Muy rápidamente, comentaros que el pasado 19 de junio, F-Secure liberó la versión 3.00 de su producto Rescue CD.

Este live CD permite escanear equipos informáticos en busca de malware, aprovechando para ello las tecnologías propietarias de F-Secure. Todo elemento de malware que se cruce por el camino y sea reconocido por la herramienta, será convertido (renombrado) a un fichero con extensión .virus, que podemos localizar y eliminar fácilmente después. La herramienta se presenta en forma de live cd Linux, lo que permite su ejecución en el equipo sin necesidad de instalar nada.

F-Secure Rescue CD permite escanear tanto unidades de disco fijo como medios extraíbles, como por ejemplo, discos externos, USBs y similares, bien sean FAT, bien sean NTFS. Los archivos de firmas se actualizan automáticamente si el equipo está conectado a Internet, siendo posible la incorporación de firmas fuera de línea igualmente.

Se puede descargar F-Secure Rescue CD 3.00 en http://www.f-secure.com/linux-weblog/files/f-secure-rescue-cd-release-3.00.zip . Tiene un tamaño de 153 MB.

Un saludo,

Los reclamos emocionales tienen siempre un rendimiento excelente para su uso en acciones de fraude. La gente, cuando tiene delante una noticia con un marcado carácter emocional, baja la guardia, momento en el que se puede sufrir algún ataque no deseado. Si además del factor emocional los atacantes emplean fotocomposiciones para engañar, aparentando que la noticia es de un medio con una imagen de marca conocida y reconocida, como el diario El País, tenemos el caldo de cultivo perfecto para una diseminación masiva de malware.

A Fernando Alonso no le pasa nada, y a los que se descarguen el presunto vídeo, tendrán un precioso ejemplar de troyano bancario (Trj/Banker.LGC) corriendo en sus máquinas. Este troyano está dando cera a, curiosamente, y según se puede leer en el blog de Panda, a un banco que antaño patrocinó a Alonso, y permite obtener de manera ilegítima las credenciales bancarias de los usuarios afectados.

Gracias por el aviso, Jenny. Más información en The Register, y en Panda, descubridores de este ejemplar de troyano.

Tags: Banker, Trojans, Panda,

Este artículo puede ser una excusa perfecta para enlazar un blog que llevo siguiendo algún tiempo, y que tiene como tema estrella un asunto que está bastante de moda en los últimos tiempos: el Cloud Computing.

La idea del Cloud Computing, y me váis a perdonar que no traduzca el término (no encuentro la manera adecuada de hacerlo) es generar una serie de servicios de computación distribuída, disponibles en una nube, y accesibles preferiblemente por Internet. Los usuarios acceden a los servicios de la nube, con lo que el cambio de paradigma es que todo tienda al online, es decir, que las aplicaciones no estén en los ordenadores y terminales, sino en la propia nube: los terminales son sólo thin clients para conectar con los servicios distribuídos.

Un buen ejemplo de estas técnicas podrían ser los servicios Web de Amazon, aunque hay otros ejemplos igualmente interesantes más allá del Amazon Elastic Compute Cloud, como pueden ser los servicios on demand de Flexiscale, Network.com, el motor de Google App, Zoho o 3tera.

El blog que quiero enlazar se llama CloudSecurity.org, y el artículo que traigo a portada es Assessing the Security Benefits of Cloud Computing. En este artículo, se presentan algunas mejoras que este tipo de paradigma ofrece en lo relativo a la seguridad de la información. Algunos de los beneficios que se apuntan en el artículo son claros e inmediatos, como por ejemplo la reducción de la dispersión de datos, como vía para reforzar la seguridad, concentrando los controles allí donde la información crítica esté almacenada. La concentración permite mejorar la monitorización igualmente, por motivos obvios.

También se cita la mejor respuesta ante incidentes, ya que la nube permite integrar servicios de respuesta dentro de la propia nube y en permanente contacto con las aplicaciones que se sirven desde la misma. Demoras, cero. Tiempo real puro y duro.

Otras mejoras que se citan son las relacionadas con robustez de claves, ya que la computación distribuída puede mejorar los tiempos de cálculo para estas técnicas, o las mejoras en la gestión de almacenamiento y de logs. También hay sitio para reseñar y destacar las mejoras en el rendimiento del software de seguridad, la construcción segura de aplicativos y las mejoras en las pruebas de seguridad.

