28 marzo, 2007

Mitos sobre la seguridad de redes wireless (inalámbricas)

Al parecer hoy en día todo el mundo tiene un módem inalámbrico o por lo menos una tarjeta de red inalámbrica en su laptop, creando una bella oportunidad para ser atacados por hackers y sin embargo nadie parece preocuparse. Existe un falso sentido de seguridad entre los usuarios y administradores de redes inalámbricas.

Ya en una entrada anterior comente sobre las vulnerabilidades de las tarjetas wireless, ahora voy a comentar sobre algunos mitos en cuando a la seguridad de la red inalámbrica. Hace ya dos años que George Ou publicó en su blog algunos mitos sobre la seguridad en wireless y lo llevó a escribir un pequeño manual de seguridad que ha estado actualizando de vez en cuando.

Sin embargo después de todo este tiempo y de mucho mayor experiencia de la comunidad de IT en general sobre las redes wireless algunos mitos prevalecen, en gran parte porque son considerados buenas prácticas, pero que en realidad son de las peores prácticas de seguridad e inversión por su dinero.

¿Cualés son los mitos más comunes que hasta los "expertos" en seguridad como CISSP recomiendan? Aquí los tienen:

  • Filtrado de MAC.- El filtrar los accesos dando de alta solo los MACs de las tarjetas de red de las computadoras permitidas, es una de las peores prácticas no sólo porque es totalmente inútil sino que es una gran pérdida de tiempo configurarlo y darle mantenimiento; es un drenado de dinero con el peor retorno sobre inversión. Para encontrar un MAC permitido todo lo que necesita hacer un hacker es usar un sniffer y ver el número hexadecimal de 12 dígitos , copiar y pegarlo como el MAC de su tarjeta, todo esto le toma menos de 30 segundos. Y no olvidemos que como bien menciona George Ou "un sniffer para un hacker es como un martillo para un carpintero pero con el beneficio de que es gratuito".
  • Esconder el SSID.- Los AP emite su ID de 5 formas diferentes, al deshabilitar en el AP el SSID, lo único que hacen es esconder 1 de la 5 , sin mencionar que le dificultan la vida al usuario si brinca de AP a AP y en pierden más tiempo configurando todas las máquinas de los usuarios. Si quieren información más a fondo sobre este tema les recomiendo leer " WLAN Testing Reports: Debunking the Myth of SSID Hiding" de ICSA labs.
  • Autenticación LEAP.- Este puede ser un gran problema pues te deja vulnerable a un ataque. Cisco le pide a sus clientes que usen passwords difíciles para que no pueden encontrarlos con ataques de fuerza bruta. El gran problema es que a los humanos no nos agradan los passwords difíciles y por eso no los usamos y si no nos queda de otra, lo acabamos escribiendo en un post-it. Otro problema es el famoso asleap de Joshua Wright que en minutos sino no es que segundos encuentra los passwords necesarios para ingresar a la red.
  • Deshabilitar DHCP.- Esta es mi favorita, porque no sirve de nada para incrementar la seguridad, lo único que hacen es aumentar el trabaja de configurar cada máquina manualmente con IPs estáticas. Con un sniffer en 10s cualquier hacker puede encontrar es esquema de asignación que utilizan.
  • Antenas.- Algunos "expertos" recomiendan posicionar la antena en el centro de la oficina y bajar la potencia a lo mínimo. Lo único que logran con esto es echar a perder la red, porque van a tener varios lugares con problemas de recepción dentro de la oficina, el poder y la posición de la antena debe de basarse en lograr la máxima cobertura y la mínima interferencia. Recuerden que un hacker siempre tendrá una antena mucho más potente con la que se podrá conectar a un kilómetro de distancia.
Vale la pena mencionar algo sobre WEP, algunos de ustedes se preguntarán porque no lo añadí, al igual que George Ou, siento que es el único que provee algo de seguridad, aunque inútil contra un hacker con algo de conocimientos, por lo menos le toma unos 10 minutos usando dos máquinas al mismo tiempo para descifrarlo, lo cual lo detiene por un tiempo y requiere cierto nivel de experiencia, no sólo correr un programa y en caso de solo estar buscando un red para inicial sus ataques a otras más importantes, puede lograr disuadirlo en especial si hay una más sencilla cerca.

Si quieren implementar seguridad en su red inalámbrica todo lo que tienen que hacer es activar el WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) con una frase aleatoria alfanumérica de por lo menos 10 caracteres que les tomaría siglos romper. Es importante que sea una frase aleatoria porque con un buen ataque de diccionario la pueden romper si es una palabra común. Para opciones más complejas de seguridad les recomiendo que lean esta guía.

