Archivos de Categoría: Seguridad

¿Un ataque usando Adobe como excusa?

(English version below)

Este mensaje es solo un aviso rápido:
Hoy un mensaje se ha saltado los filtros antispam y ha llegado al buzón.
Hablaba de actualizaciones para Adobe Reader…

Un vistazo al whois del dominio me ha despertado la curiosidad y en 5 minutos he encontrado unos cuantos dominios más relacionados con este posible ataque.

La fecha entre paréntesis indica la fecha de registro de los dominios, por lo que es fácil deducir que se han creado con el objetivo del ataque:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (dominio registrado por otra persona, a lo mejor no está relacionada)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

De momento no tengo datos de qué pasa cuando te conectas a esas páginas… pero probablemente nada bueno.
Supongo que explotará alguna vulnerabilidad de IExplorer para instalar algún troyano.

De momento el consejo: no te conectes a esas páginas. Sencillo ¿no?

And now the English version for the English readers:

Today an email has jumped over the antispam filters and has arrived to the mailbox.
It was an email about Adobe Reader updates…

A quick look to the domain’s whois has awakened my curiosity and in 5 minutes I have found some more domains, maybe related to this possible attack.

The dates between brackets is the domain registration date. It is easy to infer than were created with the attack in mind:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (another guy registered this domain. Maybe it is not related.)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

At this moment I have no data about what will happen if you connect to those pages… but probably nothing good.
I suppose that those page will exploit some IExplorer vulnerability to install a Trojan

The suggestion: Do not connect to those pages. Easy, isn’t it?

Operation Aurora: La presión funciona

Ayer hablaba de que Microsoft había decidido publicar el parche para corregir la vulnerabilidad de Internet Explorer que estaba generando todo el ruido mediático de la operación Aurora.

Pues bien, ayer tarde hizo público el parche que corrige la vulnerabilidad en Internet Explorer.
La información está en este boletín fuera de ciclo.

Ahora toca probar el parche (cuando lo publiquen) y actualizar… a ver si este parche, liberado rápidamente y bajo presión no nos trae ninguna sorpresa.

Está claro, la presión mediática funciona. :-(

Actualización: Desde anoche ya tenemos los parches:

Una de cal y otra de arena con Microsoft

Nada mejor que un poco de mala publicidad para reaccionar.

Según la BBC, Microsoft ha decidido corregir el error que está generando todos gran parte de los problemas de la Operación Aurora de la que ya he publicado algún apunte.

Una de cal y otra de arena.

Ayer mismo se publicó un full disclosure, con un exploit de ejemplo, que permite elevar privilegios y afecta a prácticamente todos los sistemas Windows de Microsoft.

El anuncio en particular explica en detalle el error y dice que se informó a Microsoft en junio del pasado año pero que, como no han publicado ningún parche al respecto, han decidido meterles un poco de prisa para que corrijan un error grave.

Supongo que Microsoft, ya que publicará los parches para corregir los problemas de la Operación Aurora, aprovechará para corregir este problema a la vez… que avisados estaban.

A los atacantes: si quieres conseguir privilegios de administrador en una máquina con windows, lee el disclosure.

A los administradores de sistemas: En el propio anuncio hay unos consejos para mitigar los daños… ahora toca evaluar si puedes o no implantar esas medidas en tus sistemas.

Ahora y como otras veces, toca esperar a que se publique el parche.

Actualización:

Otros blogs españoles también hablan del problema:

Operation Aurora: Exploit disponible

Hablaba el viernes de la Operation Aurora y de cómo Google y otras empresas habían sido atacadas aunque no todas lo reconocían públicamente y hoy (aunque la noticia es del mismo viernes) me entero de que el exploit ya circula libremente por Internet.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox :-) pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Operación Aurora: Ataques dirigidos contra distintas empresas desde China

Estos primeros días de enero están siendo movidos en el mundo de la seguridad de la información.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

Sistema de escuchas telefónicas

Tenía este apunte en la recámara desde hace tiempo y entre unas cosas y otras ahí estaba… El tema ya no es de actualidad pero os dejo el apunte:

Parece que está de moda hablar del sistema del gobierno para hacer escuchas a la telefonía móvil (SITEL).

