Nuevo Informe sobre vulnerabilidades: "Las organizaciones siguen haciendo la vida más fácil a los atacantes"

viernes, 29 de enero de 2016




Ya puedes descargarte el nuevo estudio "Informe de Tendencias: Vulnerabilidades 2014-2015" elaborado por nuestro equipo de analistas. En este documento se analizan los datos de más de 100 compañías representativas de los principales sectores de actividad y regiones geográficas correspondientes al período 2014-2015.

El informe revela donde deben poner foco las organizaciones para mejorar su nivel de seguridad. El 85,25% de los resultados obtenidos, es debido a 5 tipos de vulnerabilidades que os presentamos a continuación:

Errores de Gestión de Información y Fugas en Metadatos
Estos errores aparecen cuando existe una mala gestión de la información de una organización que es accesible públicamente. Nuestras conclusiones al analizar estos datos son:

  • Falta de concienciación sobre sus riesgos y problemática. Los atacantes planean sus ataques mediante una fase de reconocimiento inicial del objetivo de donde obtienen información para preparar sus acciones posteriores.
  • El factor humano sigue siendo utilizado por los atacantes como punto de entrada realizando campañas de phishing dirigidas derivadas de las fugas de información en metadatos.

Errores de configuración
Un 78,56% de las vulnerabilidades detectadas indican que la inmensa mayoría de fallos se encuentran en la propia configuración de los sistemas y las aplicaciones. El origen de la mayoría de las vulnerabilidades analizadas no se debe a vulnerabilidades existentes por fallos en el diseño del código realizado por desarrolladores, sino a malas prácticas por parte de los administradores de los sistemas y aplicaciones en la fase de configuración.

Inyecciones de código, XSS y Problemas Criptográficos
Las vulnerabilidades debidas a la Validación Inadecuada de Datos de Entrada (inyecciones de código, XSS, entre otros) y los Problemas Criptográficos son de sobra conocidas en el mundo de la seguridad y han recibido una amplia difusión en los medios. Sin embargo, este hecho no se ha traducido en una reducción de las mismas.

El análisis realizado de los resultados obtenidos refleja una vez más que este tipo de errores siguen suponiendo un grave problema de seguridad para las organizaciones.

También te puede interesar:

New vulnerabilitites Trend Report: “Companies keep making life easier to attackers”




You can now download the “New 2014-2015 Vulnerability Trend Report” by ElevenPaths' Analyst Team. This vulnerability trend report analyses the data of over 100 companies, thus representing the main activity sectors and geographical regions for the period 2014-2015.

The report shows the critical points which the companies must focus on in order to improve their security level. The 85% of the results obtained correspond to 5 specific vulnerabilities, shown below:

Information Management Errors and Leakages on Metadata
These errors appear when organizations perform an inadequate information management turning their private data public. Below it is shown our conclusions after the analysis of this data:

  • Lack of awareness regarding the risks and issues in this sense. The cybercriminals plan their attacks based on an initial phase which identifies the target where the information can be obtained in order to arrange the subsequent actions.
  • The human factor is still being used by the attackers as an entry point, thereby performing targeted-phishing campaigns, resulting from information leakages on metadata.

Configuration error
The 78,56% of the vulnerabilities detected show that the majority of the failures are found on the system and application configuration itself. The origin of most vulnerabilities analyzed does not come from existent vulnerabilities resulting from code failures by the developers, but the performance of bad practices carried out by the system and application administrators during the configuration phase.

Code injections, XSS and Cryptographic Issues
The vulnerabilities caused by the Improper input validation (code injections, XSS among others) and Cryptographic issues are well known in the security world and have been widely broadcasted by the mass media.

The analysis performed on the results obtained demonstrate yet again that these type of errors still remain a high risk security problem for organizations.

You may also be interested on:

New Whitepaper "Scope, scale and risk like never before: Securing the Internet of Things" by Telefónica and ElevenPaths Analyst Team

jueves, 28 de enero de 2016




This week we are launching both in London and Madrid, in a round table with security analysts and journalists, our new Whitepaper "Scope, scale and risk like never before: Securing the Internet of Things" carried out by Telefónica and ElevenPaths' Analyst team. This whitepaper has been written by professionals in the security field with the expertise level of Chema Alonso (ElevenPaths CEO), Antonio Guzmán (ElevenPaths Scientific Director), Andrey Nikishin (Kaspersky Lab), John Moor (IoT Security Foundation), Jaime Sanz (Intel Iberia), Luis Muñoz (University of Cantabria), Belisario Contreras (CICTE) y Bertrand Ramé (SIGFOX).

» It's available at ElevenPaths web.

We live in a hyperconnected world, where millions of devices join the IoT, our challenge is to provide innovative security solutions that easily respond to current circumstances and priorities. This context of insecurity has encouraged Telefónica and the ElevenPaths' Analyst Team to do an investigation on those subjects and in more depth about the scope, scale & risk of the Internet of Things.

Some details about the report:
  • IoT devices in corporate environments such as printers, camera, VoIP phones or network systems are the new jigsaw for the IT departments, and obviously provide cybercriminals a new way to access corporations’ networks.
  • It is mandatory to establish new measures to secure the network and the IT infrastructure, and in the long term, standardize these protection measures delivering an end to end security.
  • When these days everybody is talking about insecurity in the IoT, from ElevenPaths we propose answers and challenges to achieve a secure deployment of your IoT solutions.

