Un hacker en Corea_El inicio

jueves, 29 de diciembre de 2016

Por esas extrañas coincidencias de la vida, el pasado mes de julio fui seleccionado para realizar una beca de estudio sobre Ciberseguridad en Corea del Sur, tres meses desde octubre a diciembre.

Las primeras reacciones que recibí al anunciar la noticia fueron muy simpáticas e inocentes:

  • ¿Vas a ir y volver cada 15 días? Hay que notar que desde Argentina son 19.000 Km de distancia y 32 horas de viaje. Por la diferencia horaria de 12 horas, los primeros días se vive al revés y el jetlag es difícil de superar. Una curiosidad: si se hace un agujero en Argentina, casi se llega a Corea del Sur. Literalmente estamos en las antípodas y no solo por la distancia, ya lo veremos.
  • ¿La del Sur es la buena no? Depende para quien.
  • ¿Ya te echaron de ElevenPaths? No, al contrario, fueron quienes me respaldaron durante estos tres meses y me hicieron sumamente fácil el proceso de estudiar y trabajar con 12 horas de diferencia. A todos ellos GRACIAS, hicieron mucho más que demostrar que la innovación es nuestro principal motor.
  • ¿Qué vas a comer? No lo sé.
  • ¿De ahí viene el Gangnam Style y el K-Pop? Sí, pero esa es otra historia.

Éstas y otras preguntas del mismo calibre, serían la primera demostración de lo poco que conocemos sobre Asia y su cultura. Todo lo demás estaba por llegar.

A Corea del Sur lo llaman “el milagro sobre el Río Han” y no en vano este río es una metáfora de su historia, política y economía. El Río Han (Hangul: 한강) nace en Corea del Norte y, paradójicamente, este río que ha sido de tanta importancia para el crecimiento del país, también marca un límite natural entre las dos Corea -Norte y Sur, separados por decenas de problemas- y los dos Seúl -Norte y Sur unidos por decenas de puentes-.

Corea tiene una historia rica y milenaria marcada por centenares de guerras, uniones y desencuentros con sus vecinos, principalmente China, Japón y Rusia. La historia no hace más que repetirse y su presente está marcado por cientos de políticas, normas y procedimientos gubernamentales relacionados al e-Government, la ciberguerra y la ciberdefensa.

Por eso, estudiar ciberseguridad en la Universidad de Corea no es lo mismo que estudiarlo en otro país. Dicen que Corea del Sur es uno de los países más atacados del mundo por sus hermanos, los del Norte. Dicen que Corea del Norte es el país con mayor cantidad de atacantes del mundo; un país que, sin embargo no tiene Internet. Dicen, y es difícil debatir los “dicen”, incluso estando en el lugar.

Corea del Sur es las antípoda de occidente en la cultura, las costumbres, las comidas, los horarios, las ideas, la educación, la tecnología - de allí son Samsung y LG - y la política, que desde octubre estuvo marcada por el proceso de Impeachment de su presidenta Park Geun-hye, que actualmente se encuentra suspendida por supuesto tráfico de influencias… Y, el idioma, el cual estuve estudiando tres meses y por supuesto con el cual perdí la batalla.

El primer día de Universidad ya hace la diferencia: en Corea hace 16 años pensaron una política de ciberseguridad para el país, crearon laboratorios de investigación, entrenaron a su personal y crearon carreras de grado y postgrado en ciberseguridad en varias Universidades y escuelas superiores del país. Estos estudios contemplan aspectos técnicos, legales y de gestión, es decir todo lo que cualquier profesional de seguridad de la información debe conocer.

Para realizar una mejor selección de los futuros profesionales y crear un semillero de expertos, se busca cerebros en las escuelas secundarias y, a partir de los 16 años, estos pequeños nuevos hackers son entrenados en programas especiales para que no se desvíen ética y moralmente y su conocimiento técnico pueda ser aprovechado por el estado. La historia de Corea y la informatización comienza en la década del 70, les sirvió como base para establecer su democracia actual y es interesante remarcar que el proceso siempre fue pensado con la seguridad como base, por la gran cantidad de incidentes relacionados con China y Corea del Norte. Por eso sus políticas de estado contemplan:

  • Security: aquellos riesgos contra el estado y el territorio. 
  • Safety: riesgos contra los ciudadanos. 
  • National Cybersecurity: engloba los dos anteriores y es representado por decenas de organismos nacionales entre los que se puede mencionar KISA, NSRI, NCSC y NCIS. 
  • Legislación: todo el proceso de ciberseguridad fue implementado pensando primero en las leyes nacionales; no como un parche a la tecnología, sino como una estrategia para el crecimiento del país.

Por todo lo anterior Corea del Sur tiene leyes de delitos informáticos desde principios de los 80 y ejecuta simulacros de ciberguerra (CyberWarfare) desde los 90. Además, estas leyes alcanzan la protección de las más de 3.000 Infraestructuras Críticas (70% nacionales) desde 2001 y las mismas son reevaluadas cada año para contemplar los nuevos riesgos y desafíos técnicos.

Finalmente, Corea considera fundamentales las siguientes políticas para las organizaciones, tanto públicas como privadas:

  1. Creación de un SGSI basado en ISO 27000 pero adaptado a las necesidades del país y que debe ser implementado y certificado por cualquier organización que manipule información sensible. 
  2. Cualquier organización que adquiera o desarrolle software y lo publique en un sitio web, es auditado en base a las buenas prácticas de OWASP y, si las mismas no se cumplen, la página puede ser dada de baja hasta que lo haga. 
  3. Al software desarrollado en Corea, se le realizan análisis Black-box y White-box basados en Common Criteria
  4. El estudio de la criptografía que los ha llevado a desarrollar ARIA, un algoritmo simétrico propio basado en AES y que es utilizado en todo el país. Seguramente habrá decenas de otros algoritmos, pero los mismos no son públicos. 
  5. Utilización global de la firma digital para los 50 millones de ciudadanos con un “cyberID” para cada uno de ellos, el cual facilita los trámites públicos del e-Government y sí, también la ciber-vigilancia en pro de la Seguridad Nacional.

Sin embargo, los ciudadanos y el gobierno no utilizan software libre y el uso de Internet Explorer con ActiveX es el estándar para cualquier actividad oficial o particular. ¿Por qué? La respuesta es sencilla y también contradictoria: al ser los primeros en implementar políticas de firma digital para el e-Government, se vieron obligados a utilizar las herramientas disponibles a principios de siglo. Actualizar dicha infraestructura a la tecnología actual es costoso, aunque ya se encuentran en dicho camino.

