Security Posts

Dancho Danchev's 2010 Disappearance - An Elaboration

UPDATE: Prior, to, my, attendance, at, this, particular, apartment, I, was, invited, by, Briana Papa (Briana@crenshawcomm.com), to, visit, Prague, on, behalf, of, Avast! Software, where, I, met, with, Vince Steckler (steckler@avast.com), and, Miloslav, Korenko (korenko@avast.com), where, I, met, with, Lucian Constantin (https://twitter.com/lconstantin). Prior, to, my, attendance, at, this,
Categories: Security Posts

Reflexiones personales sobre #cazadoresdetrolls

SecutityByDefault - 5 hours 40 min ago




Sin duda, una de las comidillas de la semana en el sector ha sido el programa "Cazadores de Trolls" que emitió anoche la Sexta.
Recuerdo que a finales de 2015, recibí una llamada de parte de una tal Julieta, que representaba a Pedro Aguado y que buscaban una persona que pudiera colaborar con ellos para ayudar ante situaciones de acoso en redes sociales e Internet, como la de anoche, en las que las víctimas denunciaban y no "se les solucionaba el problema", o simplemente no denunciaban y buscaban identificar a los acosadores. Por aquella época me encontraba en Latinoamérica y no pude contestar personalmente, pero el mensaje que se me transmitió fue ese. 
La misma información la recibimos en la cuenta de contacto del blog, a través de ANCITE,... y lo comentamos entre varios colegas del sector, en los que curiosamente todos habíamos sido "elegidos". 
La forma en la que lo planteaban sonaba francamente complicada. Había cosas que "habría que hacer" que claramente eran ilegales, y nadie quiere meterse en ese tipo de líos, aparte de ir contra la ética personal de cada uno. 
Estaba claro que querían un Reality, y por lo que me contaron otros compañeros que sí que devolvieron la llamada, cuando les planteaban la legalidad de las cosas, contestaban que tenían un equipo de abogados que dirían lo que se puede y lo que no se puede hacer.
Finalmente, cuando se publicó que el programa iba a emitirse, reconozco que mi principal curiosidad era el saber quién se habría prestado a ello, y qué habría permitido y qué no. 
Cuando ví que finalmente el elegido (o mejor dicho el que les eligió a ellos) era Enrique Serrano, pensé que el contenido estaría bien hecho, puesto que lo que conozco de él es un buen profesional.   
Quiero dejar claro varias cosas:
  • Por una parte, la actuación ante el caso de Luisa, en el que si quieres ceñirte a la legalidad de lo que puedes y lo que no puedes emitir en público, y sobre todo sin herramientas que puedan tener las FCSE (cuando tienen una orden judicial que así lo autorice) a la hora de solicitar a Twitter direcciones IP de la actividad de un perfil, a las páginas web desde las que se crean los anuncios falsos, etc,... lo que hizo Enrique no es una mala forma de enfocarlo. Realmente, es que no se me ocurren muchas más. Obviamente, es ilegal comprometer el ordenador del troll en base a que abra un enlace o descargue un fichero con algún veneno, por lo que, si el objetivo es publicarlo en TV, esas acciones quedan descartadas de antemano. En este punto, me parece que las acciones de Enrique, y que lo mostrado haya sido o no real, no son un mal camino.
  • Sobre la puesta en escena, pues está claro: Es televisión. No "mola" lo mismo que todo esto se haga desde una casa o una oficina, que montar un atrezzo en una furgoneta con papeles por los cristales en los que parezca que estás haciendo algo fraudulento/ilegal/oscuro/oculto... y por qué no decirlo "de hackers". En varias ocasiones han venido periodistas de diferentes cadenas a las oficinas de Securízame, a grabar para algún reportaje, un telediario u otros programas, y una de las cosas que te piden es que tengas algún fondo con algo relacionado. En mi caso suelo poner un top en un sistema Linux o la GUI de Snort y que se vean alertas de colores saliendo, y así todos contentos.  