» Download Press Release

More information at
www.elevenpaths.com


Nuevo Whitepaper "Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas" elaborado conjuntamente por Telefónica y el equipo de analistas de ElevenPaths




Esta semana presentamos en Londres y Madrid, a los medios y analistas del sector, nuestro nuevo Whitepaper "Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas" elaborado conjuntamente por Telefónica y nuestro experto equipo de analistas. Participan en el Whitepaper profesionales del sector de la talla de Chema Alonso (ElevenPaths CEO), Antonio Guzmán (ElevenPaths Scientific Director), Andrey Nikishin (Kaspersky Lab), John Moor (IoT Security Foundation), Jaime Sanz (Intel Iberia), Luis Muñoz (University of Cantabria), Belisario Contreras (CICTE) y Bertrand Ramé (SIGFOX).

» Ya puedes descargártelo desde la web de ElevenPaths.

Ante la realidad de millones de dispositivos hiperconectados entre sí y a Internet, nuestro verdadero desafío es ofrecer soluciones de seguridad que permitan responder a las necesidades de heterogeneidad y escalabilidad que nos impone Internet of Things. Este marco de inseguridad ha motivado a nuestro equipo de analistas a la realización de esta investigación sobre el alcance, escala y riesgos del Internet de las Cosas.

Algunos detalles del informe:
  • Los dispositivos IoT de los entornos corporativos como impresoras, cámaras, redes de sistemas, teléfonos o líneas IP suponen un nuevo rompecabezas para los departamentos IT y una nueva vía de acceso para los cibercriminales.
  • A corto plazo es encesario establecer medidas para la securización de la red y en la infraestructura IT, y a largo plazo, realizar un esfuerzo en la estandarización de medidas de protección de los dispositivos alcanzando una seguridad end to end.
  • La filosofía Security by design no debe de suponer nunca un obstáculo para la innovación en soluciones de IoT.
  • Cuando todo el mundo habla de inseguridad en IoT, desde ElevenPaths planteamos soluciones y retos para conseguir un despliegue seguro de tus soluciones de IoT.

» Descargar Nota de Prensa

Más información en
www.elevenpaths.com


Día de la Protección de Datos: SandaS GRC

miércoles, 27 de enero de 2016



Esta semana se celebra el Día de la Protección de Datos en Europa y desde ElevenPaths te presentamos el módulo de Privacidad de SandaS GRC para facilitarte la gestión y el cumplimiento en materia de protección de datos. Nuestro objetivo es ayudarte a cumplir la privacidad actual y "la privacidad que viene".

La protección de datos es un derecho fundamental ya recogido en la Constitución Española de 1978 y desarrollado en diversas leyes. Primero fue la LORTAD aprobada en el año 1992 y posteriormente la LOPD que data del año 1999 y que evoluciona, como comentaremos más adelante, según la Directiva 95/46 que constituye el paraguas de la privacidad europea. Esta visión común a Europa ha supuesto no pocos “desencuentros” con otros países, particularmente con EE.UU, como se ha puesto de relieve recientemente con el tema de safe harbor.

Durante estos años se ha constatado una importante evolución. Por un lado, el consiguiente aumento en la concienciación de los ciudadanos sobre este derecho; Y por otro lado también el de las organizaciones, tanto públicas como privadas, obligadas a cumplir dicha legislación.

SandaS GRC es nuestra herramienta de Gobierno, Gestión del Riesgo y Cumplimiento Normativo que te permite valorar y gestionar el riesgo que suponen amenazas y vulnerabilidades para tu negocio así como la capacidad para gestionar las múltiples regulaciones, normativas y políticas de una organización, incluida la Ley de Protección de Datos de Carácter Personal.

Esta herramienta nos permite un cumplimiento normativo integral ya que es importante tener en cuenta que las normas no son islas sino que están relacionadas. Por ejemplo la ISO 27001 dispone de un dominio que exige el cumplimiento en materia de privacidad y lo mismo sucede con el Esquema Nacional de Seguridad en el ámbito público.

Las principales características de SandaS GRC Privacidad son las siguientes:
  • Se adapta a organizaciones de diferentes tamaños, disponiendo de una opción multiorganización que permite la gestión centralizada para grupos de empresas.
  • Permite la inscripción, modificación y supresión de ficheros por vía telemática ante el Registro General de Protección de Datos mediante la integración con el sistema NOTA.
  • Genera y permite la actualización de los Documentos de Seguridad.
  • Permite el control del tratamiento de datos personales por terceros.
  • Contiene los diferentes registros exigidos legalmente: gestión de soportes, gestión de incidencias etc.
  • Integra un módulo de formación on line en materia de protección de datos.
  • Permite llevar un control del estado de cumplimiento de las tareas, la automatización de los Controles Periódicos y las Auditorías internas o externas a realizar.

El actual marco europeo de privacidad, que se basa en la Directiva 95/46 pero que se desarrolla en cada estado con regulaciones territoriales, se verá pronto modificado por un Reglamento Europeo de directa aplicación en los estados miembros. El nuevo escenario realiza importantes modificaciones como la eliminación de la inscripción de ficheros. Pone el énfasis en el concepto de tratamiento y continúa manteniendo algunos pilares básicos de la regulación actual de la privacidad (licitud del tratamiento, regulación de relaciones con terceros, derechos de los interesados, principio de seguridad etc.) aunque con algunos cambios. En este sentido y por lo que respecta a la seguridad se presentan novedades. Por citar solo algunas de ellas, merece la pena mencionar el cambio de enfoque de las medidas de seguridad, que no se establecen de forma tasada asociada a un nivel de seguridad de los datos sino que lo serán en función de un análisis de riesgos, las modificaciones relacionadas con las violaciones de seguridad o la figura del Data Protection officer (DPO), por citar sólo algunos de ejemplos.

En este nuevo escenario el módulo de Privacidad de SandaS GRC seguirá ayudando en la gestión eficiente de todas estas obligaciones.

Para más información: 


Modo paranoia: Port-Knocking y Latch para fortificar tus sistemas

martes, 26 de enero de 2016

La fortificación de los sistemas es algo que día a día es un quebradero de cabeza para muchos sysadmins. Entendemos la fortificación de sistemas al proceso en el cual se configuran diferentes medidas de seguridad, configuraciones y procesos con el objetivo de que agentes externos no puedan acceder a nuestros sistemas. El objetivo es claro: proteger nuestros activos tanto en confidencialidad, integridad y disponibilidad.
 
En muchas ocasiones, los servicios tienen que estar expuestos, es decir, tienen que estar disponibles en cualquier momento. Un ejemplo claro es un servidor web, éste debe estar disponible el mayor tiempo posible ofreciendo información a los usuarios. En un servidor no solo se ejecutan servicios que deben estar disponibles el mayor tiempo posible, también disponemos de servicios de gestión, como por ejemplo VPN, SSH, incluso FTP, etcétera. Estos servicios son críticos y el simple hecho de que estén expuestos pone en riesgo gran parte de la gestión de la organización.
 
No es una situación nueva que haya bots realizando ataques de fuerza bruta contra servicios, de los llamados de gestión, expuestos en Internet. Tal y como se puede leer en el artículo "SSH Brute Force – The 10 Year Old Attack That Still Persists", no es algo nuevo y puede tener un ratio de éxito mayor de lo deseado.
 
Figura 1: Ataques automatizados contra servicios SSH
 

Una solución conocida en el mundo de la seguridad informática es el Port-Knocking. Para definir la técnica se utilizará un ejemplo. Imaginemos que un administrador de sistemas quiere acceder al menos una vez al día por SSH a sus sistemas para comprobar que todo está correctamente o realizar cualquier otra gestión. El administrador no quiere que el servicio SSH esté expuesto constantemente. El Port-Knocking le permite configurar la posibilidad de utilizar un puerto no Well-Known, por ejemplo, para "tras golpear" el puerto conseguir que el servicio SSH esté accesible desde Internet. En otras palabras, el puerto 22 de SSH se encontrará cerrado, pero cuando el administrador envíe, por ejemplo, un paquete TCP a un puerto concreto será la señal necesaria para activar el servicio SSH en el puerto 22. El puerto 22 de SSH solo estará abierto mientras dure la conexión del administrador de sistemas. Una vez se cierre dicha conexión, de nuevo el puerto quedará oculto. Esto es interesante, ya que el nivel de exposición queda rebajado al mínimo.

En Eleven Paths hemos querido realizar una prueba de concepto ampliando las miras del Port-Knocking utilizándolo como un primer factor de autenticación. Para ello, utilizaremos el valor de la dirección IP de origen y el valor del puerto como clave. Es decir, la suma de la dirección IP origen que aparezca en el paquete TCP, como el valor del puerto destino que aparezca en el mismo paquete formarán la clave.

PoC: Ejemplo sencillo. Paso 1

Como puede visualizarse en la siguiente imagen, el usuario envía un paquete TCP utilizando la técnica IP Spoofing para falsear la dirección IP origen. Es parte de la clave, por lo que el sistema en algún lado tendrá registrado que dirección IP origen es válida para pasar parte de la autenticación. El puerto destino es la otra parte de la clave, por lo que también debe ser esperado por el sistema. Este mecanismo es extensible a utilizar cualquier flag dentro del protocolo TCP.

Figura 2: Port-Knocking con IP Spoofing

Una vez se valida que la dirección IP es la esperada y el puerto al que se dirige el paquete también, por ejemplo el 9000, se activa el servicio SSH en el puerto 22. Como nota aclaratoria, el puerto 9000 no se encuentra a la escucha en nuestro ejemplo. Tenemos una aplicación escrita en Ruby con la que se "sniffa" el tráfico y se detecta a que puerto va dirigido y con qué dirección IP origen. Esto es importante, ya que si se hiciera un escaneo desde el exterior el puerto 9000 saldría cerrado, es decir, nuestro servidor devolvería el flag RST.
 
Como se puede entender fácilmente el nivel de exposición ha disminuido exponencialmente, y además se ha configurado un factor de autenticación jugando con campos del datagrama IP y del paquete TCP.
 
PoC: Si me "sniffan" el paquete tengo un problema. Paso 2
 
La autenticación va sin ningún cifrado, por lo que si alguien captura el paquete que enviamos a nuestro servidor tendríamos un serio problema. Tendrían el mecanismo de autenticación que utilizamos para activar el servicio de SSH, en este caso. A nuestro factor de autenticación podremos sumarle uno de autorización, es decir, una vez que nuestra pequeña aplicación identifique al usuario a través de la dirección IP necesitaremos de un nuevo factor que nos de permiso a acceder al servicio SSH.
 
En el siguiente código se puede visualizar un pequeño ejemplo dónde se ve claramente el código de autenticación y la integración con Latch.  
 
Figura 3: Integración de Latch para factor de autorización
 
PoC: Un nuevo factor con Latch. Esta vez de autorización. Paso 3
 
Integrando Latch para que una vez autenticado el paquete se compruebe si existe autorización podemos evitar la utilización de una copia de nuestro paquete TCP. La idea es sencilla: si Latch tiene el cerrojo echado significará que, aunque el paquete sea correcto, no se está autorizado a utilizar el recurso, por lo que no se lanzará el servicio SSH. Si por el contrario, el cerrojo está abierto significará que tenemos permiso para lanzar el servicio SSH y será ejecutado. Se ha incluido un tiempo de Delay configurable, es decir, el servicio SSH será lanzado a los X segundos. 
 
Figura 4: Latch como factor de autorización para activar servicio
 
PoC: Ejemplo completo. Paso 4
 
Por último vamos a suponer un escenario real en el que un servidor ejecuta la aplicación Ruby que gestiona la autenticación y autorización con 2 mecanismos distintos. En el primer caso querremos ejecutar SSH, para ello se ejecuta la herramienta hping3 para genera un paquete TCP con IP Spoofing y con puerto destino que nos interesa. Cabe destacar que podemos utilizar los flags que nos interesen dentro de un protocolo interno nuestro.
 