En la próxima entrega de esta serie veremos cómo hizo Corea para implementar estas políticas a nivel nacional respetando tres principios básicos: la colaboración internacional en la lucha contra el cibercrimen; la protección de la privacidad de los datos del ciudadano (PII); y la protección de las infraestructuras críticas, en un país rodeado de “enemigos naturales” y cuyo nivel de informatización hace de la seguridad de la información sea prioridad para el gobierno.

Cristian Borghello
ElevenPaths Argentina

Firma tus documentos desde iPhone 6 o iPad Pro con la nueva versión de SealSign

martes, 27 de diciembre de 2016

La nueva versión de SealSignnuestra tecnología de firma electrónica y biométrica de documentos, tiene un aspecto renovado e incluye varias funcionalidades orientadas a la inclusión de dispositivos móviles como son iPhone 6iPad Pro, fruto del acuerdo firmado con Apple que anunciamos en Security Innovation Day 2016.

¿Quieres firmar tus documentos digitalmente desde cualquier lugar?¿Puedes firmar 100 documentos en un minuto?
 Con SealSign puedes hacerlo. Aquí tienes varios vídeos de los casos de uso:





Además las nuevas funcionalidades de SealSign están sobre todo orientadas a facilitar y mejorar las opciones de desarrollo. CNG, WPF, ClickOnce: estos tres conceptos son los que hacen que esta nueva versión tenga ese sabor a desarrollo.

1. Una de las nuevas características que ofrecemos es el soporte para CryptoAPI Next Generation (CNG) es decir que nuestro agente de Central Key Control soporta CNG, de manera que, las aplicaciones que usen esta suite de algoritmos criptográficos se verán beneficiadas de las funcionalidades de centralización de certificados de Central Key Control.

2. Con la intención de seguir apostando por el desarrollo también incluimos nuevos SDK para Windows Presentation Framework (WPF) que permite crear aplicaciones de cliente interactivas y además esta plataforma admite un amplio conjunto de características de desarrollo de aplicaciones, incluido un modelo de aplicación, recursos, controles, gráficos, diseños, enlace de datos, documentos y seguridad.

3. Para terminar, indicaos que como sabéis , el crecimiento del uso de la web en los dispositivos móviles, y la incompatibilidad de estos navegadores con los plugin de Java, ha llevado a los creadores de navegadores como Chrome, Firefox, Edge y Safari a dejar de ofrecer soporte y ha "obligado" a Oracle a anunciar que descontinua el plugin de Java. Desde ElevenPaths, hemos desarrollado todos los clientes de la plataforma en tecnología ClickOnce que a grandes rasgos permite crear aplicaciones basadas en Windows con interacción mínima por parte del usuario. Implementar ClickOnce permite superar dificultades para actualizar las aplicaciones, impacto en el equipo del usuario y permisos de seguridad a la hora de realizar una instalación.

¿Quieres saber cómo funciona SealSign Biosignature en un Ipad Pro? Chema Alonso nos mostró una demo original de esta tecnología en Security Innovation Day 2016.




Arsenio Pérez Gavira
Information Security Product Manager

*También te puede interesar:
Todo lo que presentamos en Security Innovation Day 2016 (V): Aumenta la seguridad de tu firma digital
SealSign BioSignature: Firma manuscrita biométrica en iPad Pro #Apple #iPad #Biometría
SealSign y la Prueba Real en el Mobile World Congress #MWC2015
Todo lo que presentamos en Security Innovation Day 2016 (V): Aumenta la seguridad de tu firma digital

Los mejores momentos de Ciberseguridad de 2016

jueves, 22 de diciembre de 2016

Durante este año 2016 la Ciberseguridad ha estado en el punto de mira. El aumento exponencial de fugas de información, la sofisticación de los ciberataques y la evolución del software malicioso han hecho que grandes compañías de entretenimiento, redes sociales, incluso partidos políticos, sean víctimas de los ciberdelicuentes, por lo que han protagonizado las noticias en los principales medios de comunicación.

En ElevenPaths queremos luchar contra todo lo que amenaza la seguridad y la privacidad de las personas y las empresas en el mundo digital. Para ello contamos con todo un equipo lleno de talento que investiga, analiza, prueba, inventa y reinventa cada día soluciones para hacer frente a los ciberataques.

Hemos querido compartir contigo los hitos que han marcado este año 2016 en ElevenPaths, porque aunque la ciberdelincuencia evoluciona, nosotros seguimos trabajando cada día para crear un mundo digital más seguro. 


Este año no podíamos perdernos las citas claves del sector a nivel mundial. No importaba lo lejos que fuera, hemos querido estar allí donde se reunieran los profesionales de la Ciberseguridad. Por eso, comenzamos el año tomando rumbo hacia San Francisco, donde tuvo lugar RSA Conference 2016, y también hacia Barcelona donde se celebró Mobile World Congress 2016, los eventos de referencia en el mundo digital en los que presentamos nuestra oferta de Seguridad para IoT. No pudimos faltar tampoco al cogreso de Ciberseguridad Rooted CON Madrid, donde hablamos sobre IPv6 Intelligence y ataques SAPPO. También viajamos hasta Miami, a pesar de las inclemencias del tiempo, para presentar en CELAES 2016 la nueva solución Antifraude, cuyo objetivo es minimizar las pérdidas y riesgos derivados del fraude en el sector financiero.

No podía faltar la celebración de uno de los eventos referentes de ElevenPaths, en el que ponemos todo nuestro esfuerzo para dar a conocer la evolución de nuestras Soluciones en Ciberseguridad. El 26 de mayo tuvo lugar Security Day 2016, donde compartimos con vosotros nuestra nueva alianza con Fortinet y las nuevas integraciones de nuestros productos con las soluciones de Check Point y Spamina.

El 6 de octubre celebramos Security Innovation Day 2016nuestra cita anual con la innovación en Ciberseguridad, en la que el equipo al completo puso toda su creatividad, pasión y esfuerzo para dar a conocer nuestras novedades en innovación, alianzas e inversiones. Además, contamos con un invitado muy especial, Hugh Thompson, Chief Technology Officer de Symantec + Blue Coat y considerado uno de los Top 5 pensadores más influyentes en seguridad de la información.


En este día tan especial, Chema Alonso, Chairman de ElevenPaths, y  Pedro Pablo Pérez, CEO de ElevenPaths, presentaron el nuevo Path6, una plataforma para detectar vulnerabilidades a gran escala en apps móviles. Dimos a conocer el nuevo Programa de Partners de ElevenPaths, el marco perfecto sobre el que se están construyendo acuerdos con importantes empresas tecnológicas como Apple, Symantec + Blue Coat, Fortinet, F5 Networks, Spamina y Logtrust, para trabajar juntos por la innovación en seguridad y privacidad. Anunciamos adquisiciones de tecnología como Shadow, que protege tu información confidencial y detecta a los autores de fugas de información. Y dimos a conocer las nuevas Soluciones de ElevenPaths: Data Protection, AntiFraude, Mobilidad Segura, Industria 4.0 y Gestión integral del riesgo y la seguridad.También fueron importantes los anuncios de inversiones en startups como CounterCraft , 4iQ e IMBox. Además de todas estas novedades, era nuestro tercer aniversario, y lo celebramos con todos los que se acercaron a nuestra cita anual con la innovación.

