Category Archive Vulnerabilidades

PorjLeonett

El tiempo no para: por qué hacer evaluación continua de vulnerabilidades

Cuando una nueva vulnerabilidad es reportada se inicia una carrera contra el tiempo entre las distintas partes involucradas e interesadas. Si vamos al ámbito del software, por un lado, los desarrolladores de la aplicación vulnerable deben trabajar para crear los parches de seguridad necesarios, que permitan corregir la o las fallas y emitir las actualizaciones correspondientes.

evaluacion-continua-de-vulnerabilidades-623x428

Por otro lado, los atacantes interesados pueden iniciar el desarrollo de exploits junto con los códigos maliciosos que permitan aprovecharse de las debilidades identificadas; los usuarios y encargados de la seguridad deben implementar las actualizaciones o, en su defecto, utilizar medidas de seguridad compensatorias que permitan contener la amenaza mientras se desarrolla y aplica una solución definitiva.

En este contexto, el tiempo se vuelve un factor clave para reducir la ventana de exposición a posibles ataques, así como lo hace una adecuada gestión de vulnerabilidades, principalmente dentro de las organizaciones que pueden convertirse en un objetivo de ciberatacantes que buscan obtener algún beneficio. Y así como el tiempo no para, tampoco debe parar la búsqueda de un estado ideal de la seguridad, por lo que la evaluación continua de vulnerabilidades se vuelve una práctica altamente recomendable.

Limitantes y retos para la evaluación de vulnerabilidades

Resulta sencillo decir que se lleven a cabo evaluaciones constantes para conocer el estado de la seguridad. Sin embargo, esta actividad puede resultar compleja debido a distintos factores. En primer lugar, los encargados de la seguridad deben estar continuamente actualizados ante un flujo constante de información, que incluye datos sobre actualizaciones de software, nuevos parches de seguridad, boletines sobre nuevas vulnerabilidades o alertas de seguridad.

Se requieren de herramientas y software para tales propósitos, junto con el personal que pueda operarlas con las habilidades, conocimientos y experiencia necesarios. También se deben considerar otros recursos como el tiempo y el presupuesto suficiente. Además, es necesario definir criterios y escalas que permitan priorizar las vulnerabilidades identificadas, ya que seguramente algunas tendrán más importancia que otras, debido al riesgo que pueden representar para las operaciones críticas de un negocio.

A pesar de ello, la evaluación continua de vulnerabilidades es una actividad que no puede faltar en los esquemas actuales de seguridad.

retos-evaluacion-vulnerabilidades

Implementación y consideraciones de la evaluación constante de vulnerabilidades

Una manera rápida de implementar la evaluación continua de vulnerabilidades es a través del uso de escáneres automatizados, sobre un conjunto de objetivos que hayan sido previamente catalogados como críticos, con base en su importancia para las empresas. De la misma manera, pruebas manuales también pueden ser ejecutadas.

De forma paralela, contar con los registros o logs de los sistemas revisados se vuelve muy útil por dos razones:

  1. Si se trata de pruebas consideradas como ofensivas, los sistemas deberían registrar esta actividad anómala
  2. La información permite correlacionar si la detección de un ataque puede estar relacionado con el resultado de un escaneo de vulnerabilidades previo, que permita validar si algún exploit pudo haber sido utilizado contra un objetivo vulnerable. Las soluciones de información de seguridad y gestión de eventos (SIEM por sus siglas en inglés) son útiles para esta tarea.

También es importante considerar que las herramientas utilizadas para realizar los escaneos se encuentren actualizadas y consideren las vulnerabilidades de seguridad más relevantes al momento de su ejecución, ya que el uso de una solución desactualizada puede no bridar la información más importante sobre el estado de la seguridad.

Para los fines de corrección se pueden aplicar las herramientas para la gestión de parches y de actualización de sistemas operativos o software en general. Cuando se trata de sistemas críticos, es importante que antes de la aplicación directa sobre los sistemas de producción, puedan realizarse verificaciones sobre los ambientes de prueba correspondientes, de forma que la aplicación de una actualización no ponga en riesgo las operaciones.

Como ya lo mencionábamos, cuando no se cuente con las actualizaciones necesarias y la situación lo amerite, es necesario poner en práctica medidas de seguridad alternativas que permitan contener las amenazas mientras se desarrolla una solución definitiva. En esta actividad la aversión o propensión a los riesgos permite tomar las decisiones adecuadas.

De la misma manera, cuando una solución resulta más costosa que el activo que se desea proteger, puede resultar no tan factible su aplicación.

