Curl | bash, Como detectar el uso en el servidor

La instalación del software mediante la canalización de curl y bash es obviamente una mala idea y un usuario bien informado lo más probable que haría es comprobar el contenido en primer lugar. Por lo tanto, ¿no sería genial si una carga maliciosa sólo se haría cuando uses curl |bash? Algunas personas han intentado esto antes mediante la comprobación de la aplicación del usuario, curl es de ningún modo a prueba de fallos – el usuario puede simplemente hacer curl al URL y en la línea de comandos revelar su código malicioso. Por suerte el comportamiento de curl (y wget) cambia cuando usas pipe (|) en bash. Esto permite que un atacante pueda presentar dos versiones diferentes de su script en función del contexto 🙂

Continue reading “Curl | bash, Como detectar el uso en el servidor”

AI2, el bot que detecta el 85% de ataques a la red

AI2, Hoy en día los sistemas de seguridad caen dentro de dos categorías: Humanos y Máquinas. Entonces los llamados “Analistas de soluciones” confían en las reglas creadas por los expertos vivientes (los humanos) y por lo tanto no se pierda ningún ataque que no coincidan con las reglas.  Mientras tanto, los enfoques de aprendizaje de las máquinas se basan en la “detección de anomalías“, que tienden a provocar falsos positivos, y esto mismo genera desconfianza en el sistema y terminan siendo investigados por los humanos de todas formas.

AI2 CSAIL
AI2 CSAIL

Pero ¿y si hubiera una solución que podría fusionar esos dos mundos? ¿Qué aspecto tendría?

En un nuevo documento, los investigadores de MIT’s Computer Science and Artificial Intelligence Laboratory (CSAIL) y el startup PatternEx demuestran una plataforma de inteligencia artificial llamado AI2 que predice ataques cibernéticos significativamente mejor que los sistemas existentes mediante la incorporación permanentemente de los expertos humanos.

El nombre proviene de la fusión de la inteligencia artificial, con lo que los investigadores llaman el analista de intuición. (Analyst Intuition, AI2)

El equipo demostró que AI2 puede detectar el 85% de los ataques, que es aproximadamente tres veces mejor que los puntos de referencia anteriores, al tiempo que reduce el número de falsos positivos en un factor de 5. El sistema fue probado en 3.6 mil millones de piezas de datos conocidos como “sys logs”, que se han generado por millones de usuarios durante un período de tres meses.

Para predecir los ataques, AI2 peina los datos y detecta actividad sospechosa, agrupando los datos en patrones significativos utilizando el machine-learning. A continuación, se presenta esta actividad para los analistas humanos que confirman que los acontecimientos son los ataques reales, e incorpora la retroalimentación en sus modelos para el siguiente conjunto de datos.

Fuente: CSAIL.MIT.EDU

Ransomware de Sitios Web – CTB-Locker Usa Blockchain | Sucuri Español

En los últimos dos años, ransomware de sitios web se ha convertido en uno de los tipos de malware más desarrollado. Después de los infames antivirus falsos, esta es la segunda ola del malware más prominente. Este tipo de malware es rentable porque ofrece servicios de “remoción de malware” para los usuarios de ordenadores infectados.Read More

Origen: Ransomware de Sitios Web – CTB-Locker Usa Blockchain | Sucuri Español

Mozilla Firefox, Vulnerabilidad

El día 05 de agosto, un usuario de Firefox informó que un sitio de noticias en Rusia estaba publicitando una vulnerabilidad (exploit) de Firefox que buscaba archivos sensibles y les ha subido a un servidor que parece estar en Ucrania. Mozilla lanzó actualizaciones de seguridad que corrigen la vulnerabilidad.

Firefox Exploit
Firefox Exploit

Se insta a todos los usuarios de Firefox a actualizar a Firefox 39.0.3. La solución también se ha hecho en Firefox ESR 38.1.1.

La vulnerabilidad proviene de la interacción del mecanismo que hace cumplir la separación de contexto JavaScript (la “misma política origen”) y el visor de PDF de Firefox. Productos de Mozilla que no contienen el Visor de PDF, como Firefox para Android, no son vulnerables. La vulnerabilidad no permite la ejecución de código arbitrario, pero el exploit fue capaz de inyectar una carga útil de JavaScript en el contexto de archivos local. Esto le permitió buscar y cargar archivos locales potencialmente sensibles.

Los archivos que estaba buscando eran sorprendentemente centrados para el exploit lanzado en el sitio de noticias que tiene un público general, aunque por supuesto no sabemos dónde más podría haber sido desplegado el anuncio malicioso. En Windows el exploit buscaban Subversion, s3browser y archivos de configuración Filezilla, .purple, información de la cuenta Psi+ y los archivos de configuración del sitio a partir de ocho diferentes clientes FTP populares. En Linux el exploit busca los archivos de configuración globales habituales, como /etc/passwd, y luego en todos los directorios de usuario que puede acceder a buscar, como es ~/.bash_history, ~/.pgsql_history, archivos de configuración ~/.ssh y llaves, archivos de configuración ~/.mysql_history y también de Remina, Filezilla y Psi+, archivos de texto con “pass” y “access” en los nombres y las secuencias de comandos de shell. Los usuarios de Mac no son el objetivo de este particular exploit pero no serían inmunes si alguien crear una carga diferente.

