Sep 11 2010

Dudas razonables

Gabolonte Blasfemus

Todos las tenemos, los usuarios de Speedy también:

image


Ago 16 2010

Dudas Existenciales (73)

Gabolonte Blasfemus

La baja actividad en este weblog de pacotilla delata, además de que a lo mejor me estoy rascando mucho, otra realidad de mi temporada sabática en la bobósfera (término que por cierto ya se quedó anticuado, ahora debería ser algo como socialmierdósfera o similar): Ni me acuerdo a veces de que existía algo que se llamaban feeds. Pero cuando a veces le regalo mi valioso tiempo (ok…) a la lectura de un buen artículo, me encuentro a veces con perlas muy interesantes, como la reseña de dos interesantes charlas de seguridad dadas en la última Black Hat realizada por su majestad el Maligno. Mientras que de una de ellas, la nueva vulnerabilidad que afecta a WPA2 (hasta el momento el protocolo más seguro para conectarse por Wi-Fi) se explayó oportunamente Alejandro de SpamLoco, a mí me llamó poderosamente la atención la otra que, en honor a la verdad, aunque utiliza dos conceptos que ya son conocidos desde hace un buen tiempo no deja de preocupar un poquito.

Para exponerlo en semi-nardo-geek-criollo, nuestro muchacho, un tal Samy Kamkar, en primer lugar logra, mediante un ataque XSS que afecta a los routers inalámbricos del gigante estadounidense Verizon, obtener la MAC address de la interfaz inalámbrica de dichos equipos sólo con conseguir que la víctima detrás de uno de estos acceda a un sitio que dispare la vulnerabilidad, siendo el único requisito necesario que lo haga desde un navegador que haya sido previamente autenticado con la interfaz web de administración de su router. Mediante la misma vulnerabilidad también se envía este dato al atacante, para luego pasar a la fase 2.

La segunda parte es, al menos para mí, una que me resulta preocupante por ser algo que casi todos conocemos y pocos pensamos que se podría usar de esta forma, aunque sí nos sospechábamos que algún día se nos volvería en contra. Se trata ni más ni menos que de la infame base de datos mundial que Google mantiene donde asocia con una coordenada geográfica toda red Wi-Fi que hayan detectado en sus innumerables incursiones para mapear al mundo. En su charla sugestivamente intitulada How I met your girlfriend nuestro amigo Samy explica como descubrió, examinando de qué manera funciona el protocolo de geolocalización que utiliza Firefox y otros navegadores, como cuando Google Maps intenta establecer nuestra ubicación uno de los parámetros que utiliza para conseguirlo es fijarse en la red inalámbrica a la que estamos conectados (si este fuese el caso) y consultar su localización en su inmensa base. El parámetro que identifica a cada red no es desde ya su nombre, sino sería un verdadero despropósito con tantas llamadas linksys, netgear y similares, sino que como ya bien lo saben o se lo imaginan a estas alturas se trata del dato que fue extraído en el paso anterior: La MAC Address, la dirección física del adaptador inalámbrico del router, la cual como con toda interfaz de red es un valor único e irrepetible de fábrica. De esta forma el ataque completo consigue ubicar geográficamente a la víctima con una asombrosa y atemorizante precisión, y sin necesitar de un GPS o la red de telefonía celular.

En su sitio de muestra del xploit Samy nos muestra como con tan sólo ingresar la MAC de cualquier red Wi-Fi obtenemos enseguida no sólo unas coordenadas, la cual muy amablemente nos exhibe en Google Maps, sino datos más directos, como País, Ciudad, Calle y hasta la Altura, generalmente con un rango de error de una cuadra. Uno a veces no suele preocuparse por estas cosas porque cree que sólo ocurren en países del primer mundo donde ya a estas alturas cada ciudadano cuente sin saberlo con una sonda anal de rastreo, pero fue grande mi sorpresa al verificar que Google sabe donde vive mi Wi-Fi.

Lo más peligroso de toda esta cuestión radica en que, mientras la mayoría de los routers permiten desde su configuración cambiar la dirección física del adaptador WAN, o sea el que se conecta a Internet a través de, por ejemplo, el cablemódem o módem ADSL, no conozco ninguno que permita hacerlo con la del adaptador WLAN. La única vía posible de evitar quedar escrachados en este caso radicará en poder utilizar un router movido por Linux, desde cuya línea de comandos se puede realizar este cambio con relativa facilidad.

¿Creen que pueden estar a salvo de las implicancias de que Google sepa donde vive nuestro router tan sólo porque no es uno de Verizon? Puede que lo quieran pensar otra vez, todos los días surgen nuevas formas de extraer mediante el navegador información del equipo en el que este corre…


Abr 7 2010

La obsolescencia de los antivirus

Gabolonte Blasfemus

Hoy sucedió un hecho bastante interesante que me hizo reflexionar nuevamente sobre una tendencia que viene creciendo desde hace varios años y que le da el nombre a este post. Un visitante me dejó un poco cálido comentario en el post sobre la herramienta tcping, aludiendo a que contenía un troyano; y más allá de que jamás le encontré nada que fuera motivo de sospechas, sumado a la poca seriedad y amabilidad del comentario en sí (Autor : uno que pasaba, E-mail : lalala@hormail.com, Comentario: Tiene un troyano como una casa), la duda quedó sembrada y me dispuse a bajar una nueva copia desde el sitio del autor de la herramienta, compararla con la que ya tenía descargada en mi equipo, y verificarla en VirusTotal para ver que tenían para decir sobre la misma las compañías antivirus más reconocidas, y las que no también. Las copias resultaron idénticas, y el resultado fue el siguiente:

image

Como podemos observar, algo de razón tenía nuestro amigo trollónimo. De los 39 motores de antivirus utilizados en el análisis 7, entre los que se incluyen Kaspersky y McAfee, reconocen en esta herramienta a un supuesto troyano identificado como Trojan.Win32.Rozena, aunque otros de la talla de F-Secure, BitDefender, Panda, Eset NOD32 y Microsoft Security Essentials no lo hagan. Ahora bien, ¿qué es y qué hace exactamente este troyano llamado Rozena?

Los datos que San Google nos arroja son bastante limitados, pero podemos ver como para sitios de información sobre amenazas como ThreatExpert y PC1News se trata de un troyano asociado al falso antivirus conocido como Antivirus 2009, capaz de crear numerosas entradas en el registro para asegurarse iniciar junto con el sistema, así como todo tipo de diálogos y redireccionamientos de sitios web apuntados a vendernos este supuesto antivirus. En cambio, para Eset sólo existe el Win32/Rozena.AE, el cual según su propio ThreatCenter informa tiene como payload el crear una cuenta de usuario con derechos administrativos en Windows con el nombre de usuario evil y la contraseña password.

De más está decir que en todo este tiempo que llevo usando tcping, una herramienta cuyo código fuente está disponible en el sitio de la misma bajo licencia GPL, jamás aparecieron ninguna de estas señales ni tampoco otras que mínimamente sugirieran un comportamiento sospechoso. Tampoco fui capaz de encontrar afirmaciones elocuentes sobre la posibilidad de que el binario de esta herramienta descargado desde su página oficial pudiera contener algún tipo de código malicioso.

Tal vez me equivoque, pero estoy bastante seguro de que este es otro caso más donde las detecciones heurísticas genéricas, sumadas a la propagación de firmas sospechosas basadas únicamente en el rumor, como bien lo demostró Kaspersky no hace mucho, fueron las responsables de este desafortunado resultado, marcando como culpable a una simple herramienta, posiblemente por el sólo hecho de ser un Portable Executable de Windows que utiliza la librería wsock32.dll. Claramente este y otros casos revelan que estamos llegando a un punto de inflexión en la inefectividad del modelo de seguridad establecido por las compañías antivirus desde hace 2 décadas, donde la cantidad, variedad y velocidad de las amenazas son tales que comienzan a cometer demasiados errores con tal de no perderles el paso.

En todo caso, y como no soy un mago del Assembler de x86 ni mucho menos del C++, aclararé en el post pertinente a esta utilidad sobre esta situación, para que cada uno saque sus propias conclusiones y decida si quiere utilizarla o no. Y ojo con hacer ping a puertos TCP desde tcping que los pueden acusar de poseer armas de destrucción masiva (?)


