Archive for 03:23 hrs.

Matias Katz | 03:23 hrs.
No comments

IP Versión 6, el futuro de la Seguridad Informática

Domingo, 17 hs. Me voy con mi laptop a algún bar lindo. La prendo, tengo mi backtrack (Novedades sobre el tema, tienen nuevo sitio y hace 15 días sacaron la versión 4) listo para trabajar.

Para empezar, hasta que llega la moza, me conecto a la red WiFi y escaneo toda comunicación en texto plano que el resto de los clientes en el bar estén efectuando. Logro conseguir un par de credenciales de poco valor, pero no me preocupo porque ese no es el motivo principal de mi visita al bar.

Empiezo a tipear y posiciono mi ataque a donde sea que el viento me lleve. El viento me lleva hacia las puertas del sitio web de la empresa X (el nombre es irrelevante, obviamente :D ). Comienzo a buscar formas de poder ingresar a su red. Voy a tardar un poco en lograrlo, pero no tengo apuro (la moza todavía ni me trajo mi café. Es domingo, estamos todos muy tranquilos).

Luego de un rato largo (ya me había terminado mi café para ese momento), encuentro un agujero en la infraestructura informática de esta empresa que me permite ejecutar un exploit. Lo ejecuto, consigo una consola de comandos en uno de sus servidores de perímetro. Las credenciales locales con las que pude entrar a este equipo me permiten llegar al root folder donde se aloja el Website principal de la empresa. Edito su archivo Index.html y agrego un espacio al comienzo del título del sitio. Es sutíl, pero cumple.

Cierro la conexión, apago mi laptop, pago el café y me voy contento, ya que pude disfrutar un domingo con café y hacking, 2 de mis mayores pasiones.

Que pasa del otro lado del mostrador?

Supongamos que la empresa X tiene un muy buen equipo de seguridad informática (no los juzguen por tener ese agujero en su perímetro, somos todos humanos) y tienen implementado un buen sistema de logs. Supongamos también que leen los logs que guardan. Bueno, suponiendo todo eso (y siendo altamente optimistas):

1) Empiezan a atar cabos y llegan a rastrear mi conexión ilegal.

2) Revisando logs ven toda mi actividad (era domingo, no tenía ganas de ir reventando logs)

3) Llegan a la modificación del archivo. Lo corrigen.

4) Analizan como hice para meterme y encuentran la vulnerabilidad que lo permitió

5) Piden autorización a la gerencia, levantan un ticket y parchean los servidores que lo necesiten

6) Sepultan el tema para siempre o tratan de castigar al atacante, contactando al ISP al que le corresponde la IP pública de donde se perpetuó el ataque.

7) El ISP les dice que dicha IP corresponde al cliente Y, ubicado en la calle Z. (No es tan así, pero para resumirlo…)

8 ) Llegan al domicilio y ven que es un bar, que tiene un movimiento de unos 1000 clientes diarios. Entran y buscan al gerente, quien les dice que no entiende lo que es un sistema de logs (obviamente, es gerente de un bar) y que no puede darle la información que le piden.

9) El administrador de seguridad de la empresa X le pide permiso al gerente del bar para entrar en la configuración de su router de perímetro. El gerente se despertó de buen humor y se lo permite. El administrador se encuentra con que el router (que tiene un valor al público de U$S 60) recibe del ISP una única IP, y hace un típico NATeo con las terminales conectadas en su red. No sólo eso, sino que el equipo no guarda más que las últimas 6 horas de logs.

10) Caso cerrado. El atacante está muy relajado mirando la tele. Por suerte el daño fue prácticamente nulo. Por suerte…

Habiendo finalizado esta Situación Hipotética (si, hipotético… Realmente me creían capaz de hacer eso?), les pregunto:

Cómo se podría haber mitigado esto?

Simple: IP Versión 6.

La delegación de IPs no debería recaer sobre un pobre router de perímetro de U$S 60 de valor.