El éxito cosechado con Security Innovation Day ha hecho que también se celebre en otros países que quieren vivir la experiencia de conocer de primera mano las últimas novedades en Ciberseguridad, como fue el caso del I Security Innovation Day en Chile, que corrió a cargo de Gabriel Bergel, reconocido hacker y Chief Security Ambassador de ElevenPaths.

Como ya sabéis, hemos lanzado también una nueva edición de nuestro concurso Latch Plugins Contest 2016. Un reto para apasionados por la tecnología, en el que premiaremos la creatividad y el talento con hasta 5000 dólares. Las inscripciones ya se han cerrado, y pronto anunciaremos los ganadores. ¡Estate atento porque podrías ser tú!

Este año ha sido muy especial, con el objetivo de innovar también en la forma de compartir el conocimiento en Ciberseguridad hemos creado los 11PathsTalks. Una serie de webinars sobre las temáticas de más interés y actualidad en el sector de la seguridad, realizados por nuestros Chief Security Ambassadors de Argentina, Colombia, Chile, Brasil y España. Tuvieron tanto éxito que no fue suficiente con una temporada y repetimos con una segunda, para que cada jueves puedas aprender, preguntar y debatir sobre diferentes temas de seguridad en el mundo digital con expertos como Rames Sarwat y Claudio Caracciolo. Agradecemos las felicitaciones que hemos recibido por su realización y aquellos comentarios que nos animan a realizar una tercera temporada.


Otro de los formatos novedosos fueron las Jam Sessions. Los primeros Meet & Greet con ejecutivos TOP de las empresas tecnológicas punteras de nuestro sector. La primera sesión fue con Lee Klarich, Executive Vice President of Product Management de Palo Alto Networks. Y la siguiente fue con Hugh Thompson, Chief Technology Officer de Symantec + Blue Coat. Pero aún quedan muchas más por celebrar.

El espíritu hacker no podía quedarse dentro de la oficina, y comenzamos a compartir en nuestra web y RRSS las investigaciones que semanalmente realizan el equipo de analistas de inteligencia, entre los que se encuentran expertos como Yaiza Rubio y Félix Brezo. En estas investigaciones analizamos grandes fugas de información en CyberSecurity Shot, seguimos el rastro de los ciberdelicuentes para descubrir las verdaderas identidades en CyberSecurity Avatar. También elaboramos CyberIntelligence Reports, informes de investigación sobre tendencias en ciberamenazas y ciberataques  para hacer frente a estos nuevos retos de la industria del cibercrimen. Y también publicamos ElevenPaths Discovers, investigaciones en las que identificamos nuevos fallos de seguridad y nuevos métodos de ciberataque. Todas estos interesantes informes puedes encontrarlos en la página de LinkedIn ElevenPaths CyberSecurity Investigation Reports.

Todo esto sin olvidar una de las piezas clave de ElevenPaths, nuestro equipo de Innovación y Laboratorio, dirigido por Sergio de los Santos, que se encarga de transformar las ideas locas en realidad, de investigar continuamente y colaborar con universidades. Este año han realizado investigaciones, PoCs y herramientas como Pin Patrol que es más que un plugin, es una herramienta forense; o PESTO que te permite evaluar el nivel de protección de los ficheros ante un potencial ataque ransomware.

Gracias un año más por confiar en nosotros para impulsar y vivir juntos los retos que nos plantea el mundo digital. Estamos seguros de que 2017 va a ser un gran año y queremos seguir compartiéndolo contigo.

¡Happy CyberSecured Christmas!


Espías, records y metadatos rusos

miércoles, 21 de diciembre de 2016

Hace unos días nos enteramos del asalto sufrido por Yahoo! en 2013 con la friolera pérdida de 1000 millones de cuentas de sus usuarios, datos relacionados con sus nombres, contraseñas, preguntas de seguridad, etc. y se mantuvo en secreto hasta hace pocos días, cuando finalmente la compañía tuvo que admitir que en 2014 sufrió otro ataque similar con el robo masivo de 500 millones de cuentas.

Gracias a estas revelaciones se convierte en la empresa líder mundial en clientes afectados por piratería informática, donde el 97% de las 1000 empresas más grandes del mundo han sufrido filtraciones similares en sus entornos con mayor o menor repercusión.

Yahoo! es una más en la larga lista de afectados por los ataques a sus bases de datos, si bien los responsables de Yahoo! no han conseguido identificar a los autores de los robos, si han intentado tranquilizar a sus clientes asegurando que sus datos bancarios, números de tarjeta y otros datos sensibles no se han visto afectados. Visto lo visto planea sobre nuestras cabezas la posibilidad de que algún día vuelva a ser noticia con peores consecuencias si no lo remedian.

Este tipo de ataques o labores de espionaje no suelen ser propios de individuos independientes, si no de grupos u organizaciones especializadas con fines claramente definidos. La NSA y otros grupos de inteligencia norteamericanos han sido señalados en múltiples ocasiones como parte implicada en la obtención de información a través de los metadatos, correos electrónicos, llamadas, etc., de personas, organizaciones y hasta de gobiernos extranjeros supuestamente amigos.

Otros países tradicionalmente referentes en labores de espionaje tampoco se quedan atrás. Como se comentó el pasado verano, según fuentes norteamericanas el gobierno ruso parece haber participado indirectamente en la victoria del candidato republicano y ahora presidente Donald Trump, por medio del grupo de ciberespionaje ruso The Dukes denominados así por el FBI, que estaría formado por dos equipos: Cozy Bear (APT 29) y Fancy Bear (APT 28) que extrajeron y filtraron aproximadamente 20.000 correos y datos de miembros del DNC (Comité Nacional Democrata) donde se ponía de manifiesto los duros enfrentamientos internos entre los propios aspirantes demócratas a la presidencia. Esta intrusión fue detectada por CrowdStrike en los equipos del DNC a raíz de la investigación que se llevó a cabo tras hacerse pública la filtración en junio en Wikileaks.

Se sospecha que fue extraída por uno de los miembros de The Dukes, Guccifer 2.0 a raíz de las pruebas obtenidas sobre algunos documentos publicados del DNC, creados originalmente por Warren Flood (persona que se encargaba de proveer datos y servicios de análisis de estrategia a los candidatos demócratas) y donde se detectaron ciertos metadatos en ruso en este archivo Document. La traducción sería un alias, Felix Dzerzhinsky, nombre del fundador de la policía secreta soviética el pasado siglo XX.

