"Hay 10 tipos de personas en el mundo: las que entienden binario y las que no"
[ Anónimo atribuido a Sebastian Bortnik ]
Boletín 129 - "Nuevos" tipos de ataque web - 31/01/2009
I. Reinstalar Windows, única solución para Conficker: NO
El 26 de enero algunos medios nacionales e internacionales de habla hispana confundieron esta noticia, basada originalmente en una traducción incorrecta de un prestigioso medio español que inmediatamente enmendó el error.
Lamentablemente, en ese momento muchos otros medios propagaron la noticia, sin corrección, no la eliminaron de su web, no reconocieron su equivocación o ni siquiera se enteraron de la misma, motivo por el cual la noticia incorrecta sigue publicándose hasta el día de hoy. Para tener una idea de la repercusión de la misma, una simple búsqueda en Internet, en ese momento arrojaba 11.000 resultados.
Inmediatamente, el único medio que publicó la noticia correcta, señalando el error y notificando a los medios sobre el mismo fue Segu-Info, quien se comunicó con la fuente original, diferentes diarios, sitio web e incluso Microsoft, la empresa afectada por el error.
Christian Linacre (Security & Privacy Lead at Microsoft ) finalmente confirmó, a través de su Blog, que la noticia era inexacta: no es necesario reinstalar Windows, hay que instalar sus actualizaciones.
La diferencia entre reinstalar un Sistema Operativo y actualizarlo es la diferencia entre leer un medio especializado y un Diario(TI).
El seguimiento completo de la noticia en nuestro Blog (Gracias Raúl):
http://blog.segu-info.com.ar/2009/01/microsoft-recomienda-reinstalar-equipos.html
http://blog.segu-info.com.ar/2009/01/mala-interpretacion-sobre-conficker-en.html
II. Hoy "se infectó" Google por 40 minutos ¿quién fue el responsable?
http://blog.segu-info.com.ar/2009/01/este-sitio-puede-danar-tu-equipo-el-dia.html
1. "Nuevos" tipos de ataque web
2. EDoS (Denegación Económica de Sustentabilidad), ¿el próximo DDoS?
3. Los 6 Errores de seguridad en escritorios que comenten los empleados
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana
1. "Nuevos" tipos de ataque web
Si bien muchos (¿la mayoría?) de los desarrolladores, webmaster y administradores no le prestan atención, los ataques de Cross Site Scripting (XSS) ya se han transformado en uno de los ataques más comunes y frecuentes contra los sitios web (y sus usuarios), estando desde hace tiempo en el primer puesto de la lista creada por OWASP.
Este tipo de ataque involucra la ejecución de cualquier tipo código (generalmente scripts) en una aplicación (generalmente el navegador web) y en un entorno o dominio distinto del que fue creado, permitiendo al atacante secuestrar sesiones de usuario (la víctima), modificar sitios web, infectarlo, obtener credenciales, realizar ataques de phishing, etc.
Pero, si XSS hace tiempo que se conoce y no se le presta la atención ni el respeto necesarios, ¿qué sucede con los nuevos tipos de ataques?
Los ataques XSS se ven propiciados por la incorrecta validación de los datos de entrada o, directamente por la completa ausencia de validación. Por eso este error es atribuido, con razón, a los desarrolladores, beta testers y departamento de QA (si existiera). Si no lo cree puede ver los 25 errores más comunes de programación en nuestro Boletín 128.
Este tipo de ataques se transforman en peligrosos cuando los datos "hostiles" son almacenados por el atacante en un archivo, cabecera, base de datos (SQL Injection), o cualquier otro sistema de back-end de la aplicación vulnerable y, posteriormente son volcados sin validar ni filtrar hacia el navegador (u otra aplicación) del usuario, ejecut y transformando al usuario en víctima del ataque.
Por otro lado, los "nuevos" tipos de ataques en realidad son variantes, perfeccionamientos o nuevas formas de explotación sobre los mismos ataques XSS ya existentes previamente y, la mayoría de ellos, se pueden prevenir con las mismas técnicas.
Cross-Site Request Forgery (CSRF)
CSRF [1] también conocido como Session Riding es un tipo de script malicioso en un sitio web en el que, comandos no autorizados, son transmitidos por un usuario en el cual el sitio web confía.
Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar una sesión abierta en el navegador con un sitio fiable (un banco, correo, etc.) para que, desde el código HTML de una página (atacante) que se esté visitando, se cree una petición hacia la aplicación web del sitio fiable, realizando una operación sin que el usuario se percate.
Su funcionamiento es bastante sencillo, lo que lo hace aún más peligroso. Supongamos que un usuario se encuentra logueado (con sus credenciales) en una aplicación web que permite dar de alta usuarios con el siguiente formato de URL (para simplificar el escenario):
https://[sitio-empresa]/alta/?id=X&u=usuario&p=contraseña
Supongamos ahora que el usuario deja su sesión iniciada y procede a
verificar su correo personal, en donde una imagen le llama la atención
en un interesante anuncio. Al hacer clic sobre la imagen se visualiza la
misma de la siguiente manera:
<img src="http://[sitio-atacante]/imagen.gif" width="200" height="200">
<img src="https://[sitio-empresa]/alta/?id=999&u=MALO&p=CAISTEUHHH" width="0" height="0">
(Sí, este ataque también se puede basarse en las facilidades que brinda la
Ingeniería Social)
La primera línea mostrará la imagen deseada pero la segunda "imagen" (de
tamaño 0 por 0) en realidad ejecutará el script de alta de usuario en la
aplicación, generando un usuario 999, "MALO" y con contraseña "CAISTEUHHH".
