Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

29 abril 2014

Vunerabilidad Crítica en el Internet Explorer (CVE-2014-1776)

 
Fire Eye informa de una vulnerabilidad en el Internet Explorer, aún sin parchear (zero day) que está siendo utilizada en una campaña de ataques que han denominado “Operation Clandestine Fox”. Dicha vulnerabilidad afecta a las versiones IE6 hasta la IE11, aunque los ataques se han detectado a partir de la IE9.

Un atacante podría aprovechar esta vulnerabilidad para, mediante una página web maliciosa, realizar una ejecución arbitraria de código que le diera los mismos permisos que al usuario. El funcionamiento del exploit consiste en cargar un fichero Flash SWF que ejecuta un javascript y se salta las protecciones ASLR y DEP; por lo que no tendrá éxito si no está activado el plugin Adobe Flash.

Las recomendaciones de seguridad que se dan (hasta que MS haga disponible un parche, posiblemente el 13 de mayo), son las siguientes:

-  Desactivar el plugin de Adobe Flash: en “Opciones de Internet – Programas –Administrar complementos”.
    
      Instalar EMET 4.1 o 5.0: http://www.microsoft.com/en-us/download/confirmation.aspx?id=41138
-  
-    En “Opciones de Internet – Seguridad - Internet” y “Opciones de Internet – Seguridad - Intranet”  marcar “Habilitar modo protegido”.
-      Deshabilitar “Active Scripting” en “Opciones de Internet – Seguridad – Internet –Nivel personalizado: “Automatización”. Y en: “Opciones de Internet – Seguridad – Intranet –Nivel personalizado: “Automatización”.
-    Desregistrar el VML Parser ejecutando el siguiente comando:
              regsvr32 –u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

Como siempre, os agradezco vuestras contribuciones y/o correcciones, si fueran necesarias. Gracias de antemano.

Mientras tanto, Fire Eye sigue investigando el tema y esperamos el parche de Microsoft.

Más información en:

10 abril 2014

OpenSSL Heartbleed (what I know about it)


Como me han pedido que haga un recopilatorio de toda información interesante que ha ido apareciendo sobre el OpenSSL Heartbleed, lo voy a poner aquí también, para compartirlo.

La lista no es exhaustiva y pido de antemano disculpas por las omisiones. Pero es para los jefes y no quería sobrecargarlos. Si hay algo importante que creais que falta os ruego, por favor, que me lo digais. Muchas gracias a todos por contribuir a hacer de internet un lugar más seguro. :)

Una semana después (lo mejor que he leído al respecto):
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/heartbleed_desmitificado

Explicación sencilla para Pennies
http://www.rtve.es/noticias/20140410/heartbleed-nombre-del-fallo-seguridad-mas-impresionante-historia-internet/915342 (vía @microsiervos)


http://blog.kaspersky.es/vulnerabilidad-heartbleed/

http://www.elmundo.es/tecnologia/2014/04/11/5347b72122601d9f7f8b4570.html por @dipudaswani)

Qué contraseñas tengo que cambiar (vía ):
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/#:eyJzIjoidCIsImkiOiJfNG83NnpvYndub2F5ZmljZSJ9 

Cómo saber si tu servidor es vulnerable (vía @raulsiles):
En la siguiente página: http://filippo.io/Heartbleed/ 
 openssl s_client -connect google\.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

Para mirar los procesos que siguen con la lib antigua vulnerable (vía Nico Castellano en la Lista RootedCon):
lsof -n | grep ssl | grep DEL

Comprueba también los clientes (vía @raulsiles):

Para saber si te están intentando atacar (vía @Miguel_Arroyo76):

Explicaciones en los foros: 
http://krebsonsecurity.com/2014/04/heartbleed-bug-exposes-passwords-web-site-encryption-keys/
http://www.flu-project.com/2014/04/heartbleed-metasploit-y-otra-sangria-en.html?spref=tw

En los CERT:

Detalles sobre la vulnerabilidad:

Explicación técnica para dummies (contribución de @YJesus):
 - ¿Aún estás ahí?
 - Sí. Y mi número pin secreto es el 3344.

