Categoría: Seguridad

El peor error que he visto en Debian

Bueno la última semana ha estado tomando demasiada notoriedad el error en la libreria OpenSSH, que ha afectado a varios sistemas operativos, incluído Linux. La causa del problema es que hace un par de años se removió un par de líneas del código de la librería para evitar los contínuos ataques de buffer overflow a que era propenso OpenSSH, pero creo como efecto secundario, que el único número realmente aleatorio incluído en el algoritmo para generar las claves fuera el PID, que en Linux sólo toma un valor entre 1 y 32767 (aunque jamas es 1, porque ese suele ser el PID del proceso init que carga el kernel en si mismo).

Así que culaquiera podía adivinar por fuerza bruta la clave usada para encriptar la información porque sólo había que probar 32767 semillas, peor aún el proceso se hacía más rápido si se utilizaba diccionarios con los fingerprints de las claves, osea que cualquier sniffer podía capturar data para luego ser analizada y por simple fuerza bruta obtener la información encriptada en los paquetes.

Todo aquel software que usase las librerías OpenSSH estaba afectado, eso incluía obviamente el sshd (el daemon del SSH), que usamos a dirario para administrar remotamente nuestros servidores, pero también se han visto afectados los certificados SSL, que deben ser regenerados nuevamente luego de que el sistema ha sido parchado.

Aunque parchar el sistema es fácil, es tan secillo como hacer ésto como root:

# apt-get update
# apt-get dist-upgrade

El problema es que todos los certificados que hemos generado usando un Linux desde el 2006 y hasta el 13 de mayo de éste año, deben ser generados nuevamente, y ese es todo un lío, porque debemos de generar los certificados para todos aquellos servicios que confían en la encriptación como el https, ftps, imaps, pop3s, smtps, etc.

Y hacer eso me ha tenido ocupado toda la mañana de hoy. Aquellos que no esten seguros si su sistema esta dentro de los afectados, puede salir de dudas descargando y usando éste simple script de python:

http://demo21.ovh.com/82a960d7199ea9391c73c2034b6b34dfP/debian_ssh_scan_v4.tar.bz2

Espero que mientras el sistema no estuvo parchado no hayan sido hackeados con algun tipo de ataque man in the middle, sólo para estar seguros revisen si no hay nuevos usuarios creados en su sistema, o actividad sospechosa. Esperemos que ésto no se siga ramificando.

Publicado el por volkan68 0

Los hackers encuentran una nueva forma de ocultar los virus

En un artículo aparecido el día viernes pasado (9 de mayo), en la revista PCWorld, se da cuenta de una nueva clase de amenaza informática llamada SMM ( System Management Mode), cuyo programa de prueba de concepto sera presentado al público en general en el próximo congreso de hackers llamado Black Hat, ha realizarce en el mes de agosto en Las Vegas. Los desarrolladores de éste programa que trata de demostrar cómo es una posibilidad real no teórica son Shawn Embleton y Sherri Sparks, quienes tienen una compañía de seguridad informática en la Florida llamada "Clear Hat Consulting".

La forma como opera ésta nueva clase de malware (virus, troyano, rootkit, etc.) es usando las características de virtualización de los nuevos procesadores para esconder en porciones de memoria protegida y dejar al malware en una posición practicamente indetectable para los actuales sistemas antivirus, dado que ésta nueva forma de esconder malware esta relacionada al hardware, éste tipo de amenaza son posibles de infectar y esconderse exitosamente en todos los sistemas operativos que se basen sobre la arquitectura PC, es decir tanto Windows como Unix (Linux, OS X, FreeBSD, etc.). Aunque ésta técnica no es nueva ya que en el 2006 la investigadora Joanna Rutkowska, introdujo un rootkit llamado Blue Pill (estaba inspirada en Matrix), que hacía uso de las capacidades de virtualización de los procesadores AMD para ocultar dicho malware y hacerlo 100% indetectable a cualquier contra medida conocida. Lo novedoso del programa de Embleton y Sparks es que éste incluye un keylogging (registro de todas las téclas que se pulsan) y un programa de comunicaciones que transmite la información robada al diseñador del malware.

En realidad para que la técnica trabaje se debe de escribir drivers especiales en función al sistema operativo específico al que se desea atacar, porque básicamente consiste en poner al malware en una máquina virtual ad-hoc, que sólo ejecuta dicho código y por tanto esta completamente aislada del sistema operativo principal, es por ello que quedaría fuera del rango de inspección de los programas antivirus que existen actualmente.

Definitivamente éste nuevo tipo de amenza, podría poner en serios aprietos a muchos data centers, pues por décadas las herramientas de seguridad se han basado en que el superusuario del sistema operativo tiene acceso a todas las partes del mismo y por tanto con tales privilegios uno puede explorar todo el sistema por algun malware (virus, trojano, rootkit, etc). Pues ahora ese concepto ha cambiado para detectar éste nuevo tipo de amenazas debemos ir a nivel del hardware saltarnos el OS y buscar por máquinas virtuales no autorizadas que esten corriendo en nuestro sistema.