El usuario nunca se percatará del engaño, ya que la ejecución del script se realiza porque no se había realizado el log-out de la aplicación lo tanto no se solicitan credenciales de ingreso.
Conocidos los principios básicos, este tipo de ataque se puede perfeccionar tanto como se desee y podría dar lugar a otros más novedosos e ingeniosos, como Ataques de Phishing "In-session".
Otros tipos de ataques
Como estos ataques, sus semejanzas y sus potencialidades pueden resultar confusos, recientemente Petko D. Petkov [pdp], de GNUCITIZEN, publicó una nueva terminología, la cual fue también utilizada en su conferencia en Black Hat 2008 [7]. Ellos son:
Si bien bautizó técnicas que ya existían desde hace tiempo, estos "nuevos ataques" fueron los responsables de gusanos webs (del lado del cliente) que aprovechan la tecnología AJAX y que ya han afectado a Pownce, MySpace, Yahoo! y otras empresas, merced a vulnerabilidades en sus sitios web.
Para verificar que estos ataques no se lleve a cabo "el secreto" radica en verificar, validar la procedencia y codificar toda la información que es entregada al usuario (o a la aplicación) para que el mismo no termine ejecutando código dañino dentro de su entorno.
Como diría Giorgio Maone (autor de NoScript):
"Si hoy la mayoría de malware se ejecuta en Windows es porque es la
plataforma ejecutable más común, mañana probablemente se ejecutarán en
la Web por la misma razón. Guste o no, la web ya es una gran plataforma
ejecutable y, desde perspectiva una seguridad, deberíamos comenzar a
pensar en ello de esa manera."
Ud. ¿ya verificó su aplicación web?
[1] Cross-Site Request Forgery (CSRF)
http://www.owasp.org/index.php/Cross-Site_Request_Forgery
http://blog.segu-info.com.ar/2009/01/ataque-que-es-cross-site-request.html
[2] Client-side Security
http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Petkov
http://lab.gnucitizen.org/presentations/Client-side-Security-BH-Las-Vegas-2008.pdf
2. EDoS (Denegación Económica de Sustentabilidad), ¿el próximo DDoS?
Christofer Hoff [1], un célebre analista de seguridad y Jefe de Arquitectura de Seguridad en Unisys ha propuesto un nuevo giro en el modelo tradicional de Denegación de Servicio (DoS) en donde los atacantes intencionalmente inflan las cuentas de los usuarios de servicio en "la nube" hasta que ya no pueden hacer frente al servicio.
Hoff ha estado discutiendo el concepto de una Denegación Económica de Sustentabilidad (EDoS) en su Blog [1]. Puesto de forma simple, es un ataque al modelo de facturación que hay debajo del costo de proveer un servicio, con el objetivo de hacer quebrar el servicio mismo.
Antes de ver porque EDoS es una amenaza, y una separada de DDoS, se debe comprender como las compañías convierten los dólares en bytes, los cuales, con suerte, se convierten de nuevo en dólares.
El documento "¿Será EDoS el próximo DDoS? (Denegación Económica de Sustentabilidad)" puede ser leído completo en nuestro Blog.
[1] The EDoS (Economic Denial Of Sustainability) concept
http://rationalsecurity.typepad.com/blog/edos/
http://tinyurl.com/6eykty
Gracias Raúl!
3. Los 6 Errores de seguridad en escritorios que comenten los empleados
El presente artículo fue escrito por Joan Goodchild, Senior Editor de CSO Online [1] y traducido en exclusivo para Segu-Info por Raúl Batista. El artículo también incluye un video [EN] sobre como identificar estos errores.
Desde las contraseñas en papelitos pegados hasta contratos sensibles que se dejan apilados en la impresora, muchos personal de oficina comete las mismas equivocaciones básicas de seguridad. Incluso nuestro equipo de CSO no es inmune a estos errores comunes, pero son fáciles de solucionar.
Ha verificado todas las formas de ingresar al edificio de su oficina, tiene instalada tecnología de vigilancia y TI le asegura que sus firewalls son a prueba de balas. Pero ¿ha verificado los escritorios de su personal? Ese podría ser el agujero más grande en el plan de seguridad de la compañía. Los escritorios y otros espacios de trabajo a menudo tienen cosas sobre ellos o alrededor que contienen información sensible, y esa información puede ser peligrosa si cae en las manos equivocadas.
Aquí están los principales errores que encontramos en la revisión después de hora.
El documento "Los 6 Errores de seguridad en escritorios que comenten los empleados" puede ser leído completo en nuestro Blog.
Gracias Raúl!
4. Apoya a Segu-Kids, Juntos en la Red
Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.
El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.
Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.
Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.
5. Desafío de la semana
Solución al desafío del Boletín anterior:
Esta era una pregunta abierta que no necesariamente tiene una sóla respuesta (o una respuesta lógica). Se puede ver algunas de ellas en Juegos de Ingenio.
Respondieron correctamente:
pablorighi@, suscripcioneslistas@,
ddaniele@, martin.domowicz@, cristhiamferia@, melli.facu@
Desafío de esta semana:
Cinco mujeres se pesaron de a dos (en pareja) y los resultados que se
obtuvieron fueron:
105, 108, 110, 111, 113, 115, 116, 118, 119 y 121
¿Cuál es el peso de cada una de las mujeres?
Actualidad
- Tesis
- Trivia
- Sorteos
- Bolsa de Trabajo
- Denuncias
- Sitios amigos
- Quién te Admite en MSN
- Listado de Malware
Virus-Antivirus
Hosting by
Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons
