Detectar y matar antivirus con un JS

mayo 6, 2013 § Dejar un comentario

En el reciente ataque al Departamento de Trabajo y el de Energía de Estados Unidos (DoL), en el cual se utilizó un exploit 0-Day de Internet Explorer 8, también se utilizaron una serie de Javascripts curiosos y uno de ellos se utiliza para detectar las aplicaciones instaladas en el sistema del usuario y, si encuentra un antivirus, se encarga de desactivarlo.

La lista de antivirus es la siguiente:

  • Avira
  • Bitdefender 2013
  • Mcafee Enterprise
  • AVG 2012
  • ESET  NOD 32
  • Dr.Web
  • MSE
  • Sophos
  • F-Secure 2011
  • Kaspersky 2012 y 2013

Luego de descargado el código y con unos pequeños retoques he logrado hacerlo funcionar sin problemas en Internet Explorer y Firefox sobre Windows 8. Las modificaciones realizadas apuntaron a solucionar algunos problemas con la detección de las aplicaciones instaladas y a mostrar dichas aplicaciones en pantalla:

De todos modos es simple agregar nuevos “modulos” para mejorar la detección, hacerlo funcionar en otros navegadores y/o sistemas operativos y permitir desactivar los antivirus o aplicaciones que se desee.

El “código dañino” es detectado por pocos antivirus pero supongo que con el pasar de los días este número aumentará. De todos modos seguramente esta “herramienta” irá mejorando y no pasará mucho tiempo antes de que sea incluida en los Exploits Packs de forma ofuscada, para dificultar su detección y facilitar el ataque por parte de los delincuentes.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Millones de equipos vulnerables, según análisis de Internet de Rapid7

abril 30, 2013 § 1 comentario

MIT Technology Review contó cómo HD Moore, jefe de investigación de Rapid7, creo un ambicioso proyecto: “enviar a un ping” a todos los computadoras conectados a internet.

Un ping normalmente es utilizado para diagnosticar la conexión a internet de otros computadores. En términos simples, este procedimiento se parece a lo que los submarinos hacen para detectar los objetos cercanos con un sonar: envían una señal que regresa, con la que se puede conseguir cierta información. Así, al enviar a un ping a otro computador, este retorna a su sitio de origen con ciertos datos. Los hallazgos de Moore fueron apoyados por un conjunto de datos similares publicados por un hacker anónimo el mes pasado.

Moore invirtió mucho dinero para lograr enviar pings a todo el mundo. Tuvo que comprar buenos computadores, los recibos del servicio de electricidad llegaron por las nubes y se necesitó equipo de enfriamiento especial para que los computadores no pusieran en llamas su apartamento. Eso sin mencionar las miles de amenazas y correos hirientes que recibió por parte de miles de personas que recibieron su señal. Sin embargo, los resultados del ‘atentado’ de Moore mostraron importantes resultados.

El investigador de Rapid7 señaló [PDF] que su acto de locura reveló información importante: envió la señal a 3.700 millones de computadores conectados a internet, de los cuales 310 millones mostraron ser muy vulnerables a ataques muy comunes hoy en día. De esos, hay un segmento específico que alertó a Moore: los 114.000 que pertenecen a negocios o industrias. Estos pueden ser accedidos a través de métodos comunes; y 13.000 de ellos directamente, sin mayor esfuerzo.

La investigación [PDF] revela que alrededor de 40-50 millones de dispositivos conectados a la red están en riesgo debido a vulnerabilidades encontradas en el protocolo Plug and Play (UPnP). El artículo investiga tres grupos de fallas de seguridad en relacionadas con el protocolo UPnP.

Según el MIT, “estas cuentas vulnerables les dan grandes oportunidades a atacantes, como reiniciar los servidores de una compañía, acceder a información de sistemas médicos y datos de clientes. Incluso pueden conseguir acceso a sistemas de control de equipo industrial”.