Es un poco ingenuo pensar que hasta ahora no era posible escuchar o acceder a las conversaciones telefónicas desde equipos del gobierno con la ayuda de las operadoras… porque sin ellas no seria posible, supongo que en eso estamos todos de acuerdo.

El problema no es hacer un seguimiento en particular o escuchar y grabar lo que dice fulanito… eso es fácil y me da que está resuelto desde hace tiempo, el problema es procesar toda la información interesante que hay en el ruido de todas las conversaciones. El problema es la inteligencia, el obtener información útil de la fuente, de todo el ruido que es la telefonía móvil.

Realmente a nadie le importa, o no se puede sacar mucha información útil de lo que yo pueda estar diciendo por teléfono cuando hablo con un amigo o un familiar en una conversación estrictamente privada… Otro caso es si hablara de determinados temas más o menos sensibles, temas que pudieran afectar a la seguridad nacional…

¿Cómo saben los señores del gobierno que al que tienen que escuchar es a mi? ¿Cómo saben cuando hay que escucharme? Ese es el problema.

Los recursos son limitados y, aunque consigan grabar TODAS las conversaciones que se producen en un día… ¿Van a poder analizarlas todas? Eso es más difícil, hay que decidir a quien se escucha y/o hacer muestreos más o menos aleatorios con la esperanza de pescar a alguien.

La otra cara de la moneda.

Las personas que tienen cosas que el gobierno puede querer escuchar deberían saberlo y me da a mi que lo saben, y si lo saben, probablemente tomen las medidas oportunas para que no sea posible (o al menos no sea sencillo) que se intercepten sus comunicaciones.

Por ejemplo, existen móviles con chips criptográficos (hardware) que cifran las comunicaciones extremo a extremo… algo así como encapsular la conversación de voz en un tunel, como haríamos con los datos si usamos un tunel SSH.

Esos móviles pueden ser caros y no se pueden conseguir con puntos en tu operadora favorita. Muchas veces están controlados y, aunque tuvieras el dinero, no están a la venta.

De nuevo… la gente que tiene miedo de que el gobierno pueda estar detrás de ellos probablemente tengan el dinero y los contactos para acceder a esos teléfonos con criptografía.

Como resumen… esos sistemas de escucha que usa el gobierno no valen para escuchar a los que realmente no quieren ser escuchados… solo sirven para escuchar a los particulares o delincuentes sin medios que no pueden acceder a esos terminales con criptografía para cifrar las conversaciones… o a los que, teniendo cosas que esconder no son conscientes del riesgo.

¿Qué podemos hacer los particulares que queremos tener más tranquilidad de que no se interceptan nuestras conversaciones y, lamentablemente también los delincuentes?

Hoy en día tenemos teléfonos con potencia suficiente como para cifrar/descifrar por software las conversaciones telefónicas. A día de hoy podemos hacer llamadas mediante un smartphone que cifre la voz antes de enviarla a nuestro interlocutor que la descifrará y nos devolverá cifrada la respuesta de una forma confidencial.

Criptografía (¿simétrica?) lo suficientemente ligera como para poderla hacer en tiempo real con un teléfono más o menos normal y lo suicientemente robusta como para dificultar la escucha.

A ver si me doy una vuelta por la Internet y busco algún programa de esos… :-)

Formacion CAM en seguridad

Esto es lo que dice un anuncio de los planes de formación de la CAM: “Entra Carmen, aficionada a Internet, hace un curso y sale Carmen, técnico de seguridad.”

Supongo que es lo que piensan de los técnicos de seguridad.

Un curso y listo :-(

Es lo que hay… Luego te cruzas con supuestos profesionales que no saben de lo que hablan, que no conocen ni lo más básico, que no entienden los problemas a los que se enfrentan, que toman decisiones sin razonar antes, …

No hace falta que funcione bien, con que parezca que funciona es suficiente.

Es lo que hay, o mejor, lo que no hay: profesionalidad y claro, luego pasa lo que pasa.

Análisis de riesgos, terrorismo y teléfonos móviles

La seguridad no es un producto, es un proceso” es una de las frases típicas de la seguridad y significa que no puedes comprar un producto, realizar una acción y olvidarte. Cualquier vendedor que te diga lo contrario miente o no sabe de lo que habla.