Mar 18 2010

Antivirus gratuitos para servidores Windows (y estaciones de trabajo también)

Gabolonte Blasfemus

image Con la salida de Microsoft Security Essentials vimos como era posible para muchas PyMES y profesionales conseguir una buena solución antivirus gratuita, simple, completa, y directamente de Microsoft, evitando así pagar por complejas suites comerciales o probar versiones gratuitas de terceros que pueden contener publicidad y/o limitaciones deliberadas. Pero un problema aún mayor que se sucede dentro de las pequeñas empresas donde nunca sobra el peso ocurre a la hora de proteger servidores Windows, ya que la mayor parte de los antivirus gratuitos, sea por cuestiones técnicas o principalmente comerciales, admiten su instalación únicamente en estaciones de trabajo. Esto suele dejar a muchas PyMES en una peligrosa encrucijada, donde después de (en el mejor de los casos) haber pagado las costosas licencias asociadas a un servidor Windows, deben elegir entre pagar aún más para instalar un buen sistema antivirus, optar por instalar uno crackeado, o directamente dejarlo desprotegido.

A continuación les muestro 4 opciones en soluciones antivirus gratuitas que se pueden instalar sin problemas en servidores Windows, permitiendo superar este dilema.

Continue reading


Ene 21 2010

La vulnerabilidad más antigua de Windows

Gabolonte Blasfemus

image Es normal enterarse todo el tiempo de nuevos agujeros de seguridad en cualquier sistema operativo o aplicación a un ritmo prácticamente diario; sin ir más lejos todavía circulan noticias alrededor del bug de Internet Explorer mediante cual, supuestamente, hackearon a Google desde China. Pero no todos los días uno se entera de una vulnerabilidad presente desde tiempos inmemoriales dentro de un sistema operativo, y en este caso, para ser más precisos, de hace 17 años. Ese es el tiempo desde el cual está presente un problema de seguridad en Windows que permite a una aplicación escalar privilegios y tomar el control del sistema, y que se supone es capaz de explotarse en todo sistema Windows de 32 bits, desde el primer NT hasta el flamante Windows 7.

El bug radica en la Virtual DOS machine, o VDM, el subsistema que incorporan todos los Windows de 32 bits para permitir la ejecución de aplicaciones de DOS o de Windows a 16 bits dentro de los mismos. De esta forma, es posible que código de 16 bits, utilizando una serie de trucos contra la VDM, alcance privilegios de administrador en el sistema local que le permita manipularlo a su antojo.

Humillantemente para Microsoft, este agujero de seguridad de hace casi dos décadas fue descubierto por un miembro del equipo de seguridad de Google (vaya uno a saber qué hacía mirando en la VDM de Windows), y también se tomó el trabajo de publicar un exploit que demuestra la falla y que funciona en Windows XP, Windows Server 2003 y 2008, Vista y 7. Y como de momento en Redmond están muy ocupados leyendo los twits de Bill Gates, por ahora no existe parche que mate a este dinosaurio escondido en cada Windows, siendo la única opción posible para resguardarse del mismo deshabilitar la VDM, esto es, inhabilitar por completo la ejecución de programas de 16 bits en Windows. Para lograrlo se puede utilizar el editor de políticas de grupo en las versiones de Windows que lo posean (ej Windows Server 2003) para realizar este cometido, aunque lo más fácil y directo en cualquier Windows es, mediante el editor del Registro, crear o editar el valor D-Word VDMDissallowed y hacerlo igual 1, bajo la rama \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat.

Posiblemente poca gente utilice aún aplicaciones DOS o Windows de 16 bits, aunque a mi se me viene una a la cabeza (el viejo y popular Compumap porteño), pero de todas formas es importante considerar que este problema tampoco es para morirse e ir corriendo a tomar medidas; a menos que seamos administradores de sistemas en entornos donde se implementan políticas rígidas de seguridad o trabajemos desde cuentas limitadas de Windows para evitar la ejecución accidental de malware, una típica PC con Windows donde los usuarios hacen todo desde una cuenta con derechos administrativos hace palidecer en importancia a este antiquísimo bug.

A ver cuando encuentran una vulnerabilidad en el comando dir, esa le ganaría a todas…

Vía The H Security.