El exploit no deja rastro pues ha sido ejecutado en la máquina local. Si utiliza Firefox en Windows o Linux sería prudente cambiar las contraseñas y claves que se encuentran en los archivos mencionados anteriormente si utiliza los programas asociados. Las personas que usan el software de bloqueo de anuncios pueden haber sido protegidos de la explotación en función del software y filtros específicos que se utiliza pues necesita Javascript para ser executado.

Fuente: Blog Mozilla

BlackHat 2015, Vulnerabilidad en Thunderstrike de Mac OS X

Se espera que un nuevo ataque contra firmware de Intel que se ejecuta en los ordenadores de Apple que se hará público en la conferencia Black Hat 2015 de esta semana. La investigación es una extensión del bootkit firmware Thunderstrike Mac OS X que se dió a conocer esta primavera que permite la instalación de firmware indetectable malicioso que sobrevive a reinicios y reinstalaciones del sistema operativo.

BlackHat 2015 Thunderstrike
BlackHat 2015 Thunderstrike

Thunderstrike 2 es diferente de su predecesor en que un atacante no sería necesario el acceso físico a un Macbook; este ataque se puede realizar de forma remota y explota auto-replicarse a través de los periféricos, dijeron los investigadores.

El trabajo es una colaboración entre la ingeniería inversa aficionado y seguridad investigador Trammell Hudson y Xeno Kovah de Legbacore. Hay cerca de media docena de vulnerabilidades de firmware en riesgo de explotación que han sido dadas a conocer hace unos meses a Apple. Apple ha parcheado algunos de de estos temas, pero otros permanecen y las dos partes todavía están trabajando en una resolución.

Las vulnerabilidades descubiertas por firmware Kovah y su colega Corey Kallenberg viven en el hardware utilizados en las plataformas Windows y Apple. El problema es que las fallas han sido parcheado en la implementación de referencia para UEFI en otras plataformas Intel. En el caso de Apple, la compañía ha dicho en el pasado su firmware no se vio afectado; todo el firmware en cuestión, sin embargo, se deriva de la misma implementación de referencia de Intel, dijeron los investigadores.

Ataques de firmware son excepcionalmente compleja de lograr, que requiere experiencia y los recursos financieros para ejecutar. En feberero, los investigadores de Kaspersky Lab revelaron un ataque firmware desarrollado y ejecutado por un agente del Estado-nación conocido como el Grupo de ecuaciones. Entre sus muchas capacidades era un módulo de hardware llaman nls_933w.dll que los investigadores llamaron el “mecanismo de persistencia final”, que reservaba sólo a los objetivos de alto valor-y uno que requiere acceso a la documentación propia para una serie de proveedores de hardware para entender cómo cada uno de el firmware correspondiente opera.

El resultado final da un determinado acceso de hackers indiscriminado de nivel raíz a un ordenador y la posibilidad de añadir otros ataques para robar datos y mover tranquilamente a voluntad sobre la máquina.

FBI, con problemas de contratación de hackers

El FBI está teniendo problemas para llenar puestos de trabajo para sus programas de ciberseguridad debido comparativamente a los bajos salarios y rigurosos controles de antecedentes, dice un informe de auditoría.FBI con problemas de contratación

La oficina del Departamento de Justicia, ha publicado el jueves que el FBI no ha contratado a 52 de los 134 científicos de la computación para el que fue autorizado, y que 5 de sus 56 oficinas en el terreno no tenía un científico de la computación por su Grupo de Trabajo del Cyber.

El informe dijo que el FBI tiene que centrarse en “reclutar y retener a los profesionales cibernéticos altamente cualificados, con formación técnica”, y para ampliar la cooperación con el sector privado para luchar contra las amenazas cibernéticas.

“El reclutamiento y la retención de candidatos cualificados siguen siendo un desafío para el FBI, como entidades del sector privado a menudo son capaces de ofrecer salarios más altos y por lo general tienen un menos extenso proceso de investigación de antecedentes”, dijo el informe.

“Creemos que el FBI debería continuar sus esfuerzos de reclutamiento y retención creativas, incluyendo el uso selectivo de la (programa de pago de préstamos estudiantiles) y aumentar la movilidad de los ex empleados con habilidades críticas, para atraer y retener a profesionales altamente cualificados cibernéticos.”

El informe del inspector general dijo que el FBI ha tratado de llenar los vacíos al trabajar con contratistas privados, y también ha intensificado los programas de contratación y formación en los colegios y universidades.

El informe dijo que mientras que el reclutamiento es difícil, “la mayoría de los agentes cibernéticos del FBI que entrevistamos nos dijeron que es la misión de la FBI que les motiva a permanecer en el FBI en lugar de salir hacia posiciones más lucrativas.”