Como siempre dejen sus comentarios, sugerencias y opiniones al respecto. Naveguen seguros.

22 marzo, 2007

Firefox FireCAT

Siempre que pensamos en la seguridad de nuestras redes y máquinas, pensamos en firewalls, IDS, analyzers, etc, y muchas veces nos olvidamos que la mayoría del malware entre por dos programas: el que usamos para leer el email y el navegador (en ocasiones son el mismo).

De ambos, el navegador es por mucho el que mayor riego presenta. En general en cuanto a navegadores la mayoría solo piensa en Internet Explorer, aquellos de ustedes que han desarrollados sitos web podrán nombrar al menos IE, Netscape, Firefox, Safari y Opera, si han trabajado con Linux pueden añadir Konqueror, Mozilla, Epyphani, y aquellos que usen Mac añadirán también iCab, Omniweb, y Camino. Si son muy dedicados igual y han usado Avant, Escape o Maxthon. ¿De todos los mencionados cuál es el mas seguro?

La pregunta es cuestión de debate entre los expertos, pero en nuestro caso sólo debemos de preocuparnos por los mas usados que son IE y Firefox. Entre la población en general y en la mayoría de las empresas que Windows como su OS, IE es el navegador por default y ni como cambiarlo, pues las restricciones impuestas sobre los usuarios no los deja usar otro navegador.

El gran problema es que IE aparte de no ser muy seguro, es el blanco de casi todos los ataques que utilizan las vulnerabilidades del navegador para instalar su malware. Aquí es donde Firefox viene al rescate, aunque también tiene sus vulnerabilidades son mucho menos que las de IE y tiene un gran arsenal para defenderse del malware.

El equipo de Security-Database.com publica de manera constante un mapa con las extensiones de firefox orientadas a la seguridad conocido como FireCAT (FireFox Catalog of Auditing Toolbox). En este encontramos herramientas esenciales para defendernos de todo tipo de ataques, desde No Script que sólo ejecuta las extensiones de Java y Javascript de los dominios que tu le permitas y por default deshabilita todos los demás. Tenemos también el Add N Edit Cookies que nos permite ver las coookies que tenemos y añadir cookies y editarlas.

Para usuarios más avanzados hay extensiones como Firebug que nos permiten ver, monitorear y editar en tiempo real cualquier archivo de CSS, HTML y JavaScript. También tenemos el firekeeper que es un IDS, que detecta, alerta y bloquea sitios maliciosos. Hay muchas herramientas más que incluye el FireCAT, vale la pena revisarlo con calma y probarlas.

Algo interesante para considerar es el hecho de que el uso de firefox entre la gente que se dedica a seguridad el del 50% aprox. vs el público en general que es del 30%. Lo que nota en parte que los usuarios de firefox en su mayoría son "usuarios expertos" que se toman el tiempo y la dedicación para configurarlo y adaptarlo.

Como siempre dejen sus opinines, comentarios, historias, quejas y sugerencias...

18 marzo, 2007

Spyware de 20 dólares

Hace casi un año que se dio o conocer sobre un kit ruso para producir spyware. El kit parece estar creciendo en popularidad en Latino América. Esto se debe en parte a la creciente cooperación que estamos viendo entre hackers Rusos y Brasileños.

El kit conocido como WebAttacker está disponible en un sitio Ruso por 20 dólares el upgrade y por 300 la versión completa incluyendo soporte técnico, la cuál al parecer la han actualizado continuamente, por lo menos en agosto del año pasado y después en noviembre añadiendo funcionalidad. En general el kit permite hacer troyanos que explotan vulnerabilidades conocidas y de las cuales ya hay parches disponibles, pero que en muchas empresas no han sido tapadas (no tienen activada las actualizaciones automáticas). También permite mandar spam con títulos y contenido de noticias falsas con la finalidad de que los usuarios visiten un sitio para leerlas y ahí sean infectados.

Los sitios web contienen un iframe escondido que cargan el archivo go.php que redirige la página a ie0609.cgi?homepage que a su vez redirige a demo.php donde a través de un javascript escoge el exploit correcto y manda el parámetro correcto al cgi que regresa un binario con el malware a ser ejecutado.

La cooperación entre rusos y brasileños aunque inicialmente empezó con herramientas como esta, al parecer ha incrementado creando troyanos que roban la información bancaria, en general la idea es la misma, mandan un e-mail con una carta del banco de agradecimiento o felicitaciones haciendo que el usuario haga click en el link contenido enviándolos a páginas que se parecen a las del banco pero hospedadas en sitios como Geocities, donde ejecutan los scripts.