  • El montaje: Este sin duda es el mayor de los miedos que tienes cuando te han grabado durante media hora hablando (o dos horas como me pasó el otro día), y el producto final mostrado al televidente, que durará 10 segundos si estamos hablando de un noticiero, o como mucho dos minutos en el caso de un reportaje, en los que quienes llevan a cabo este trabajo, generalmente buscan una frase, una afirmación o algo que hayas dicho que resuma todo lo anterior. El problema es que generalmente, si no se ha visto lo anterior, lo que se emite está fuera de contexto, y quien no se ha pegado todo el tiempo grabando contigo, puede llegar a decir: ¿En serio Lorenzo ha dicho esto?  Pero ojo que esto también te puede pasar cuando te llegan preguntas para una entrevista en un medio escrito o de radio. De hecho, en más de una ocasión he aprovechado el blog para publicar la entrevista completa o lo que realmente quise haber podido decir en un programa, y que generalmente por limitaciones de tiempo no se ha podido, sobre todo con la finalidad de que quien haya visto un programa o leído una entrevista, no se queden con unas declaraciones que se puedan calificar de poco técnicas o rigurosas, puesto que al estar destinadas a un público generalista y no-técnico, te tienes que esmerar en explicarlo de forma muy sencilla, pero sin perder el rigor de lo que dices. Y creedme: NO es fácil hacerlo. 
  • Sobre la legalidad de lo que te piden: En general, las peticiones de apariciones en medios que me llegan son para dar una opinión técnica (dentro de lo que se puede) sobre alguna noticia que afecte a la seguridad o privacidad de las personas, como pueden ser filtraciones de credenciales, de datos personales, o que supongan algún riesgo como el IoT, o algo explicativo como puede ser la utilización de TOR. 
Casos realesSin embargo, también me han pedido "cosas raras". En navidades me contactaron de un programa bastante conocido en relación al informe sobre riesgos de uso de Whatsapp que emitió el CCN-CERT, en los que, a ojos de la periodista con la que hablé, era algo francamente aterrador y peligroso. Tras leerlo detenidamente, ví cosas francamente normales y de sentido común. La no utilización del mismo conectado a redes inalámbricas públicas y no confiables, la abstinencia de comunicación de información confidencial a través del mismo, etc... Punto por punto se lo manifesté a la periodista, y me dijo que si no era capaz de salir en TV diciendo que podía "hackear" una comunicación de cualquier whatsapp, que entonces "ya me llamarían". Obviamente les dije que no, que ahora el cifrado iba extremo a extremo, y que a día de hoy, no tenía conocimiento de que se pudiera hacer. Tiempo después se emitió el programa y quise ver esa parte, en la que salía una persona que decían que mostraría lo inseguro del protocolo porque lo iba a "hackear". Básicamente lo que hacía era comprometer un terminal Android con un spyware y obviamente accedía a las conversaciones de whatsapp, pero si quisiera también a todo el contenido del dispositivo... Normal! Pero, para mí, eso NO es interceptar cualquier whatsapp.
En otra ocasión me contactaron de un informativo para hablar de la inseguridad de tener cámaras de CCTV cuya administración estuviese expuesta hacia Internet (esta descripción es la que yo doy, pero a mi me dijeron algo menos entendible). Les dije que no había ningún problema en hablar de ello, así como de dar diferentes consejos para mejorar la seguridad de esas acciones, y así concienciar al público evitando en la medida de lo posible que les puedan comprometer. Directamente me dijeron: ¿Entonces, podrás "hackear" las cámaras de una empresa en vivo y que nosotros lo grabemos?. Atónito, mi respuesta fue: "Ehm...  lo que me pides no se puede hacer porque es ilegal". "Lo que sí que puedo hacer es mostrar diversas tecnologías de cámaras accesibles desde Internet [pensando en búsquedas en Shodan básicamente], y luego acceder al panel de las de mi empresa, para las que obviamente estoy autorizado, de manera que nadie nos pueda denunciar por ello". A esto me contestó la periodista que si no era posible que hackeara la de otra empresa en vivo, no les interesaba porque se lo habían pedido así. Obviamente, tampoco accedí a ello.
ConclusionesNo quiero justificar que lo que han publicado en Cazadores de Trolls esté bien o mal, que sea verdad o un fake, ni que le pongan más o menos salsa para que el programa sea atractivo hacia un público generalista. 
Respeto la decisión de Enrique a que se haya prestado a salir en el programa, aunque personalmente creo que era un jardín en el que muchas personas de la comunidad vimos, por las formas iniciales y el contenido, que no iba a ser algo que fuese a resultar sencillo y preferimos no prestarnos a ello.   
Categories: Security Posts

[SANS ISC] Logical & Physical Security Correlation

/dev/random - 6 hours 16 min ago
I published the following diary on isc.sans.org: “Logical & Physical Security Correlation“. Today, I would like to review an example how we can improve our daily security operations or, for our users, how to help in detecting suspicious content. Last week, I received the following email in my corporate mailbox. The mail is written in French but easy to understand: It is a notification regarding a failed delivery (they pretended that nobody was present at the delivery address to pick up the goods)… [Read more] [The post [SANS ISC] Logical & Physical Security Correlation has been first published on /dev/random]
Categories: Security Posts

Critical VMware vulnerabilities disclosed, (Wed, Mar 29th)

VMware released a security bulletin[1] with moderate to critical vulnerabilities. The following products are affected:
  • ESXi
  • Workstation
  • Fusion
The vulnerabilities may allow a guest to execute code on the host, may lead to a DDoS or information leakage (depending on the product and version). Patches are available. [1]https://www.vmware.com/security/advisories/VMSA-2017-0006.html Xavier Mertens (@xme)
ISC Handler - Freelance Security Consultant
PGP Key (c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Categories: Security Posts

Logical & Physical Security Correlation, (Tue, Mar 28th)

Today, I would like to review an example how we can improve our daily security operations or, for our users, how to help in detecting suspicious content. Last week, I received the following email in my corporate mailbox. The mail is written in French but easy to understand: It is a notification regarding a failed delivery (they pretended that nobody was present at the delivery address to pick up the goods). To be honest, I hesitated a few seconds about the legitimacy of this message. For the following reasons:
  • Im doing a lot of online shopping and deliver at my company address
  • The email address used was a corporate address that Im protecting and not using outside contacting my customers.
  • My name, company name, address were correct
  • The mail was in good French, no typo
  • There are plenty of companies busy in this field, you do not know in advance which company will deliver your packet
The reflex is to visit the website but I got width:800px" /> The first thoughtwas that the website was indeed compromised and the owner closed it temporary. But the malicious Office document referenced in the mail was still available! So, the website was not cleaned yet. I tried to find a contact in the company to report the problem. Google did not know Duprat Logistics in Belgium. If its unknown to Google, it padding:5px 10px"> Domain Name: dupratlogistics.com Registry Domain ID: Registrar WHOIS Server: whois.regtons.com Registrar URL: http://regtons.com Updated Date: Creation Date: 2017-03-17T00:00:00Z Registrar Registration Expiration Date: 2018-03-17T00:00:00Z Registrar: GRANSY S.R.O D/B/A SUBREG.CZ Registrar IANA ID: 1505 Registrar Abuse Contact Email: abuse@regtons.com Registrar Abuse Contact Phone: +420.734463373 Reseller: ??????? ?????? ????????? Registry Registrant ID: G-987982 Registrant Name: Jarred Ewing Registrant Organization: Registrant Street: Smaratun 60 Registrant City: Vik Registrant State/Province: Vik Registrant Postal Code: 870 Registrant Country: IS Registrant Phone: +354.4701571 Registrant Phone Ext: None Registrant Fax: Registrant Fax Ext: Registrant Email: JarredEwing@mail2tor.com Registry Admin ID: G-987982 The domain has been registered the 17th of March! Have a look at the email address (mail2tor.com). The reseller field contains Cyrillic characters. But the mail claimed that they visited my place the 21st of March at 11:32. Unfortunately for them, I width:600px" /> The rest of story is classic. As you can imagine, the document was malicious (MD5:9a9f84d7ade2e2802c1b2b584b668046).The macro downloaded a PE file from width:800px" /> Im not aware of other companies targeted by the same email in Belgium but this was a very nice attempt. To conclude, there are many ways to defeat such phishing attempts by correlating information from multiple sources (logical and physical). Its time consuming but here are a few examples:
  • Check the domain name registration details (via a whois[1] server)
  • Search for addresses, names on Google
  • Geolocate IP address of the fake website
  • Cross check activities with CCTV, badge readers, etc.
Stay safe! [1]https://www.whois.net/ Xavier Mertens (@xme)
ISC Handler - Freelance Security Consultant
PGP Key (c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Categories: Security Posts

ISC Stormcast For Wednesday, March 29th 2017 https://isc.sans.edu/podcastdetail.html?id=5435, (Wed, Mar 29th)

(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Categories: Security Posts

Fortinet Secures Workloads on AWS

Fortinet FortiGuard Blog - 16 hours 26 min ago
Fortinet is proud to be a Silver Sponsor of the 2017 Amazon Web Services (AWS) Summit being held April 5th and 6th in Sydney, Australia at the Hordern Pavilion & Royal Hall of Industries. Security is a high priority for Amazon Web Services. AWS customers benefit from a cloud-based network architecture designed to meet the requirements of the most security-sensitive organizations. However, many organizations also require additional advanced security solutions. Fortinet in cooperation with AWS provides a full suite of carrier-class security...
Categories: Security Posts

How to Recondition Batteries at Home

Metasploit - 19 hours 11 min ago
“How to bring your beat up batteries back from the dead... and add an extra two... three... even four years of operation with little effort and almost no investment whatsoever!” Dear friend, Rechargeable batteries are everywhere:   In your car... in your cell phone...in your cordless drill...even inHassanhttp://www.blogger.com/profile/16672970786414441112noreply@blogger.com0
Categories: Security Posts

Latch en el mundo IoT integrado con Mosquito MQTT Broker #Mosquito #Latch #IoT @elevenpaths

Un informático en el lado del mal - 19 hours 13 min ago
A lo largo de la corta vida de Latch hemos visto muchas integraciones de nuestra tecnología con el mundo IoT, desde las integraciones con la hucha o la máquina de caramelos que hicimos internamente, hasta cosas como la integración en el chip ESP para hacer MicroLatch o el Latch My Car. Son muchas las ideas que han ido apareciendo a lo largo de este tiempo para controlar con Latch tu mundo físico.
Figura 1: Latch en el mundo IoT integrado con Mosquito MQTT Broker
En el pasado Latch Plugin Contest, le dimos el mejor premio - de 5.000 USD - a un proyecto de integración de nuestra tecnología al mundo IoT de la mano del proyecto Mosquito. Este nombre tan peculiar para una tecnología es el que recibe un proyecto Open Source que implementa una especificación MQTT Broker para controlar los dispositivos IoT tanto en el hogar, como en sistemas industriales o SCADA.
Figura 2: Proyecto Eclipse Mosquito
El protocolo MQTT fue diseñado originalmente en IBM, pero se convirtió en un estándar y ahora hay implementaciones Open Source como este Mosquito, hecha en Python, que puedes descargarte y utilizar en tus proyectos.
Figura 3: Faqs MQTT
El objetivo de un sistema MQTT Broker es de hacer de intermediario en esquemas de publicador/suscriptor para el mundo IoT, permitiendo que se descubran nuevos dispositivos, y que se puedan añadir nuevas peticiones de servicios. Esta tecnología permite que sea fácil ampliar, cambiar y reducir los sistemas IoT en una casa, una empresa o una fábrica. 
Figura 4: Esquema de funcionamiento de MQTT
Con la integración de Latch, lo que se permite es añadir un Segundo Factor de Autorización al MQTT Broker para no solo controlar la seguridad del acceso al panel de configuración, sino para añadir controles a las peticiones de servicio que se pueden encaminar a un determinado dispositivo.

Figura 5: Esquema de funcionamiento de control de MQTT con Latch
El manual y la documentación completa del proyecto de Latch para Mosquito MQTT Broker os lo he subido a a Slideshare, y ahí podéis ver desde su instalación, hasta la configuración completa de un entorno.
Figura 6: Manual de integración de Latch en Mosquito MQTT Broker
Además, para que podáis entender mejor el concepto de funcionamiento, este vídeo con una casita en maqueta de lo que sería el mundo IoT en el hogar explica paso a paso el funcionamiento y la utilidad de tener Latch integrado.

Figura 7: Demo de Latch integrado en Mosquito MQTT Broker
Puedes descargar Latch para Mosquito MQTT Broker en el GitHub de su creador, para que lo podáis probar en vuestras propias instalaciones de MQTT.
Figura 8: Latch para Mosquito MQTT Broker
Cada día que vemos la cantidad de cosas que se integran constantemente con Latch, nos sentimos más contentos del uso que se le da a nuestro Segundo Factor de Autorización, ya que las ideas que van apareciendo son cada vez más curiosas. Me encanta.
Saludos Malignos!
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Categories: Security Posts

Potent LastPass exploit underscores the dark side of password managers

ArsTechnica: Security Content - Tue, 2017/03/28 - 21:06
(credit: Wikimedia) Developers of the widely used LastPass password manager are scrambling to fix a serious vulnerability that makes it possible for malicious websites to steal user passcodes and in some cases execute malicious code on computers running the program. The flaw, which affects the latest version of the LastPass browser extension, was briefly described on Saturday by Tavis Ormandy, a researcher with Google's Project Zero vulnerability reporting team. When people have the LastPass binary running, the vulnerability allows malicious websites to execute code of their choice. Even when the binary isn't present, the flaw can be exploited in a way that lets malicious sites steal passwords from the protected LastPass vault. Ormandy said he developed a proof-of-concept exploit and sent it to LastPass officials. Developers now have three months to patch the hole before Project Zero discloses technical details. "It will take a long time to fix this properly," Ormandy said. "It's a major architectural problem. They have 90 days, no need to scramble!" Read 4 remaining paragraphs | Comments
Categories: Security Posts

Cybercriminals Are Building an Army of Things Creating a Tipping Point for Cybersecurity

Fortinet FortiGuard Blog - Tue, 2017/03/28 - 20:34
Today, Fortinet released our quarterly Threat Landscape Report for Q4 of 2016. The data in it was drawn from millions of security devices located around the world that analyze up to 50 billion threats a day. Which means that the conclusions and trends detailed in this report are based on over a trillion security events that occurred between Oct 1 and Dec 31, 2016.
Categories: Security Posts

Forging a Wolf Tooth Spear: Part 2

Niels Provos - Sat, 2017/03/25 - 16:11


Here is Part 2 of my new A Spear Born of Fire video series. My journey in forging the famous Finnish Wolf Tooth Spear from Rovaniemi, Marikkovaara is making slow but steady progress. In this video, I am forming the spear socket and forge a mandrel that will be used for later forge welding. Stay tuned.
Categories: Security Posts

LaCon2k16 Call For Pulpos

48Bits Blog - Fri, 2016/07/15 - 10:54
We are proud to present the call for papers for Lacon 2016!, get your papers in now. We are accepting short talks of 30min and long talks of ~1h. [when] conf will be held from the 23rd to the 25th of Sept 2016 [where] undisclosed location [who] a bunch of crazy bastards [topics] topics include:
  • h/p/v/c/e …
  • satellites, antennas and radioactive crap
  • cryptocurrencies
  • human powered vehicles
  • knitting
  • radare2
  • cats
  • cyborgs
  • 8===========D
[submit] submit your talk proposals to lacon2k16.org@lists.48bits.com [gpgkey] gpg –keyserver pgp.mit.edu –recv-key 0BC0E27E
Categories: Security Posts

A Scheme to Encrypt the Entire Web Is Actually Working

Wired: Threat Level - Thu, 2016/04/14 - 13:00
The non-profit certificate authority Let's Encrypt is enabling a sea change toward HTTPS encryption online. The post A Scheme to Encrypt the Entire Web Is Actually Working appeared first on WIRED.









Categories: Security Posts

Matthew Keys Sentenced to Two Years for Aiding Anonymous

Wired: Threat Level - Wed, 2016/04/13 - 23:30
The former Tribune Company employee was convicted of giving Anonymous information that helped hackers access an LA Times server and alter a headline. The post Matthew Keys Sentenced to Two Years for Aiding Anonymous appeared first on WIRED.









Categories: Security Posts

Hacker Lexicon: What Are White Hat, Gray Hat, and Black Hat Hackers?

Wired: Threat Level - Wed, 2016/04/13 - 23:03
Here's how to distinguish the colors of the hacker rainbow. The post Hacker Lexicon: What Are White Hat, Gray Hat, and Black Hat Hackers? appeared first on WIRED.









Categories: Security Posts

PowerLocker

PandaLabs - Wed, 2014/03/05 - 10:53
PowerLocker, also called PrisonLocker, is a new family of ransomware which in addition to encrypting files on the victim’s computer (as with other such malware) threatens to block users’ computers until they pay a ransom (like the ‘Police virus’). Although the idea of ​​combining the two techniques may have caused more than a few sleepless nights, in this case the malware is just a prototype. During its development, the malware creator has been posting on blogs and forums describing the progress and explaining the different techniques included in the code. The malware creator’s message in pastebin In this post for example, the creator describes how PowerLocker is a ransomware written in c/c++ which encrypts files on infected computers and locks the screen, asking for a ransom. The malware encrypts the files, which is typical of this type of malware, using Blowfish as an encryption algorithm with a unique key for each encrypted file. It stores each unique key generated with an RSA-2048 public/private key algorithm, so only the holder of the private key can decrypt all the files. Also, according to the creator, PowerLocker uses anti-debugging, anti-sandbox and anti-VM features as well as disabling tools like the task manager, registry editor or the command line window. However, all the publicity surrounding PowerLocker that the creator has been generating across forums and blogs before releasing it, has led to his arrest in Florida, USA. Consequently, today there is no definitive version of this malware and there is no evidence that it is in-the-wild. Nevertheless, we still feel it’s worth analyzing the current version of PowerLocker, as someone else could be in possession of the source code or even a later version.   PowerLocker analysis The first thing PowerLocker does is to check whether two files with RSA keys are already created, and if not, it generates the public and private key in two files on the disk (pubkey.bin and privkey.bin). Unlike other ransomware specimens, which use the Windows CrytoAPI service, PowerLocker uses the openssl library for generating keys and encrypting files. Once it has the keys, PowerLocker runs a recursive search of directories looking for files to encrypt, excluding, not very effectively, files with any of the file names used by the malware: privkey.bin, pubkey.bin, countdown.txt, cryptedcount.txt. It also avoids $recycle.bin, .rans, .exe, .dll, .ini, .vxd or .drv files to prevent causing irreparable damage to the computer. The creator has however forgotten to exclude certain extensions corresponding to files which are delicate enough to affect the functionality of the system, such as .sys files. This means that any computer infected with PowerLocker would be unable to reboot. Moreover, in this version it is possible to use a parameter to control whether the ransomware encrypts or decrypts files using the pubkey.bin and privkey.bin keys generated when it was first run. This version does not include the screen lock feature described by the creator, although it displays a console with debug messages, names of the files to encrypt/decrypt, etc. and asks you to press a key before each encryption or decryption.   Conclusions At present, there is only a half-finished version of PowerLocker which could practically be labelled harmless, and which lacks many of the most important features that the creator has described on the forums and blogs, such as anti-debugging, screen locking, etc. Despite it not being fully functional we would recommend having a system for backing up critical files, not just to offer assurance in the event of hardware problems, but also to mitigate the damage of these types of malware infections. Also bear in mind that if you don’t have a backup system and your system is infected, we certainly do not recommend paying the ransom, as this only serves to encourage the perpetrators of such crimes. PowerLocker analysis performed by Javier Vicente
Categories: Security Posts

vulnerability in… WinCalc (Win7, x64)

KPNC - Fri, 2013/08/16 - 04:47
I will never go out of business in this country. thanks to Microsoft. who would have thought that wincalcis vulnerable? I have not checked all systems yet, so this is my configuration: Windows 7 Ultimate SP1 x86-64, English. 1) run calc.exe;
2) press “Alt-2″ to go to “Scientistic” mode (”Programmer” mode works too);
3) type “1/255″ and press [ENTER] or [=]
4) press the button [F-E]; ops! shit happens! NOTE:
I live in Reston, Virginia and would like to meet local hackers to analyze this crash and talk about possibilities of real exploitation of this bug. please, contact me: poldhiir#gmail^com Problem signature:
Problem Event Name: APPCRASH
Application Name: calc.EXE
Application Version: 6.1.7600.16385
Application Timestamp: 4a5bc9d4
Fault Module Name: ntdll.dll
Fault Module Version: 6.1.7601.17725
Fault Module Timestamp: 4ec4aa8e
Exception Code: c00000fd
Exception Offset: 0000000000053560
OS Version: 6.1.7601.2.1.0.256.1
credits:
the bug was found by: Nuzhny
Categories: Security Posts

El último superviviente (II) - iOS

Lost In Security - Sun, 2013/04/07 - 03:30
En el pasado artículo estuvimos revisando los puntos débiles que tiene un malware a la hora de sobrevivir un reinicio del sistema, y nos centramos en OSX. Ahora toca el turno a iOS, que al ser una especie de spin-off de OSX, vamos a ver que existen muchas similitudes. De hecho, en el caso de iOS, no existen tantos puntos donde una aplicación va a poder registrarse para sobrevivir a un reinicio. Al ser un sistema tan cerrado, y mucho más simple que un sistema clásico de escritorio, estos puntos de arranque son mucho menos. El sitio por excelencia para registrarse una aplicación que quiera ser arrancada en el reinicio es /System/Library/LaunchDaemons, y su funcionamiento es exactamente igual que en la de su hermano OSX. Basta con dejar un archivo con un formato específico (fichero .plist) en ese directorio, que será interpretado por launchd en el arranque y ejecutará lo que esté configurado. Aunque es importante reseñar que no es posible acceder a incluir ningún fichero en ese directorio sino es a través de algún exploit/jailbreak. También existen el directorio /Library/LaunchAgents y /Library/LaunchDaemons, pero no son utilizados por el sistema. Tan sólo después de hacer un jailbreak, sí que se utiliza el segundo, y algunas aplicaciones de Cydia registran ahí sus ficheros .plist (como OpenSSH). Por ejemplo, en el primer malware que apareció para iOS (sólo para dispositivos con jailbreak), llamado iKee (con todas sus variantes iKee.A, iKee.B y iKee.C), utilizaba este sistema para sobrevivir al reinicio, instalando tres archivos en este directorio. Si nos fijamos en el código de iKee, veamos cómo instalaba uno de estos ficheros: rm -rf /System/Library/LaunchDaemons/com.apple.ksyslog.plist
#cp com.apple.ksyslog.plist /private/var/mobile/home/
cp com.apple.ksyslog.plist /System/Library/LaunchDaemons/com.apple.ksyslog.plist
#/bin/launchctl load -w /System/Library/LaunchDaemons/com.apple.ksyslog.plist También en el caso del 'troyano' creado por FinFisher para la monitorización de dispositivos iOS, se utiliza un archivo .plist en el directorio /System/Library/LaunchDaemons llamado com.apple.logind.plist, con el objetivo de sobrevivir un reinicio (y ejecutar el binario logind): <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Disabled</key> <false/> <key>Label</key> <string>home.logind</string> <key>OnDemand</key> <false/> <key>ProgramArgumments</key> <array> <string>/System/Library/CoreServices/logind.app/logind</string> <string></string> <string></string> </array> <key>StandardErrorPath</key> <string>/dev/null</string> </dict> </plist> En teoría, no existe ningún otra forma de registrarse en el sistema para ser ejecutado en un arranque. Aunque no es del todo cierto, puesto que Apple sí que permite ejecutar aplicaciones que no sean del sistema en el arranque, sin tener que utilizar ningún exploit o jailbreak: utilizando el parámetro UIBackgroundModes (a partir de 4.0) en el fichero Info.plist de la app. Según la documentación de Apple, UIBackgroundModes se utiliza para especificar si una app necesita ejecutarse de forma continua en el background, pero Apple sólo permite ciertos tipos de aplicaciones utilizar este parámetro:
  • Audio (audio): para que suenen las canciones
  • Posición (location): si se necesita tener un control fino de la posición (por ejemplo en aplicaciones de deportes)
  • VoIP (voip): siempre conectado para recibir llamadas
  • Revistas (newsstand-content): descargar contenidos de forma inmediata
  • Accesorios externos (external-accesory): estar conectado continuamente
  • Bluetooth (bluetooth-central y bluetooth-peripheral): estar conectado continuamente
Para posibles fines que pueda tener un malware, la que más interesa es la opción de VoIP, puesto que permite controlar las comunicaciones en background, y además será arrancada en el reinicio del dispositivo por parte del sistema. <key>UIBackgroundModes</key> <array> <string>voip</string> </array> Para demostrarlo, el desarrollador Timothy L. Ekl ha desarrollado una pequeña app que utiliza la clave UIBackgroundModes con el valor 'voip', y efectivamente, la aplicación se ejecuta en el reinicio del sistema de forma automática. Según parece, en el proceso de revisión de Apple a la hora de incorporar una nueva app en la AppStore, si una app tiene el parámetro UIBackgroundModes puesto a 'voip', se comprueba que realmente es una aplicación de VoIP, y si no, se rechaza. En nuestro caso de un malware, nos da relativamente igual puesto que en principio ese malware habrá infectado el sistema con otros medios que no sea a través de la AppStore, con lo que podría usar este parámetro sin problemas para sobrevivir al reinicio. A día de hoy no se ha visto ningún malware que utilice esta técnica, pero puede que en el futuro podamos ver alguno. El último superviviente (I) - OSX
El último superviviente (II) - iOS
Categories: Security Posts