Más allá de los resultados, el investigador no quedó con muchas ganas de volver a hacerlo. Los gastos fueron demasiados y los riesgos muy altos como para correr con ellos de nuevo. Esto, sin embargo, quedará a la historia del mundo de la computación como un gran acto de locura.

Fuente: Enter

Contenido completo en www.segu-info.com.ar

Linux/Cdorked.A: nuevo backdoor Apache utilizado masivamente para propagar Blackhole

abril 29, 2013 § Dejar un comentario

La siguiente publicación es una adaptación y traducción del post “Linux/Cdorked.A: New Apache backdoor being used in the wild to serve Blackhole” escrito por Pierre-Marc Bureau y publicado en We Live Security.

La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada de un servidor web Apache que redirigía algunas de las peticiones hacia el paquete de exploits Blackhole. El análisis de este malware reveló que se trata de un sofisticado backdoor (troyano de puerta trasera) que implementa técnicas de ocultamiento, y cuyo objetivo es redirigir el tráfico hacia sitios maliciosos. Considerando esto, recomendamos encarecidamente a los administradores de sistemas web comprobar que sus servidores se encuentren libres de esta amenaza. Las instrucciones para realizar este procedimiento se detallarán al final de este post.

Linux/Cdorked.A es uno de los backdoor para Apache más sofisticados que hemos observado. Pese a que aún continuamos procesando los datos, nuestro sistema de alerta temprana reporta cientos de servidores comprometidos, incluidos algunos en América Latina. Por otro lado, el troyano casi no deja rastros en el disco duro del sistema infectado. Lo único que queda es el binario httpd modificado, lo que dificulta cualquier análisis forense. Toda la información relacionada a este backdoor es almacenada en un área de memoria compartida. Asimismo, la configuración es enviada por el atacante a través de peticiones HTTP ofuscadas que no son registradas en el log de Apache. Esto significa que no se almacena ninguna información del Centro de Comando y Control en el sistema afectado.

Contenido completo en fuente original ESET Latinoamérica

Contenido completo en www.segu-info.com.ar

Cómo gestionar los plugins CMS de forma segura (y no morir en el intento)

abril 27, 2013 § Dejar un comentario

Hoy en día es imposible negar la importancia en Internet de los CMS (Content Management Systems, Sistemas Gestores de Contenidos). Software como WordPress (con más de 64 millones de blogs instalados (se abre en nueva ventana)), Drupal o Joomla, nos permiten crear sitios web complejos de forma sencilla con la instalación por defecto.

Estos CMS tienen la posibilidad de ser ampliados con multitud de características mediante plugins (si usamos la terminología de WordPress, se denominan módulos en Drupal o componentes en Joomla). La instalación de estos plugins es muy sencilla, no requiriendo en muchos casos más de un par de clicks. También es necesario tener en cuenta los themes (que permiten cambiar el aspecto de nuestro CMS), que aunque estando orientados a cuestiones de aspecto gráfico cada vez incluyen más programación, estando sujetos a los mismos problemas que los plugins.

El problema derivado del uso (y abuso) de los plugins tiene varias derivadas relativas con la seguridad: Por un lado tenemos la sencillez de su instalación, que anima en gran medida a la instalación “por probar” y sin pensar detenidamente qué hace exactamente ese plugin. Y por otra parte tenemos la sencillez de desarrollo de estos plugins, que hace que casi cualquiera pueda crearlos (con diferentes niveles de calidad, sobre todo en lo relativo al desarrollo seguro de software).

La otra pata derivada es la actualización de estos plugins, sobre todo en lo referente a posibles fallos de seguridad. Si sumamos todas estas variables, no es de extrañar que tengamos verdaderos fiascos de seguridad como el de TimThumb (se abre en nueva ventana) o Uploadify (se abre en nueva ventana) en WordPress, por lo que podemos afirmar que es necesaria una estrategia de gestión de estos plugins. Si nos basamos laxamente en ITIL, el ciclo de vida de un plugin podría ser el siguiente: necesidad, búsqueda, implantación, operación y obsolescencia.