Un saludo,

Tags: Cloud+Computing

La gente de WebSense ha publicado un análisis sobre un troyano Banker, un tipo de malware orientado al robo de credenciales para servicios en linea bancarios y de comercio electrónico.

El análisis es muy completo, e incluye ejemplos sobre cómo opera un troyano concreto, vivo en la actualidad y que está atacando a numerosas entidades brasileñas.

El artículo recoge los procedimientos de infección, el payload de descarga, el componente de diseminación (curiosamente, un outlooks.exe) y finalmente, los métodos que emplea para el robo de credenciales (una buena ocasión para ver inyección de HTML ilegítimo sobre formularios legítimos)

Se agradecen este tipo de análisis, ya que no suelen ser muy frecuentes, y permiten comprender la complejidad que tienen muchos troyanos destinados al robo de credenciales, en términos de los mecanismos que emplean para pasar lo más desapercibidos posible y para dificultar al máximo la ingeniería inversa sobre las piezas que caen en las manos de los investigadores.

Un saludo,

Os dejo un copypaste de un artículo publicado en Security Hacks. Son 15 herramientas orientadas al estudio de vulnerabilidades que permitan la inyección de código SQL.

SQLIer - SQLIer takes a vulnerable URL and attempts to determine all the necessary information to exploit the SQL Injection vulnerability by itself, requiring no user interaction at all. Get SQLIer.

SQLbftools - SQLbftools is a collection of tools to retrieve MySQL information available using a blind SQL Injection attack. Get SQLbftools.

SQL Injection Brute-forcer - SQLibf is a tool for automatizing the work of detecting and exploiting SQL Injection vulnerabilities. SQLibf can work in Visible and Blind SQL Injection. It works by doing simple logic SQL operations to determine the exposure level of the vulnerable application. Get SQLLibf.

SQLBrute - SQLBrute is a tool for brute forcing data out of databases using blind SQL injection vulnerabilities. It supports time based and error based exploit types on Microsoft SQL Server, and error based exploit on Oracle. It is written in Python, uses multi-threading, and doesn’t require non-standard libraries. Get SQLBrute.

BobCat - BobCat is a tool to aid an auditor in taking full advantage of SQL injection vulnerabilities. It is based on AppSecInc research. It can list the linked severs, database schema, and allow the retrieval of data from any table that the current application user has access to. Get BobCat.

SQLMap - SQLMap is an automatic blind SQL injection tool, developed in python, capable to perform an active database management system fingerprint, enumerate entire remote databases and much more. The aim of SQLMap is to implement a fully functional database management system tool which takes advantages of web application programming security flaws which lead to SQL injection vulnerabilities. Get SQLMap.

Absinthe - Absinthe is a GUI-based tool that automates the process of downloading the schema and contents of a database that is vulnerable to Blind SQL Injection. Get Absinthe.

SQL Injection Pen-testing Tool - The SQL Injection Tool is a GUI-based utility designed to examine database through vulnerabilities in web-applications. Get SQL Injection Pen-testing tool.

SQID - SQL Injection digger (SQLID) is a command line program that looks for SQL injections and common errors in websites. It can perform the follwing operations: look for SQL injection in a web pages and test submit forms for possible SQL injection vulnerabilities. Get SQID.

Blind SQL Injection Perl Tool - bsqlbf is a Perl script that lets auditors retrieve information from web sites that are vulnerable to SQL Injection. Get Blind SQL Injection Perl Tool.

SQL Power Injection Injector - SQL Power Injection helps the penetration tester to inject SQL commands on a web page. It’s main strength is its capacity to automate tedious blind SQL injection with several threads. Get SQL Power Injection.

FJ-Injector Framwork - FG-Injector is a free open source framework designed to help find SQL injection vulnerabilities in web applications. It includes a proxy feature for intercepting and modifying HTTP requests, and an interface for automating SQL injection exploitation. Get FJ-Injector Framework.

SQLNinja - SQLNinja is a tool to exploit SQL Injection vulnerabilities on a web application that uses Microsoft SQL Server as its back-end database. Get SQLNinja.

Automagic SQL Injector - The Automagic SQL Injector is an automated SQL injection tool designed to help save time on penetration testing. It is only designed to work with vanilla Microsoft SQL injection holes where errors are returned. Get Automagic SQL Injector.