Españoles por la BlackHat

Lost In Security - Sat, 2013/04/06 - 23:30
Siguiendo con la estela del artículo publicado 'Españoles por la Phrack', vuelvo a la carga con un artículo parecido, pero en este caso sobre una de las conferencias de seguridad que más conoce la gente: BlackHat. Si os dedicáis a la seguridad informática, alguna vez tenéis que ir a Las Vegas durante el mes de agosto para conocer de primera mano que suceden en estas conferencias, puesto que es casi una peregrinación obligada. Las conferencias BlackHat fueron fundadas en 1997 por Jeff Moss (The Dark Tangent) y aunque al principio eran las conferencias donde todos los investigadores nos guardábamos nuestros descubrimientos para enseñarlos allí, poco a poco se ha ido perdiendo ese espíritu por diversas razones; ahora mismo existen innumerables conferencias de seguridad en casi todos los países, muchas conferencias se han vuelto más comerciales, etc. También influyó cuando en 2005 Jeff Moss vendió las conferencias a la empresa CMP Media, por alrededor de $13.9 millones. Aún así, todavía hoy en día son las más conocidas, y su versión de Las Vegas es posiblemente una de las conferencias de seguridad con más asistentes del mundo. Aunque nos ha costado un poco, también los españoles poco a poco nos hemos ido quitando el miedo y ya es normal ver a algún español dando alguna presentación en cualquiera de las BlackHat que se celebran por el mundo. Hagamos un repaso de las apariciones de españoles en alguna BlackHat: Como bien ha indicado Juan Garrido en los comentarios, también desde el año 2010 dentro de la BlackHat existe una sección para mostrar herramientas novedosas, que se llama BlackHat Arsenal. También a ella han acudido varios españoles para enseñar sus herramientas:
Categories: Security Posts
Syndicate content