"La falla de nuestra época consiste en que sus hombres no quieren ser útiles sino importantes"

[ Winston Churchill - Estadista, escritor y orador británico - 1874-1965 ]

Boletín 135 - Ingresa (físicamente) al Sistema Operativo y obten tu minuto de fama - 25/04/2009

Desde Segu-Info hemos reportado distintos tipo de abusos y llevamos adelante un seguimiento de estos casos para lograr darlos de baja, ayudando y apoyando a la comunidad, para que pueda hacer uso más seguro de los recursos que brinda Internet.

1. Ingresa (físicamente) al Sistema Operativo y obten tu minuto de fama
2. Sitios gubernamentales argentinos vulnerados con promoción de Viagra
3. ¿Como reportar sitios dañinos?
4. Sorteo para II Jornada de Gestión de la Identidad en la Era Digital
5. Apoya a Segu-Kids, Juntos en la Red
6. Desafío de la semana

1. Ingresa (físicamente) al Sistema Operativo y obten tu minuto de fama

Parece ser que últimamente se ha puedo de moda "hackear" sistemas operativos para obtener fama... Claro que este "hacking" se realiza teniendo acceso físico al sistema.

Antes de continuar es muy importante mencionar que no intento menospreciar los eventos que realizan estos desafíos, ni a los profesionales que realizan estas investigaciones y tampoco es menor el esfuerzo realizado para encontrar nuevas metodologías para lograr tener acceso a la información del sistema.

Aquí intento traer a colación que en realidad estas acciones son cubiertas masivamente por los medios como "muertes súbitas" del sistema operativo vulnerado pero, sin aclarar que en realidad la alternativa encontrada es una forma más de ingresar, de las cientos que ya existen, cuando se tiene acceso físico al sistema. Otra sería la historia si el acceso descubierto sería remoto y por supuesto eso sí debería ser considerado una vulnerabilidad crítica del sistema operativo.

Algunos de los últimos eventos relacionados a lo mencionado son:

• Abril de 2009: ingreso al Windows 7.0. dos investigadores de seguridad han mostrado cómo hacerse con el control de este sistema durante la celebración de la conferencia Hack In The Box Security Conference (HITB) en Dubai. Los comentarios vertidos fueron los siguiente: "No hay solución para esto. No puede resolverse, pues se trata de un problema de diseño".
• Marzo de 2009: CanSecWest Vancouver 2009 puso a prueba la seguridad de los sistemas operativos móviles modernos como BlackBerry, Android e iPhone [1].
• Noviembre de 2008: la seguridad del iPhone 3G fue burlada el mismo día de su lanzamiento. Si bien esto no deja de ser notable, lo importante es que no se puede tener acceso al mismo remotamente [2].
• Agosto de 2008: la seguridad de Windows Vista es puesta en entredicho por un paper presentado en Black Hat por Alexander Sotirov y Mark Dowd [3]. En este caso algunos llegaron a afirmar que había que abandonar ese sistema operativo porque era inútil.
• Marzo de 2008: durante Pwn2Own 2008, un reto planteado en CanSecWest, consistió en exponer tres sistemas operativos (Windows Vista, Ubuntu Linux 7.10 y Mac OS X 10.5.2) para verificar cual caía primero ante los embates de los competidores. En esa ocasión le tocó a Mac OS, aguantando sólo 2 minutos antes de ser vulnerado, aprovechando una vulnerabilidad en una de las aplicaciones instaladas.
• Mayo de 2008: alguien consiguió acceso como Administrador a Windows Vista a través de un CD como BackTrack. Todavía no entiendo porqué esta noticia cobró tanta relevancia. Quizás sea sólo por el video.
• Noviembre de 2007: alguien encontró que es posible crackear Windows Vista en un minuto copiando todo sus archivos [4]. Incluso el descubridor mencionaba que "han pasado cuatro meses y Microsoft no ha dado ninguna información ni avisado a sus clientes con respecto a esta peligrosa característica. Por lo tanto he decidido informar sobre ella desde mi página web".

Puede verse que cualquier dispositivo y sistema operativo puede ser vulnerado e incluso ni las cafeteras se salvan de estos ataques.

En realidad, y remarcando nuevamente el esfuerzo necesario para llevar a cabo estos ataques, los mismos fueron realizados a través del mismo sistema que estaba siendo vulnerado, el atacante se encontraba sentado delante del sistema y tenía control total sobre el equipo que se intentaba vulnerar y de ahí vienen los tiempos extremadamente pequeños para concretar el ataque con éxito.

Muchos de estos ataques, a pesar de haber pasado tiempo, no han sido ni serán "solucionados" por los desarrolladores debido a que no son considerados importantes. Como se sabe, la seguridad es un proceso que debe ser considerado en capas. La capa física ayuda a proteger que un atacante acceda al equipo y proceda a realizar pruebas como las mencionadas.

Por eso es fundamental comprender la diferencia entre estos ataques y entre una vulnerabilidad o ataque remoto, donde el atacante no tiene acceso físico al sistema y vulnerar el mismo significa encontrar servicios que le permitan controlarlo. En este caso, todas los desarrolladores del sistema operativo sí considerarán la vulnerabilidad como crítica y procederán a su solución. Sin ir más lejos este es el caso de la vulnerabilidad encontrada en el servicio RPC de Windows, que permitió la aparición del gusano Conficker a pesar de que la actualización fue inmediata por parte de Microsoft.

Todas las noticias mencionadas han cobrado relevancia en los medios y muchas de ellas son anunciadas como el fin del sistema operativo vulnerado pero en realidad desde el punto de vista práctico resultan casi inservibles, ya que existen decenas de formas de hacerse con la información de un sistema, si se tiene acceso físico al mismo.

Dejando de lado la diversión, todos estos ataques tienen el objetivo de lograr acceso a la información almacenada y, la única forma de evitar el robo de información consiste en cifrar completamente la información. De otra manera cualquiera de nosotros puede tener su minuto de fama por este tipo de ataques.

[1] PWN2OWN 09, concurso hack navegadores y SO móviles
http://blog.segu-info.com.ar/2009/02/pwn2own-09-concurso-hack-navegadores-y.html
http://cansecwest.com/post/2009-03-18-01:00:00.PWN2OWN_Final_Rules
http://cansecwest.com/post/2009-03-26-15:54:00.Slides_Online

[2] El iPhone 3G, hackeado el día de su lanzamiento
http://blog.segu-info.com.ar/2008/07/el-iphone-3g-hackeado-el-da-de-su.html
http://gizmodo.com/5023971/iphone-os-20-unlocked-yes

[3] Cómo impresionar chicas saltándose las protecciones de memoria en la navegación con Windows Vista
http://blog.segu-info.com.ar/2008/08/la-seguridad-de-windows-vista-en.html
http://blog.segu-info.com.ar/2008/08/la-seguridad-de-vista-intil.html
http://taossa.com/archive/bh08sotirovdowd.pdf
http://arstechnica.com/security/news/2008/08/the-sky-isnt-falling-a-look-at-a-new-vista-security-bypass.ars
http://arstechnica.com/microsoft/news/2008/08/black-hats-alexander-sotirov-vista-security-is-not-broken.ars
http://elladodelmal.blogspot.com/2008/10/entrevista-alex-sotirov.html
http://blogs.zdnet.com/Bott/?p=512

[4] Como crackear Microsoft Windows Vista en un minute
http://blog.segu-info.com.ar/2007/06/finlands-explica-cmo-craquear-cualquier.html
http://ict-tuki.fi/vistasec_eng/

2. Sitios gubernamentales argentinos vulnerados con promoción de Viagra

Recientemente el Blog de Google ha publicado un artículo sobre las vulnerabilidades encontradas en sitios latinoamericanos y que permiten que los mismos alojen cualquier tipo de publicidad o amenazas, debido a que los agujeros de seguridad son encontrados por delincuentes.

Todos los días encontramos distintos ejemplos de estos casos y sin ir más lejos, los casos de phishing y malware descubiertos y denunciados por Segu-Info desde hace tiempo, son justamente perpetrados de esta forma, utilizando servidores vulnerados para alojar las amenazas.

