Ultimamente Google se ha visto envuelto en un circulo de vulnerabilidades que han sido descubiertas y expuestas en distintos portales de internet, solo basta recordar el Google Search Appliance XSS descubierto por MustLive, el cual afectaba a una gran cantidad de usuarios.

La aplicacion en que Google aposto en el mercado de las imagenes, se vio afectada por un agujero de seguridad provocado por XSS especificamente por CARF, donde atravez de una pagina web especialmente malformada para este fin es posible acceder a imagenes privadas del usuario que sea atacado, es posible encontrar varias pruebas de concepto de Picasa Exploit.

Despues del lanzamiento del blog de beford que esta enfocado en Google Polls XSS, este es un nuevo servicio integrado que utiliza algunas funcionalidades acorde con multiple servicios, puede ser usado para busqueda de ataque, blogger, Google Groups y en los casos mas dramaticos con Gmail:

1. This POC steals your Google contacts
2. This POC steals your GMail incoming messages
   

Y las mas reciente vulnerabilidad descubierta por Adrian Pastor miembro del grupo GNUCITIZEN es un Urchin Login XSS, la cual compromete en la instalacion de Google Analyctics, esto puede ser algo severo dependiento de como este instalado Urchin, pero la prueba de concepto proporcionada, muestra las credenciales actuales de la sesion en curso. No es un ejemplo espectacular, pero muestra el peligro del XSS.

Estas vulnerabilidades fueron corregidas rapidamente por parte de Google, que es uno de las organizaciones mas activas en cuanto a la correccion de vulnerabilidades, pero esto no es lo importante, ya que el objetivo principal es lo facil con lo que se descubren estos agujeros y dejan vulnerables las defensas de millones de usuarios que utilizan estas aplicaciones, provocando una gran diversidad de incidentes de seguridad no esperados.

Mas info:
hackademix.net

Apagar el móvil: ¿misión imposible? describe una situación JackBaueriana: cómo algunos teléfonos móviles que incorporan GPS y un servicio llamado E911 (relacionado con el servicio de emergencias de EE.UU.) no se apagan a pesar de que los hayas apagado.

Este tipo de teléfonos continúan enviando sus coordenadas y siguen conectados a la torre de comunicaciones durante un tiempo variable (desde unos segundos a un par de horas) después de haber pulsado la tecla de apagado (…) Ni siquiera retirar la batería produce un apagado definitivo (…) Resulta sorprendente comprobar que algunos modelos de teléfono incluso tras retirar la batería son capaces de mantener la conversación activa durante diez o quince segundos, lo que da una idea de lo que pueden permanecer en modo «durmiente» cuando sólo son aparentemente «apagados».

Es un poco el mundo al revés: en los teléfonos normales las baterías a veces no duran ni unas pocas miserables horas, se acaban cuando más los necesitas. Otros en cambio redefinen el concepto de «apagado» y duran y duran a pesar de estar sin batería. (Vía Kriptópolis.) Actualización (26 de septiembre de 2007): The Drummer nos recuerda acertadamente que muchos teléfonos móviles respetan las alarmas incluso estando apagados; y no con simple «bip bip» sino accediendo a melodías en MP3 en tarjetas Flash, lo cual requiere cierto código más sofisticado que una simple circuitería de reloj.

Via gnucitizen, me entero del descubrimiento de una vulnerabilidad en archivos PDF, la capacidad que tiene dicha vulnerabilidad aun se desconoce debido a la poca informacion que ha proporcionado su descubridor Petko D. Petkov, pero se estima que la ultima version del lector Adobe Reader (8.1) es vulnerable a la ejecucion de archivos maliciosamente formados para comprometer completamente el sistema operativo Microsoft Windows.

A la fecha de este post no han brotado ningun tipo de prueba de concepto para la demostracion de dicho bug, hasta que la empresa Adobe confirme las actualizaciones pertinentes para cubrir este error.