Figura 5: Paquete TCP con dirección IP spoofeada y puerto destino
 
Como se puede ver a nuestro servidor llegará un paquete TCP con dirección IP falsa, que es utilizada para identificar, y un puerto que es la otra parte de la clave. Lógicamente, el servidor contestará a la dirección IP, pero no habrá conexión de ningún tipo, ya que no tiene sentido. Nuestro código validará, mediante las condiciones si es un paquete válido de autenticación y se irá al otro factor, en este caso el de autorización.
 
Figura 6: Apertura del cerrojo de Port-Knocking Sysadmin
 
En este instante la aplicación confirmará que se tiene autorización para acceder al recurso y poder lanzarlo. Una vez que esto ocurre se puede leer, en local, el mensaje "Open Sesame". Ahora el usuario podrá, una vez superado el tiempo de espera, acceder al recurso SSH.
 
¿Una vez que acabemos de utilizar el servicio SSH, qué ocurre? Sencillo. En primer lugar se debe cerrar el cerrojo de la aplicación en Latch. Después, con la aplicación hping3 se puede generar un paquete con la siguiente instrucción hping3 -a [dirección IP falsa] -A -p 9000 -c 1 [dirección IP real]. El flag A indica que se envía un ACK, mientras que antes se activaba el flag de SYN. En este momento se reconoce que se quiere cerrar el servicio y se procede a la parada del servicio. En todo momento el sysadmin tiene el control sobre la exposición del servicio de gestión, lo cual es una suma importante para la seguridad del entorno.
 
Recuerda que aún estás a tiempo para participar en el concurso de plugins de Latch. Ideas como éstas pueden servirte de inspiración para desarrollar tu plugin y ganar el premio en bitcoins. ¡Anímate a participar! Tienes de plazo hasta el 15 de Febrero. Además, recuerda que también tenemos un concurso de plugins de Sinfonier.
 
 
Pablo González
pablo@11paths.com





Hot Potato. Más que una elevación en Windows, un compendio de fallos bien aprovechados

martes, 19 de enero de 2016

Hace unos días se ha hecho pública una elevación de privilegios previamente desconocida y con prueba de concepto pública en todos los Windows. Esta es un poco especial, porque consigue elevar privilegios gracias a un compendio de fallos de diseño de Windows bien gestionados, además de "abrir la puerta" un nuevo tipo de ataque. Veamos los detalles y cómo intentar combatirlo.

Tres ataques en uno

Ocurre cada cierto tiempo. Se publica una prueba de concepto para elevar privilegios sin parche alguno. Un verdadero dolor de cabeza para un administrador de una red si quiere mantenerla bajo control. Sin ser muy estrictos, se nos viene a la cabeza que a final de 2014 ocurrió varias veces  seguidas en Windows y una más en agosto de 2015. En el kernel de Linux, de las últimas ocurrió en marzo de 2015. Pero esta es especial, porque en realidad se trata de una combinación de fallos basados en otros históricos conocidos y uno más moderno de los mencionados de 2014.

Esta última frase (de https://code.google.com/p/google-security-research/issues/detail?id=222) parece que les dio la idea...

NTLM es un protocolo de autenticación inventado por Microsoft que tiene dos versiones. La primera está obsoleta, y sufre del problema de la reflexión o "pass the hash", que ha traído a Microsoft de cabeza desde que se descubrió hace años. Se trata de que alguien intente autenticarse con un equipo del atacante por NTLM, se tome esa información, y se haga pasar por la víctima aunque no se sepa la contraseña. Antes incluso se podía aprovechar para pasarle los hashes a la propia máquina, pero quedó mitigado con el parche MS08-068. Ya no se podían utilizar autenticaciones (desafíos) que estuvieran siendo usadas en ese momento. Esto fue un pequeño golpe para los atacantes, pero el parche nunca evitó los ataques entre protocolos. O sea, que una autenticación viniese de WebDAV a SMB (como hicieron en Google) o de HTTP a SMB, como se ha hecho ahora.

Esquema de funcionamiento de Hot Potato


Lo interesante de la patata caliente es el uso combinado de fallos que probablemente no sean nunca corregidos o que va a costar que arreglen por estar muy intrincados en Windows o mantenerse por compatibilidad hacia atrás. Se usan tres tipos de ataques. Veamos.

Falsificar NBNS

Cuando un nombre o dominio no responde por DNS o resolución directa del archivo host, se pregunta al resto de sistemas en la red, través del protocolo NBNS, quién conoce la IP de quien se busca. El ataque hace que se responda siempre a todos los procesos del propio equipo que es él mismo (127.0.0.1) ante cualquier pregunta. Pero no le harán caso si no responde con el mismo ID con el que se le preguntó, así que se responde a todo el mundo, con todos los ID generados por fuerza bruta (solo son 65536 valores). Como va por UDP, es rápido y efectivo. ¿Qué pasa si no se nos pregunta por NBNS porque ya lo soluciona por DNS? En el equipo, se copan todos los puertos UDP. Con ellos se responde a los DNS y si no hay libres, DNS no funcionará... así que se usará NBNS como intento desesperado.

Aunque no tenga nada que ver con este ataque concreto, el creador deja la puerta abierta a un ataque NBNS sobre internet (siempre que la víctima tenga el UDP 137 abierto, claro).

Un WPAD falso

Por otro lado, tenemos otro ataque ya conocido. Windows intenta que le digan automáticamente, qué proxy debe usar. O sea, espera que haya un sistema con nombre "wpad" que resuelva, se conecte, y le dé la configuración (un archivo .dat). Lo hacen incluso servicios esenciales de Windows.

Con esa opción marcada, el equipo buscará siempre un WPAD
 
Ahora, usando el ataque NBNS ya descrito, se le dice al equipo que el wpad está en 127.0.0.1. Y se le devuelve .DAT (se le configura el proxy) también con 127.0.0.1. ¿Qué se consigue? Que se convierta la máquina objetivo en su propio proxy local, y por tanto,observar su tráfico. Y además, a todos los usuarios del equipo les aparecerá que el proxy es 127.0.0.1.

El ataque, abriendo proxies locales para todos los procesos

Llevando la autenticación NTLM de HTTP a SMB

Esta es la parte que supone una novedad (aunque se tomara la idea de Google). El parche mencionado, MS08-068, corrigió un ataque típico, pero no la raíz del problema. Nadie detuvo el ataque NTLM entre protocolos. Si se capturan credenciales NTLM a través de HTTP y se reenvían a un proceso SMB de la máquina, podremos enviar mensajes que serán ejecutados como SYSTEM porque parecen autenticados. Y aquí está la elevación.

El ataque en acción, metiendo a un usuario raso en el grupo de administradores

Ahora solo falta esperar que una petición HTTP generada desde un servicio con altos privilegios intente autenticarse por NTLM a algún sitio. Como tenemos un proxy HTTP en el equipo, capturamos las credenciales y se lanzan e inyectamos un comando. Todo se envía al servicio de escucha SMB interno. Ya está, el comando se lanzará con máximos privilegios. ¿Qué servicios generan peticiones HTTP autenticadas con NTLM privilegiados? Windows Update, Windows defender… El ataque aquí varía de versión a versión, pero es bastante fiable.

¿Se podrá corregir? ¿Cómo? ¿Qué tiene que hacer ahora Microsoft?

Normalmente, un fallo de elevación de privilegios ocurre en algún punto del sistema por una mala programación (desbordamiento de memoria, pobre configuración…). Arreglando esa parte, se cierra la puerta. Pero este problema es especial, porque arreglarlo implica solucionar tres problemas conocidos desde años y que nunca se erradicaron, además de que la experiencia nos dice que Microsoft es lento con las elevaciones.

Lo más probable es que Microsoft se vea obligado a corregir de alguna manera esa posibilidad de usar hashes NTLM (con desafíos en uso) que van de protocolo a protocolo. Corrigió el problema "canónico" de pass the hash evitando esto de servidor SMB al propio servidor SMB, pero ahora le toca a otros protocolos. Un dato: El parche se emitió en 2008 y el problema se conocía desde 2000. Había formas de mitigarlo, pero el ataque existió 8 años. ¿Tardará ahora tanto? Otro dato: Las  elevaciones de privilegios mencionadas al principio del artículo y sacadas a la luz por Google, fueron comunicadas en público porque Microsoft no las corrigió en el plazo de 90 días de cortesía que se les concede. En cualquier caso, parece que si cierra alguna de estas puertas, habrá otras formas de abrirlas combinando otros métodos en un futuro próximo.

¿Qué tiene que hacer el administrador?

No puede quedarse esperando el parche. Como cualquier fallo puede (y debe) atacar el problema desde varios frentes. Aquí ofrecemos algunas pistas. Aviso: hay mucho por hacer, y si no se tenían los deberes hechos, puede ser problemático:
  • Para el ataque NBNS: Identificar paquetes mal formados o "floods" de este tipo en la red. Existen programas específicos, y además los IDS deberían detectarlos. Disponer de registros DNS para todos los nombres y evitar la resolución NetBIOS. En especial para WPAD o WPAD.dominio.
  • Contra el ataque WPAD, evitar que Windows busque este archivo. Detener el servicio "Servicio de detección automática de proxy web WinHTTP" en los equipos y evitar que Internet Explorer lo busque. Por si acaso, un truco puede ser incrustar WPAD en el archivo hosts, y ponerlo a cualquier valor.
  • Forzar el uso de NTLMv2
  • Contra la autenticación NTLM. Forzar el uso de Kerberos y NTLMv2 (si se disponen de equipos medianamente modernos) y aplicar esta mejora publicada por Microsoft hace tiempo. También, firmar toda comunicación SMB.
 
Opciones de seguridad relacionadas con la firma de comunicaciones SMB
Pero son parámetros muy sensibles si se tienen equipos viejos en la red. Se pueden romper cosas.
 
Y en general, usar el cortafuegos saliente para evitar que cualquier programa no conocido acceda a la red. Evitar la ejecución de programas desconocidos por usuarios.... lo de siempre.
Por último, destacar que es curioso como esta prueba de concepto no está siendo detectada por los antivirus inmediatamente. Aunque no sirva para nada, suelen detectar rápidamente estos binarios para evitar las primeras embestidas de atacantes que intenten lanzar tal cual el binario.
Sergio de los Santos
ssantos@11paths.com

Nuevo informe: Ciberamenazas financieras Q4 2015

Ya está disponible en nuestra web el nuevo estudio sobre Ciberamenazas para el sector financiero correspondiente al último trimestre de 2015 elaborado conjuntamente por el equipo de análisis e investigación global de Kaspersky (GReAT: Global Research & Analysis Team), y nuestro experto equipo de analistas. Descárgate el informe completo en inglés desde aquí.

Resumen
Este informe analiza las tendencias actuales relacionadas con el phishing en el sector financiero y el malware en el sector bancario, incluidos ataques a dispositivos móviles, sistemas de TPV (terminal de punto de venta) y cajeros automáticos. Se basa principalmente en las estadísticas y datos de KSN (Kaspersky Security Network), aunque también puede citar información fiable de otras fuentes. El período de análisis comprende los datos obtenidos entre el 1 de octubre de 2015 y el 1 de enero de 2016.

