Google redobla la apuesta: hasta U$S 2 millones en premios en el Pwnium 2

Sorpresa, en el mes de febrero de 2012 se ofreció un muy interesante premio, dentro de un programa de recompensas en seguridad como parte de la competencia Pwn2Own, Google destinó múltiples recompensas por categoría, según la vulnerabilidad encontrada, hasta 1 millón de Dólares de límite por "hackear" Google Chrome.

Recordemos que el joven Sergey Glazunov logró con éxito ejecutar el navegador de Google a través de un "exploit", la técnica para lograr el "asalto" fue evitar la restricción de la llamada "sandbox" de Chrome. Glazunov obtuvo un premio de 60.000 dólares por la hazaña. En menos de 24 horas después Google presentó un parche para eliminar el problema de seguridad.

Ayer, el blog The Chromium Blog anunció que esa competencia Pwnium, celebrada a principios de este año, superó sus expectativas, con dos presentaciones de tal complejidad y la calidad que ambos ganaron premios Pwnie en el evento de Sombrero Negro de este año. En el blog señalan que lo más importante es, que han sido capaces de hacer Chrome mucho más fuerte, sobre la base de lo que han aprendido, y por lo tanto, se va a celebrar otra competencia Pwnium, llamado Pwnium 2. Se llevará a cabo el 10 de octubre 2012 en el Hack In The Box, y ésta vez, van a patrocinar hasta 2 millones de dólares en premios.

Post relacionados:

• Announcing Pwnium 2. The Chromium Blog. 15/08/2012.
• Estarían ofreciendo a la venta las vulnerabilidades descubiertas en Google Chrome. 21/03/2012.
• "Hackeado" y parcheado Google Chrome. 09/03/2012.
• 1 millon de dólares para quien pueda "hackear" Google Chrome. 28/02/2012.

Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios

Nota recibida por correo-e desde Hispasec - una al día

La industria del malware ha lanzado una ofensiva a gran escala contra páginas web europeas. No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. ¿Cómo conseguir que las víctimas visiten este servidor y queden infectadas? Lo que se ha observado es que más de 11.000 páginas legítimas (principalmente europeas) han sido atacadas y han alojado en ellas enlaces IFRAME que apuntan al servidor MPACK e infectan así a la víctima. Si ésta es vulnerable (normalmente a vulnerabilidades relativamente antiguas que permiten ejecución de código), se descargará y ejecutará de forma transparente una variante de un troyano bancario de la familia Sinowal (pieza de malware conocida por su sofisticación).

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni quererlo) son legítimas y con todo tipo de contenidos, desde webs de deportes, hoteles, juegos, medios de comunicación, política, sexo... Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española. Hispasec se está poniendo en contacto con las
principales webs españolas comprometidas para eliminar el código malicioso y prevenir nuevos infectados.

MPACK dispone de un completo "backend" con datos y estadísticas sobre sus "progresos". Hemos tenido acceso a esta zona, donde se recogen estadísticas y datos concretos del "éxito de la operación". El país con más infectados es Italia (porque a su vez, son mayoría los dominios .it que están siendo usados para "infectar"), seguido de España y Estados Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows, pero no sólo a los usuarios de Internet Explorer, como es habitual. También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.

Aunque este ataque a gran escala pueda ser mitigado en los próximos días, no olvidemos que se trata de un caso más entre un número indefinido de ataques similares todavía no detectados que se están llevando a cabo con este mismo kit. Una vez más, advertimos de que realizar una navegación "responsable" no es suficiente, no previene de los incidentes de seguridad, puesto que los atacantes están introduciendo sus códigos maliciosos en todo tipo de páginas webs. Tampoco el uso de uno u otro navegador (como muchos piensan) solventa por completo el problema. Ninguna acción "aislada" lo hace. Sólo la
defensa en profundidad (tanto de servidores como de clientes) puede mantenernos razonablemente a salvo.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3160/comentar

Más información:

Large scale European Web Attack
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=782

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223


Sergio de los Santos
ssantos@hispasec.com
---.---

Más noticias:

Hackers montan un "Italian Job"

Publicado por The Inquirer ES

Enorme ataque de malware en Italia, que ha afectado ya a más de 10.000 páginas. Según los expertos en inseguridad de Trend Micro la mayoría de los sitios pertenecen al mismo proveedor de hosting.

Trend Micro asegura que el ataque se lanza por una etiqueta Iiframe maliciosa insertada en lugares estratégicos de la página.

A los visitantes de estas páginas se les machaca con grandes cantidades de descarga de malware hasta que el software de los hackers es capaz de encontrar una vulnerabilidad y tomarla como objetivo.

Los de Trend dicen que este "Italian job" es interesante por la forma en la que ha comprometido a tantos sitios web en un periodo de tiempo tan corto.

El equipo de inseguridad sostiene que en términos de ingeniería social, los hackers han logrado el crimen perfecto ya que la mayoría de los sitios web habían sido relativamente seguros antes de este incidente. Entre los sitios hackeados se encuentran portales relacionados con la moda, algunos con contenido adulto, y varias comunidades online de asuntos variados.

Por supuesto no hubo minis involucrados ni una intensa trama final.///(The Inquirer ES).

Websites del Ministerio de Hacienda estadounidense han sido atacados

El Departamento del Tesoro culpó a un proveedor de cloud computing por la interrupción de su sitio web que proporciona la cara de Internet de la Oficina de Grabado e Impresión, la agencia que imprime moneda de los Estados Unidos.

Un blog informó recientemente que los sitios fueron atacados. Durante la mañana de este miércoles, el sitio web de la agencia aún era inaccesible.

Roger Thompson, jefe de investigación de TI de software de seguridad de AVG, escribió en su blog que "por un tiempo corto (lunes) un par de sitios web treas.gov fueron cortados, y estaban redireccionando a "un lugar del ataque en Ucrania."

Según la información disponible "Thompson explica que los hackers habían añadido un pequeño fragmento de código HTML iframe prácticamente indetectable que redirigía a los visitantes a un sitio web localizado en Ucrania desde el que después se lanzaba una diversidad de ataques web basados en un kit malicioso comercialmente disponible denominado paquete Eleonore Exploit".

Fuentes:

Treasury: Cloud Computing Host Hacked, Gov Info Security.
Sitios web del Ministerio de Hacienda estadounidense caen víctimas de los hackers, IDG Communications S.A.

Se siente un background a conflictos

En tono a la noticia que comentamos ayer, en referencia al apagón en Brasil y Paraguay, hoy temprano el diario español elmundo.es, publicó una inquientante noticia, pero no desconocida en algunos ambitos: Las potencias mundiales viven un rearme para la 'Ciberguerra Fría'.

Parece que se siente un background a conflictos, como si se estuviera en la reparación del terreno, esta ves el teatro de operaciones es, sin duda el campo de la red internacional, Internet, pero con consecuencias incluso hasta en la economía real.

"Según un nuevo informe de la multinacional de seguridad informática McAfee, países como Israel, Rusia, EEUU, China y Francia encabezan esta particular carrera 'armamentística', enfocada sobre todo a defenderse en casos de ataques electrónicos" (elmundo.es).

Haciendo un poco de memoria y relacionando noticias (algunas las hemos replicado y comentado en este blog), recientemente se produjo el ataque a las redes sociales mediante la utilización de botnets, dejando fuera de línea a servicios como Twitter, Facebook, LiveJournal, y la plataforma de blogs de Blogger, sorprendió a todos, por la coordinación y simultaneidad. Convengamos que para llevar a cabo semejante "hazaña" hay que tener cierta estructura. El detalle que trascendió en aquel momento, fue que se coordinó una acción para callar la opinión de un blogger de Georgia, en todos los sitios donde tuviera una cuenta.

Un mes antes de estos sucesos en que se comprometió la seguridad de las redes sociales, se conoce la noticia que atacan sitios oficiales en U.S.A y Corea del Sur. La noticia la publicó The Washington Post.

En junio vuelven las noticias alrededor del cibercomando militar en EE.UU., que se habían iniciado en abril. En mayo se conoce que habían penetrado los sistemas de control del tráfico aéreo de FAA (EEUU).

En enero de 2009, iniciando el año, la Ciberguerra se desarrolla en Gaza, un nuevo espacio de batalla en el medio oriente, pero en el ciberespacio, el primero de este año 2009.

En agosto del 2008 días después que se conoce del ataque a empresas en Estados Unidos, sucede la cyberwar en Georgia en el marco del del conflicto armado entre Georgia y Rusia por el control de territorios de Osetia del Sur.

Un mes antes, en julio se produce un ciberataque a Lituania, una dependencia del Estado lituano sufrió un ataque cibernético que provendría desde servidores localizados en Rumania.

En mayo Europa le declara la guerra a los botnets desde la denominada European Network and Information Security Agency(ENISA), un ejemplo de sistemas mancomunados de defensa, encarando las nuevas formas de agresión.

Ese mismo mes de 2008, los jefes del Estado Mayor de España, Alemania, Italia, Eslovaquia, Estonia, Letonia y Lituania, EEUU (como observador), y el Mando de la OTAN para Transformación suscribieron los documentos para la puesta en marcha del llamado Centro de Excelencia en Ciberdefensa y su cooperación conjunta con la Alianza Atlántica. También se produce un encontronazo de guerra electrónica entre China y la India.

En marzo se informa que EEUU llevó a cabo un simulacro de ataque cibernético durante 5 días, en un conjunto de ejercicios de seguridad, bautizado 'Cyber Storm II', el más importante jamás realizado, tuvo por objetivo desviar los ataques cuya amenaza es "real y creciente".

