Tutorial Online – Evadiendo Filtros de Contenido
Acabo de subir a Youtube un tutorial online sobre como evadir los controles de contenidos online, en este caso mediante la aplicación NetNanny.
En el video se muestran las técnicas básicas (pero altamente efectivas) para poder bypassear las medidas de control que brinda dicho Software, sin necesidad de tener privilegios de usuario en el equipo en cuestión ni altos conocimientos informáticos, demostrando que cualquier niño o adolescente puede fácilmente acceder a contenidos que deberían estar protegidos de su alcance.
Este video fue realizado en conjunto con Pablo Kesler, Abogado especializado en temas informaticos y colega personal mio. Pablo es un joven profesional con mucha experiencia en lo que representa el derecho informático, que brinda un valor agregado a sus servicios legales por poseer grandes conocimientos técnicos que le permiten introducirse mas eficientemente en los aspectos legales de los casos que enfrenta.
El video forma parte de un análisis técnico y legal sobre las falencias en los sistemas actuales de control de contenidos. El artículo completo correspondiente al análisis se puede leer en la primer edicion de la Revista Electrónica de la Red IberoAmericana de Derecho Informático, elderechoinformatico.com.
La moraleja de este video es demostrar que se debería implantar un mejor sistema de control de contenidos a nivel macro, por parte de los proveedores de Internet, los motores de búsqueda y los responsables de cada sitio web.
Link al Artículo Completo (Español): http://www.elderechoinformatico.com/index.php?option=com_content&view=article&id=230:revista-electronica&catid=82:revista-electronica&Itemid=111
Video (Español):
IP Versión 6, el futuro de la Seguridad Informática
Domingo, 17 hs. Me voy con mi laptop a algún bar lindo. La prendo, tengo mi backtrack (Novedades sobre el tema, tienen nuevo sitio y hace 15 días sacaron la versión 4) listo para trabajar.
Para empezar, hasta que llega la moza, me conecto a la red WiFi y escaneo toda comunicación en texto plano que el resto de los clientes en el bar estén efectuando. Logro conseguir un par de credenciales de poco valor, pero no me preocupo porque ese no es el motivo principal de mi visita al bar.
Empiezo a tipear y posiciono mi ataque a donde sea que el viento me lleve. El viento me lleva hacia las puertas del sitio web de la empresa X (el nombre es irrelevante, obviamente 
). Comienzo a buscar formas de poder ingresar a su red. Voy a tardar un poco en lograrlo, pero no tengo apuro (la moza todavía ni me trajo mi café. Es domingo, estamos todos muy tranquilos).
Luego de un rato largo (ya me había terminado mi café para ese momento), encuentro un agujero en la infraestructura informática de esta empresa que me permite ejecutar un exploit. Lo ejecuto, consigo una consola de comandos en uno de sus servidores de perímetro. Las credenciales locales con las que pude entrar a este equipo me permiten llegar al root folder donde se aloja el Website principal de la empresa. Edito su archivo Index.html y agrego un espacio al comienzo del título del sitio. Es sutíl, pero cumple.
Cierro la conexión, apago mi laptop, pago el café y me voy contento, ya que pude disfrutar un domingo con café y hacking, 2 de mis mayores pasiones.
Que pasa del otro lado del mostrador?
Supongamos que la empresa X tiene un muy buen equipo de seguridad informática (no los juzguen por tener ese agujero en su perímetro, somos todos humanos) y tienen implementado un buen sistema de logs. Supongamos también que leen los logs que guardan. Bueno, suponiendo todo eso (y siendo altamente optimistas):
1) Empiezan a atar cabos y llegan a rastrear mi conexión ilegal.
2) Revisando logs ven toda mi actividad (era domingo, no tenía ganas de ir reventando logs)
3) Llegan a la modificación del archivo. Lo corrigen.
4) Analizan como hice para meterme y encuentran la vulnerabilidad que lo permitió
5) Piden autorización a la gerencia, levantan un ticket y parchean los servidores que lo necesiten
6) Sepultan el tema para siempre o tratan de castigar al atacante, contactando al ISP al que le corresponde la IP pública de donde se perpetuó el ataque.
7) El ISP les dice que dicha IP corresponde al cliente Y, ubicado en la calle Z. (No es tan así, pero para resumirlo...)