Espero que Intel y AMD tomen nota de éste asunto e implementen alguna medida de seguridad en hardware que impida éste tipo de ataques, si lo hacen, ellos mismos se verían beneficiados, pues todos los data centers que actualmente estan apostando furtemente a la virtualización, como una manera de reducir los costos operativos, pues tendrían que actualizar su hardware sí o sí, para evitar ser víctimas de éste nuevo tipo de amenazas.

Publicado el por volkan68 0

Los diez mandamientos de la seguridad informática para Microsoft

En un post aparecido en el blog CrimCheck, se dan a conocer los diez  mandamientos que vuelven a un sistema informático  más seguro según el Centro de Respuestas de Seguridad de Microsoft. El gigante de la informática dice que no importa que tanto se parche un sistema, si el usuario que esta interactuando con el mismo no sigue un conjunto de reglas mínimas, la seguridad implantada por el fabricante del software se vuelve inútil. En el fondo hay algo de verdad en ésto, y por eso lo he incluído aquí en mi blog. Sin más preámbulo aquí los diez mandamientos de la seguridad informática según Microsoft:

  1. Si un ciberdelincuente lo convence de que ejecute su programa en su PC, ésta deja de ser su PC.
  2. Si un ciberdelincuente puede cambiar la configuración de sus sistema operativo en su PC, ésta deja de ser su PC.
  3. Si un ciberdelincuente tiene acceso físico ilimitado a su PC, ésta deja de ser su PC.
  4. Si Ud. permite que un ciberdelincuente pueda subir programas a su website, éste deja de ser su website.
  5. Contraseñas débiles son una amenza para la seguridad.
  6. Una computadora es tan segura, como su administrador pueda serlo.
  7. Encriptar los datos es tan seguro, como pueda serlo la clave que se uso para encriptarlos.
  8. Un antivirus desactualizado, es marginalmente más seguro, que ninguna protección antivirus.
  9. Ser absolutamente anonimo no es práctico, ni en la vida real, ni en la web.
  10. La tecnología no es una panacea.

A excepción del mandamiento 8, todos los demás son aplicables tanto a Windows como a cualquier otro sistema operativo, incluyendo Linux, sobre el cuál se han tejido varias leyendas urbanas, sobre su invulnerabilidad frente a los ataques de los ciberdelincuentes.

Publicado el por volkan68 0

El 'Kraken' amenaza Internet

La criatura de ficción que destruía barcos en la serie de películas "Piratas del Caribe", ha servido de inspiración para que un grupo de delincuentes informáticos construyan la más grande de todas las botnets que se hayan detectado, esta nueva red de computadoras zombies se llama "Kraken", y tiene un tamaño de 400,000 PC’s.

Kraken tiene el doble de tamaño que la popular botnet "Storm", que en su tiempo se considero la botnet más grande del planeta. Al parecer las técnicas para infectar PC’s han evolucionado tanto, que Kraken ha logrado doblar el tamaño de Storm, y además debido a sus técnicas para ocultarse dentro de los archivos de la PC, resulta indetectable para el 80% de los programas antivirus, y ha consiguido infectar las redes de 50 compañías que forman parte del ranking Fortune 500. Este inquietante hallazgo lo he hecho en el portal de noticias de seguridad informática DarkReading.

Para que planean usar Kraken sus creadores, es aún un misterio, pero al parecer la red zombie aún está en su fase de despligue, lo cuál significa que ésta seguirá crenciendo en los próximos días, así que si alguno de éstos días tenemos problemas con algún portal importante de Internet, o recibimos grandes cantidades de spam, ya tendremos a quien culpar.

Publicado el por volkan68 0

Ubuntu clama victoria en concurso de hacking

En el concurso de hacking CanSecWest, sobre el que ya comentamos en un post anterior, la Apple MacBook Air cayo el día jueves pasado (27 de marzo), aprovechando una vulnerabilidad de su navegador Safari, sin embargo hasta ayer viernes seguian en carrera tanto el Ubuntu 7.10 como el Windows Vista Premium SP1. Hasta que se permitió buscar vulnerabilidades en software popular que se encuentra en muchas computadoras. El día de ayer viernes (28 de marzo) a las 7:30 PM hora del Pacífico (5:30 PM) hora de Lima, Shane Macaulay con la colaboración de Derek Callaway (ambos de Security Objective) y Alexander Sotirov, consiguieron el precio de $5000 y la laptop, por conseguir hackear exitosamente el Windows Vista aprovechando una vulnerabilidad aún no parchada en el popular programa de Adobe Flash.

Adobe ha sido notificado de la vulnerabilidad, y los ganadores del precio han firmado un contrato de no divulgación, hasta que el problema haya sido solucionado.

Así que luego de tres días de hacking intenso, Ubuntu 7.10 fue el único sistema operativo que quedo en pie, y nuevamente confirmó que Linux es de lejos mucho más seguro que sus más populares competidores (Windows y OS X). Ahora que si se trata de seguridad al 100%, nada como un FreeBSD bien tuneado, lo único malo es que no todo hardware está soportado por los BSD.

Publicado el por volkan68 0