El lector de Adobe se ha visto envuelto en muchas vulnerabilidades de nivel critico debido a la importancia que tienen los archivos PDF, solo basta recordar a UXSS, esperemos que Adobe cubra cuanto antes esta vulnerabilidad y ponga mas enfasis al desarrollo seguro de su software.


Enlace: 0day: PDF pwns Windows

Interceptar trafico en una red es una tarea fundamental para un administrador de red, debido a que no solo sirve para hacer un analisis de los datagramas que circulan por nuestra red, si no tambien para prevenir diversos ataques que tengan patrones de intrusion, con respecto a esto es posible tomar las medidas necesarias en tiempo real y asegurar nuestra posicion.

El analisis de trafico consiste en hacer un estudio detallado de los datagramas que circulan por nuestra red, si estos datagramas aun no han sido enrutados, es posible su alteracion y gestion en su acceso a la red.

El analisis local de los datagramas esta limitado solo a su investigacion, en ningun momento es posible su manipulacion, debido a que los datagramas locales entrantes solo son una replica de los que circulan por la red.

Entre los diferentes tipos de sistemas de seguridad que existen para la intercepcion de trafico, la principal diferencia entre IPS e IDS, es que este ultimo tiene pocas posibilidades de dar una respuesta a un ataque en tiempo real debido a que como ya se me menciono antes los datagramas son solo copias del trafico real.

Actualmente una de las herramientas de codigo abierto con la mayor reputacion en cuanto al estudio y analisis de los datagramas en red es Snort, esta herramienta puede ser gestionada de 2 formas, como IDS y como Sniffer, la forma en que Snort pueda responder a posibles patrones de intrusion en nuestra red es mediante la implementacion de un plugin llamado SnortSam, el cual se encarga especificamente de realizar respuestas activas como IDS al detectar un ataque.

Existen diferentes librerias que proporcionan ayudan para la intercepcion de trafico:

-libpcap
-libipq
-ipfw

Una caracteristica esencial que poseen los sistemas UNIX y Unix-like es su directa especializacion en redes y su implementacion para la gestion de protocolos, esta caracterista hace que la gestion adecuada del trafico de red sea una tarea imprescindible para el kernel. La parte del kernel que se encarga de la seguridad de el trafico de red atravez de los protocolos, es NETFILTER.

Las ip tables es un sistema de selección de paquetes sobre el sistema Netfilter. Se trata de un sistema totalmente extensible, cualquier modulo del kernel puede darle a iptables una tabla nueva y decir que los paquetes pasen por la misma.

La intercepcion de trafico a nivel de kernel, es implementada cuando el flujo de datagramas a estudiar es considerablemente alto, dado que hoy en dia la intercepcion de trafico se puede realizar en modo usuario.

El siguiente modulo utiliza la interfaz de netfilter que provee a nivel de kernel para utilizar los hooks que tiene la pila de protocolos:

#define __KERNEL__
#define MODULE
#include <linux/config.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/version.h>
#include <linux/init.h>
#include <linux/netdevice.h>
#include <linux/netfilter_ipv4.h>
#include <linux/skbuff.h>
#include <linux/netfilter.h>
#include <linux/ip.h>
#include <asm/checksum.h> //De aqui utilizamos la ip_fast_csum
static struct list_head lista = {NULL,NULL};
//La lista es solo para funcionamiento interno de la función
static struct nf_hook_ops operations;
static unsigned int operation_hook(unsigned int hook,
struct sk_buff **skb,
const struct net_device *indev, const
struct net_device outdev, int (*okfn)
(struct sk_buff *))
{
(*skb)>
nfcache=NFC_UNKNOWN;
printk("Paquete! %d \n",(*skb)>
len);
if ((*skb)>
nh.iph>
protocol == 0x01){ //Si estamos en el icmph
(*skb)>
nh.iph>
protocol = 0x02; //Lo cambiamos
(*skb)>
nh.iph>
check=0; //Lo ponemos a 0 para calcular
(*skb)>
nh.iph>
check = ip_fast_csum((unsigned char *)(*skb)>
nh.iph, (*skb)>
nh.iph>
ihl);
(*skb)>
nfcache = NFC_ALTERED; /* Marcamos como modificado */
return NF_ACCEPT;
}
}
4
static int __init init(){
operations.list = lista;
operations.hook = (nf_hookfn *)operation_hook;
operations.pf = PF_INET;
operations.hooknum = NF_IP_LOCAL_OUT;
operations.priority = NF_IP_PRI_FILTER1;
return nf_register_hook(&operations);
}
static void __exit exit(){
nf_unregister_hook(&operations);
}
module_init(init);
module_exit(exit);
MODULE_LICENSE("GPL");