Si les interesa saber a detalle como funciona el cgi de Web-Attacker pueden visitar el blog de los security labs de Websense.

Como siempre, actualicen sus máquinas constantemente, duden de cualquier email recibido y verifiquen que la dirección que aparece en la barra del navegador es la correcta. Dején sus experiencias, comentarios y opiniones como siempre.


07 marzo, 2007

Kernel Malware

El personal de F-Secure responsable de analizar las amenazas mantiene un blog y un canal en YouTube que son destinos obligados para todos aquellos que les interese aprender un poco más sobre seguridad.

Recientemente Kimmo Kasslin publico en su blog un artículo sobre Malware que se enfoca en los que atacan kernel de los sistemas basados en Win NT. Los virus que ganan acceso al kernel se ejecutan en "ring-0" teniendo acceso a todos los recursos del sistema, a diferencia de los que se ejecutan en modo de usuario que se ejecutan en "ring-3". Aunque estos ataques no son nuevos, han sido poco comunes.

En 1999 se encontró el primer malware basado completamente en el kernel bautizado "WinNT/Infis", un parásito residente en memoria que actuaba como un driver del sistema y ganaba control al engancharse directo al INT 0x2E. Al abrir un PE EXE (Portable Executable Win32 file) lo infecta y le cambia la fecha para distinguir los infectados de los no infectados. Por suerte el daño no era grave, al intentar abrir programas como la calculadora, paint o el cd player el sistema manda un mensaje de error diciendo que "no es una aplicación WinNT válida".
Otro virus interesante de kernel es el Virus.Win32.Chatter que se encontró en el 2003. Este se añade a cualquier archivo ".sys" abierto, se engancha al nt!NtCreateFile de la nt!KiServiceTable ganando así control de cada operación de abrir y crear archivo. Pero como la rutina del virus se ejecutaba en modo de usuario se le clasifica en "semi-kernel".

Una de los puntos que destaca del artículo de Kasslin es el hecho de que en los últimos años (2003 al 2006) se incrementado el número de malware en donde algunas o todas sus partes están diseñadas para explotar vulnerabilidades a nivel de Kernel. En gran parte esto parece ser causa del auge que han tenido los rootkits y la cantidad de ejemplos y documentación existente sobre como utilizarlos.

El malware inicialmente intentará ejecutar su código en ring-0, para lograr esto, nos comenta Kasslin, normalmente utilizan una de las siguientes 2 tácticas:

La primera es cargar un driver en el kernel, normalmente contiene la extensión ".sys" y puede ejecutarse en el thread en modo de usuario que pida una función del I/O, también puede hacerlo en el thread en modo de kernel, o uno aleatorio como resultado de una interrupción. Usando el Service Control Manager de Windows pueden usar la función de CreateService y cargar el driver sin necesidad de reiniciar la máquina. Si el registro del driver es exitoso, creará una entrada en el registro en "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services", Una vez registrado se puede iniciar usando la función de StartService del API provisto, lo cual hace que el sistema realice ciertas acciones comunes a cargar un dll en user mode.

Existe otro método para cargar un driver que no está documentado por Microsoft, pero que lo explican Greg Hoglund y Jamie Butler en su libro Rootkits: Subverting the Windows Kernel y que recomiendo ampliamente que lean. La gran ventaja del método que describen es que el driver no dejá ningún rastro en el SCM de su existencia y por lo tanto no puede ser removido hasta que se reinicie la máquina.

El otro método es utilizar las "call gates" que permiten que un programa cambie su nivel de privilegio en el CPU, por ejemplo de ring-3 a ring-0. Esto es posible a través de dos funcionalidades no documentadas de Windows.

La primera utiliza el objeto \Device\PhysicalMemory, que permite a un programa mapear parte de la memoria física a su espacio de direcciones. Uno de los primeros virus que lograron explotar correctamente esta vulnerabilidad es el W32.Fanbot.A@mm. Una explicación detallada de como utilizar esta funcionalidad la pueden encontrar en un artículo de Crazylord en la revista Phrack.

La segunda funcionalidad que utilizan es a través de la función ZwSystemDebugControl exportada de Ntdll.dll, la ventaja de usar esta es que mapea a memoria virtual, en lugar de memoria física ahorrándose así la necesidad de calcular correctamente la traducción de espacio físico a virtual. (ver el el Gurong.A)

Después de explicarnos a detalle como utilizar los gate calls, Kasslin nos lleva dentro del mundo de dos diferentes malwares que corren en modo Kernel, que bien vale la pena leer a detalle y por lo tanto no los comentaré aquí.