La seguridad es un proceso continuo que debe estar basado en un análisis de riesgos, en el que se identifiquen primero los activos y después los riesgos asociados a esos activos para luego poder definir las medidas de seguridad que mitiguen o anulen esos riesgos de una forma eficiente.

En esos análisis de riesgos, identifican las amenazas a los que sus activos están sometidos y, en función de la probabilidad de ocurrencia y el daño potencial se calcula el riesgo para el cual se definen unas contramedidas…

En la definición de las contramedidas entra ya el factor económico… no podemos definir unas medidas de protección que nos cuesten más de lo que nos costaría recuperarnos de la materialización de la amenaza.

En pocas palabras… ¿Tendría sentido pagar por el seguro de un coche valorado en 10.000€ unos 20.000 euros anuales?

Eso no es todo. Empezaba diciendo que la seguridad es un proceso. No podemos establecer nuestras contramedidas y olvidarnos.

Las amenazas cambian, evolucionan, aparecen amenazas nuevas y con ello las contramedidas se inutilizan y el nivel de riesgo vuelve a incrementarse… por lo que se hace necesario un nuevo análisis de riesgos y… “GOTO 10″. ;-)

Quiero pensar que las agencias de seguridad nacional de los distintos estados realizan sus análisis de riesgos y que uno de sus principales activos (yo diría que el activo principal, pero nunca se sabe) somos los ciudadanos, los civiles, el pueblo. Después se establecen las medidas de seguridad más apropiadas que se pagan con los impuestos.

Pues todo lo anterior es lo que me vino ayer a la cabeza.

En Madrid sufrimos hace unos años el ataque terrorista del 11 de marzo, en Nueva York el 11 de septiembre unos años antes y algo después el del 5 de junio en Londres.

El ataque de Madrid puso sobre la mesa unos nuevos riesgos… el que unos malnacidos decidieran volar unos trenes llenos de civiles inocentes utilizando unos teléfonos móviles, además este ataque estaba asociado a los ataques del 11S de Nueva York y el de Londres.

Supongo que el análisis de riesgos posterior dijo que el riesgo era muy alto: la probabilidad de que vuelva a ocurrir es muy baja (o al menos eso espero) pero el daño en caso de materialización de la amenaza es altísimo y un país no se lo puede permitir.

Así que el siguiente punto es establecer las medidas de protección para eliminar o al menos mitigar esos riesgos: controles exhaustivos en los aeropuertos en busca de armas, bombas, nuevos pasaportes con datos biométricos … la tontería medida de no poder pasar líquidos en los aviones, … y la última tontería medida que es lo que me ha empujado a escribir esto, el que no puedan existir teléfonos móviles “anónimos”.

Creo que es a principios de noviembre cuando teóricamente se desconectarán las líneas de teléfono que no estén identificadas, incluidos los teléfonos de prepago.

Supongo que si viviéramos en un mundo perfecto, donde los delincuentes cumplieran las normas, esta medida podría tener algún efecto… se están identificando las líneas de teléfono pero lo que los terroristas modificaron fueron los terminales… puedes ponerle la SIM que te dé la gana a tu terminal-detonador y robar una SIM 10 minutos antes de hacer explotar lo que sea desde… ¿una cabina de teléfonos? ¿otro teléfono robado? y de nuevo el infierno.
Además… eso es suponiendo que a los malos no se les ocurre otra forma de hacer detonar una bomba…

Vamos que dudo yo mucho de la eficacia de esa medida, como la de los controles de los aviones.

Ayer, cuando fui a pagar la gasolina, en el mostrador de la gasolinera había unas cajas que no había visto yo nunca… parecían unos teléfonos móviles de juguete… pero por otro lado me daba la impresión de ser teléfonos de verdad… así que pregunté: “¿Esto qué es?”

Sí, la noticia es vieja, estos teléfonos existen desde junio pero yo no lo había visto antes. BIC (la marca de los bolígrafos y los mecheros) vende ahora, de la mano de Orange, unos teléfonos móviles desechables (que valen 30€ y vienen con 12€ de saldo). Lo primero que me vino a la cabeza fue el tema de la identificación de los usuarios y demás… así que pregunté: “¿Si me llevo un teléfono de estos… hace falta que me identifique?” y lo sorprendente fue la respuesta del personal de la gasolinera que me dijeron una y otra vez que no, incluso cuando les comenté la medida que obliga a la identificación de las líneas… no.