NGSS SQL Injector - NGSS SQL Injector exploit vulnerabilities in SQL injection on disparate database servers to gain access to stored data. It currently supports the following databases: Access, DB2, Informix, MSSQL, MySQL, Oracle, Sysbase. Get NGSS SQL Injector.

Espero os sean de utilidad

Un saludo,

Acabo de ver en Kriptópolis que el Servicio Secreto de EEUU ha publicado una guía con las mejores prácticas para la adquisición de evidencias digitales en equipos informáticos.

La guía se titula Best Practices for Seizing Electronic Evidence, y además de equipos informáticos, incluye referencias a otros equipos electrónicos, como teléfonos móviles, facsímiles y tarjetas inteligentes. Creo que es un documento interesante no sólo por su contenido, sino porque es muy conciso, lo que lo hace muy fácil de leer y comprender.

Comentaros por otro lado que, desde el 6 de julio (mañana) hasta el 31 de julio, estaré desplazado por motivos laborales en Colombia. Ese mismo día inicio mis vacaciones, y me quedaré por la zona, así que ... es de prever que la cadencia de posts decaiga. Mis disculpas por adelantado

Un saludo,

Hace unos días estuve leyendo a un interesante artículo en Pc World, en el que se plantean cifras que tienen que ver con uno de los axiomas de la seguridad más extendidos, aquel que postula que la mayoría de los ataques de seguridad a infraestructuras de TI los provocan atacantes internos.

El artículo ofrece una visión global de los incidentes, en los que no sólo se habla de porcentajes de ataques externos vs internos, sino que también recoge una ponderación en función al impacto. Los datos proceden de un estudio de Verizon, llamado Verizon's 2008 Data Breach Investigations Report (descarga directa), en el que se han estudiado 500 incidentes de seguridad relacionados con el compromiso masivo de datos, y sus correspondientes análisis forenses, durante un período de cuatro años. Las cifras se pueden resumir en las siguientes:

* Los atacantes externos protagonizaron el mayor número de incidentes (73%), pero con los menores impactos: 30.000 registros comprometidos.
* Los atacantes internos protagonizaron sólo el 18%, pero por el contrario, provocaron el mayor impacto: 375.000 registros comprometidos
* Importante dato a tener en cuenta: En el 39% de los eventos, los partners y otros terceros estuvieron involucrados, siendo el volumen de registros comprometidos en estos casos de 187.500.

Causas de los ataques

* El 62% de los incidentes son atribuíbles a errores de gestión en la seguridad significativos
* El 59% de los incidentes tuvieron éxito como consecuencia de actividades de hacking
* El 31% de los incidentes incorporaron código malicioso
* El 22% de los incidentes guardaron relación con explotación de vulnerabilidades
* El 15% de los incidentes tuvieron como motor una amenaza a la seguridad física

Otros datos significativos

* 3 de cada 4 incidentes no fueron descubiertos por las víctimas
* La mayoría de los ataques no eran sofisticados
* El 85% de los objetivos son oportunísticos, y no dirigidos
* El 87% de los incidentes podría haber sido prevenido mediante aplicación de medidas de seguridad

Mis conclusiones

1. La mayoría de los incidentes son evitables. La prevención, dirigida adecuadamente por una gestión de seguridad eficiente, es un factor fundamental que las organizaciones deben tener en cuenta inexcusablemente.

2. Para mí, los problemas más serios suelen proceder de ataques internos. Esto no quiere decir que los ataques externos no sean importantes, pero los mayores impactos suelen ser los que provocan, como no podía ser de otro modo, aquellos atacantes que juegan con ventaja, por conocer y estar dentro. Adicionalmente, hay ataques que sólo son explotables desde el interior, bien por condicionantes de seguridad física, bien por la segmentación y las comunicaciones de las redes.

3. La monitorización es fundamental, y sin una buena monitorización, se logran cifras tan dramáticas como las del informe: el 75% de los incidentes no fueron descubiertos por las víctimas.

4. Cada cual es libre de invertir donde quiera, y habrá infraestructuras donde los puntos críticos estén en el perímetro, y empresas donde los puntos críticos están fuera del alcance de atacantes externos. No obstante, a la vista de las cifras, quizás va siendo hora de ir cambiando progresivamente el chip, y reconocer que las fuentes habituales de riesgo de más alto impacto suelen estar en el interior de las organizaciones, así como en los terceros que les prestan servicios. ¿Seguimos dedicando dinero sólo a los test de penetración y análisis perimetrales?