Si bien cualquier sitio puede ser vulnerado [1], en nuestro estudio hicimos énfasis en sitios gubernamentales argentinos, para intentar de alguna forma levantar una alerta sobre los mismos. Los sitios pueden ser encontrados con búsquedas relativamente sencillas utilizando un buscador, lo cual significa que cualquier usuario puede acceder a estos sitios, sin requerir ningún conocimiento o herramienta especial. En todo caso no hará falta más que conocer alguna técnica de búsqueda como las utilizadas en Google Hacking [2].

En cambio, las técnicas utilizadas por los atacantes son muy variables ya que pueden valerse de distintas vulnerabilidades en el sitio en cuestión:

• SQL Injection [3]
• CMS no actualizados
• XSS [4]
• Contraseñas débiles
• Servicios vulnerables disponibles en forma online
• FTP anónimos
• Comentarios habilitados sin control que permiten a cualquier dejar su publicidad o scripts dañinos
• Muchos otros

En el informe Sitios gubernamentales argentinos con Viagra pueden verse algunos ejemplos de ciudades, gobernaciones, provincias, institutos y centros gubernamentales argentinos que no han sido protegidos de forma adecuada y que están siendo utilizados por los delincuentes para realizar sus actividades.

Para prevenir estos inconvenientes, hace tiempo Google también publicó lo que que se debe hacer si han vulnerado un sitio web [5], explicando las distintas metodologías empleadas para prevenir fácilmente estas vulnerabilidades, las cuales muchas veces corresponden a inoperancia, negligencia, "otras tareas más importantes", falta de presupuesto, concientización, etc. por parte de la administración del servidor.

Lamentablemente, la cultura virtual todavía no es considerada con la importancia que corresponde en muchos países latinoamericanos, dejando "para después" problemas de seguridad que deberían ser tratados con urgencia en vista de que nuestros países están siendo utilizados como pasarela para efectuar distintos tipos de delitos como ataques de DDoS, pedofilia, propagación de malware, estafas, fraudes, etc. y, mientras la ciberdelincuencia se convierte en algo de todos los días, nosotros seguimos mirando para otro lado.

[1] Malware internacional alojado en sitios latinoamericanos (recomendaciones)
http://blogs.eset-la.com/laboratorio/2008/08/28/malware-internacional-alojado-sitios-latinoamericanos/
http://blogs.eset-la.com/laboratorio/2009/04/06/descargando-malware-desde-sitios-no-maliciosos/

[2] Google Hacking
http://www.segu-info.com.ar/boletin/boletin_060708.htm
http://www.segu-info.com.ar/boletin/boletin-107-080223.htm
http://www.segu-info.com.ar/libros/

[3] SQL Injection
http://www.segu-info.com.ar/boletin/boletin-110-080420.htm
http://blog.segu-info.com.ar/search/label/sql%20injection

[4] Cross Site Scripting XSS
http://www.segu-info.com.ar/boletin/boletin-112-080517.htm
http://blog.segu-info.com.ar/search/label/xss

[5] Mejores prácticas contra el hacking de sitios web

http://blog.segu-info.com.ar/2009/03/las-mejores-practicas-contra-el-hacking.html

http://blog.segu-info.com.ar/2008/10/google-notificar-los-webmasters-sobre.html

http://blog.segu-info.com.ar/2008/04/qu-debes-hacer-si-han-hackeado-tu-sitio.html

3. ¿Cómo reportar sitios dañinos?

En las últimas semanas hemos reportado una gran cantidad de casos de phishing, sitios dañinos y malware como parte de nuestra responsabilidad social y todos ellos pueden verse en nuestro Blog.

Muchas de estas denuncias han dado como resultado que las mismas sean dadas de baja de inmediato y aprovecho para felicitar a estas empresas y sitios por su celeridad [1].

Otros, en cambio ni siquiera son capaces de agregar un correo automático en sus servicios de recepción de denuncias y por supuesto los sitios dañinos no son tenidos en cuenta.

