Nueva vulnerabilidad crítica en OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed,
FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica
en OpenSSL. Una vez más el problema podría facilitar a un atacante
remoto la realización de ataques de hombre en el medio, y poder
escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de
una nueva versión de OpenSSL para corregir una vulnerabilidad calificada
como de gravedad "alta". Este anuncio creó cierta expectación que
rápidamente quedó eclipsada por las informaciones relacionadas con
el Hacking Team. Todas las incógnitas sobre el problema han quedado
resueltas.

Tal y como anunció, el proyecto OpenSSL ha publicado hoy una
actualización para esta nueva vulnerabilidad de falsificación de cadenas
de certificados alternativos, identificada con CVE-2015-1793. La
vulnerabilidad está relacionada con el proceso de verificación de
certificados.

Durante la verificación de certificados si falla el primer intento de
construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y
1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin
embargo, un error en la implementación puede permitir a un atacante
evitar la comprobación de determinados controles (como la bandera de CA)
en certificados no confiables. Esto puede permitir a un certificado de
usuario válido actuar como certificado de CA y emitir certificados, que
aunque no sean válidos, serán aceptados como confiables por el sitio
afectado.

Este problema afecta a cualquier aplicación que verifique certificados
incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que
usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b,
1.0.1n y 1.0.1o de OpenSSL.

Se han publicado las actualizaciones:
OpenSSL 1.0.2d para usuarios de OpenSSL 1.0.2b y 1.0.2c
OpenSSL 1.0.1p para usuarios de OpenSSL 1.0.1n y 1.0.1o

Tags: 

Los 400 Gb de Hacking Team

¿Por dónde empezar? Ah, sí. Quizás el comienzo no sería un buen
principio para contar esta historia viva. Mientras que el fuego aun
está ocupado transformando la solidez de ayer en las cenizas que
recogemos hoy y somos testigos de lo que está aconteciendo, caben
muchas preguntas en nuestro mar de dudas; la mayoría quedarán sin
respuesta, otras añadirán confusión y unas pocas podrán presumir
de la certeza que aporta una respuesta justa y probada.

Domingo 5 de julio. La cuenta de twitter de la empresa italiana Hacking
Team cambia su nombre a "hackedteam". Un tweet publicado desde esa
cuenta dice textualmente "Ya que no tenemos nada que ocultar, publicamos
todos nuestros correos, archivos y código fuente". El tweet contiene un
enlace a un archivo torrent. Este archivo permite descargar nada más
ni nada menos que 400 gigabytes de información. Es evidente que este
ejercicio de transparencia no viene de quienes hoy intentan salir de los
escombros. Ese pequeño tweet marcaba el comienzo del día más largo y
amargo de los fabricantes italianos de artefactos para el espionaje
moderno.

Se necesitan unos diez o quince años en construir esos datos, millones
de años quizás para que un algoritmo encuentre esa larguísima cadena
en los decimales de un número irracional. Solo se necesita una ínfima
porción de ese tiempo para destruirlos, un poco más para exfiltrarlos
y hacer que todo vuele por los aires.

La red era una fiesta. Si pudiéramos medir el consumo de café y el
tráfico de datos en las redes sociales probablemente irían de la mano
en un ascenso vertiginoso durante la jornada del martes. La comunidad
se volcó en el análisis, comentarios e intercambio de los fragmentos
del desastre. Poco a poco iban surgiendo nuevos datos, la gente los
conectaba y producía información en un bucle que producía nuevos
hallazgos. Un ejemplo ilustrativo de inteligencia colectiva aplicada.

¿Qué es y que vende Hacking Team?

Se definen como una empresa que ofrece servicios de seguridad ofensiva.
Seguridad ofensiva a cambio de dinero. ¿Qué color le ponemos al
sombrero? ¿Blanco? ¿Negro? ¿o el color verde con el que se suele
representar al dinero? Su carta de servicios incluye software para
troyanizar y controlar un sistema informático de manera remota. El
cliente objetivo: servicios de inteligencia y agencias de seguridad
públicas. Sin embargo el público encontró en la lista de clientes y el
contenido de los correos a numerosas empresas del sector privado. Y no
solo eso. Según la propia web de Hacking Team no vendían sus productos y
servicios a gobiernos de países en las listas negras de Estados Unidos,
Unión Europea, OTAN o Naciones Unidas.

Imagen:
http://2.bp.blogspot.com/-mmXDZ0Ad9LM/VZ1AwjEo2cI/AAAAAAAAD_o/Cz84q8YdK8...