8 ) Llegan al domicilio y ven que es un bar, que tiene un movimiento de unos 1000 clientes diarios. Entran y buscan al gerente, quien les dice que no entiende lo que es un sistema de logs (obviamente, es gerente de un bar) y que no puede darle la información que le piden.
9) El administrador de seguridad de la empresa X le pide permiso al gerente del bar para entrar en la configuración de su router de perímetro. El gerente se despertó de buen humor y se lo permite. El administrador se encuentra con que el router (que tiene un valor al público de U$S 60) recibe del ISP una única IP, y hace un típico NATeo con las terminales conectadas en su red. No sólo eso, sino que el equipo no guarda más que las últimas 6 horas de logs.
10) Caso cerrado. El atacante está muy relajado mirando la tele. Por suerte el daño fue prácticamente nulo. Por suerte...
Habiendo finalizado esta Situación Hipotética (si, hipotético... Realmente me creían capaz de hacer eso?), les pregunto:
Cómo se podría haber mitigado esto?
Simple: IP Versión 6.
La delegación de IPs no debería recaer sobre un pobre router de perímetro de U$S 60 de valor.
Si se instaurara la IPV6 como standard, los ISP podrían entregar IPs diferentes a CADA terminal conectada a sus servicios, haciendo la auditoría 100% más fácil y efectiva.
Si, es verdad, igualmente se puede lograr un nivel de anonimato bastante alto; solo basta spoofear mi MAC o usar una VM, etc. etc. Todo eso es verdadero. Pero, utilizando IPV6 brindada directamente desde el ISP, el proceso de log y trackeo de un ataque sería totalmente diferente.
Imaginen una botnet, donde las PC zombies pertenecen a una empresa J (me quedé sin letras). Gracias a los logs del ISP, se podría averiguar específicamente cuales de las PC de esa empresa están infectadas, y si eso se concatena con un buen procedimiento de logs a nivel local, se podría inclusive averiguar si hubo consentimiento o no por parte del usuario, y lograr notables avances en cualquier investigación.
Si en la situación hipotética que conté antes, yo hubiese tenido una IPV6 delegada directamente del ISP, podrían existir logs de mis actividades previas y posteriores al ataque, podría individualizarse mi comportamiento del que haya tenido el resto de la clientela al momento de mi ataque, y el bar se evitaría problemas legales.
La IPV6 se creó para solucionar un problema de disponibilidad. el NATeo congeló su desarrollo. Ahora, la IPV6 sería una implementación clave en la mitigación de fraudes y delitos informáticos.
2 golpes duros para Microsoft, en 1 semana
Todos lo sabemos. Está por todos lados. No hay necesidad de explayarnos demasiado porque cada medio informativo (sea de IT o no) ya ha publicado en los últimos días sobre las 2 grandes noticias en el mundo de Microsoft y la seguridad.
Tema 1 - Microsoft confirmó una vulnerabilidad de 17 años de edad:
La empresa de Redmond confirmó el día 20 de Enero que existe una vulnerabilidad en su Kernel de sistema operativo, vigente desde el Windows NT 3.51, que data del año 1993. Aunque la vulnerabilidad en sí no es grave, sí lo es el hecho de que haya estado presente por casi 2 décadas.
Microsoft ya nos mostró su lado oscuro con respecto a estos temas hace poco tiempo, con el tema del potencial Blue Screen a Vista y 7 debido a una falla en el protocolo SMB v2. Sin embargo, la ambición de la empresa es incondicional, esta gente trata constantemente de superar a todo el mundo, inclusive a ellos, trayéndonos ahora una primicia peor. No sólo porque esta vulnerabilidad es más vieja, sino porque aparentemente (citation needed) Microsoft sabía de esto desde Junio 2009.
Somos todos humanos, correcto. Pero 17 años sin descubrir una vulnerabilidad y no hacer nada cuando alguien de afuera te la hace conocer, es simplemente inaudito.
Más Información: ZDNet (Inglés)
Tema 2 - Operación Aurora, Hydraq, Google Hack, China Hack, IE Hack y 1000 nombres más:
Un grupo de hackers chinos se meten en Google y causan daños inmesurables de magnitud histórica. Google está como loco, queriendo retirar su subsidiaria en el país; mientras tanto, otras grandes firmas empiezan a caer en el mismo ataque (Adobe, Juniper y otras).