Phishing
Un total de 14 países se encuentran en el extremo afectado por un 88,42% del total de ataques de phishing. El 11,58% restante se distribuye entre 167 países diferentes. Las cifras de México, Estados Unidos y Brasil suponen casi la mitad del total de ataques detectados en todo el mundo, seguidos de Alemania y Canadá.

Figura 1. Porcentaje del total de ataques de phishing – Distribución por países en el Q4 de 2015.


México ha mostrado el mayor porcentaje de ataques de phishing del año, e incluso ha superado el porcentaje correspondiente al último periodo en Alemania, que era el país más atacado en aquel momento.

Nueva Zelanda fue el país que sufrió más ataques de phishing por usuario en el transcurso del Q3 de 2015, y ahora ha sido superado por México, lo que demuestra un aumento alarmante de los usuarios afectados por el phishing.


Figura 2. Porcentaje de usuarios afectados por el phishing – Mundo.


Los mensajes de phishing dirigidos al sector financiero (bancos, sistemas de pago y tiendas en línea) representaron el 43,38% en este periodo, un incremento del 13,19% respecto a los datos analizados en el Q3 de 2015.

En el sector de pagos en línea, PayPal, Visa, American Express y MasterCard siguen siendo, con mucho, las entidades más atacadas, igual que lo fueron en 2013 y 2014.

En cuanto al comercio electrónico objeto de ataques de phishing, durante los primeros meses de 2015, una de las tendencias más notables fue el gran aumento de ataques contra usuarios de Steam (distribuidor de juegos en línea y plataforma de redes sociales desarrollada por Valve Corporation). Aunque las cifras del Q3 mostraron una disminución en este tipo de ataques, durante este último período han experimentado un aumento asombroso, de un 17,59% en el período anterior, a un 41,79% en el Q4 de 2015. Una explicación lógica para este aumento podría ser la temporada de Navidad y el aumento de actividad en el mundo de los juegos en línea, desde el aumento de compras al crecimiento del número de jugadores que interactúan con Steam.

Malware en el sector bancario
El número de infecciones del troyano Zeus y sus variantes sigue disminuyendo por tercer período consecutivo en este año.

Aunque el troyano Dyre ha disminuido su porcentaje (que representa el 19,21% del total de infecciones causadas por troyanos bancarios en el Q4), se mantiene como actor principal en el campo del malware en el sector bancario.

Figura 3. Distribución global de malware bancario por familias en el Q4 de 2015.


A lo largo de este año, han aparecido nuevas familias de malware TPV: LogPOS, Punkey, FighterPOS, BernhardPOS, GamaPOS, ModPOS, y así sucesivamente hasta un número aproximado de 26 familias de malware conocidas incluidas en esta categoría (nuestro motor de heurística identifica varias muestras con una funcionalidad similar que no pertenecen a ninguna familia dada).

Figura 4. Distribución geográfica. Veredicto de TPV genérico (Trojan-Spy.Win32.POS) | Q4 2015.


Malware móvil
Siguiendo con la tendencia observada durante los últimos años, Android ha sido la plataforma más afectada también en este período. La plataforma recibe ataques del 99,78% del total de las muestras detectadas en cualquier plataforma móvil. A finales de 2014, la cifra era un 99,41%.

Figure 5. Distribución geográfica de troyanos bancarios móviles.


Solo la Federación de Rusia ya suma el 86,50% de usuarios infectados, seguida de lejos por el resto de países. Alemania, Italia, Francia, Polonia y Austria son los países europeos más afectados.

New report: Financial CyberThreats Q4 2015

lunes, 18 de enero de 2016

You can now download the full report about Financial CyberThreats (Q4 2015) carried out by Kaspersky’s Global Research & Analysis Team (GReAT) & ElevenPaths' Analyst Team. It`s available at ElevenPaths web.

Summary
This report analyzes the current trends related to financial phishing and banking malware, including attacks on mobile devices, POS (Point of Sales) systems and ATMs. It is mainly based on statistics and data from KSN (Kaspersky Security Network) although reliable information from other sources may also be referenced. The timeframe for this analysis contains data obtained during the period from October 1st, 2015 to January 1st, 2016.

Phishing
A group of 14 countries are on the receiving end of 88.42% of all phishing attacks. The remaining 11.58% is distributed among 167 different countries. Mexico, United States and Brazil accounts suppose almost half of the worldwide detected attacks, followed by Germany and Canada.


Figure 1. Percentage of total phishing attacks – Distribution by country in Q4 2015.

Mexico have shown the biggest percentage of phishing attacks of the entire year, even surpassing the percentage from Germany in the last period which was the most attacked country at that moment. New Zealand was the country that suffered more phishing attacks per user over the course of Q3 2015 and now has been displaced by Mexico which shows an alarming increase of users affected by phishing.


Figure 2. Percentage of users affected by phishing – World.

Phishing messages targeting the financial sector (banks, payment systems and online shops) accounted for 43.38% in this period, an increase of 13.19 % compared with the data analyzed in Q3 2015. In the online payment sector, PayPal, Visa, American Express and MasterCard continue to be by far the most targeted entities, just as in 2013 and 2014.

Regarding e-commerce targeted by phishing attacks, during the first months of 2015 one of the most remarkable trends was the big increase of attacks against Steam (on-line game distributor and social networking platform developed by Valve Corporation) users. Although the numbers for Q3 showed a decrease in such attacks, during this last period it has suffered an astonishing increase, from 17.59% in the past period to 41.79% in Q4 2015. A logical explanation for this increase could be the Christmas season and the raise of activity in the online gaming world, from the increase in purchases to the growth in the number of players interacting with Steam.

Banking malware
The number of infections of the Zeus Trojan and its variants keeps decreasing for the third period in a row during this year.