El propósito: avanzar hacia condiciones de seguridad ideales

estado-ideal-seguridad

El periodo de evaluación sin duda alguna puede variar en función de las necesidades, características y recursos de cada organización, así como de los tipos y cantidad de sistemas críticos. Sin embargo, esto no cambia el hecho de que se deban realizar las pruebas correspondientes de manera constante, y mientras menor sea el periodo de revisión y remediación, menor será la ventana de exposición a atacantes y amenazas. Claro está, siempre atendiendo las vulnerabilidades de mayor criticidad con una prioridad más alta.

Esta actividad es considerada por distintos marcos de trabajo especializados en seguridad informática. Por ejemplo, los controles de seguridad críticos (CSC) para la ciberdefensa posicionan la gestión de vulnerabilidades (que incluye su evaluación y remediación), como uno de los primeros controles a aplicar.

El propósito es contar con un conjunto de medidas que resultan efectivas para detectar, prevenir, responder o mitigar ciberataques, lo que puede lograrse considerando distintos aspectos para la evaluación de vulnerabilidades como la contratación de este tipo de servicios o el desarrollo con un equipo propio, un periodo establecido para su ejecución, actividades posteriores a las revisiones de seguridad, así como la explotación de vulnerabilidades en sistemas y en las personas, ya que no solamente pueden ser tecnológicas si consideramos a la Ingeniería Social.

Además, aunque la evaluación continua de vulnerabilidades puede representar una tarea compleja o quizá tediosa, se trata de una de las principales prácticas recomendadas por distintos marcos de control de seguridad, ya que permiten mitigar un conjunto importante de ataques y amenazas comunes.

Finalmente, esta actividad se alinea de forma directa con la idea de que la seguridad de la información es un proceso permanente, por lo cual, aunque en la realidad no sea posible evitar todos los riesgos, el propósito es trabajar todos los días en busca de alcanzar el estado de la seguridad ideal.

Créditos imagen: ©Lauren Hammond/Flickr

Fuente:  welivesecurity.com/la-es/

PorjLeonett

De cantinero a millonario: Gracias a fallas en cajeros

Champaña, avión privado, yates: Dan Saunders vivió por varios meses como rico luego de descubrir una vulnerabilidad en el sistema de cajeros automáticos del Banco Nacional de Australia.

SIDNEY, 4 de noviembre.- Un cantinero en Australia experimentó lo que es vivir como millonario gracias a una falla en el sistema de cajeros automáticos de su banco.

Dan Saunders se dio una vida de ricos por cuatro meses y medio a partir de febrero de 2011, gastando en prostitutas de lujo, aviones privados, restaurantes exclusivos y en casinos.

El joven de 29 años descubrió una falla en el Banco Nacional de Australia (NAB) que le permitió tener acceso a dinero cuando quiso y en la cantidad que quiso, reveló la prensa australiana.

Con la tarjeta de NAB, podía hacer lo que quisiera hacer, ir a donde quisiera, hacer lo que quisiera mientras trajera mi tarjeta en mi cartera. Me sentía como rey”, declaró Saunders a Current Affairs. “Me sentía como estrella de rock, quizá me miraba gordo como un Kanye West blanco, pero te sentías como si fueras Kanye West”.

En una entrevista exclusiva con Current Affairs, el hombre dio a conocer como todo pasó de una noche de tragos con los amigos hasta una vida de lujos, con dinero que no era el suyo.

current3

Saunders se había mudado a Wangaratta en Victoria cuando una noche de febrero de 2011 decidió ir al cajero para sacar dinero para la parranda.

El hombre se dio cuenta que solo tenía 3 dólares en su cuenta por lo que transfirió 200 dólares australianos desde su tarjeta de crédito.

La pantalla mostró que la transacción se había cancelado, pero en realidad el dinero si se había pasado a su cuenta bancaria.

Con sus 200 dólares en la cartera, el joven regresó con sus amigos para seguir la fiesta.

Esa misma noche, el cantinero que ganaba 700 dólares a la semana en el pequeño pueblo de 17 mil habitantes, decidió ver si el truco funcionaba nuevamente.

Cuando intentó ver el saldo de su cuenta, el sistema le indicó que no estaba disponible, así que transfirió nuevamente 200 dólares desde su tarjeta de crédito. Cuando vio que funcionó, hizo una transferencia por un total de 2 mil dólares, el límite de su tarjeta.

current4

Debido a que los cajeros automáticos se desconectaban durante cierto tiempo del día, la gente podía transferir dinero pero no obtener un saldo de sus cuentas, así que el dinero era retirado pero no era registrado en el sistema, ni cargado a la tarjeta de crédito.

Siguiendo la misma mecánica, el hombre ya había transferido 20 mil dólares a su cuenta bancaria un par de semanas después.

Cuando el hombre comenzó a apostar dentro del pub donde trabajaba, a los dueños se les hizo raro que lo hiciera en cantidades grandes y pronto comenzó a apostar en sólo una noche más de lo que el negocio podría hacer en tres semanas. Las sospechas sobre posible dinero sucio llevaron a su despido.

Además, cuando su novia se enteró de que estaba gastando mucho dinero, ella decidió terminar la relación por mensaje de texto, afirma el joven.

REGRESO A MELBOURNE
Despedido y sin novia, decidió seguir con su vida, por lo que regresó a Melbourne donde obtuvo “asesoría” de amigos.
current2

Saunders siguió con las transferencias de dinero hasta que su vida cambió de un cantinero a un millonario.

Entonces se inventó identidades con las personas que conocía. A unos les dijo que era un jugador de póker, a otros que era un cirujano o un banquero.

Para mayo de ese año, Saunders ya se había hecho dueño de 1.6 millones de dólares australianos a través de las transferencias de cajeros.

current5

CARGO DE CONCIENCIA
Sin embargo el hombre comenzó a sentir culpa por tomar dinero que no era el suyo y decidió someterse a terapia con un psicólogo.

En junio de ese año finalmente decidió terminar con su modus operandi y llamó al banco. Para entonces el banco ya había comenzado una investigación, por lo que le dijeron que no hablarían con él.

El banco informó en un comunicado que cuando se dio cuenta de la vulnerabilidad, “parchó” el sistema y cerró las cuentas de Saunders.

Tres años después, Saunders descubrió que el banco no había presentado cargos en su contra.
No fue hasta la semana pasada, un día después de la entrevista con Current Affairs, cuando finalmente la policía emitió una orden de arresto. El hombre a la fecha sigue prófugo.

De ser enjuiciado y encontrado culpable, el hombre podría enfrentar una pena de 10 años de prisión.

Fuente: Hackerss.com

PorjLeonett

Vulnerabilidad en máquinas Vot.AR

Actualmente se encuentran publicadas dos versiones no oficiales del código y, a primera vista no son iguales: versión del usuario Yabr4n (publicado aquí) y la versión de prometheus-ar, sobre la que se realizó el análisis actual.

Nota: el código fuente debería haberse publicado oficialmente por la empresa MSA, antes de que ocurra todo esto. La transparencia del proceso es la clave en cualquier situación de este tipo. La seguridad por oscuridad no es seguridad.

Si bien las vulnerabilidades no se pueden confirmar sin tener acceso a la máquina física y a la versión oficial del código, a través de su cuenta de Twitter, el investigador Alfredo Ortega, publicó una (puede haber más) vulnerabilidad de inyección de código que permitirían ejecutar comandos del sistema operativo (Linux) y potencialmente tomar control de la máquina y del sistema que se ejecuta sobre el mismo.

En esta imagen, la función “crear_qr()” en Python toma una variable de entradas “datos” sin validar ni sanitizar y la utiliza para armar un “comando” a ejecutar sobre el sistema operativo. Esto podría da lugar a una inyección de comandos ya que si el dato que ingresa es, por ejemplo:

autoridad.apellido: test;/bin/bash -i >& ls >&1'
autoridad.nombre = test
autoridad.nro_documento = 11111111

En este caso se ejecutaría el comando “ls” en el sistema. Por supuesto esto podría dar lugar a cualquier tipo de ejecución de comandos o shell reversa, como explica Alfredo en su documento.

Si bien algunos caracteres y comandos son filtrados previamente, el código es ciertamente vulnerable, y solamente se necesita un poco de imaginación y/o una vulnerabilidad adicional para poder ser explotada (por ejemplo un XSS).

Adicionalmente, Alfredo nos informa que ha hallado otra vulnerabilidad grave aquí. En este caso se informa en un comentario que “Si el tag no es ICODE se descarta el evento.” pero el código jamás chequea que sea un tag ICODE, lo que a priori permitiría modificar el voto en la urna, una vez emitido.

Es importante destacar que estas vulnerabilidades no se pueden confirmar hasta tener el código fuente oficial y acceso a las máquinas físicas. De todos modos se puede descargar una ISO para probar la máquina de voto.
Lamentablemente no disponer del código, obliga a hacer análisis extra-oficiales sobre otras versiones, lo cual podría derivar en errores y falsos positivos innecesarios. También es extraño que la auditoria oficial de la UBA no haya encontrado este tipo de errores, que podrían no ser explotables, pero existen y están claramente evidenciados.

Una vez más observamos como la falta de conocimiento técnico, la ambición política y económica hace mella en la confianza del ciudadano, haciendo que un sistema que debería ser altamente confiable y transparente se ensucie y se termine desvirtuando totalmente su uso.

