaciones que se realizan a partir de una especificación estándar.
-----------
Existe gran cantidad de información disponible sobre esta técnica de ofuscación de urls aprovechándose del desconocimiento de su estructura, pero, ¿cuál es la base de todo esto?. Gran parte, se debe a las diversas implementaciones que se realizan a partir de una especificación estándar.
Adding further to the
confusion, some implementations allow each dotted part to be
interpreted as decimal, octal, or hexadecimal, as specified in the C
language (i.e., a leading 0x or 0X implies hexadecimal; a leading 0
implies octal; otherwise, the number is interpreted as decimal).
These additional IP address formats are not allowed in the URI syntax
due to differences between platform implementations. However, they
can become a security concern if an application attempts to filter
access to resources based on the IP address in string literal format.
[...]
Se podría tratar como un viejo y conocido bug en múltiples navegadores que interpreta erróneamente los nombres de host numéricos como direcciones IP.
El caso es que, hasta ahora, este tipo de ambigüedades venía siendo explotada por spammers y phishers como método de ofuscación de urls. Pero últimamente, se está viendo su uso por jóvenes en grandes ISPs con sistemas de filtrado de contenidos. ¿Quién dijo que las matemáticas no servían para nada?
Afortunadamente, parece que este tipo de debilidad, será reforzada o solucionada de alguna manera a partir del nuevo borrador para la seguridad del protocolo http, del cual ya indicamos su existencia anteriormente.
Afortunadamente, parece que este tipo de debilidad, será reforzada o solucionada de alguna manera a partir del nuevo borrador para la seguridad del protocolo http, del cual ya indicamos su existencia anteriormente.
"Many users do not understand the construction of URIs [RFC3986], or their presentation
in common clients [...]. As a result, forms are extremely vulnerable to spoofing."
Mientras esto llegue, podremos seguir viendo urls como:
http://216.0xa3.137.3/
http://216.10717443/
http://0xd8a38903/
http://033050704403/
Lo de los jóvenes saltándose sistemas de filtrado a través de esta técnica podría quedar como mera anécdota si lo comparamos con los riesgos actuales de XSS y CSRF, más peligrosos de lo que la gente quiere creer.
http://216.0xa3.137.3/
http://216.10717443/
http://0xd8a38903/
http://033050704403/
Lo de los jóvenes saltándose sistemas de filtrado a través de esta técnica podría quedar como mera anécdota si lo comparamos con los riesgos actuales de XSS y CSRF, más peligrosos de lo que la gente quiere creer.
Emilio Casbas
S21sec labs
viernes 25 de enero de 2008
El Señor Cerebro
Siempre se ha comentado que el que roba a un ladrón tiene cien años de perdón, que siempre hay uno más listo que tú, que si el timo de la estampita… Cada uno que adapte el refranero a su gusto para el caso Mr-Brain.
Mr-Brain es la denominación que un grupo de personas se ha dado para desarrollar un software de tipo "phishing kit”, que se ofrece gratuitamente. Con este kit cualquier persona sin demasiados conocimientos acerca de phishing puede montar una web fraudulenta imitando cualquier web de alguna empresa de Internet y hacerse con números de cuenta, tarjetas de crédito, contraseñas,... de todo aquel usuario que cometa el error de entrar en dicha página y meter sus datos. Además viene con plantillas para spam de las diferentes empresas.
A pesar de que ya llevan algún tiempo, estos kits están bastante de moda últimamente y la oferta ha crecido considerablemente. En Internet se pueden buscar cosas parecidas a precios variados, que van desde los $20 - $30 hasta los de más de $3000, dependiendo de lo que ofrecen. Lo sorprendente del caso es que este kit se ofrece gratuitamente, lo que llama la atención, ya que están regalando algo que es ilegal para que el futuro phisher que recibe el regalo consiga un dinero que el creador del phishing kit podría conseguir igualmente. Si se ponen a hacer cosas ilegales, más fácil será quedarse con todo el pastel y no regalarlo, ¿no?
Pues ahí está el truco. El kit que Mr-Brain ofrece ha sido creado para enviar toda la información recopilada (por supuesto incluyendo tarjetas de crédito y cuentas bancarias) mediante correo electrónico a una cuenta controlada por Mr-Brain. No solamente Mr-Brain accede a esos datos sin mover un dedo, y consiguiendo robar lo que puede de las cuentas antes de que la cancelen, sino que el futuro phisher, que tan feliz se las prometía, estará haciendo todo el trabajo sucio, no verá ni un duro y además le caerá una denuncia por suplantar la identidad de la empresa.
Miguel López-Negrete
S21sec labs
Mr-Brain es la denominación que un grupo de personas se ha dado para desarrollar un software de tipo "phishing kit”, que se ofrece gratuitamente. Con este kit cualquier persona sin demasiados conocimientos acerca de phishing puede montar una web fraudulenta imitando cualquier web de alguna empresa de Internet y hacerse con números de cuenta, tarjetas de crédito, contraseñas,... de todo aquel usuario que cometa el error de entrar en dicha página y meter sus datos. Además viene con plantillas para spam de las diferentes empresas.
A pesar de que ya llevan algún tiempo, estos kits están bastante de moda últimamente y la oferta ha crecido considerablemente. En Internet se pueden buscar cosas parecidas a precios variados, que van desde los $20 - $30 hasta los de más de $3000, dependiendo de lo que ofrecen. Lo sorprendente del caso es que este kit se ofrece gratuitamente, lo que llama la atención, ya que están regalando algo que es ilegal para que el futuro phisher que recibe el regalo consiga un dinero que el creador del phishing kit podría conseguir igualmente. Si se ponen a hacer cosas ilegales, más fácil será quedarse con todo el pastel y no regalarlo, ¿no?
Pues ahí está el truco. El kit que Mr-Brain ofrece ha sido creado para enviar toda la información recopilada (por supuesto incluyendo tarjetas de crédito y cuentas bancarias) mediante correo electrónico a una cuenta controlada por Mr-Brain. No solamente Mr-Brain accede a esos datos sin mover un dedo, y consiguiendo robar lo que puede de las cuentas antes de que la cancelen, sino que el futuro phisher, que tan feliz se las prometía, estará haciendo todo el trabajo sucio, no verá ni un duro y además le caerá una denuncia por suplantar la identidad de la empresa.
Miguel López-Negrete
S21sec labs
Suscribirse a:
Entradas (Atom)