5. Los nuevos enfoques de seguridad requieren, por parte de quienes los ejecutan, un conocimiento máximo del modelo de negocio (para no recomendar acciones de mejora que no aporten valor, o que excedan los ROI) y un conocimiento muy especializado de los sistemas empresariales que se van a auditar. Si las principales y más dramáticas fuentes de riesgo están dentro, o en los terceros, hay que conocer bien cómo trabaja la empresa, y tener muy claro cómo se apoya el modelo de negocio en los sistemas. Mirar un servidor Web o un firewall de modo aislado no sirve de nada. La auditoría moderna tiene que evitar estudiar elementos aislados, y tiene que cubrir todos los puntos de un modo paralelo al modelo de explotación empresarial: si estamos auditando los procesos de contratación de una compañía de seguros, hay que auditar el proceso de contratación completo. Si miramos sólo el servidor de la clientela, o los firewall que dan servicio a la conectividad de los agentes de la compañía, estamos haciendo un trabajo incompleto y del que es imposible extraer conclusiones sobre riesgos e impactos reales. Pasar por alto estas consideraciones provoca cifras como las del informe: Las víctimas desconocían la presencia en los sistemas del 66% del total del volumen de datos comprometidos en los incidentes estudiados.

6. Lo expuesto en el punto 5 lleva inexorablemente a pensar en la necesidad de especialización de los profesionales de seguridad. Si queremos que un análisis esté alineado a un proceso o procesos de explotación empresarial, aquellos que vayan a analizar los sistemas tienen que conocer a fondo el funcionamiento de la empresa. De lo contrario, es imposible que identifiquen los puntos críticos adecuadamente, sencillamente porque el modelo de análisis de elementos aislados, que puede ser ejecutado por profesionales sin especialización en los procesos empresariales (el servidor Apache, per se, de una fábrica de coches es igual que el de una planta nuclear), es obsoleto, incompleto y debe ser considerado únicamente como complemento a los análisis de procesos completos. En nuestro ejemplo, si hemos revisado completamente el proceso de compras de la empresa aseguradora, y queremos después analizar un directorio activo de modo aislado, porque pueda representar riesgos colaterales, adelante, pero si nos dedicamos a mirar elementos aislados, a duras penas denunciaremos todos los riesgos adecuadamente, porque los riesgos más problemáticos suelen ser siempre los resultantes de la combinación de riesgos aislados, que se integran y pueden explotar siguiendo una cadena alineada con el proceso empresarial en estudio.

Un saludo, y buen fin de semana

Tags: Data+Breach+Incidents, Incidentes+Compromiso+Datos

Me comunican los amigos de Panda Security, en una nota enviada por Luis Alberto Contreras, que los usuarios que tengan interés en participar en el programa de betatesting de Panda Internet Security 2009 pueden hacerlo ya, descargando una versión de evaluación.

Me comentan también (me parece una iniciativa curiosa) que se está premiando con una consola a todos aquellos probadores que informen de incidencias, según los términos que aparecen en la página de la compañía. Se han habilitado otros incentivos, como descuentos y sorteos, así que los que estén interesados en el producto y en la campaña de incentivación, que echen un ojo a las condiciones.

Panda Internet Security es una suite de seguridad que incluye algunos productos de la firma, como antivirus, antispyware, antiphishing, firewall, antispam y una larga lista de servicios de protección del usuario. Podéis descargar la beta y leer las condiciones de la promoción en http://www.pandasecurity.com/spain/promotions/betatest/

Independientemente de los aspectos comerciales de la incentivación a la aportación de los betatesters, no cabe duda de que los programas beta son una manera accesible y cómoda de disponer de manera gratuíta de un producto de seguridad, para poder evaluar en mejores condiciones de conocimiento su posterior adquisición. Y todo sea dicho, implica disponer gratuítamente de un producto durante el tiempo que el fabricante haya estipulado como de validez del programa de pruebas.

PD: A modo de disclaimer, comentar que no guardo ninguna relación comercial, laboral o contractual con Panda Security

Un saludo,

Lynis es un script de auditoría para sistemas Unix, que puede ayudar a los auditores a hacer un repaso rápido del estado de la seguridad de un sistema. Tiene como principal ventaja, al menos a mi juicio, que puede ser ejecutado sin tener que instalarse, lo que hace que no tengamos que andar repitiendo instalaciones para analizar distintas máquinas.