Esto es todo por ahora, como siempre dejen sus experiencias, comentarios y sugerencias.

01 marzo, 2007

Como Proteger tus Websites y Evaluar su Seguridad

En una entrada anterior hablamos sobre como usar Access Diver para encontrar passwords en los sitios web. Mientras que esta herramienta funciona bien para hacer una prueba inicial de nuestro sitio, esta lejos de ser la mejor prueba de seguridad.

La realidad es que para la mayoría de las empresas que se dedican al desarrollo web o que tienen su propio web mantenido por su departamento de IT, les cuesta mucho tiempo y trabajo el revisar y asegurar sus sitios. Y como en la mayoría de los casos (con excepción de bancos, etc.) piensan que no es probable que los ataquen, dejan las revisiones de seguridad para después, el único detalle es que ese después nunca llega.

Un buen lugar para empezar a empaparse sobre seguridad de sitios web es el libro "How to Break Web Software: Functional and Security Testing of Web Applications and Web Services" de Mike Andrews y, James A. Whittaker ambos expertos en el campo. Sin embargo como el tiempo es oro y rara vez tenemos tiempo para ir a comprar el libro, leerlo y luego ponerlo en práctica, la mejor solución es dejar que una expertos lo hagan por nosotros.

Mientras que en el pasado estas soluciones eran caras, donde tenían que comprar equipo y profesionales que visitaban la oficina, hoy en día existen servicios de excelente calidad un costo muy aceptable, como el ClickToSecure de Cenzic.

Bajo el concepto de SaaS (Software as a Service), usan su famso HailStorm para hacer todo tipo de pruebas en tu sitio web sin necesidad de instalar ni configurar nada. Simplemente les das tu URL, hacen las pruebas y te entregan un reporte completo de todas las vulnerabilidades detectadas. La gran ventaja aquí, es que no hay que comprar ningún software, no hay que aprender a usarlo, configurarlo y correr las pruebas, todo esto se los dejamos a profesionales.

Otra de las ventajas es que no necesitamos estar al día en los diferentes tipos de ataques que existen pues ellos mantienen actualizadas sus pruebas con las últimas amenazas como son: entradas de información sin validar, control de acceso roto, autenticación y administración de sesiones rotas, XSS, buffer overflows, inyecciones de código, mal manejo de errores, y mal aseguradas consolas de administración y bases de datos entre otros.

Una vez obtenido el reporte se preguntarán que hacer para cubrir las vulnerabilidades. Una opción es que los mismo consultores de Cenzic les ayuden a corregirlas, en algunos casos las vulnerabilidades son sencillas y con el puro reporte las podemos corregir nosotros.

En caso de tener aplicaciones web grandes o varios servidores, la mejor opción puede ser instalar el firewall NC-1100 o NC-2000 de Net-Wall. Estos firewalls de aplicación defienden aplicaciones web y transacciones de hackers profesionales. Más del 80% de las intrusiones a servidores son a través de sus aplicaciones web, donde los tradicionesles firewalls e IDS no protegen, y es aquí donde los firewalls NC de Net-Wall nos resultan más útiles.

Estos vienen en dos categorias AF y AG. Los AF son application firewall que dan protección a las applicaciones web, mientras que los AG son application gateway que aparte de dar protección, aumentan el desempeño usando caching, compresión y más.

La ventaja de este firewall, es que no es necesario conocer las vulnerabilidades actuales, pues no depende de una base de datos de vulnerabilidades conocidas, sino que escanea los envíos en busca de inyecciones de SQL, XSS, buffer overflows, forms tampering, cookie tampering, escaneo de puertor, SYN flood, etc. El sistema integra políticas por parte del desarrollador, de tal manera que si queremos que un campo sea de 40 bytes de largo el firewall se asegura que no rebase ese largo en el envío, previniendo que pueden mandar virus, o que algún fuzzer este trantando de estrellar el código, etc.

El NC-1100 y 2000 tienen muchas ventajas más como encripción y desencripción de SSL, caching del contenido web, pooling de las conecxiones TCP, compresión de GZIP, load balancing (round robin, weighted round robin, y least requested por default pero se pueden implementar out of service redirections, y sticky connections). Todo esto no sale barato y por eso el NC-1100 anda alrededor de los $30,000 dólares.

Si les fue útil esta información y se sienten generosos me pueden donar el libro del que les hable en este blog visitando my wish list en Amazon.
My Amazon.com Wish List
Add to Technorati Favorites

Como siempre dejen sus comentarios, experiencias y opiniones.