El ejemplo modifica el IP Header de los datagramas ICMP que salen de nuestro sistema atravez del kernel.

Registro del hook de netfilter
Cada paquete que salga de nuestro sistema sera analisado atravez de la funcion que sea registrada por:

int nf_register_hook(struct nf_hook_ops *reg)

Que se encuentra en la libreria linux/netfilter.h, por lo tanto el codigo con el que gestionaremos nuestra funcion es el siguiente:

operations.list = lista;
operations.hook = (nf_hookfn *)operation_hook;
operations.pf = PF_INET; //Le decimos que familia de protocolos queremos (En este caso familia TCP/IP)
operations.hooknum = NF_IP_LOCAL_OUT; //Queremos interceptar el tráfico que sale de nuestro sistema.
operations.priority = NF_IP_PRI_FILTER1;
//Le damos una prioridad
return nf_register_hook(&operations);

Se utiliza la funcion operation_hook() para que sea llamada desde el hook, en el codigo se aprecian diversas estructuras, sus objetivos son los siguientes:

struct sk_buf **skb = gestion de paquetes atravez del kernel
const struct net_device *indev = por que interfaz ha llegado
const struct net_device outdev = por que interfaz sale

La funcion operation_hook() nos retornara varios valores, dependiendo del retorno son las opciones que tendra el kernel para el uso del datagrama.

NF ACCEPT: Da acceso al datagrama.
NF DROP: Elimina el datagrama.
NF STOLEN: Gestionado por el kernel.
NF QUEUE: pon el paquete en una cola (normalmente para tratar con el
NF REPEAT: Proceso ciclico del hook

Como se puede apreciar el trafico de nuestra red puede ser facilmente capturado, manipulado o analisado de forma totalmente eficiente, y optimizado para permitir solo el trafico de datagramas legitimos para nuestros nodos, esta demas decir que los codigos estan hechos para un kernel 2.6.15, y quizas en un proximo post seguimas hablando sobre modulos del kernel para nuestra gestion de una red local e internet.

Autor: jonbaine
Mas informacion y fuente: http://www.e-ghost.deusto.es/docs/2006/conferencias/CharlaIntercepcionTrafico.pdf

Ad-jacking es una tecnica donde los atacantes utilizan vulnerabilidades XSS avanzadas, para hijackear los anuncios del un sitio web afectado. Esta técnica fue adoptada por David Kierznowski del grupo GNUCITIZEN.

Como lo XSS estan siempre presentes en el tema de conversacion de profesionales de seguridad, y su importancia en cuanto a los privilegios se pueden conseguir esta limitada al robo de cookies o secuestro de credenciales. En este post se expone la forma en como un gusano podria armarse con un ad-jacking payload para vulnerar la web 2.0 y promover su distribucion.

El sistema tradicional del Ad-jacking fue llamado "fraude por click", Este sistema explotaba PPC (pago por click) que se realizaba de algunas maneras obvias. Este tipo de aprovechamiento, ha quedado en el pasado ya que los administradores de las empresas de publicidad tienen un sin fin de técnicas y de ecuaciones maravillosas para detectar y para castigar a delincuentes del fraude por click.

Los esquemas actuales sobre los que se categorizan las empresas de anuncios publicitarios generalmente son las siguientes.