Le acabo de pasar el script a una máquina FreeBSD 7 casi casi que recién instalada, con los siguientes resultados:

-[ Lynis 1.1.7 Results ]-

Tests performed: 54
Warnings:
----------------------------
- [21:59:56] Warning: Multiple users with UID 0 found in passwd file [test:AUTH-9204] [impact:H]
- [21:59:56] Warning: Multiple accounts found with same UID [test:AUTH-9208] [impact:H]
- [21:59:56] Warning: Possible harmful shell found (for passwordless account!) [test:AUTH-9218] [impact:H]
- [22:00:01] Warning: Found unprotected console in /etc/ttys [test:SHLL-7225] [impact:M]
- [22:00:06] Warning: Couldn't find 2 responsive nameservers [test:NETW-2705] [impact:L]
- [22:00:26] Warning: No NTP daemon or client found [test:TIME-3104] [impact:M]

En cuanto a los UID, la información es correcta. Consecuencia de lo anterior, es evidente que hay UID repetidos.

root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:

La queja de esa potencialmente dañina shell viene por el pseudo usuario UUCP de sendmail (nada relevante en esta máquina, aunque se catalogue como de alto impacto). Tampoco, en este entorno, tiene importancia la catalogación de no protegida de una de las consolas de /etc/ttys (imagino que es debido a que las consolas marcadas como secure permiten login del root)

Sobre la no existencia de un servidor de tiempo (NTP) o que la máquina no responda a 2 nameservers, son cuestiones menos importantes, al menos en mi servidor. En una máquina en producción real, la sincronía horaria es fundamental, y ya dependerá de las necesidades que haya o no DNS en funcionamiento y/o alcanzables. En caso de ser necesario, el segundo servidor de nombres será contingencia del primero, de ahí que se verifique si se responde al menos a dos DNS distintos.

Lynis ha sido probado con éxito en CentOS 5, Debian 4.0, Fedora Core 4, FreeBSD 6.x, 7.0, Mac OS X 10.x (Tiger, Leopard), Mandriva 2007, OpenBSD 4.x, OpenSolaris, OpenSuSE, PcBSD, Red Hat, RHEL 5.x, Slackware 12.1 y Ubuntu 7.04, 7.10, 8.04, y como el propio autor indica, no es una herramienta de militarización de sistemas. Es, simple y llanamente, un script de apoyo. No debe ser considerado nunca como una solución completa y definitiva para el análisis de sistemas Unix.

Un saludo,

Vía: Xavi

Tags: Lynis, Unix+Audit, Auditoria+Unix

Aunque existen otros métodos igualmente eficientes, como Partimage, rsync o dump & restore, por poner algunos ejemplos, he estado probando un método que permite la clonación de discos Unix y el almacenamiento remoto de las imágenes, que me ha parecido interesante compartir con vosotros.

g4u (ghosting for unix) es una distrubución basada en NetBSD que permite la ejecución de copias de discos Unix completos, así como particiones, cona la ventaja de automatizar su traslado a servidores FTP.

Para ello sólo hace falta el live CD, y tener un servidor FTP a la escucha. En mi caso, aunque tengo un servidor ProFTPD en la máquina a respaldar, he montado un Filezilla Server en un terminal Windows, ya que es rápido y cómodo, y sirve perfectamente para recibir y servir las copias realizadas. Es requisito abrir la cuenta de usuario "install" en el FTP, y definir, como es lógico, espacio para la cuenta.

Una vez landado el live CD, la ejecución del clonado es tan simple como:

uploaddisk servidor.ftp nombrefichero.gz disco_a_restaurar

Para restaurar una copia

slurpdisk servidor.ftp nombrefichero.gz disco_a_restaurar

Estas operativas se pueden hacer no sólo para discos completos, sino también para particiones. También se permiten los volcados locales, en los que no es necesario un servidor FTP.

El servidor FTP, una vez lanzado el comando uploaddisk, trabajará almacenando nuestro fichero:

Una vez finalizada la copia, basta con ponerla a buen recaudo (un CD/DVD, por ejemplo) por si fuera necesaria la restauración futura.

g4u se puede descargar en http://www.feyrer.de/g4u/#reqs. g4u es también parte de Ultimate Boot CD.

Un saludo,

Tags: g4u, freebsd, netbsd, backup