En septiembre de 2007, revelan un ciberataque de China a Gran Bretaña. Durante el cruce de acusaciones consecuentes, se señala que se nota una "mentalidad propia de la Guerra Fría".

En junio de ese año se produce un ataque a gran escala contra webs europeas que afecta a miles de usuarios. Websense alertó que se ha usado MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. Las páginas afectadas se convierten en "cómplices" sin saberlo ni quererlo.

En mayo de 2007 se conoce el más claro y fuerte suceso de guerra cibernética, el ciberataque a Estonia, al parecer se inicia en abril con el ataque a la embajada de Estonia en Moscú, luego sistemáticamente los websites de bancos y otras entidades son atacadas. La dureza del ataque es de tal magnitud que Estonia solicita la ayuda de la OTAN para salvar sus sistemas. Recordemos que Estonia ya se administraba totalmente vía el e-government (gobierno electrónico), claro objetivo de los atacantes, que fueron señalados como rusos. Con este hecho de da comienzo a una escalada de sucesos entre los principales países que definen el "balance" mundial, escalada que al parecer continúa hoy.

Wi Fi vulnerable a ciberataques

WPA2 era considerado el método más seguro para la protección de redes WiFi, pero en éstos días el investigador en seguridad informática, Mathy Vanhoef perteneciente al grupo de investigación IMEC-DISTRINET de la universidad Belga KU Leuven, ha demostrado cómo "el protocolo WPA2/WPA (tanto Personal como Enterprise) es vulnerable a un nuevo tipo de ataque, provocando que se pueda comprometer la comunicación segura e incluso inyectar código, mediante un ataque MitM al mecanismo de autenticación" (Hispasec).

Según Vanhoef, "la vulnerabilidad residiría en el propio diseño del protocolo WPA2, no en la implementación que utilice el sistema operativo, estando de facto afectados, todos aquellos dispositivos o sistemas que tengan WIFI habilitado".

"Ahondando en la vulnerabilidad, ésta se basaría en la capacidad de forzar la reutilización del 'nonce' o número arbitrario de un solo uso, utilizado durante el inicio de autenticación de una comunicación cifrada entre el cliente (supplicant) y servidor (AP), generalmente mediante un vector de iniciación (IV). Esto ocurre durante el protocolo de autenticación 4-way handshake, cuando se negocian las claves compartidas y el Pairwise Master Key (PMK), para iniciar el cifrado de la comunicación (norma IEEE 802.11i (https://en.wikipedia.org/wiki/IEEE_802.11i-2004) )".

"Con este nuevo método, denominado Key Reinstallation Attacks (KRACKs), el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key) según el escenario utilizado en su demostración para Android 6.0, como Linux, reenviando 'handshakes' especialmente modificados" (Hispasec - KRACKs: grave vulnerabilidad en el protocolo WPA2).

Ésta clase de ataque llamado KRACK o Key Reinstallation Attack (ataque de reinstalación de clave) es difícil de ejecutar en algunos equipos, pero muy fácil en otros. Se informó que durante la investigación descubrieron que dispositivos Android, Linux, Apple, Windows, OpenBSD, MediaTek y Linksys, entre otros, poseen la vulnerabilidad.

Alliance, la organización que certifica dispositivos que usan la tecnología, informó que “la mayoría de los proveedores” están actualizando sus sistemas. Sin embargo, es extremadamente difícil saber cuánto tiempo tardará en llegar a todos los usuarios. Se ha indicado que es altamente recomendable actualizar todos los dispositivos lo antes posible, incluido el firmware de los routers y evitar a toda costa cambiar de protocolo para usar WEP.

Estarían ofreciendo a la venta las vulnerabilidades descubiertas en Google Chrome

Realmente una mala noticia de confirmarse. Como Uds. saben hace unas semanas se anunció que Chrome había sido hackeado, en el marco de la conferencia Pwn2Own, no pasó mucho para que llegue el anuncio del "parcheado" y el lanzamiento de una nueva versión de Google Chrome con los problemas solucionados. Prácticamente todo el mundo se hizo eco de ésto.

Hace un rato, vía FayerWayer y Forbes.com, me entero que quienes habían hackeado a Chrome era Vupen, "una compañía francesa que se dedica a vender exploits a gobiernos y agencias de inteligencia alrededor del mundo por abultadas sumas de dinero" (FayerWayer).

Pese a lo que parecía en un principio, Vupen nunca tuvo ninguna intención de entregarle a Google la información que habían descubierto sobre el navegador - exploits de día cero que permitían tomar control de un PC sin que el usuario se enterara siquiera.