• Pago por click (PPC)
  
• Pago por mil impresiones (PPM)
  
• Pago por accion (PA)
  
• Programas del afiliado

Es posible explotar PPC y el PPM, pero esto llamaria la atencion demasiado por el proveedor de los anuncios y tomaria rapidamente medidas al respecto, y como ya se ha dicho probablemente el sistema PPC sea dejado de utilizar; sin embargo, PA por otra parte es más sutil, y puedo ver a atacantes que tengan estos propositos.

El peligro de el Ad-jacking es que requiere poca o ningun tipo de intervencion del usuario desde el punto de vista de los atacantes. Debe quedar claro que en este post se especifica el uso del XSS para realizar esto, es posible utilizar cualquier tipo de puerta trasera en plugins del navegador o greasemonkey script, a un spray head o buffer overflows payload podrian ser utilizados. Imaginense las posibilidades de un gusano que utilice Ad-jacking para insertar los anuncios de los atacantes en una pagina web, que reescribe las identificaciones del sitio afiliado. El potencial peligro aqui es evidente, sobre todo al ser del lado del cliente, es mas dificil de detectar.

Los ataques del futuro pueden utilizar la Web 2.0 y XSS para la propagacion de gusanos. La manera más obvia de hacer esto está vía Ad-jack, un término que acuñé para una categoría de los ataques que utilizan una combinación de los servicios de XSS, de JSON y del fraude por click. Como mencioné antes, el Ad-jack es como fraude por click en periodos.

Discutiré un potencial escenario para el Ad-jacking así como un PoC del Javascript payload.

Verás muchos sistemas de afiliados usando enlaces en HTML alrededor de un elemento IMG. Por ejemplo:

<a href="http://www.the-affiliate/?afl=97781">
<img src="http://www.the-affiliate/images/banner7.gif"
alt="" border="0"></a>

Como parte de nuestro gusano XSS, porque de nuestra prueba de concepto el atacante iniciaria su propia cuenta de afiliado y se le otorga de afiliado el número 12345. Nuestro acoplamiento del atacante PA parecería esto:

http://www.the-affiliate/?afl=12345

Ahora para nuestro pequeño XSS JavaScript Payload que cambiara la identificacion del afiliado de las páginas (' ? 97781) a los atacantes (' ? 12345). Atravez de estos medios si el cliente visita el enlace y realiza alguna compra el atacante recibira los beneficios.

El código es simple, asi cada acoplamiento del DOM y lo analizamos para nuestro URL del afiliado. Una vez que lo encontremos, lo substituimos simplemente por los atacantes:

var x = document.getElementsByTagName('a');
for (i=0;i<x.length-1;i++) {
if (x[i].href.match(/http://www.the-affiliate/?afl/)) {
x[i].href = 'http://http://www.the-affiliate/?afl=12345/?aff=test';
}
}

La razón detrás de esto es que el webmaster ha optimizado muy probablemente ya el Web site para tener la exhibición del anuncio en el mejor lugar para aumentar las ventas; para el webmaster es menos probable conseguir un Ad-jacking sospechoso del ataque, si una red de anuncios existentes es el anuncio jackeado.

Realmente debemos centrarnos en PPC y PPM (a veces afiliados). ¿Por qué? porque su garantiza por hit, y el atacante pueden garantizar hits.

Ahora ya sabes por donde va todo esto; para los que no han entendido, discutiremos debilidades en los esquemas actuales de anuncios y cómo pueden ser explotados. Las ideas discutidas son nuevos medios para utilizar el XSS, porque no he visto ningún artículo sobre el Internet que realmente trate a estos temas.

Los asuntos cubiertos se limitan:

• popups
• redireccionadores
• iframes
• imagenes

popups

¡Ad-jacking popups! ¿Por qué los webmasters lo hicieron? Ahora que entendemos PPC y el PPM la razón llega a ser obvia.