DOCUMENTO CON METADATOS DETECTADOS DE MODIFICACIÓN EN RUSO

Otra de las pruebas extraídas y publicadas en varios medios muestran una serie de características que señalan aún más a su procedencia rusa:

A LA IZQUIERDA UN DOCUMENTO PUBLICADO POR POR GAWKER EN PDF CON VÍNCULOS A ENLACES ROTOS EN RUSO. A LA DERECHA EL MISMO DOCUMENTO EXTRAÍDO DEL DNC PERO PUBLICADO POR GUCCIFER 2.0

El objetivo de esta filtración aparentemente consistía en favorecer la victoria de Trump republicano contra la candidata demócrata Clinton, como represalia por sus críticas a los resultados parlamentarios rusos del pasado 2011. Rusia lo niega, pero estas evidencias lógicamente generan dudas.

Estos hechos no hacen más que reflejar la patente inseguridad o incapacidad de los sistemas actuales, su falta de control o gestión, la ausencia de los mismos o el dato más preocupante, la cada vez mayor inversión económica y de recursos en la creación y evolución de sistemas de penetración, espionaje y ataque cibernético, lo que demuestra que puede salir muy rentable invertir en este tipo de actividades fundamentalmente cuando en muchas ocasiones vienen respaldadas por gobiernos o agencias de inteligencia.

¿Es una guerra perdida?
Evidentemente no, ambos mundos se necesitan para evolucionar y mejorar. No hay nada infalible, pero si los medios y protocolos de seguridad se aplican y siguen correctamente, se ponen las cosas muy difíciles para los ciberdelincuentes,y de eso se trata.

¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield.

Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths.


Antonio Bordón
CyberSecurity Product Manager

Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (V)

lunes, 19 de diciembre de 2016


En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… Veremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante.

Continuamos mostrando un resumen con espíritu crítico de los últimos tres artículos académicos relativos a la materia.

Classifying Anomalous Mobile Applications Based on Data Flows

De nuevo, en este documento se realiza un estudio en el que se pretende clasificar malware móvil ayudándose de algoritmos genéticos. En esta ocasión se utilizan secuencias de llamadas a API del sistema para modelizar a los individuos. Las características interesantes se reducen gracias a algoritmos genéticos (de nuevo, se usan para reducir la dimensionalidad), que permiten obtener un conjunto subóptimo de llamadas a sistema que permita distinguir entre malware y goodware. El fitness usado es la tasa de verdaderos positivos m´as la precisión del clasificador usado.

Los resultados en artículo y experimento resultan bastante pobres. No muestra la tasa de falsos positivos que se intuye muy alta en la tabla adjunta. Además habla de la detección dentro de una misma familia y no en general, algo que resulta mucho más sencillo y con lo que la tasa de acierto se infla artificialmente.

Pocas muestras de cada familia, y una tasa de fallo que se intuye muy alta
 SAME: An Intelligent Anti-malware Extension for Android ART Virtual Machine

En este artículo se propone SAME como un interesante sistema para detectar malware en Android basado en la ´ultima m´aquina virtual de introducida en Lollipop 5 (ARTJVM) que sustituye a Dalvik. Se basan en extraer en un momento dado de la ejecución, los "Access flags" de Java, que contienen datos sobre el tipo de clase Java que se está usando, además de otros datos como el tamaño, el nombre de la clase (si contiene mayúsculas, números), etc. Pretende distanciarse de otros estudios prescindiendo de atributos típicos de detección como los permisos. Así hasta 24 funcionalidades. Tras el proceso de extracción y correlación, se elige el conjunto de mejores funcionalidades para clasificar (minimizando el error) gracias a varios algoritmos evolutivos y se compara. Finalmente quedan 12 funcionalidades, que permite que todo el proceso sea mucho más ágil. En el estudio se utiliza el sistema neuronal MLP (Multi-Layer Perceptron) para clasificar las clases, y se optimiza con Biogeography-Based Optimizer (BBO) para entrenarlo (lo que parece un punto innovador en el estudio). BBO se basa en el concepto de islas. Cada isla es una solución al problema y las especies los parámetros de cada solución. Las especies van migrando de isla a isla y mejorando las soluciones (islas), así, se prescinde de la reproducción o descendencia. Los resultados con BBO mejoran al resto de clasificadores, se alcanza un accuracy de 96,7%, lo que resulta alentador. Aunque el artículo es de 2015, los datos escogidos se basan en aplicaciones de 2010.


Los datos son buenos, pero se usan muestras de 2010 para un estudio de 2015

On the Selection of Key Features for Android Malware Characterization

En este artículo se vuelven a usar algoritmos genéticos para intentar descubrir las funcionalidades más relevantes que caracterizan al malware. Se toman 49 muestras de malware de Android (una de cada familia del conjunto usado) cada una con 26 funcionalidades. Por un lado se utiliza MRMR (Minimun Redundancy Maximum Relevance), un algoritmo de filtrado que busca que las funcionalidades sean lo más relevantes posibles y mínimamente redundantes (diferentes entre sí). Por otro lado, además, se usan algoritmos genéticos básicos con dos funciones de fitness diferentes: Mutual Information (I) y Information Correlation Coefficient (ICC), dos formas de medida de teoría de la información.

Los resultados muestran qué características son las más relevantes del malware, para poder, en el futuro, incluirlas como capacidades de muestras altamente sospechosas. Como se muestra en la imagen, lo más relevante es que exista un "rapackaging" y características de control remoto. Unas conclusiones bastante esperadas.


Y hasta aquí el repaso a los 9 artículos académicos. En la próxima y última entrega, hablaremos de las conclusiones.

* Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (I)
* Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (II)
* Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (III)
* Algoritmos evolutivos y malware. ¿Evolucionan los "virus"? (IV)


Sergio de los Santos
ssantos@11paths.com

ElevenPaths discovers the Popcorn ransomware passwords: no need to infect other people to decrypt for free

jueves, 15 de diciembre de 2016

MalwareHunterTeam has discovered a new variant of ransomware that is quite curious. At ElevenPaths we have been able to download and analyze the new improved versions that make several interesting mistakes, for example one that reveals your decryption password. This sample draws attention because, in theory, it offers two formulas to decrypt the files: either by paying, or if the infected succeeds in infecting two or more people who pay the ransom.