Although the Dyre Trojan decreases its percentage (representing the 19.21% of all the infections performed by banking Trojans in Q4) it keeps being the lead actor in the banking malware area.


Figure 3. Banking malware global distribution by families in Q4 2015.


During this year several new families of Point of Sale Malware have appeared: LogPOS, Punkey, FighterPOS, BernhardPOS, GamaPOS, ModPOS and so on until the approximately number of 26 known malware families included in this category (our heuristic engine identifies several samples with similar functionality that do not belong to any given family).


Figure 4. Geographical distribution. Generic POS verdict (Trojan-Spy.Win32.POS) | Q4 2015.

Mobile malware
Continuing the trend observed during the last few years Android has been the most affected platform in this period too. The platform is targeted by 99.78% of all samples detected on any mobile platform. At the end of 2014 this figure was 99.41%.


Figure 5. Mobile banking trojans geographic distribution.

Russian Federation alone takes the 86.50% of infected users, followed distantly by the rest of countries. Germany, Italy, France, Poland and Austria are the most infected European countries.

Atención: Ampliamos el plazo para nuestros concursos Latch y Sinfonier

viernes, 15 de enero de 2016

Concurso de Plugins para Latch 2015
¡Entrega tus plugins! El nuevo plazo  de presentación de las candidaturas finaliza el 15 de febrero a las 13:00 horas (hora peninsular española). ¡Date prisa! Si quieres saber si has resultado ganador, ¡estate atento! Los ganadores serán notificados por correo electrónico durante los 14 días siguientes al cierre del concurso. Después, tendrás un plazo de 10 días para aceptar el premio.




Concurso Sinfonier Community 2015
Sinfonier Community Contest es el primer concurso de Sinfonier que busca desarrollar módulos y topologías innovadores y de utilidad que tengan aplicación para entornos de Smart Cities, Economía Digital e Identidades Digitales.

¡Entrega tus módulos o topologías! El nuevo plazo  de presentación de las candidaturas finaliza el 15 de febrero a las 13:00 horas (hora peninsular española). ¡Date prisa!




¡Que la suerte te acompañe!

The deadline for our Latch and Sinfonier contests has been extended!

Latch Plugins Contest 2015 
Are you aware of the second edition of Latch Plugins Contest? Submit your Latch plugins before February 15h! As a developer or intelligence analysts, do what you do best and get paid for it! We extended our Latch Plugins Contest deadline! The winners will be notified by e-mail within the next 14 days after the close of the contest. You have a period of 10 days to accept the prize.



Sinfonier Community Contest 2015

The Sinfonier Community Contest will award best sets of 10 modules or topologies developed for the Sinfonier Project Community. Innovative, interesting and useful modules and topologies for Smart Cities, Digital Economy and Digital Identities environments. Submit your Sinfonier modules or topologies! You can do it until the 15th of February at 1:00 pm (Central European Time), hurry up!



Good luck!

Un vistazo a la nueva interfaz de usuario de Tacyt

miércoles, 13 de enero de 2016

Existen una serie de factores que no pueden faltar en toda investigación: el punto de partida, será la incógnita que se quiere despejar; un motor de inferencia, será el conocimiento del investigador en el marco del estudio; información, un gran volumen de información; y una herramienta con la capacidad de digerir esa cantidad de información que simplifique la ya de por sí difícil tarea del investigador, Tacyt.

En Tacyt aceptamos el reto de resolver la parte técnica de la investigación cubriendo sus cuestiones más relevantes:
  • Capacidad para detectar la publicación de nuevas aplicaciones en distintas regiones geográficas del market oficial de Android y markets alternativos.
  • Procesamiento en tiempo real para atender a la cantidad de aplicaciones detectadas, extraer la información asociada a estas e indexar su contenido.
  • Motor de búsqueda que permita consultar a los investigadores sobre más de 100 campos de información indexados de los millones de apps.
  • Comparador de aplicaciones para facilitar la identificación de rasgos comunes entre aplicaciones.
  • Sistema de filtros que permite la definición de condiciones para alertar al investigador cuando se detecte una nueva aplicación que cumpla un criterio buscado.

El equipo de Eleven Paths presentaba en noviembre su investigación acerca de apps publicadas en Google Play con la capacidad de iniciar un servidor HTTP en dispositivos Android. Puede ser de interés encontrar cómo otras aplicaciones podrían estar exponiendo un servicio similar, y esto con Tacyt es muy sencillo.

Construyendo una búsqueda con Tacyt

Para los investigadores que se acercan por primera vez a la herramienta, se dispone de un asistente que permite la creación de consultas con las que empezar a acercarse a la información y permitiendo buscar por ejemplo todas aquellas aplicaciones que han sido publicadas desde diciembre de 2015 y que contienen la dirección IP 127.0.0.1 entre los enlaces que se han extraído de ellas: Pero a mayor cantidad de información, mayor necesidad de potencia de consulta. Para esos investigadores avezados que necesitan un mayor grado de precisión, el motor reserva una gramática con la capacidad de reconocer lenguajes donde se pueden combinar el uso de operadores lógicos, precedencia y expresiones regulares. En el ejemplo, también se añaden otras posibilidades de búsqueda para afinar más en la investigación:

Una búsqueda con varios parámetros y expresiones regulares (hacer clic para ampliar)

Todas estas aplicaciones detectadas comparten como rasgo común el criterio de búsqueda del investigador, pero un análisis más detallado y comparación entre estas posiblemente refleje otra serie de valores comunes entre ellas.

Para responder a esta necesidad desde la herramienta del comparador se ofrece un sistema de identificación de coincidencias, conectado con el motor de búsqueda y también con el sistema de filtros para realimentar el resto de procesos de la investigación:

Comparativa entre apps

La nota final la añade la capacidad de alerta temprana ofrecida a través del concepto de filtros. Un sistema de reglas basado en pesos permite establecer mediante el uso de funciones, parámetros y valores, las condiciones que se deben de cumplir para que una aplicación sea capturada por un filtro.

