Monthly Archives: August 2008

Tipos de URLs maliciosos y cómo actúan

Posted on by
Reply

Los enlaces a páginas falsas son una forma de ataque que cobra cada vez más víctimas. En más de una oportunidad, muchos de nosotros habremos ingresado a URLs maliciosos sin querer, quizás sólo por habernos confundido en una letra al haber escrito el nombre de una página Web.

Hay que tener en cuenta que hay dos tipos de URLs maliciosos, los que se dividen en cada clase según la forma que se utilice para hacer entrar al link a la víctima.

Uno de ellos es el que se basa en la Ingeniería Social y trata de convencer al usuario de que ingrese a algún link de su interés para después redireccionarlo a una página falsa en la que habrá algún código malicioso esperándolo o alguna forma de persuación para que ingrese sus datos personales (un ejemplo típico de phishing).

Trend aseguró que esta es la forma más usual de cobrar víctimas mediante URLs maliciosas. Una forma clásica es el envío de spam que contenga algún tema de interés para el usuario y un link para ingresar a la página que supuestamente contiene el material prometido en el correo electrónico.

En estas últimas semanas el tema de los Juegos Olímpicos estuvo al frente, pero también otro tipo de noticias relacionadas con figuras del ambiente artístico o la política, desastres ambientales, eventos de envergadura y otros muchos temas que puedan captar la atención del internauta.

El segundo caso son aquellos en los que no se involucra la Ingeniería Social sino alguna variante en la URL original. Un ejemplo claro es cuando se comete algún error tipográfico al escribir la dirección de alguna página y terminamos ingresando en un sitio falso. Es muy común que muchos ciber-delincuentes utilicen esta táctica, especialmente con el nombre de marcas conocidas.

La misma Trend fue víctima de este caso. Un breve cambio en el nombre real de la página lleva directamente a una página falsa controlada por criminales. Otro ejemplo es cuando logran plagar los resultados de búsqueda de Google con sitios falsos de manera que al ingresar, nos llevan al sitio falso.

Como vemos, hay una serie de cuestiones que hay que tener en cuenta para no ser víctimas de URLs maliciosos: no ingresar a links en correos electrónicos de los que no conocemos su origen o que tengan noticias sorprendentes, y si conocemos a quien lo envía, chequear bien qué lo haya enviado. También hay que tener mucho cuidado con las direcciones a las que ingresamos (cuidado en el sentido de estar seguros que no hay ninguna diferencia, por más pequeña que sea, a la original). Y por supuesto, tener un antivirus continuamente actualizado.

Fuente: http://www.rompecadenas.com.ar/articulos/2049.php

Microsoft actualiza URLScan para contrarrestar los ataques masivos sobre sus servidores

Posted on by
Reply

Microsoft acaba de publicar una versión mejorada de URLScan, un extra para su servidor Web que actúa como filtro frente a intentos de inyección SQL y códigos maliciosos.

Pero, ¿cuál es la principal novedad que aporta URLScan 3.0 frente a su versión anterior 2.5? Pues nada más y nada menos que la nueva versión filtra también las “query string” (es decir, las cadenas que van en la URL tras el dominio, que es precisamente dónde suele está el “quid” de la cuestión). Hasta hoy, y por increíble que parezca, URLScan no filtraba las cadenas que incluyen la consulta SQL, sino sólo las URLs y en función de características tan superficiales como su longitud.

URLScan 3.0 también aporta un control más estricto que permite a los administradores definir reglas mucho más específicas, así como implementar listas blancas de cadenas de consulta permitidas.

Una vez más, Microsoft desmiente así a sus propios “fanboys”, que al menos hasta hoy defendían con su característico empecinamiento que toda la responsabilidad de los últimos ataques masivos recaía exclusivamente en los desarrolladores de aplicaciones

Y es que es cierto: los ataques por inyección SQL no son “culpa” del servidor SQL de Microsoft (ni mucho menos exclusivos de sus servidores), pero la propia multinacional norteamericana reconoce que URLScan 3.0 está mejor construido que la versión anterior, y que puede ayudar al menos a que no se reproduzcan los ataques con la lamentable facilidad con que vienen haciéndolo últimamente sobre el servidor web de esta empresa…

Fuentes:

http://www.kriptopolis.org/microsoft-actualiza-urlscan

http://weblogs.asp.net/steveschofield/archive/2008/08/21/urlscan-3-0-rtw-release-to-web-available.aspx

http://redmondmag.com/news/rss.asp?editorialsid=10141

http://learn.iis.net/page.aspx/473/using-urlscan

http://blogs.iis.net/bills/archive/2008/04/25/sql-injection-attacks-on-iis-web-servers.aspx

http://blogs.iis.net/wadeh/archive/2008/06/24/urlscan-v3-0-beta-release.aspx

Herramientas de Seguridad Lanzadas en DEFCON

Posted on by
Reply

A continuacion les dejo un listado de herramientas de seguridad lanzadas en la reunión de hackers “DEFCON 16” en la Vegas.

Beholder – by Nelson Murilo and Luis Eduardo
# Descripción: An open source wireless IDS program
# Pagina: http://www.beholderwireless.org/
# Correo: [email protected]

The Middler – by Jay Beale
# Descripción: The end-all be-all of MITM tools
# Pagina: http://www.themiddler.com/ (Online?)
# Preface Link: http://www.intelguardians.com/themiddler.html

ClientIPS – by Jay Beale
# Descripción: An open source inline “transparent” client-side IPS
# Pagina: http://www.ClientIPS.org/ (Online?)

Marathon Tool – by Daniel Kachakill
# Descripción: A Blind SQL Injection tool based on heavy queries
# Download Link: DEFCON 16 CD. No online link found.
# Correo: [email protected]

The Phantom Protocol – by Magnus Brading
# Descripción: A Tor-like protocol that fixes some of Tor’s major attack vectors
# Pagina: http://code.google.com/p/phantom
# Correo: [email protected]

ModScan – by Mark Bristow
# Descripción: A SCADA Modbus Network Scanner
# Pagina: http://modscan.googlecode.com/
# Correo: [email protected]

Grendel Scan – by David Byrne
# Descripción: Web Application scanner that searches for logic and design flaws as well as the standard flaw seen in the wild today (SQL Injection, XSS, CSRF)
# Pagina: http://grendel-scan.com/

iKat – interactive Kiosk Attack Tool (This site has an image as a banner that is definitely not safe for work! – You have been warned) by Paul Craig
# Descripción: A web site that is dedicated to helping you break out of Kiosk jails
# Pagina: http://ikat.ha.cked.net
# Correo: [email protected]

DAVIX – by Jan P. Monsch and Raffael Marty
# Descripción: A SLAX based Linux Distro that is geared toward data/log visualization
# Pagina: http://code.google.com/p/davix/
# Download Link: http://www.geekceo.com/davix/davix-0.5.0.iso.gz
# Correo: [email protected] and [email protected]

CollabREate – by Chris Eagle and Tim Vidas
# Descripción: An IDA Pro plugin with a server backend that allows multiple people to collaborate on a single RE (reverse engineering) project.
# Pagina: http://www.idabook.com/defcon
# Correo: [email protected] and [email protected]

Dradis – by John Fitzpatrick
# Descripción: A tool for organizing and sharing information during a penetration test
# Pagina: http://dradis.sourceforge.net
# Correo: [email protected]

Squirtle – by Kurt Grutzmacher
# Descripción: A Rouge Server with Controlling Desires that steals NTLM hashes.
# Pagina: http://code.google.com/p/squirtle (Live?)
# Correo: [email protected]

WhiteSpace – by Kolisar
# Descripción: A script that can hide other scripts such as CSRF and iframes in spaces and tabs
# Download Link: DEFCON 16 CD

VoIPer – by nnp
# Descripción: VoIP automated fuzzing tool with support for a large number of VoIP applications and protocols
# Pagina: http://voiper.sourceforge.net/

Barrier – by Errata Security
# Descripción: A browser plugin that pen-tests every site that you visit.
# Pagina: http://www.erratasec.com
# Correo: [email protected]

Psyche – by Ponte Technologies
# Descripción: An advanced network flow visualization tool that is not soley based on time.
# Pagina: http://psyche.pontetec.com/

Escrito por AR-TECH en Herramientas de seguridad lanzada en DefCon 16 en las Vegas

Fuente: http://www.dragonjar.org/herramientas-de-seguridad-lanzadas-en-defcon.xhtml

¿La seguridad de Windows Vista en entredicho?

Posted on by
Reply

“Como impresionar a las chicas traspasando la protección de memoria con
el navegador”. Con ese jocoso título, los investigadores, Alexander
Sotirov y Mark Dowd, mostraron a una expectante audiencia en las
conferencias BlackHat 2008 como traspasar las protecciones de memoria
de Windows Vista y ejecutar a través del navegador cualquier tipo de
contenido.

Pronto, desde algunos medios, se exageró la noticia al extremo de
declarar que la seguridad de Windows Vista estaba rota y lo absurdamente
peor: Que no tenía solución y era mejor abandonar el sistema. El
sensacionalismo había prendido la hoguera de la confusión.

¿La realidad?, que no hay nada nuevo bajo el sol. No se trata de un
exploit que destruya a Windows Vista y tome el control del sistema del
usuario. Lo que Sotirov y Dowd demostraron es que es posible rebasar
las protecciones de Windows Vista para hacer lo que en cualquier otro
sistema es posible: ejecutar código.

Windows Vista implementa una serie de protecciones de seguridad para
evitar o prevenir la ejecución de código arbitrario. La tecnología DEP
(Data Execution Prevention), que permite marcar zonas de memoria no
ejecutables, ya presente en Windows XP SP2 y que se apoya en una
característica en las CPU conocida como bit NX; incluso en aquellas CPU
que no implementen el bit NX, DEP es capaz de ofrecer protección con
funcionalidad reducida. Mientras que con ASLR (Adress Space Layout
Randomization) se proporciona aleatoriedad en las direcciones del
espacio de memoria de un proceso, para dificultar la búsqueda de
direcciones “interesantes” desde el punto de vista del atacante. Además
de estás dos, Windows Vista también se beneficia de las anteriores como
la protección del heap, SafeSEH, etc.

Durante muchos años el anhelo de los diseñadores de sistemas operativos,
en materia de seguridad, ha sido neutralizar la ejecución de código
malicioso. Las características mencionadas anteriormente introducen una
mayor protección pero el ingenio humano carece de límites cuando se le
reta y en este caso Sotirov y Dowd lo han demostrado. Han desmontado una
a una las protecciones y han vuelto a reproducir vulnerabilidades
conocidas.

En palabras de los investigadores, estas protecciones elevan el nivel
de seguridad pero no son definitivas. Factores como la carga de
responsabilidad del navegador y su propia arquitectura con capacidad
para interpretar código, incrustar aplicaciones, imágenes y todo tipo de
aplicaciones de terceros vía plugins hacen que el atacante invierta su
tiempo en encontrar vectores sobre el navegador para llegar al sistema.

Presentación (Slides)
How to Impress Girls with Browser Memory Protection Bypasses: Setting back browser security by 10 years

http://taossa.com/archive/bh08sotirovdowdslides.pdf

Paper Bypassing Browser Memory Protections: Setting back browser security by 10 years

http://taossa.com/archive/bh08sotirovdowd.pdf

David García
[email protected]

Fuente:

http://www.hispasec.com/unaaldia/3587/

http://seguinfo.blogspot.com/2008/08/la-seguridad-de-vista-intil.html