Si se instaurara la IPV6 como standard, los ISP podrían entregar IPs diferentes a CADA terminal conectada a sus servicios, haciendo la auditoría 100% más fácil y efectiva.

Si, es verdad, igualmente se puede lograr un nivel de anonimato bastante alto; solo basta spoofear mi MAC o usar una VM, etc. etc.  Todo eso es verdadero. Pero, utilizando IPV6 brindada directamente desde el ISP, el proceso de log y trackeo de un ataque sería totalmente diferente.

Imaginen una botnet, donde las PC zombies pertenecen a una empresa J (me quedé sin letras). Gracias a los logs del ISP, se podría averiguar específicamente cuales de las PC de esa empresa están infectadas, y si eso se concatena con un buen procedimiento de logs a nivel local, se podría inclusive averiguar si hubo consentimiento o no por parte del usuario, y lograr notables avances en cualquier investigación.

Si en la situación hipotética que conté antes, yo hubiese tenido una IPV6 delegada directamente del ISP, podrían existir logs de mis actividades previas y posteriores al ataque, podría individualizarse mi comportamiento del que haya tenido el resto de la clientela al momento de mi ataque, y el bar se evitaría problemas legales.

La IPV6 se creó para solucionar un problema de disponibilidad. el NATeo congeló su desarrollo. Ahora, la IPV6 sería una implementación clave en la mitigación de fraudes y delitos informáticos.

Category: Seguridad | Tags: , , ,
Matias Katz | 19:59 hrs.
One comment

2 golpes duros para Microsoft, en 1 semana

Todos lo sabemos. Está por todos lados. No hay necesidad de explayarnos demasiado porque cada medio informativo (sea de IT o no) ya ha publicado en los últimos días sobre las 2 grandes noticias en el mundo de Microsoft y la seguridad.

Tema 1 – Microsoft confirmó una vulnerabilidad de 17 años de edad:

La empresa de Redmond confirmó el día 20 de Enero que existe una vulnerabilidad en su Kernel de sistema operativo, vigente desde el Windows NT 3.51, que data del año 1993. Aunque la vulnerabilidad en sí no es grave, sí lo es el hecho de que haya estado presente por casi 2 décadas.

Microsoft ya nos mostró su lado oscuro con respecto a estos temas hace poco tiempo, con el tema del potencial Blue Screen a Vista y 7 debido a una falla en el protocolo SMB v2. Sin embargo, la ambición de la empresa es incondicional, esta gente trata constantemente de superar a todo el mundo, inclusive a ellos, trayéndonos ahora una primicia peor. No sólo porque esta vulnerabilidad es más vieja, sino porque aparentemente (citation needed) Microsoft sabía de esto desde Junio 2009.

Somos todos humanos, correcto. Pero 17 años sin descubrir una vulnerabilidad y no hacer nada cuando alguien de afuera te la hace conocer, es simplemente inaudito.

Más Información: ZDNet (Inglés)

Tema 2 – Operación Aurora, Hydraq, Google Hack, China Hack, IE Hack y 1000 nombres más:

Un grupo de hackers chinos se meten en Google y causan daños inmesurables de magnitud histórica. Google está como loco, queriendo retirar su subsidiaria en el país; mientras tanto, otras grandes firmas empiezan a caer en el mismo ataque (Adobe, Juniper y otras).

Resultó ser una vulnerabilidad 0-day en Internet Explorer la que permitió a los chinos generar el ataque. El mundo entra en pánico porque la exposición es inevitable, salen por todos lados notificaciones masivas diciendo que no usen IE temporalmente, o que suban la configuración de seguridad a “alta”, sabiendo (o quizás inocentemente sin saber) que lograr eso en un usuario común es prácticamente imposible.

Microsoft se arremanga la camisa y promete sacar un parche out-of-band de emergencia ASAP. Y lo logra, liberando el boletín MS10-002, el 21 de Enero. Todo vuelve a la normalidad, el nivel DEFCON se baja nuevamente y todos los administradores estamos como locos parcheando equipos.