La prueba del código que una ventana nueva (popup) con dimensiones fijadas por nosotros. Esto puede llegar a ser más difícil de hacer debido a que la gran mayoria de navegadores tienen implementadas acciones frente a los popups, pero usar este metodo, suele ser el preferido.

window.open('http://myadspaymentsite/url=sponsorlink&ref=12345',
'window name','attribute1,attribute2')

IFrames

Un IFrame es básicamente una nueva Web page que se carga en una tabla en tu browser actual. Esto es realmente de gran alcance para exhibir el contenido de otros dominios, desafortunadamente está se puede también utilizar como herramienta para implementar el Ad-jacking.

El código siguiente cargará encima de un iframe invisible a nuestra página patrocinada. La cosa agradable aquí
es eso que nuestro atacante malvado ahora está haciendo el dinero de tu visita sin saber del usuario. mejor para el usuario, porque él derrota totalmente el punto del tener anuncios.

<IFRAME NAME="iframe" SRC="http://myadspaymentsite/url=sponsorlink&ref=12345"
SCROLLING="AUTO" WIDTH="0px" HIEGHT="0px" FRAMEBORDER="0"
ALLOWTRANSPARENCY="yes">Your Browser Does not Support IFrames. Please
View the Site in a Different Browser to View this frame.
</IFRAME>

Redireccionadores

El ejemplo siguiente vuelve a dirigir simplemente al usuario a una página de anuncios sobre la representación de una página:

  Javascript: document.location = 'http://myadspaymentsite/url=sponsorlink&ref=12345';

Imágenes ocultadas

Éste tiene que ser uno de los métodos más eficaces mencionados hasta el momento. Las imágenes permiten el acceso del XSS, pero son también invisibles en la mayoría de los casos por defecto; un Web page recupera algo entonces una imagen, y por lo tanto no se exhibe ningún resultado siempre. Esta sintaxis es simple e inutilizable:

""/> del alt= de " http://myadspaymentsite/url=sponsorlink&ref=12345 " del src= del <img

Resumen

Este papee miraba maneras de encajar código malévolo en las páginas para falsificar credenciales y los usos del anuncio del scam. Seguro Google y muchos otros saben todo sobre estos scams y los tienen muy presente en analisis de deteccion de anomalias en entradas completas; sin embargo, es curioso apenas cómo es eficaz están en la detección de estos tipos de anuncios cuando utilizamos las dos R, RAMDOM y REALISTA.

Esto también es debido a estas debilidades que el tipo anuncios de PPC y del PPM sea substituido en el futuro, Google y muchos otros se están moviendo más hacia PA como ventas y los exámenes son más difíciles al scam.

EL XSS se puede utilizar para provocar otro tipo de errores mas especificos y no solo para mostrar una caja de alerta simple y se debe tratar con el respeto que merece.

Referencias y fuentes:

• Ad-Jacking Affiliate Anchor Tags
• XSS for Fun and Profit
• Ad-Jacking - XSSing for Fun and Profit

Robert Hansen, ha escrito un muy interesante paper sobre como penetrar en una intranet protegida por un firewall, usando sitios webs.

El paper esta enfocado en los efectos mostrados comunmente por las vulnerabilidades en sitios web, RFI con formatos de imagenes.

http://www.sectheory.com/intranet-hacking.htm

Via gnucitizen me entero de un excelente paper que han liberado sobre las vulnerabilidades y su explotacion en aplicaciones de entorno web 2.0, el paper es muy entendible y bastante facil de seguir pero es necesario saber ingles.

Hacen especial hincapie sobre como ciertos detalles de seguridad encontrados en grupo pueden llegar a afectar a toda una aplicacion completa, esto es factible en aplicaciones que implementan tecnologia como AJAX y ASP.NET AJAX.

La informacion que proporciona este paper es sobre la historia de este termino(WEB 2.0), sus tecnologias y su gran auge que ha tenido en la interaccion usuario/servidor, dando como resultado una web mas dinamica y rica en contenidos diversos.

Post Original Traduccion
Leer Online

Un saludo.