Resultó ser una vulnerabilidad 0-day en Internet Explorer la que permitió a los chinos generar el ataque. El mundo entra en pánico porque la exposición es inevitable, salen por todos lados notificaciones masivas diciendo que no usen IE temporalmente, o que suban la configuración de seguridad a "alta", sabiendo (o quizás inocentemente sin saber) que lograr eso en un usuario común es prácticamente imposible.
Microsoft se arremanga la camisa y promete sacar un parche out-of-band de emergencia ASAP. Y lo logra, liberando el boletín MS10-002, el 21 de Enero. Todo vuelve a la normalidad, el nivel DEFCON se baja nuevamente y todos los administradores estamos como locos parcheando equipos.
En resumen, se podría decir que es un empate para Microsoft. Aunque una acción buena no tapa una mala, debo decir que cuando las papas quemaban, los chicos de MS se portaron muy bien.
Para leer los detalles del acontecimiento, sigan los links de abajo. La realidad es que no le ví el sentido a repetir lo mismo que miles de otros sitios ya notificaron. Solamente me remití a dar mi opinión al respecto.
Más Información: ZDNet (Inglés) - Blog de Cristian Linacre (Español) - Blog de ESET Latinoamérica (Español)
Clickjacking a Facebook, Google y otros sitios importantes
Una de las peores amenazas a la seguridad en navegadores actualmente es el Clickjacking. Esta técnica, mediante una superposición de frames invisible al usuario final, logra que éste haga clicks en links maliciosos haciéndole creer que en realidad está clickeando en links "válidos".
Esta técnica no es nueva. Lo que sí es nuevo es el descubrimiento de ciertos mayores sitios de internet (como ser Facebook y Google, por decir un par) son vulnerables a dicho ataque.
Un israelí llamado Shlomi Narkolayev publicó un video demostrando un ataque de Clickjacking hacia una cuenta de Facebook mediante el cual, en cuestión de segundos y sin necesitar una intervención invasiva sobre el navegador, la computadora o la cuenta de usuario de la víctima, logró instalar una aplicación dentro de su perfil.
Aquí está el video:
Lo peor de este ataque (además del alcance) es que lo que lo permite existir es un error de diseño nativo en el modo de manejar contenido de los navegadores actuales. No se trata de una falla en javascript, ni flash, ni nada, sino una vulnerabilidad en el manejo de DHTML.
La solución por ahora, aterrante pero real es deshabilitar TODA ejecución de scripts. Aunque eso nos haría volver a 1990, es la única solución 100% efectiva que hay por ahora.
Una recomendación mía, es usar NoScript. Este software (es una extensión para Firefox) permite establecer reglas de bloqueo a sitios, modificar a mano dichas reglas según sea necesario, dar permisos temporales, y un interminable etcétera. Yo personalmente uso este software para el 100% de mi navegación, y me da una tranquilidad eterna.
Para los que tengan ganas de probar, tanto el nivel de vulnerabilidad de su website como la efectividad de su navegador, pueden entrar al sitio del Israelí donde puso una demo de su script de Clickjacking.
Link (Inglés): http://shlomi.sitegoz.com/ClickJacking.html
Tutorial Online – Smurf Attack
Acabo de subir a Youtube un tutorial online sobre el famoso ataque de DoS llamado Smurf Attack.
Originalmente éste fue un pedido de mis alumnos del curso CEH en CentralTech, pero ya que estoy lo publico para que lo pueda aprovechar todo el mundo.
Prometo tener los CC en Español e Inglés pronto, apenas aprenda como funciona el sistema de subtítulos de Youtube.
Video:
Tags
Entradas recientes
- 1er año del blog – Más de 5000 visitas
- Ataque de phishing hecho en casa
- Sorteo de Entradas: 1er Jornada de Seguridad en la Comunicación y Soluciones Móviles
- In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires
- Revista Electrónica El Derecho Informático Nro 4
Archivos
- Agosto de 2010 (3)
- Junio de 2010 (4)
- Mayo de 2010 (3)
- Abril de 2010 (3)
- Marzo de 2010 (2)
- Febrero de 2010 (6)
- Enero de 2010 (16)
- Diciembre de 2009 (6)
- Noviembre de 2009 (2)
- Octubre de 2009 (7)
- Septiembre de 2009 (12)
- Agosto de 2009 (4)
- Julio de 2009 (4)
- Junio de 2009 (4)
- Mayo de 2009 (4)