The "easy" way and… the "nasty" way

Apart from what has already been commented on this new version, we focus on the most interesting aspects of the evolution that we, at ElevenPaths, have analyzed. The basic functionality is as usual: a lot of files are encrypted depending on their extension, and a ransom of 1 bitcoin is requested (above the average that is usually demanded). What this ransomware does for the first time is to offer two ways to decrypt the content: the "normal" way, in which a ransom is paid, and the "nasty" way (so they call it), in which if a link to an executable is sent to two people and they get infected and pay, you will be given a "free" code to decrypt your content. A diffusion "Refer-a-friend plan" in which the attacker "ensures" two infections for the price of one, and a more effective dissemination method, since the victims chosen by the infected user will always be more predisposed to execute the link from an acquaintance. Another option is to pay (alleged condition for the "discount"). It is also important to note that the ransomware appeals to the sensitivity of the victim, stating that the money will go to a good cause: alleviate the effects of the Syrian war. It is called "popcorn" because the first version used the popcorn-time-free.net domain, although the latest versions do not.

Appealing to the sensitivity of the victim.
They also lie when they say that there is nothing to do and that only they can decrypt the data.

Technical aspects

How does this ransomware work at a technical level? It has been developed by an independent group without following the guidelines of the "known" families, and therefore, is not very developed yet. Apart from the versions analyzed by MalwareHunterTeam, at ElevenPaths we have had access to the new samples. These are some interesting aspects that we have noticed.

The program is written in C# and needs .NET4 to run. The executable is created "on the fly" for each infected user, with a unique ID code inserted for each victim. Interestingly enough, all variables are "embedded" in the code, and it is created on the server side. In addition, it does not follow the usual pattern of professional ransomware in which each file is encrypted with a different symmetric key and then this key is encrypted with asymmetric cryptography. On the contrary, all files are encrypted with the same symmetric key. From here, knowing the password is a matter of analyzing the code of the executable. 

The password

If we disassemble the code with, for example, ILSpy we can see the line containing the password in base64. A quick decode will allow us to get the password and the data back. We have not created a specific tool to do this, as it is more than likely that the attacker quickly changes the strategy and also, for now, this malware does not seem to be very advanced or widespread (if someone is infected, please contact us). In fact, the day before the password of its first versions was always "123456".

As mentioned, the password is supposed to be (along with all other variables) embedded by the server at the time the executable is created. After the analysis we have conducted, it turns out it is an MD5 hash of which we still do not know what it responds to. The MD5 hash is triply encoded with base64 in the code.


Partof the code where the password appears and how to decode it in base64. Click to enlarge

The result of the decoding is the password that can be entered in the corresponding dialog to decrypt the data without having to pay at all.




The rest of the code is sometimes messy, although it seems they are working day by day to improve it. For example, the salt in the cryptographic function is not random. This, which in any other circumstance would allow a precomputed dictionary attack, really does not have much effect here (the password is not in a dictionary, it is a hash), but it gives us an idea of the little cryptographic value that this ransomware has.

A not very useful salt (12345678), although it is not very important here.

HTML code

The HTML code that is displayed to the victim forms a very important part of this malware. It is also embedded encoded in base64 in the code. In it we can see that a verification is conducted using the APIs of the Blockchain.info (misused, it encloses the wallet in quotation marks) in order to know if the payment has been made and if it is validated in the blockchain. It uses Satoshis, which are a fraction of a bitcoin.

They misuse the API of Blockchain.info, although later they correct it

If so, they display some URLs hidden in JavaScript that are supposed to give access to the decryption code, and hosted in the Tor network. This protection (using a "hide" class) is ridiculous. When we access the URLs, the truth is we cannot see any decryption code (we guess that because they are still in the trial stage).



They are supposed to provide you with the decryption code when you pay and visit those URLs, but it does not look like it.

Refer-a-friend plan

What stands out the most about this is the "nasty way" to decrypt the files. Allegedly, if you send the executable link to two acquaintances and they pay, you will be given the unlock code. It is a very smart way to get a fast diffusion, but we think it is not true. The code does not contain any instructions to verify that this happens automatically. Unless all intelligence runs from the server side (which we doubt), we cannot guarantee (nor have we technically proven that it happens) that this is so and, therefore, this is more likely to be just a hoax to spread more malware. In fact, the generated executables do not contain information about who has recommended them, only the fact that they have been created under a URL that does indeed contain the ID of the initial victim. But looking at the entire system, its poor programming, unfulfilled promises, threatening countdowns that in the end do not erase a thing and the unstable infrastructure and "craftsmanship" in general, Occam's razor makes us lean to think that everything is false and that there is no mechanism to control this.

Remember that we have a tool with an approximation of proactive protection against ransomware that you can (soon) download from our laboratory.

Sergio de los Santos
ssantos@11paths.com

ElevenPaths descubre las contraseñas del ransomware Popcorn: si el infectado infecta a otros, su liberación le sale gratis

martes, 13 de diciembre de 2016

MalwareHunterTeam ha descubierto una nueva variante de ransomware bastante curiosa. En ElevenPaths hemos podido descargar y analizar las nuevas versiones mejoradas que cometen varios errores interesantes, entre ellos, el que permite conocer su contraseña de descifrado. Esta muestra llama la atención porque en teoría ofrece dos fórmulas para descifrar los ficheros: o bien pagando, o bien si el propio infectado consigue infectar a dos o más personas que paguen el rescate. 

La forma "fácil" y la forma... "nasty"

Aparte de lo que se ha comentado ya sobre esta nueva versión, nos centramos en los aspectos más interesantes de la evolución que hemos analizado en ElevenPaths. La funcionalidad básica es la de siempre: se cifran un buen montón de ficheros según su extensión, y se pide un rescate por ello de 1 bitcoin (por encima de la media que se suele exigir habitualmente). Lo que hace nuevo este ransomware, es ofrecer dos vías para descifrar el contenido: La vía "normal" en la que se paga un rescate, y la vía "nasty" (así la denominan ellos mismos) en la que si se envía un enlace a un ejecutable a dos personas, se infectan y pagan, se te dará un código "gratis" para poder descifrar tu contenido. Un "plan amigo" de difusión en la que el atacante se "asegura" dos infecciones por el precio de una, y un método de difusión más eficaz, puesto que las víctimas elegidas por el usuario infectado siempre estarán más predispuestas a ejecutar el enlace de un conocido. Otra cosa es que pague (supuesta condición para que se aplique el "descuento"). También destacar que el ransomware apela a la sensibilidad de la víctima, asegurando que el dinero irá para una buena causa: paliar los efectos de la guerra de Siria. Se ha llamado "popcorn" porque la primera versión utilizaba el dominio popcorn-time-free.net, pero ya no es así en las últimas versiones.

Apelando a la sensibilidad de la víctima.
También mienten cuando dice que no hay nada que hacer y que solo ellos pueden descifrar los datos

Los aspectos técnicos

¿Cómo funciona este ransomware a nivel técnico? Ha sido realizado por un grupo independiente sin seguir las directrices de las grandes familias, y por tanto, todavía no está muy desarrollado. Al margen de las versiones analizadas por MalwareHunterTeam, en ElevenPaths hemos tenido acceso a las nuevas muestras. Estos son algunos aspectos interesantes que hemos observado.