Puedes llevarte un kit de esos, pagar en efectivo y… bueno, las maldades que cada uno piense las suyas.

Es cierto que aun no estamos en noviembre… a lo mejor Orange te vende este número y luego no te lo deja usar… a lo mejor, pero a lo mejor no… empieza a ser el momento de revisar el análisis de riesgos o comprobar la eficacia de las medidas que tenemos establecidas.

¿Vuelve el ping de la muerte?

El lunes se publicó una vulnerabilidad seria de Windows. Lo hizo Laurent Gaffié desde su blog al más puro estilo full disclosure, con exploit y todo, ahí es nada.

No se si habrá avisado o no a Microsoft antes de este disclosure pero quiero pensar que los ingenieros de Microsoft están ahora asustados, tratando de solucionar el problema cuanto antes y que en unos días publicarán un parche fuera de ciclo.

A mi, este problema me recuerda mucho al Ping de la Muerte de hace unos años. El PoD fue una vulnerabilidad que permitía que, mediante un paquete ping MUY largo, las máquinas se bloquearan y hubiera que reiniciarlas.

En aquellos días, mucho script kiddie del que pululaba por Internet se dedicaba a barrer la red en busca de máquinas vulnerables para tirarlas…

Recuerdo que yo tenía una máquina con Debian con el firewall de, no recuerdo exactamente si ipchains o iptables pero supongo que ipchains, por la fecha y un script que monitorizaba los logs continuamente en busca de evidencias de un ataque de “ping de la muerte”… cuando detectaba que una máquina me estaba atacando, le devolvía el ataque…

Era gracioso ver como las máquinas atacantes eran vulnerables a su propia medicina! :-)

Esta vulnerabilidad es algo distinta, no se trata de ICMP sino esta vez se trata del SMB así que requiere que se tenga el SMB activo.

En el blog de 48bits tienen un artículo muy interesante que explica con un poco más de detalle y en español este nuevo problema.

Por suerte es un problema del SMB y utiliza los puertos 445/TCP y 139/TCP los típicos puertos Microsoft que ya están deberían estar bloqueados en la mayoría de los firewalls de Internet así que la exposición de las máquinas vulnerables en Internet debería ser bajo.

Según la gente de 48bits no se trata únicamente de un ataque de denegación de servicio sino de ejecución remota de código.

El problema es mayor si se confirma la ejecución remota de código (que parece que si) porque, aunque los puertos estén bloqueados en muchos firewalls, si cuando algún programador de virus haga uso de esta vulnerabilidad… , el virus entrará en las redes corporativas como suelen entrar todos los virus: correo electrónico, tráfico web, discos USB… y una vez ha traspasada la protección perimetral, estando en la intranet corporativa, estará libre para campar a sus anchas, infectando todas las máquinas internas.

El tema anterior da para un apunte entero que si algún día tengo tiempo escribiré pero de momento las preguntas…

  • ¿Segmentáis las intranets con firewalls o con ACL en los routers?
  • ¿Cómo se deben proteger las intranets de sus propias máquinas?
  • ¿Cómo decidis cómo segmentar vuestras intranets?
  • ¿Tenéis toda la red sin segmentar?

Tendremos que estar a día y actualizar cuando salga el parche.

Actualizando los servidores desde un iPhone

Ayer se publicó una actualización de bind que resuelve una vulnerabilidad crítica que permite a un atacante causar una denegación de servicio (DoS). No solo se ha publicado la vulnerabilidad sino que, además, ya hay circulando un exploit.

Había que actualizar… y hoy era el día que le tocaba a mis servidores.

Estas actualizaciones, en Debian, suelen ser muy sencillas de llevar a cabo así que desde el sofá, iPhone en mano y con el TouchTerm me he puesto manos a la obra.


¿El resultado? En unos 4-5 minutos, incluyendo el tiempo de conectar y teclear los comandos adecuados… tenía mis dos servidores actualizados. :-)

Algunos dirán que es una frikada pero actualizar dos servidores de nombres desde el sofá a través del teléfono móvil es la mar de cómodo! :-P