En este último paso, Tacyt ofrece un feed RSS que será actualizado con cada nueva detección realizada por el filtro, manteniendo informado al investigador en tiempo real.

Creando un filtro

El resultado final es una herramienta que en su conjunto pretende cubrir todas las necesidades que puedan surgir cuando se está llevando a cabo una investigación, pero que por su versatilidad permite cubrir otros casos de uso como control del parque de aplicaciones publicado en diferentes markets, protección de marca mediante la creación de filtros que supervisen la aparición de aplicaciones relacionadas en busca de amenazas, análisis de impacto de fallos de seguridad sobre componentes vulnerables que podrán ser buscados identificando todos los sistemas afectados, e incluso estudios estadísticos de usos de tecnologías.

Informe: 2015, el año de las fugas de información

martes, 12 de enero de 2016

Los casi 220 millones de credenciales filtradas en las más de 250 brechas de seguridad durante 2015, reavivan muchos debates e invitan a la reflexión. Entre las reflexiones, sobre qué tipo de contraseñas utilizan los usuarios y cómo las almacenan los servidores. Entre los debates, sobre la importancia de implantar medidas como el doble factor de autenticación.


En diciembre de 2013 se produjo una de las mayores brechas de seguridad con la filtración de información personal de más de 70 millones de clientes de la empresa norteamericana Target, incidente que motivó la movilización inmediata de recursos en ciberseguridad por valor de cinco millones de dólares. A partir de ese momento, las empresas son cada vez más conscientes de que necesitan proteger sus activos pero, pesar de ello, el año 2015 ha estado marcado por una gran cantidad de brechas de seguridad que ha supuesto una amenaza tanto para sus usuarios como para otras empresas. Este marco de inseguridad ha motivado a nuestro experto equipo de analistas a la realización de esta investigación sobre los principales afectados por este tipo de fugas de información.


Para realizar este documento se han recuperado todos los incidentes de seguridad hechos públicos en los que se han visto implicados registros de usuarios y que han acontecido entre el 1 de enero y el 30 de noviembre de 2015.

Algunos detalles del informe:
  • En el caso de Estados Unidos, el principal sector afectado fue ocio y videojuegos.
  • Israel ha sido el principal país, junto con Estados Unido, que más ataques hacktivistas ha recibido.
  • El 42,6% de las filtraciones que han tenido lugar en 2015 aún contenían contraseñas en claro, pero afortunadamente solo representan el 6,5% del total de las credenciales sustraidas.
  • El 80,32% del total de credenciales recuperadas fueron sustraídas en los 13 incidentes (5,14%) en los que más credenciales se filtraron.

Descárgate el informe completo aquí.

Android aglutina más del 95% de los ataques en entorno móvil

jueves, 7 de enero de 2016


Con una cuota de mercado cercana al 81%, Android es el sistema operativo más común entre los cerca de 2.000 millones de dispositivos móviles existentes en el mundo. Es por esto que las amenazas focalizadas en los dispositivos móviles crecen continuamente: ataques específicos, adware agresivo, aplicaciones maliciosas que se comportan como las legítimas pero que roban información o consumen servicios en segundo plano...Se trata de Apps que en muchas ocasiones permanecen indetectables en los markets el tiempo suficiente para alcanzar grandes rates de descargas afectando a miles de usuarios.

Los datos son preocupantes: Android aglutina más del 95 % de los ataques en entorno móvil, el número de troyanos bancarios en apps es 9 veces superior que en 2014, y se ha experimentado una profesionalización de los grupos de cibercriminales que focalizan sus actividades en dispositivos móviles. Si a esto le sumamos que cada día se crean cerca de 5.000 nuevas aplicaciones, detectar nuevos vectores de amenazas móviles de forma ágil no es posible con las herramientas de seguridad tradicionales.

Los grupos de cibercriminales presentan una estructuración cuasi-empresarial, desarrollando aplicaciones maliciosas bajo una óptica de coste-beneficio, de forma que, a fin de maximizar sus beneficios, reutilizan código, imágenes, certificados digitales, etc. introduciendo “singularidades”, atributos únicos que identifican a una app o a un desarrollador.

De esta forma, este nuevo escenario de amenazas requiere de nuevas herramientas, capaces de explotar la inteligencia proveniente no sólo de las aplicaciones móviles, sino también de los markets, a fin de descubrir esas “singularidades” introducidas por los atacantes.

Tacyt, nuestra herramienta de ciberinteligencia para apps maliciosas en Android, proporciona acceso a un histórico de aproximadamente 4 millones de apps publicadas en distintos markets móviles, así como a la información de contexto disponible.

Desde su creación, nuestra herramienta ha intervenido en varios casos de notable éxito. Uno de ellos fue cuando las autoridades españolas la utilizaron para correlacionar las personas implicadas en una estafa con aplicaciones de SMS. En otro caso, Tacyt fue clave para encontrar un malware desconocido no detectado por los Antivirus y que, usando nuevas técnicas, consiguió burlar la protección de Google Play. Gracias a esto se identificó una botnet importante llamada Shuabang.

Los descubrimientos de Tacyt incluyen también a una familia desconocida de clickers que utiliza una nueva estrategia para perpetrar el fraude, a estafas basadas en apps que llaman a números de tarificación premium o al descubrimiento de nuevas técnicas de adware, como las llamadas "Downloaders en diferido", por citar algunos de ellos.

Los atacantes tratarán de mejorar sus técnicas de programación, tratando de evitar los controles y herramientas de seguridad existentes… pero siempre cometerán fallos, detectables a través del concepto de singularidad.

También te puede interesar:


Adolfo Hernández
adolfo.hernandez@11paths.com