Resumiendo, los distintos casos que se pueden encontrar son los siguiente:

1. Generalmente, los sitios serios y responsables poseen una cuenta de correo del tipo abuse@empresa.com en la cual se reciben las denuncias y se procede a las páginas vulnerables. Otros simplemente tienen un formulario de contacto para permitir al usuario, el aviso del caso.
2. Si la empresa se toma en serio su propia política de abuso, los sitios o páginas dañinas suelen ser dadas de baja en muy pocos minutos como lo ocurrido en nuestra "persecución" al delincuente de los historiales de MSN [2], al cual hemos vencido con perseverancia (hasta el momento de escribir esta nota).
3. Otros, como Linkedin [3], se toman su tiempo bastante considerable para analizar cada caso y proceder a la baja, dejando que el usuario que confía en estos sitios, pueda ser vulnerado.
4. Algunos de estos sitios, como Rapidshare o TinyURL [4], sólo proceden a la baja si el correo de quien hace la denuncia pertenece a una empresa, por lo que no se considera ningún tipo de webmail como GMail, Yahoo!, Hotmail, etc.
5. Otros, como Blogger (de la multinacional Google), llegan a pedir algo tan ridículo como una carta o un fax para proceder a la baja, cosa que muchas veces nunca ocurre, lo cual viola sus políticas de uso. Parece que se basan en que nadie hará lo suficientemente como para obligarlos a proceder de forma responsable. Una política lamentable por parte de esta empresa.
6. Concluyendo, reportar un sitio dañino, es sencillo pero dependerá de lo responsables que sean las políticas llevadas a cabo por las empresas: algunas son serias y las cumplen y, otras sencillamente se basan en engañar al usuario, haciéndolo creer que son serias.

[1] Casos de Phishing y malware descubiertos
http://blog.segu-info.com.ar/search/label/exclusivo
http://blog.segu-info.com.ar/2009/04/siguiendo-al-estafador-de-los.html
http://blog.segu-info.com.ar/2009/04/siguiendo-al-scammer-de-los-historiales_14.html
http://blog.segu-info.com.ar/2009/04/siguiendo-al-estafador-de-los_20.html

[2] Siguiendo al estafador de los historiales de MSN
I - http://blog.segu-info.com.ar/2009/04/siguiendo-al-estafador-de-los.html
II - http://blog.segu-info.com.ar/2009/04/siguiendo-al-scammer-de-los-historiales_14.html
III - http://blog.segu-info.com.ar/2009/04/siguiendo-al-estafador-de-los_20.html

[3] Linkedin y sus perfiles falsos
http://blog.segu-info.com.ar/2009/04/angelina-desnuda-en-linkedin-yes.html
http://blog.segu-info.com.ar/2009/04/linkedin-y-sus-perfiles-falsos.html

[4] Baja en distintos sitios web
http://blog.segu-info.com.ar/2009/02/denunciado-url-falsas-en-tinyurl.html
http://blog.segu-info.com.ar/2009/02/tinyurl-usado-para-evitar-el-filtro.html

4. Sorteo para II Jornada de Gestión de la Identidad en la Era Digital

El 25 de abril de 2009 se inicia el sorteo de 3 entradas gratuitas para el II Jornada de Gestión de la Identidad en la Era Digital a realizarse el 12 de mayo del 2009 en la Universidad del CEMA (Av. Córdoba 374 - CABA - Argentina).

El objetivo es difundir, educar e informar sobre las modalidades relacionadas con el robo de identidad, dentro del marco informático, jurídico y empresarial. Los participantes podrán analizar e interiorizarse sobre los productos y soluciones del mercado para resolver los delitos de identidad o detectar en forma pro-activa la ocurrencia de dichas situaciones de riesgos.

Por otro lado la Comunidad de Segu-Info recibirá un 25% de descuento mencionando este Boletín al momento de ingresar al evento.

Las bases y condiciones para el sorteo se pueden encontrar en aquí.

5. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

6. Desafío de la semana

Solución al desafío del Boletín anterior:

Los cantidad de jugadores por equipo es de 7 y 5 (12 en total). Antes se jugaban 21 y 10 partidos (31) y ahora 66. Utilizando combinaciones se sabe la cantidad de partidos para una cantidad de jugadores 7 x 5 = 35.

Respondieron correctamente:
jlquint@, cristhiamferia@, dbonorino1@

Desafío de esta semana:

Formar con los números 1,2,3,4,5,6 otro número de 6 dígitos de forma que:

• El 1º y el 2º sean múltiplos de 2
El 2º y el 3º sean múltiplos de 3
• ...
• El 5º y el 6º sean múltiplos de 6