El informe parece confirmar la evidencia anecdótica sobre las relaciones difíciles entre el establecimiento y la tecnología de seguridad de la industria estadounidense, que han empeorado desde los 2.013 revelaciones sobre vastos programas de vigilancia del gobierno estadounidense.

El informe señaló que el FBI también se ve obstaculizada en sus esfuerzos para impulsar los esfuerzos de seguridad cibernética por la falta de cooperación por parte del sector privado.

“La renuencia del sector privado para compartir información se ha visto afectada además por la desconfianza en el gobierno tras las filtraciones Edward Snowden” acerca de los programas de vigilancia de Estados Unidos, según el informe.

“Varios representantes del sector privado nos dijeron que el suministro de información al FBI es similar a enviarlo en un agujero negro – la información que entra y las entidades no escuchar nada más sobre él.”

El informe dijo que el FBI debería “redoblar sus esfuerzos de divulgación para mejorar el intercambio y la colaboración con entidades del sector privado” cuando sea factible.

 

Fuente: SecurityWeek

Netflix en Velocity 2015, Herramientas de rendimiento en Linux

Hay muchas herramientas de rendimiento hoy en día para Linux, pero ¿cómo se encajan entre sí, y cuando las usamos? En Velocity 2015, le di un tutorial 90 minutos en herramientas de rendimiento de Linux.

Herramientas de rendimiento en Linux
Herramientas de rendimiento en Linux

He hablado sobre este tema antes, pero teniendo en cuenta un intervalo de tiempo 90 minutos tuve la

oportunidad de incluir más metodologías, herramientas y demostraciones en vivo, por lo que es el tour más completo del tema que he hecho. El vídeo y las diapositivas están por debajo.

En este tutorial voy a resumir las herramientas tradicionales y avanzadas de rendimiento, incluyendo: top, ps, vmstat, iostat, mpstat, libre, strace, tcpdump, netstat, nicstat, pidstat, swapon, lsof, sar, ss, iptraf, iotop, slaptop, pcstat , tiptop, rdmsr, lmbench, fio, pchar, perf_events, ftrace, SystemTap, KTAP, sysdig y EBPF; y hacer referencia a muchos más. También incluyo herramientas, diagramas actualizados para observabilidad, sar, benchmarking, y tuning (incluyendo la imagen de arriba).

Este tutorial se puede compartir con un público amplio – cualquier persona que trabaje en los sistemas Linux – como un curso acelerado de herramientas gratuitas sobre el rendimiento de Linux. Espero que la gente lo disfrute y les resulta útil. Aquí está la lista de reproducción.

Video Part 1

Video Parte 2:

 

Enlace a las diapositivas:

 

 

Fuente: netflix

ICWATCH: Espiando a los espías

Un adolescente de 21 años  acaba de exponer 27 mil perfiles de LinkedIn de personas que trabajan en el sector de inteligencia. Lo hizo hace pocos días en re:publica, una de las conferencias más importantes a nivel global sobre cultura digital –este año tuvo 800 expositores de 45 países distintos para sus cerca de seis mil visitantes, utilizó el buscador de Google para ubicar términos clave que, hasta hace poco, eran palabras sin significado para la mayoría de nosotros.

xkeyscore site:linkedin.com/pub
xkeyscore site:linkedin.com/pub

XKEYSCORE es uno de los programas de espionaje utilizado por la NSA y revelado al público por Edward Snowden. Utilizando ese término y limitándolo a los perfiles de LinkedIn, uno puede encontrar cientos, sino miles de perfiles de personas que presumen esa como una de sus destrezas. Si uno repite este tipo de operaciones con el catálogo de vigilancia que tienen las grandes agencias de espionaje, puede fácilmente construir una base de datos de miles de espías internacionales. Por supuesto, hay que tener cuidado porque ciertos términos, como “MUSCULAR”, son muy comunes y hay que realizar búsquedas cruzadas para no tener falsos positivos.

ICWATCH

La información no sólo ha sido recolectada y almacenada, sino que además la han organizado dentro de un motor de búsqueda para que cualquiera pueda jugar con los datos. “Yo no creo que todos sean personas malas” dijo M. C., y nos relató como una persona, tras trabajar veinte años en la comunidad de inteligencia, describe cómo en uno de sus últimos puestos antes de convertirse en vendedor de autos “hizo lobby para cambiar la forma cómo se concibe la inteligencia”. Tal vez él, como muchas otras personas que trabajaron en este campo, fue una de las víctimas de lo que se denomina el efecto Snowden.

ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos
ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos

A partir de las revelaciones del ex-agente de la NSA, cada vez menos personas asociaban su perfil con trabajar en la agencia nacional de seguridad de Estados Unidos, puede que simplemente quisieran ocultar el rastro, pero muchos ciertamente renunciaron a su trabajo.

Esta fue la primera vez que la herramienta ICWATCH fue mostrada al público, la misma se encuentra en Github junto con los datos, lo cual será de especial interés para aquellos que trabajan en periodismo, minería de datos, transparencia y contrainteligencia.

Aquí el video completo (en inglés):

 

 

Fuente: Andres Delgado

JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

 

Texto obtenido de Sucuri