Actualización: al parecer el mensaje que siempre ha dado la empresa MSA de que “las máquinas son impresoras sin ninguna funcionalidad adicional”, no sería tan cierto, según se puede ver en la imagen.

Actualización: excelente post de Juan Pedro Fisanotti (empleado de MSA) explicando el funcionamiento completo del sistema y despejando algunas dudas al respecto.

Cristian de la Redacción de Segu-Info

PorjLeonett

¿Qué información ocultan los documentos que imprimes?

Cuando hablamos de ataques y espionaje de dispositivos conectados a la red, nuestras miradas suelen dirigirse hacia nuestros ordenadores, tabletas o smartphones. No obstante, existe una gran multitud de dispositivos que no se suelen tener en cuenta y, sin embargo, ofrecen muchas posibilidades para que un atacante acceda a datos confidenciales o espíe averiguando de dónde han salido ciertos documentos. En este post, analizaremos dos escenarios donde se podrían facilitar ataques a través de unaimpresora.

Rastreando una impresora a partir de una hoja

Uno de los aspectos que más puede sorprender a los usuarios es saber que una gran cantidad de fabricantes configuran sus impresoras para que, junto a la información que imprimimos se adjunte información oculta que permita conocer cuándo se imprimió esa información y el número de serie del dispositivo que lo hizo.

Esta “trazabilidad” (comparable a los metadatos usados en las fotografías realizadas desde un smartphone) parece estar presente en la mayoría de fabricantes de impresoras, según denuncia la Electronic Frontier Foundation. Según indica la fuente, la inclusión de mecanismos de trazabilidad de documentos podría estar motivada por algunos gobiernos que quieren asegurarse de conocer el origen de ciertos documentos.

Lo que está claro es que este seguimiento está presente quizás desde hace más tiempo del que nos pensamos ya que, analizando hojas impresas de, por ejemplo, una impresora láser de Xerox, se puede observar lo siguiente:

codigo_oculto_impresora
Como se observa en las imágenes, se pueden observar una serie de puntos en la impresión, ya sea haciendo zoom sobre una hoja o bajo un tipo especial de luz. Estos puntos conformarían una rejilla con información sobre la fecha de impresión y el número de serie de la impresora utilizada. Al igual que con otro tipo de metadatos, estos podrían facilitar la posterior concreción de otro tipo de ataques que hagan uso de esa información.

Espiando documentos almacenados en impresoras

Otro tipo de vulnerabilidades para estos dispositivos está asociada a la falta de protección de los paneles de administración. Podría parecer que este sistema de seguimiento supone una herramienta eficaz para las agencias de espionaje pero, a día de hoy no dejan de ser algo anecdótico. En realidad, los documentos importantes se guardan en la memoria de las impresoras y otros dispositivos, y estos son el objetivo de atacantes y todo aquel que quiera robar información confidencial de una empresa, organización o gobierno.

A día de hoy, las impresoras multifunción son de lo más común tanto en entornos corporativos como domésticos. Permiten imprimir, copiar y escanear documentos a una gran velocidad y esto es posible gracias los avances hechos en los últimos años -entre ellos, dotar a las impresoras de un procesador central avanzado, memoria de almacenamiento y conexión a redes internas e Internet.

Todas estas características están pensadas para facilitar el trabajo a los usuarios pero, si no se encuentran debidamente protegidas, también suponen un vector de ataque de cualquiera que quiera conocer información confidencial de una empresa. Existen miles de ejemplos que pueden encontrarse fácilmente si buscamos un poco por Internet, como la siguiente imagen:

impresora_hp

Estamos ante el panel de control de una impresora HP Laserjet que nos permite saber datos interesantes sobre la red a la que está conectada, su número de serie e incluso la versión del firmware que tiene instalada. Esta información puede ser muy valiosa para un delincuente que esté pensando en realizar un ataque dirigido a una empresa y está disponible públicamente en Internet, accesible desde un buscador. Además, no es la única que puede encontrarse.

Como ya hemos dicho, la mayoría de impresoras usadas hoy en día disponen de una memoria interna en la que almacenar, por ejemplo, una copia de los documentos escaneados. Esto está muy bien si se quiere recuperar y volver a imprimir un documento y no se cuenta con el original, pero también se está dejando potencialmente expuesta una gran cantidad de información valiosa a la que podrían acceder atacantes.

Conclusión

De la misma forma que se protegen dispositivos como portátiles, tablets o smartphonespara evitar que información confidencial termine en manos inadecuadas, las impresoras y otros muchos dispositivos como los routers deben estar debidamente asegurados. Evitar que se pueda acceder a ellos desde fuera de la red corporativa o establecercontraseñas robustas si se decide utilizar esta función es esencial para proteger la información más valiosa.

Autor Josep Albors, ESET

Fuente> welivesecurity.com/la-es/