En primer lugar surge la necesidad de disponer de una característica que no viene implementada por defecto (por ejemplo, el crear automáticamente un tweet por cada entrada en nuestro blog WordPress). Las primeras preguntas serían: ¿de verdad necesito esta funcionalidad?. ¿Estoy dispuesto a aceptar el trabajo adicional que supone el buscar un plugin adecuado, instalaro y gestionarlo?.

Contenido completo en fuente original INTECO

Contenido completo en www.segu-info.com.ar

HoneyProxy: Analizando tráfico Web

abril 25, 2013 § Dejar un comentario

Dando una vuelta por el portal de The Honeynet Project me encontré con la noticia de una nueva versión de HoneyProxy, la 1.1. Vamos a tratar de hacer una pequeña introducción a esta herramienta y ver qué posibilidades nos ofrece.

La primera fase, la de instalación, es bastante rápida. Nos basaremos en que esta se realiza en un sistema Debian, pero no difiere mucho de otros sistemas Unix o incluso de la instalación en Windows. Basta con descargar el ZIP desde la Web del proyecto e instalar algunas dependencias.

La aplicación está desarrollada en Python por lo que necesitaremos instalar los paquetes python-pip y python-twisted. Seguidamente instalaremos los paquetes que necesita Python mediante PIP.

Contenido completo en fuente original Security Art Work

Contenido completo en www.segu-info.com.ar

Microsoft también agrega verificación en dos pasos

abril 18, 2013 § Dejar un comentario

Microsoft se está sumando a la autenticación de dos factores en las cuentas de sus usuarios así como lo ha hecho Google, Dropbox y WordPress. Se puede acceder a configurarlo desde aquí.

El proceso por ahora estaba disponible en algunas “actividades críticas” (como la edición de la información de tarjeta de crédito o acceder a archivos en otro equipo a través SkyDrive.com) pero ahora la verificación en dos pasos opcional se podrá actividad para todas las cuentas de Microsoft, ya sea Windows Phone, Xbox, Outlook, SkyDrive, Skype, Office365 y en Windows 8.

Microsoft ha creado una aplicación para la autenticación de Windows Phone y el sistema ha sido diseñado para funcionar incluso cuando está desconectado.

Los usuarios pueden optar por utilizar este proceso una sola vez y recordar la opción por 60 días (como Google) , aunque si no utiliza el servicio por 60 días se tendrá que introducir un nuevo código.

Por las dudas Microsoft advierte que “si el usuario olvida su contraseña y no tiene acceso al dispositivo de autenticación, no podrá volver a tener acceso a su cuenta”.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Libro: Hacking Secret Ciphers with Python

abril 16, 2013 § 1 comentario

“Hacking Secret Ciphers with Python” (mirror, leer en línea, Amazon) es un libro de Al Sweigart que pretende ser una guía destinada a principiantes para aprender criptografía y programar en Python.

Cuenta con el código fuente de varios sistemas de cifrado como el cifrado César, cifrado de transposición, cifrado de sustitución simple, cifrados multiplicativos y afines, cifrado Vigenère y herramientas de hacking para cada una de estos cifrados. Los últimos capítulos cubren el sistema de cifrado RSA y criptografía moderna de clave pública.

Básicamente el libro asume que el lector no sabe nada de criptografía ni programación y le ayuda a aprender, paso a paso, a escribir programas que puedan “romper” mensajes cifrados. Dos años de trabajo, 415 páginas y 1700 líneas de código, que pueden leerse online o descargar en pdf de forma totalmente gratuita o, si lo prefieres, comprarlo en formato tradicional en Amazon. Además, está dedicado a Aaron Swartz y el 100% de los ingresos obtenidos con sus ventas o donaciones irán a EFF, Creative Commons y Tor Project.

Fuente: Hackplayers

Contenido completo en www.segu-info.com.ar

WordPress agrega autenticación en dos pasos

abril 8, 2013 § Dejar un comentario

Al igual que han hecho Google y Dropbox, WordPress ha implementado autenticación de dos pasos, para agregar otro nivel de seguridad.