Y sin embargo se señalaba a Sudán (país en lista negra) como uno de sus
clientes.

Imagen:
http://2.bp.blogspot.com/-aapIbLqhTYo/VZ1A5al8MvI/AAAAAAAAD_w/3qVhYzA3-s...
Fuente:
http://www.csoonline.com/article/2944333/data-breach/hacking-team-respon...

Esto ha provocado una reacción inmediata en el gobierno europeo. La
parlamentaria danesa Marietje Schaake ha conminado a las autoridades
italianas a que investiguen la relación de Hacking Team con países
sancionados por la Unión Europa.

Una organización que ha visto respaldadas sus acusaciones es Citizen
Lab, organización sin ánimo de lucro que fomenta la defensa e
investigación en materia de derechos digitales.

Puertas traseras

Muchas de las operaciones montadas por estos gobiernos y agencias han
sido detenidas a raíz de la brecha. La sorpresa para estos ha sido por
partida doble cuando pudieron comprobar, como el resto del público, que
el software que usaban aparentemente contenía puertas traseras en el
código. En la imagen por cierto, puede observarse una vulnerabilidad de
inyección de código SQL en una supuesta puerta trasera.

Imagen:
http://1.bp.blogspot.com/-ds7Tq6sATic/VZ1BnGl6ftI/AAAAAAAAD_4/ckpTzx5QCg...
Fuente: https://twitter.com/scusiblog/status/618519964618784768

La Santabárbara italiana

Exploits, algunos de ellos 0day, código fuente de las herramientas y
troyanos para diferentes plataformas. Un completo arsenal del que aun se
está estudiando y sacando partido. El que más estaba sonando es el 0day
de Adobe Flash, ya convertido en módulo de la suite Metasploit, y que ha
forzado a encender la máquina de fabricar parches de Adobe para publicar
el parche APSA15-03:
https://helpx.adobe.com/security/products/flash-player/apsa15-03.html

Dentro de la jerarquía de carpetas podía encontrarse una con seis
aplicaciones para la troyanizar la plataforma Android.

Imagen:
http://4.bp.blogspot.com/-e5yucue6-MA/VZ1B1EgMluI/AAAAAAAAEAA/P3HtD2ptjp...

Hemos subido las muestras al proyecto Koodous para que los análisis y
las propias muestras estén a disposición de la comunidad.

Imagen:
http://2.bp.blogspot.com/-5HHSvnsBZ0U/VZ1B9-nsEJI/AAAAAAAAEAI/2JVh8xf_JQ...

La búsqueda, por ejemplo por certificado, puede encontrarse en Koodous
desde aquí:
https://koodous.com/apks?search=cert:B1BC968BD4F49D622AA89A81F2150152A41...

Gran parte del código fuente y binarios encontrados han sido expuestos
en GitHub, aunque ha sido constante el flujo de cuentas y repositorios
al haber sido estos borrados y creados de nuevo.

Imagen:
http://4.bp.blogspot.com/-j7KJGnXRdy8/VZ1CXOPtKKI/AAAAAAAAEAQ/swdlCkpvf1...
https://github.com/hackedteam?tab=repositories

No se vayan todavía probablemente habrá más

Bajo el nombre de Phineas Fisher (https://twitter.com/GammaGroupPR) se
halla el autor o autores probables del asalto a Hacking Team. No en vano
también fueron quienes despiezaron a su competencia, GammaGroup y su
herramienta estrella FinFisher.

Imagen:
http://1.bp.blogspot.com/-NrMHl8jQ5kc/VZ1CjaAb94I/AAAAAAAAEAY/J2dj0gPQ_T...

Esto no acaba aquí. De una forma u otra queda muchísimo material por
analizar, debate moral y conclusiones a las que llegar. Tendríamos que
pedir disculpas por dejarnos cosas por contar, pero la magnitud es
tremenda, la repercusión se nos va fuera del horizonte visible. Es de
esperar que en los próximos días el caudal de información siga emanando
y tarde en agotarse o que empiece a perder fuerza.

Son 400 gigas, algunos dicen que probablemente bastantes más. Hay mucho
de lo que aprender y muchas preguntas que están buscando su respuesta en
ese montón de bytes que aun encierran suficientes secretos, demasiados
secretos.

Fuente : http://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.htm...

Tags: 

Actualización Kernel RH7

Red Hat ha publicado una actualización del kernel para toda la familia
Red Hat Enterprise Linux 7 que solventa siete nuevas vulnerabilidades
que podrían ser aprovechadas por atacantes para provocar denegaciones de
servicio, obtener contenido de la memoria o elevar sus privilegios en el
sistema .