El programa está escrito en C# y necesita de .NET4 para ejecutarse. El ejecutable que lanza es creado "al vuelo" para cada usuario infectado, con un código ID único para cada víctima insertado. Curiosamente, todas las variables están "incrustadas" en el código, y se crea del lado del servidor. Además, no sigue el patrón habitual del ransomware profesional, en el que se cifra cada fichero con una clave simétrica diferente y luego esta es cifrada con criptografía asimétrica. Al contrario, todos los archivos se cifran con una misma clave simétrica. A partir de aquí, conocer la contraseña es cuestión de analizar el código del ejecutable.

La contraseña

Si se desemsambla el código con ILSpy por ejemplo, se puede observar la línea que contiene la contraseña en base64. Una rápida decodificación nos permitirá obtener la contraseña y los datos de vuelta. No hemos creado una herramienta específica para conseguirlo porque es más que probable que el atacante cambie rápidamente su estrategia y además, no parece un malware muy avanzado por ahora ni difundido (si alguien está infectado, que nos contacte, por favor). De hecho, el día anterior la contraseña de sus primeras versiones era siempre "123456". 

Como se ha mencionado, la contraseña se supone (junto con el resto de variables) incrustada por el servidor en el momento de creación del ejecutable. Tras el análisis que hemos realizado, resulta ser un hash MD5 del que aún no conocemos a qué responde. El hash MD5 está triplemente codificado con base64 en el código.

Zona del código donde aparece la contraseña y cómo decodificarla en base64. Pulsa para ampliar

El resultado de la decodificación es la contraseña que se puede introducir en el diálogo correspondiente para descifrar los datos sin necesidad de pagar.




El resto del código es a veces un despropósito, aunque parece que están trabajando día a día para mejorarlo. Por ejemplo, la sal en la función criptográfica no es aleatoria. Esto, que en cualquier otra circunstancia permitiría un ataque por diccionario precomputado, realmente aquí no tiene mucho efecto (la contraseña no está en un diccionario, es un hash), pero da una idea del poco valor criptográfico que tiene este ransomware.

Una sal (12345678) mal empleada, aunque aquí no tenga mucha importancia

El código HTML

El código HTML que se le muestra a la víctima forma una parte muy importante de este malware. Está igualmente incrustado codificado en base64 en el código. En él se observa que se hace una comprobación usando la API de Blockchain.info (mal usada, encierra entre comillas el wallet) para saber si se ha realizado el pago y si la cadena de bloques ha validado el pago. Utiliza satoshis, que son una fracción de un bitcoin.

Utilizan mal la API de Blockchain.info, aunque luego lo han corregido

Si es así, despliegan unas URLs ocultas en JavaScript que se supone dan acceso al código de descifrado, y alojadas en la red Tor. Esta protección (usando una clase "hide") es absurda. Al acceder a ellas, lo cierto es que no hemos podido ver ningún código de descifrado. Suponemos que por estar aún en pruebas.



Se supone que debería ofrecerte el código de descifrado al pagar y visitar esas URL, pero parece que no es así

El plan amigo

Lo que más ha llamado la atención es el "nasty way" para descifrar los archivos. Se supone que si se envía a dos conocidos el enlace ejecutable y estos pagan, se te dará el código de desbloqueo. Muy inteligente para obtener una rápida expansión, pero creemos que falso. El código no contiene ninguna instrucción para comprobar que esto ocurre automáticamente. A no ser que toda la inteligencia corra del lado del servidor (cosa que dudamos) no podemos garantizar (ni hemos evidenciado técnicamente que ocurra) que esto sea así y por tanto tiene muchas más posibilidades de tratarse de un simple bulo para esparcir más el malware. De hecho, los ejecutables generados no contienen información sobre quién los ha recomendado en su interior, solo el hecho de ser creados bajo una URL que sí contiene el ID de la víctima inicial… pero observando toda la tramoya del sistema, su mala programación, las promesas no cumplidas (cuentas atrás amenazantes que finalmente no borran nada...), lo inestable de su infraestructura y "artesanía" en general, la navaja de Ockham nos inclina a pensar que todo es falso, y no existe ningún mecanismo para controlar esto. 

Acordaos de que disponemos de una herramienta con una aproximación de protección proactiva contra el ransomware que podréis descargar (en breve) desde nuestro laboratorio.

Sergio de los Santos
ssantos@11paths.com

ElevenPaths Talks: Network Packet Manipulation




El próximo jueves 15 de diciembre nuestros compañeros Leonardo Huertas y Pablo González impartirán un webinar sobre Network Packet Manipulation. Finalizamos la segunda temporada de ElevenPaths Talks con el Talk dedicado a la seguridad de la red interna de una organización. ¡No te lo puedes perder!

La duración de la charla de Leonardo y Pablo será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30  (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangout. La sesión se impartirá en castellano.

Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Community, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Recuerda, tienes una cita el próximo 15 de diciembre en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.

Más información en:
talks.elevenpaths.com

Latch Plugins Contest 2016 is over

lunes, 12 de diciembre de 2016

Today, Monday, December 12 at 1 pm (CET), was the deadline for the submission of plugin applications to the Latch Plugins Contest, the Latch contest that looks for innovative and handy plugins for the Latch service. Any project submitted after this deadline will be invalid and will not enter the contest.


Now it is the turn of our jury, a top-level jury, composed of Chema Alonso, CEO CDO; José Palazón, CTO CDO; Pedro Pablo Pérez, VP Global Security; Alberto Sempere, Security Global Product Director, and Olvido Nicolás, CMO Global Security.

As you know, the jury of ElevenPaths will acknowledge:
  • Creativity, we are sure that you are inventive! 
  • Utility of the solution, simplicity and usability are very important. 
  • Effort, which is always rewarded. 
  • Thoroughness of the solution, the more complete the better. 
  • Clarity of documentation. 
  • Compliance with the submission date of the candidature.
After the deliberation phase, you will know if you have won one of our juicy prizes: up to $5,000 (in bitcoins).

Stay tuned! Winners will be notified by email during the 14 days following the closing date of the contest. You will then have 10 days to accept the prize.

Follow all the details in our blog and in the #LatchPluginsContest hashtag.

Cierre de inscripciones para Latch Plugins Contest 2016

Hoy, lunes 12 de diciembre a las 13:00 horas (hora peninsular española), ha finalizado el plazo de entrega de candidaturas de plugins para Latch Plugins Contest, el concurso de Latch que busca plugins innovadores y de utilidad para el servicio Latch. Cualquier proyecto que se presente fuera de este plazo será inválido y no podrá concursar.