¿Qué es la autenticación de dos pasos?

Esta autenticación permite utilizar el dispositivo móvil para agregar un segundo factor de autenticación al momento de iniciar la sesión. Al autenticación de dos pasos reduce drásticamente la probabilidad de que alguien pueda obtener acceso no autorizado a la cuenta porque un atacante debería tener el nombre de usuario, la contraseña y el teléfono para generar el código.

Al momento de loguearse, WordPress pedirá:

  • El nombre de usuario y la contraseña de WordPress, normalmente
  • El nuevo código de seguridad secreto que recibirá en el teléfono celular

El código secreto cambia con cada inicio de sesión y uno nuevo se genera cada 30 segundos. Se puede elegir recibir el código en el móvil o tablet a través de la aplicación Google Authenticator (disponible para iOS, Android, Blackberry y otros teléfonos inteligentes) o vía SMS.

Habilitar la autenticación de dos pasos en WordPress

Para habilitar la autenticación de dos pasos, vaya a la pestaña de seguridad en la cuenta de WordPress.com (se puede acceder desde la configuración en la esquina superior izquierda). Una vez allí se puede iniciar el asistente de instalación que le guiará a través de cada paso.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Backdoors en PHP

abril 7, 2013 § Dejar un comentario

Seguro que ya habrán visto algunas funciones PHP que ejecutan comandos como si estuvieran en una shell y con las cuales podemos hacer un backdoor y mantener el acceso en un servidor.

Hoy además les quiero mostrar algunos códigos ingeniosos para llegar a ello y así pasar desapercibido ante un scanner o hasta ante el mismísimo administrador Web.

Contenido completo en fuente original @Pwnakil | Cl – Security

Contenido completo en www.segu-info.com.ar

Web for Pentester: ejercicio para aprender pentesting web

abril 4, 2013 § Dejar un comentario

De entre los muchos ejercicios que nos podemos encontrar en el interesante proyecto de PentesterLab creado por Louis Nyffenegger (@snyff), se acaba de publicar un conjunto de ejercicios llamado “Web for Pentester“.

Estos ejercicios repasan las vulnerabilidades más comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la arquitectura, sistema, servicios, etc.

Se proponen varios ejemplos para cada una de las siguientes tipos de vulnerabilidades:

  • Pruebas básicas de reconocimiento (fingerprinting)
  • Cross-Site Scripting
  • Inclusión de ficheros
  • Ataques LDAP
  • Inyecciones SQL
  • Inyección de código
  • Subida de ficheros
  • Pruebas de ruta transversal
  • Inyección de comandos
  • Ataques XML

Esta vez no se trata de ejercicios online, si no que el creador del proyecto ha preparado una pequeña imagen .iso, en la cual, bajo el sistema operativo Debian, se ha creado un entorno en el que se incluyen  diferentes scripts vulnerables.

Con la imagen, en la sección de descargas de estos ejercicios se encuentra un documento en .PDF en el que se explican todas y cada una de las pruebas con sus correspondientes ejemplos, aunque obviamente, recomendamos consultar este documento después de, por lo menos, haberle dedicado un buen rato a resolverlos por cuenta propia.

Dicho informe recoge el análisis realizado desde las fases iniciales del test de intrusión (reconocimiento del servicio web, búsqueda de recursos interesantes, puntos de entrada a la aplicación, análisis de respuestas del servidor web, etc), así como conceptos básicos y requeridos para completar las pruebas posteriores.

Si bien el nivel de dificultad se ha determinado como para principiantes, es un buen repaso, además de completo, para cualquier interesado en este campo de la seguridad informática sobre aplicaciones web.

Fuente: SecuritybyDefault

Contenido completo en www.segu-info.com.ar

« Entradas Anteriores

¿Dónde estoy?

Actualmente estás explorando la categoría seguridad web en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 68 seguidores