En resumen, se podría decir que es un empate para Microsoft. Aunque una acción buena no tapa una mala, debo decir que cuando las papas quemaban, los chicos de MS se portaron muy bien.

Para leer los detalles del acontecimiento, sigan los links de abajo. La realidad es que no le ví el sentido a repetir lo mismo que miles de otros sitios ya notificaron. Solamente me remití a dar mi opinión al respecto.

Más Información: ZDNet (Inglés) – Blog de Cristian Linacre (Español) – Blog de ESET Latinoamérica (Español)

http://blogs.zdnet.com/security/?p=5307&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+zdnet%2Fsecurity+%28ZDNet+Zero+Day%29
Category: Varios | Tags: , , , , , , , ,
Matias Katz | 16:24 hrs.
No comments

Clickjacking a Facebook, Google y otros sitios importantes

Una de las peores amenazas a la seguridad en navegadores actualmente es el Clickjacking. Esta técnica, mediante una superposición de frames invisible al usuario final, logra que éste haga clicks en links maliciosos haciéndole creer que en realidad está clickeando en links “válidos”.

Esta técnica no es nueva. Lo que sí es nuevo es el descubrimiento de ciertos mayores sitios de internet (como ser Facebook y Google, por decir un par) son vulnerables a dicho ataque.

Un israelí llamado Shlomi Narkolayev publicó un video demostrando un ataque de Clickjacking hacia una cuenta de Facebook mediante el cual, en cuestión de segundos y sin necesitar una intervención invasiva sobre el navegador, la computadora o la cuenta de usuario de la víctima, logró instalar una aplicación dentro de su perfil.

Aquí está el video:

httpv://www.youtube.com/watch?v=93uciX4eUbQ

Lo peor de este ataque (además del alcance) es que lo que lo permite existir es un error de diseño nativo en el modo de manejar contenido de los navegadores actuales. No se trata de una falla en javascript, ni flash, ni nada, sino una vulnerabilidad en el manejo de DHTML.

La solución por ahora, aterrante pero real es deshabilitar TODA ejecución de scripts. Aunque eso nos haría volver a 1990, es la única solución 100% efectiva que hay por ahora.

Una recomendación mía, es usar NoScript. Este software (es una extensión para Firefox) permite establecer reglas de bloqueo a sitios, modificar a mano dichas reglas según sea necesario, dar permisos temporales, y un interminable etcétera. Yo personalmente uso este software para el 100% de mi navegación, y me da una tranquilidad eterna.

Para los que tengan ganas de probar, tanto el nivel de vulnerabilidad de su website como la efectividad de su navegador, pueden entrar al sitio del Israelí donde puso una demo de su script de Clickjacking.

Link (Inglés): http://shlomi.sitegoz.com/ClickJacking.html

Category: Seguridad | Tags: , , , , , , , ,
Matias Katz | 19:38 hrs.
No comments

28% de descuento en la subscripción a TechNet Plus

Como dice el título, introduciendo el código TNITE06 se habilitará un descuento del 28% en la adquisición de una subscipción NUEVA para peticiones hechas desde ESTADOS UNIDOS.

La realidad es que no probé el código, pero el dato viene de buena fuente así que debería ser verdad.

Si alguno logra ratificarlo o rectificarlo, avísenme así borro el post o me quedo tranquilo :)

Link: http://technet.microsoft.com/en-us/subscriptions/bb892754.aspx

Category: Servicios | Tags: , ,
Matias Katz | 19:30 hrs.
No comments

Guía de Referencia rápida para Licenciar Windows 2008

Aquí les dejo un PDF conciso y completo sobre todas las posibilidades de licenciamiento de Windows 2008, con sus respectivos ERP (Estimated Retail Price).

Link: http://download.microsoft.com/download/E/E/C/EECF5D44-9A88-43D8-AFDB-D2AB82BE035C/Win%20Server%20Lic%20Book%20customer%20hi-res.pdf

Category: Windows Server | Tags: , ,
« Older Entries