En imágenes (vía @javitobal & @angealbertini)

Enlace permanente de imagen incrustada

¿Qué otros servicios pueden estar (o haber estado) afectados?:
Lista completa: 

Fabricantes: 


Móviles con Android 4.1.1. (vía @raulsiles): 



Actualizado:
Más remedios antisangrado (vía @raulsiles, @lowk3y y @1zn0g0ud):
iptables: 
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \ "52=0x18030000:0x1803FFFF" -j DROP

tshark: tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type
snort: http://vrt-blog.snort.org/2014/04/heartbleed-memory-disclosure-upgrade.html
masscan: http://blog.erratasec.com/2014/04/using-masscan-to-scan-for-heartbleed.html?m=1


01 abril 2014

eGarante, testigo online









Comenté en un post anterior que os hablaría de eGarante. Es un servicio que me ha llamado la atención desde el principio. Pero, lo que me impulsó a querer investigarla a fondo fue un tuit en el que decían: "Hemos usado una captura web, obtenida gracias a eGarante, válida como prueba en juicio". Quien así se expresa es un socio del bufete Abanlex, firma especializada en tecnología, que recomienda eGarante "por su calidad en el trabajo y excepcional trato al cliente". Así que me dije: vamos a probarlo (tengo que reconocer que han respondido amablemente a todas las preguntas que les he hecho).

¿Para qué puede servirnos eGarante?

1) Para certificar el envío de un correo electrónico, de una manera cómoda y gratuita. Basta con poner en copia a mailsigned@egarante.com y nos llegará una raw copy (copia en bruto) en formato pdf, con toda la información detallada de las características del email (contenido, destinatarios, etc.), firmada digitalmente con un certificado electrónico emitido por Firmaprofesional que incluye un sello de tiempo que permite saber si el documento ha sido o no modificado posteriormente. Este documento también se envía al destinatario de correo, para que le quede constancia. Validar la firma es muy fácil y lo explican aquí.

2) Para negociar contratos: basta con que el receptor de correo de a "responder a todos", enviando así copia de su respuesta a eGarante, que actuaría como tercero independiente de las negociaciones.

3) Para certificar la emisión de documentos: como facturas, etc. Solo hay que enviar el documento generado a su destinatario, con copia a docsigned@egarante.com y ambos (emisor y receptor) recibirán una copia sellada del mismo.

Todo esto lo permite la versión gratuita, cuyo uso es exclusivo de cuentas de correo no profesionales (gmail, yahoo, etc.). Si quisiéramos que nos certificaran el acuse de recibo, necesitaríamos contratar la versión Pro: en ese caso, eGarante hace una captura del log del servidor SMTP remoto para verificar que el correo se ha recibido (no que se ha leído).

La versión Pro permite, además, el uso profesional de eGarante con cuentas de correo de dominio propio y la integración con Evernote

4) Para obtener evidencias web. Por ejemplo: ¿os ha pasado alguna vez que veis el precio de un artículo en la web de una tienda y cuando os desplazáis allí, resulta que es más caro? A mí sí. Por fortuna, pude enseñarles la página en mi teléfono y reconocieron su error. Pero ¿os imagináis que lo hubieran cambiado? Bueno, no es que vayamos a ir copiando todo lo que vemos en la web por si luego lo cambian. Pero, en algunos casos, sí que puede resultar interesante. Especialmente, en el mencionado al inicio de este artículo: si hay alguien que nos injuria en las redes sociales, está bien hacerse con una copia, por si luego quiere deshacerse de las pruebas.

egweb

En el caso de la tienda, mandaríamos un correo a websigned@egarante.com copiando en el asunto la url de la web. Eso dispara un proceso automático en el servidor de eGarante que accede a la misma web y nos manda una copia sellada de lo que él (el servidor) está "viendo". Ya sabéis que lo que se ve depende un poco de cosas como el navegador, etc.; pero deberá ser casi idéntico (si no totalmente) y la información esencial no variará.

El servicio eWeb de eGarante accede al mismo sitio al que accedemos nosotros. Por supuesto, es un proceso automático, no un señor al que han cogido del paro para que vaya entrado en todas las webs ;).  Lo que quiere decir que es algo totalmente privado y anónimo. Pero claro está que esto plantea el problema de acceder a sitios para los que previamente hayamos tenido que registrarnos. La solución: registrarse en la intranet y contratar el uso de tantas certificaciones pubsign como queramos. Su uso es el siguiente:

Nos descargamos un plugin (de momento, solo para Firefox). Si Firefox no te lo instala automáticamente, vete a Complementos (Ctrl.+ Mayús. + A) Plugins y, arriba a la derecha, tendrás una flechita que despliega un menú; dale a "Instalar complemento desde archivo" y busca el plugin que te acabas de descargar en la carpeta de descargas por defecto.

En la configuración del plugin tendremos que introducir la clave API que nos dieron al registrarnos en la intranet y la dirección de correo a la que queremos que nos envíen la evidencia, que será alguna de las que tengamos dadas de alta en la intranet.
ever3

A partir de ahí, cada vez que queramos capturar una evidencia en una página que requiera autenticación, solo tendremos que hacer click en el plugin y luego en "Sellar página" y al momento recibiremos un pdf sellado, con una copia de la pantalla que estábamos viendo.

Es importante señalar que, para que la evidencia pueda tener validez legal, la captura ha de realizarla un tercero. La captura no la hace el plugin. Éste solo envía la url y las cookies asociadas a esa sesión autenticada, para que el proceso del servidor (que es donde se hace la captura) pueda acceder a la misma sesión a la que accedemos nosotros.

Otros usos de eGarante:

Han ido apareciendo en los medios. Podéis consultar algunos en los siguientes enlaces:


¿Se os ocurre alguno más?

Qué no es eGarante:  

No es un servicio de burofax, ni lo sustituye en los supuestos legales que expresamente exijan el envío de uno.

No es un notario. Lo que no quiere decir que no pueda tener validez legal en los casos en los que no se requiera la presencia del mismo. Hay otros supuestos y figuras legales además de la del notario: la firma ante testigos, los terceros de confianza, etc.

No es un tercero de confianza definido por la LSSI. Para serlo, tendría que guardar copia de las evidencias (el pdf firmado) con acuerdo previo de ambas partes; lo que no hace por cuestión de privacidad. El único que tiene copia es el cliente (o, en su caso, el destinatario del email). La confianza y validez de la evidencia se basa en el hecho de que un tercero independiente certifique electrónicamente un documento, con una garantía de sello de tiempo que alertaría sobre su modificación posterior.

No es un "cazador" de XSS o SQLi para pentesters. Sí, yo también pienso que sería útil poder usar el eWeb para certificar un agujero de ese tipo. Pero si escribes cualquier cosa rara en la url que envíes, recibirás un mensaje como el siguiente: "Your URL contains illegal characters, please avoid to use characters like ' or words like "script"". Esto es porque estaríamos obligando a eGarante a repetir el ataque y quien tiene autorización para hacer el pentest eres tú, no ellos.

Entonces, ¿qué es eGarante?

Pues, ellos mismos se definen como un testigo online independiente "que crea una evidencia electrónica que tiene capacidad probatoria en un proceso". Dicha evidencia "equivale al documento privado regulado en el artículo 326 de la Ley de Enjuiciamiento Civil", que remite, a su vez, al artículo 3 de la Ley de Firma Electrónica.

eGarante no es el único servicio de este estilo que existe, ni tampoco estoy diciendo que sea el mejor. La verdad es que no he tenido ocasión de compararlo con otros. Ni se me ha dado la circunstancia de tener que usarlo para defenderme legalmente. Pero es tan cómodo y fácil de usar que ya casi se ha convertido en un reflejo el ponerles en copia en varios asuntos. Y siempre lo tengo a mano cuando me muevo por las redes sociales, por si acaso.

Por otro lado, sé que hay mucha gente que lo usa. Si os animáis a usarlo vosotros también, tal vez podáis compartir la experiencia con la comunidad. Por mi parte, he decidido dejar en este post los resultados del tiempo invertido en investigarlo, por si le viene bien a alguien (ya sabéis que siempre comparto todo lo que puedo con vosotros).

Si queréis saber más, además de a su web, podéis acudir a algo de lo que se ha publicado al respecto. Y , si tenéis alguna pregunta, no dudéis en escribirles; doy fe de que son muy amables.

Update: me han contactado de eGarante y me comentan lo siguiente:

"María, queremos agradecerte el tiempo dedicado a analizar nuestra herramienta y como muestra del mismo hemos pensado que lo mejor es hacer algo que de valor a tus lectores. Por ello, te facilitamos el siguiente cupón de descuento que hasta el 31 de abril de 2014 ofrece un 15% de descuento en los producto eGarante pro y eGarante pubsign 100.

Cupón: Penny414

Muchas gracias"