Un problema en la lectura y escritura de tuberías podría dar lugar a
una corrupción de memoria que podría permitir a un atacante provocar
condiciones de denegación de servicio o elevar sus privilegios en el
sistema (CVE-2015-1805). Una condición de carrera en el subsistema
de administración de llaves puede causar la caída del sistema
(CVE-2014-9529). Una elevación de privilegios por un fallo en la
implementación de la emulación 32 bits del kernel de Linux
(CVE-2015-2830).

Un fallo en la implementación del sistema de archivos ISO podrá permitir
a un atacante con acceso físico al sistema provocar un bucle infinito en
el kernel, con la consiguiente denegación de servicio (CVE-2014-9420). Una
fuga de información en la implementación del sistema de archivos ISO9660
podrá permitir a un atacante con acceso físico al sistema obtener hasta
255 bytes de la memoria del kernel (CVE-2014-9584). Una denegación de
servicio local en la implementación de tablas netfilter por un error en
la función nft_flush_table() (CVE-2015-1573). Por último, un desbordamiento
de entero en la forma en la que el kernel de Linux aleatoriza el stack para
procesos en determinados sistemas 64 bits (CVE-2015-1593).

Además se han solucionado otros fallos de menor importancia. Detalles
sobre la aplicación de ésta actualización se encuentran disponibles en:
https://access.redhat.com/articles/11258

Tags: 

Nuevos 0day de Adobe Flash Player relacionados con el Hacking Team

La fuga de datos del Hacking Team sigue dando que hablar (y seguirá).
La semana pasada Adobe publicó una actualización (APSB15-16) para
solucionar un 0-day. En los últimos días se han anunciado dos nuevos
0day descubiertos entre la inmensa cantidad de información filtrada,
Adobe ya ha confirmado que publicará una nueva actualización para
solucionarlos.

Después de publicar una actualización de urgencia (APSA15-03) para
solucionar un primer 0day (con CVE-2015-5119) relacionado con el ataque
a Hacking Team, y de una segunda actualización (APSB15-16) que además
corregía otras 35 vulnerabilidades; Adobe se ha visto obligada a
anunciar que durante esta semana publicará una nueva actualización para
solucionar otros dos nuevos 0days encontrados durante los últimos días.

Como ya anunciamos los "400 gigas de caramelos" iban a aportar un caudal
de información que daría mucho que hablar. En este caso los 0day
anunciados se identifican con los CVE-2015-5122 y CVE-2015-5123. Ambas
están relacionadas con vulnerabilidades por uso después de liberar con
la función ValueOf, en el primer caso a través de los métodos
"TextBlock.createTextLine()" y "TextBlock.recreateTextLine(textLine)",
mientras que el segundo caso afecta a un objeto "BitmapData". En ambos
casos se han encontrado pruebas de concepto que muestran los efectos de
los fallos.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player
18.0.0.204 (y anteriores) para Windows, Macintosh y Linux. Adobe ha
confirmado los problemas y confirma que durante esta semana publicará
una actualización, considerando que la fuga de datos de Hacking Team
está disponible públicamente, el riesgo aumenta para todos los usuarios.
Como contramedida se recomienda desactivar Adobe Flash Player hasta que
la actualización esté disponible.

Tags: 

Los metadatos del gmail - MIT

En el último tiempo se ha hablado mucho de "metadatos", información que está en torno a un archivo y que es principalmente lo que recolecta el programa PRISM de la NSA. ¿Son los metadatos inofensivos? ¿Qué es lo que pueden revelar sobre nosotros?

El MIT Media Lab creó una herramienta llamada Immersion, que no lee tus correos, pero que con los datos asociados (quién envió el mail, a quién se lo envió - incluyendo a quienes van copiados -, y la hora de envío) puede hacer grandes deducciones.

A partir de esta información, Immersion hace conexiones lógicas entre las personas que has contactado. El resultado es bastante impresionante, aunque dependerá del tiempo y cantidad de correos en tu cuenta de e-mail. El experimento deja claro el nivel de información que pueden revelar los metadatos cuando son recolectados en masa.

La aplicación se puede probar, pero tendrás que darle acceso al MIT a tu cuenta de Google para que pueda recolectar los datos (se puede revocar el acceso después en la configuración de tu cuenta de Gmail).

Datos:

https://immersion.media.mit.edu/
http://www.boston.com/2013/06/29/SZbsH6c8tiKtdCxTdl5TWM/singlepage.html

Tags: 

Páginas