A partir de ahora, el turno es de nuestro jurado, un jurado de nivel, que estará compuesto por Chema Alonso, CEO CDO; José Palazón, CTO CDO; Pedro Pablo Perez, VP Global Security; Alberto Sempere, Security Global Product Director, y Olvido Nicolás, CMO Global Security.

Como ya os contamos, el jurado de ElevenPaths valorará muy positivamente:
  • La creatividad, ¡estamos seguros de que eres todo un innovador! 
  • La utilidad de la solución, la sencillez y usabilidad es muy importante. 
  • El esfuerzo, que siempre se ve recompensado 
  • La exhaustividad de la solución, cuánto más completa sea mejor. 
  • La claridad de la documentación. 
  • El cumplimiento de la fecha de entrega de la candidatura.
Tras la fase de deliberación, podrás saber si has resultado ganador de alguno de nuestros suculentos premios: hasta 5.000 dólares (en bitcoins).

¡Estate atento! Los ganadores serán notificados por correo electrónico durante los 14 días siguientes al cierre del concurso. Después, el ganador tendrá un plazo de 10 días para aceptar el premio.

Sigue todos los detalles en nuestro blog y a través del hashtag #LatchPluginsContest.

Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV)

En esta serie de artículos se realizará un repaso a la literatura académica en la que se mezclan estos dos conceptos: malware y algoritmos evolutivos. Analizaremos de forma crítica qué trabajos y artículos se han presentado en orden cronológico durante los últimos años, para comprobar si realmente tiene sentido utilizar los algoritmos genéticos para mejorar cualquier aspecto de la lucha contra el malware, ya sea en detección, análisis, predicción… Veremos un buen montón de experimentos basado en la algoritmia evolutiva, que a su vez también resulta apasionante.

Continuamos mostrando un resumen con espíritu crítico de nueve artículos académicos relativos a la materia, publicados todos de 2010 en adelante y en orden cronológico.

Specialized Genetic Algorithm Based Simulation Tool Designed For Malware Evolution Forecasting

En este artículo se modela un hipotético malware para Android basado en sus estrategias de difusión y otras características. Se utiliza un algoritmo genético para evolucionar las estrategias y se concluye que el cromosoma con mejor fitness (mejor capacidad de transmisión) podría ser el siguiente:



El estudio resulta confuso, puesto que está basado en un estudio supuestamente anterior al que no se ha tenido acceso y muestran una herramienta con la que se han realizado experimentos y que no parece pública. En cualquier caso, teorizar sobre la evolución del malware puede resultar complicado. Actualmente, y con la perspectiva del tiempo, se puede comprobar que los métodos de difusión del malware móvil no están asociados al correo, BlueTooth o MMS, como predecía el estudio.

Información codificada como gen en el estudio
Support Vector Machine Integrated with Game-Theoretic Approach and Genetic Algorithm for the Detection and Classification of Malware

En esta investigación se utilizan opcodes, bytes y n-grams para representar binarios. Los opcodes son la representación nemotécnica del lenguaje máquina (en este caso sin sus parámetros). Estos opcodes se representan como n-grams. Para construir los n-grams, se extraen los opcodes únicos y se estudia su frecuencia para construir un vector. Así, cada binario queda traducido en dos vectores con sus bytes y n-grams únicos.

De estos vectores se extrae la funcionalidad esencial y se construye un clasificador usando Support Vector Machines como algoritmo. La combinación del clasificador se aborda como una tarea de toma de decisión que se resuelve con teoría de juegos para predecir la clase o sus probabilidades. En resumen, el algoritmo genético se utiliza para seleccionar las funcionalidades esenciales debido a la alta dimensionalidad del problema (los vectores, que son binarios según contengan una característica o no, son muy extensos), SVM como clasificador y finalmente una solución a la teoría de "Zero-sum game" para combinar los clasificadores.

Para este estudio, la función de fitness se toma como la precisión de clasificación. Así, tras seleccionar la característica más esencial gracias al algoritmo genético (que maximiza la clasificación), se convierte el vector en un problema de juegos (zero-sum game), convirtiéndolo en una competición de clases. En este experimento se introduce una variación en el algoritmo para el caso de que no haya solución al juego.

Resultados de la comparativa de clasificación del estudio

Se utilizan modelos de 1-gram y 2-gram. En los casos de 2-gram, es cuando se usa algoritmia genética para reducir la dimensionalidad a menos de 1000. Finalmente se compara el propio algoritmo construido (llamado ZSGSVM) con otros que han usado otras técnicas de reducción de dimensionalidad. Los porcentajes de clasificación encontrados, tanto con opcodes como con bytes son muy similares, y funciona, como mucho, igual que otras combinaciones. Los propios autores reconocen que el cálculo por algoritmo genético lleva bastante tiempo. Por tanto, aunque no se menciona, parece que su uso no aporta nada relevante, puesto que como se muestra en la tabla, se obtienen resultados similares sin necesidad de usar algoritmos genéticos.

Evolving Computational Intelligence System for Malware Detection

Este estudio pretende detectar, con los mínimos recursos, si un archivo ha sido empaquetado para su ejecución. Esta es una técnica habitual entre los creadores de malware, con la ´única intención de dificultar su análisis manual o dinámico. Desarrollan un sistema llamado Evolving Computational Intelligence System for Malware Detection (ECISMD), que en realidad se trata de un sistema de clasificaci´on utilizando Evolving Spiking Neural Networks (eSNN) para detectar si está empaquetado por un lado, y por el otro un sistema llamado Evolving Classification Function (ECF basado en “fuzzy clustering") optimizado a través de algoritmos genéticos.


Esquema general del estudio

En este caso, tanto el modelo ECF como el algoritmo evolutivo forman parte de un software desarrollado por los propios investigadores. Los genes se van convirtiendo en la entrada al ECF, y este da salida a diferentes clases. Tras entrenarlo, se dispondría de las reglas necesarias para diferenciar entre empaquetado y no. La funcionalidad que se extrae de los candidatos se consigue con un análisis estático: número y nombre de secciones, entropía del código, etc. En este caso, solo se utiliza para, de forma muy rápida, detectar si se trata de un fichero empaquetado y sobre ellos, si es malware. Una vez desempaquetado se usa el ECF mejorado con algoritmos genéticos para detectar si es malware o no. El tiempo de clasificación se reduce considerablemente hasta los 0.00016 segundos por ejecutable.

En la próxima entrega, estudiaremos las últimas tres investigaciones analizadas, antes de pasar a las conclusiones generales.

* Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (I)
* Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (II)
* Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (III) 
* Algoritmos evolutivos y malware, ¿evolucionan los "virus"? (IV) 




Sergio de los Santos
ssantos@11paths.com

ElevenPaths Talks: Software Defined Radio (SDR)

martes, 6 de diciembre de 2016




El próximo jueves 8 de diciembre nuestros compañeros Claudio Caracciolo y Jorge Rivera impartirán una charla sobre Software Defined Radio (SDR) en la que te hablarán de cómo montar tus herramientas en relación con esta tecnología y juntos veréis más en detalle sobre cómo podría utilizarse esta tecnología para la exfiltración de datos.

La duración de la charla de Claudio y Jorge será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla será a las 15.30h (Madrid) y estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por Hangouts y se impartirá en castellano.

Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Comunidad, donde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad. Puedes consultar el calendario de talks para ver los webcasts que aún quedan por celebrarse. Recuerda, tienes una cita el próximo 8 de diciembre a las 15.30h (Madrid)Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.


Más información en:
talks.elevenpaths.com

Tor y Firefox, ¿la mejor combinación para conseguir anonimato y seguridad?

lunes, 5 de diciembre de 2016


Todo comenzó con un correo de Sigaint, un servicio de correo público orientado a la privacidad. Una vulnerabilidad previamente desconocida en Firefox estaba siendo aprovechada en esos momentos contra usuarios de Tor (cuyo navegador se basa en Firefox) a través de JavaScript. Un 0-day de verdad (no son 0-day las vulnerabilidades recién descubiertas si no están siendo aprovechadas). Sin haber analizado aún el código, se intuía la gravedad del problema. Veamos qué ha ocurrido y cómo la red Tor combinado con TorBrowser pueden no ser la mejor combinación para conseguir lo que sus usuarios pretenden.

El código, sin necesidad de ser analista, resultaba bastante "autoexplicativo".


Parte del código del exploit, donde se cargaba una animación para ser interpretada por SVG


Algunas líneas permitían deducir que se trataba de un fallo a la hora de procesar animaciones SVG como después se confirmó. Y en otras se adivinaba la ejecución de cadenas ROP (típicamente necesarias para eludir DEP) para conseguir la ejecución de código.


Parte del código en el que reserva memoria para preparar la ejecución (luego llama a CreateThread)
En JavaScript también se ve cómo utiliza una expresión regular que casa solo con los Firefox utilizados para TorBrowser… ¿por qué limitarse a este navegador? Probablemente porque el objetivo eran solo los usuarios de esta red, y no los de Firefox, y por tanto, se intuye algún componente de control de internautas que buscan el anonimato.

Expresión regular para atacar solo a los TorBrowsers (basados en Firefox)

El exploit se tradujo a código máquina, donde se observa a qué IP se conecta. Aunque se podría hacer cualquier cosa en la máquina (el exploit permite la ejecución de código), este en concreto se limitaba a tomar la dirección MAC e IP del equipo y llevársela a una dirección IP en Francia (OVH). Algo muy parecido al exploit que se encontró en 2013 que luego se supo que provenía del FBI. Pero este exploit resulta tan “simple” en su forma como en su intención, que parece más bien una especie de prueba de concepto que se ha hecho pública antes de tiempo. 


En una sola imagen el exploit con IP, ruta y parte del JavaScript que explota la importante vulnerabilidad
en Firefox que se ha usado contra Tor.



Los fallos en la red y el navegador

Lo llamativo no es tanto que "alguien" vigile a los usuarios de la red Tor (otra vez) e intente sacar su información, como ha sido el caso. A estas alturas, es conocido que la red Tor es la herramienta de anonimato que debes evitar si quieres pasar realmente inadvertido. Inyectar este JavaScript o cualquier otro en un nodo de salida sería sencillo. Tor, es necesario admitirlo, es la red más vigilada (exploits, posibilidad de nodos de salida trampa, posibles colaboraciones con la policía...). No suele ser una opción para los que "de verdad" necesitan anonimato por actividades criminales. O al menos, no por sí solo (se puede combinar con tráfico cifrado punto a punto, navegadores muy limitados, etc). Es una buena opción para el ciudadano medio que quiere privacidad ante las operadoras, gobiernos y publicistas, etc… pero es un secreto a voces que los verdaderos delincuentes buscan alternativas. Tor no ofrece de por sí seguridad, sino en cierta manera anonimato (escondiendo el origen, más específicamente). Para añadir seguridad, es necesario la participación del navegador, en este caso. Y es aquí donde, analizando este incidente, se han desvelado algunas torpezas


El fallo en Firefox al procesar SVG parece que ya se conocía en cierta forma en 2013. SVG no es muy usado hoy por hoy. De hecho, la parte de código de Firefox afectada no se ha tocado en cinco años. Parece que existen desde junio reportes de "crashes" del sistema en esta misma zona de código explotada, lo que podría significar que alguien experimentaba con la vulnerabilidad desde entonces. El exploit no es complejo: no necesita eludir ninguna sandbox. Y aquí se evidencia lo atrás que queda Firefox con respecto a Chrome o IE… no usa procesos aislados por pestaña, no aprovecha una buena sandbox… están en ello, y lo reconocen. 

Todavía están probando lo efectivo que podría ser una sandbox y aprendiendo qué se necesita hacer

Siempre que se habla de seguridad en navegadores, parece que estalla alguna vena sensible más basada en lo visceral que en los hechos. Pero Firefox ha quedado técnica y objetivamente atrás a la hora de implementar medidas de seguridad reactivas y proactivas y no está a la altura del resto. Discutir esto es entrar en filosofía (en el terreno de la privacidad y libertad, donde Firefox sí que funciona mejor que las alternativas...) más que evaluar hechos técnicos.

Chrome con niveles de integridad en "no confianza" y procesos separados.
Igual Internet Explorer con su AppContainer, mientras Firefox no separa procesos y usa nivel medio.

Firefox ha arreglado en tiempo récord el problema, como siempre. Pero la solución es un parche de emergencia que no soluciona el problema de raíz. También ellos mismos lo reconocen. Recordemos que esto abre la puerta a que, como tantas otras veces, un parche rápido que no soluciona el problema permita que el fallo siga siendo explotable. Por poner un ejemplo, con este tipo de parches Tavis Ormandy ya ridiculizó a Red_Hat con shellshock. El parche hace que Firefox haga "crash", pero al menos no se ejecute código. 



En resumen, resulta llamativo que en 2016 se utilice un exploit tan "sencillo" (porque está basado en código que se encuentra en Firefox desde hace más de 5 años) y que el efecto sea tan devastador (porque el navegador no implementa medidas de contención adecuadas) con el fin de espiar a usuarios especialmente preocupados por su privacidad y seguridad. Ni el navegador Firefox ni la red Tor en sí mismas, son los mejores garantes ni lo uno ni de lo otro. 


Sergio de los Santos
ssantos@11paths.com