Aunque Google le pagó USD$60.000 a los dos hackers que presentaron los resultados, bajo la condición de que le informarán a la empresa cada detalle del ataque y ayudarán a reparar las vulnerabilidades que usaron, el CEO de Vupen, Chaouki Bekrar, aseguró que la compañía no tiene intenciones de decirle a Google las técnicas que usaron – menos por USD$60.000 a cambio.

“No compartiríamos esto con Google ni por USD$ 1 millón. No queremos darles ningún conocimiento que les ayude a reparar este exploit u otros exploits similares. Queremos dejar esto para nuestros clientes”, dijo Bekrar a Forbes (FayerWayer).

La noticia señala que "esos clientes no intentarán reparar Chrome – son agencias de gobiernos alrededor del mundo que buscan espiar o invadir computadores y equipos de personas que están siendo investigadas por crímenes, “objetivos de inteligencia”, etc."

También se informa que el CEO de Vupen, Chaouki Bekrar, habría señalado que "este tipo de comercio es legal", que venden las vulnerabilidades a países de la OTAN y eligen con cuidado a los compradores para que las vulnerabilidades no caigan en “malas manos”, pero "no pueden asegurar que finalmente ello no ocurra".

Parece que críticas a la "actividad comercial" de Vupen no han faltado, señalan que el negocio de ésta empresa pasa por vender armas para la ciberguerra.

Notas relacionadas:

• Los hackers de Chrome quieren vender la vulnerabilidad que descubrieron en millones. FayerWayer.
• Meet the hackers who sell spies the tools to crack your PC. Forbes.com

Post relacionados:

• "Hackeado" y parcheado Google Chrome. 09/03/2012
• 1 millon de dólares para quien pueda "hackear" Google Chrome. 28/02/2012

Las aplicaciones corporativas de uso común son las más amenazadas

Las apps de uso común son el principal blanco de los ataques de exploit, tal afirmación surge de un relevamiento en evaluaciones de tráfico de red realizadas en todo el mundo en más de 3.000 organizaciones, donde 1.395 solicitudes, 12,6 petabytes de ancho de banda, 5.307 amenazas únicas y 264 millones de registros de amenazas fueron observadas entre mayo y diciembre de 2012.

En las conclusiones del reporte elaborado por la compañía de seguridad de red Palo Alto Networks, Application Usage & Threat Report se señala que las apps corporativas de uso común como Microsoft SQL Server, Microsoft Active Directory, SMB, Microsoft RPC y otras, son las más atacadas en cuanto a volumen de exploits. El autor del reporte, Matt Keil informó que “esto sirve como una llamada de atención a la seguridad de los centros de datos. Estas amenazas seguirán afectando a las organizaciones hasta que aislen y protejan sus aplicaciones de negocio, a través de un uso más profundo de las técnicas de prevención de amenazas en sus redes”. Dijo.

Llama la atención que las aplicaciones personales, con un 20% del uso del ancho de banda en la red y a pesar de ser las más usadas, no son las principales fuentes de amenazas. Los ataques a este tipo de apps, en las que se incluyen las redes sociales (Facebook, Pintrest, Tumblr y Twitter); las de intercambios de archivos (BitTorrent, Box, Dropbox, Putlocker, Skydrive y YouSendit), y las de vídeo (YouTube, Netflix, y Hulu Networks), suponen un 1% de los logs de amenaza, se los pueden considerar como mínimos en comparación con las apps críticas de negocio, sorprendentemente.

El reporte señala que el malware "se esconde" dentro de las aplicaciones personalizadas o desconocidas, en la mayoría de los casos. Y aunque consumen menos del 2% del ancho de banda de la red, acumulan el 55% de los logs de malware.

Fuente:

• Application Usage & Threat Report. Palo Alto Networks.

Nueva oportunidad del ciberdelincuente, las explosiones de Boston

Algunas veces señalamos que hay asuntos que llaman la atención de fuerte manera al público en general, esa información es rápidamente difundida, de manera viral, en las redes sociales. El tema tiene cierto impacto en la gente y es "buscado", allí comienza la oportunidad del ciberdelincuente, manipulan o crean una página que se refiere a ese tema y que tiene códigos, lo infectan con exploits que generan lo que se conoce un campo de ataque, que consiste en buscar vulnerabilidades en el equipo del visitante engañado, aprovecha alguna debilidad, facilita el acceso de forma no autorizada y toma de control del sistema.

Las explosiones en Boston fueron y son un evento de coyuntura y relevante a nivel global y regional que ha logrado atraer la atención de los usuarios en Internet.

Se ha informado que "Symantec identificó una amenaza que comenzó a circular horas después de que ocurrieron las explosiones en la Maratón de Boston, el pasado 15 de abril. En ellos, los spammers incitan a los destinatarios a ingresar a un sitio en Internet, donde aparentemente se encuentran videos del ataque. Al momento de acceder a estos videos se descarga una amenaza llamada “Red Exploit Kit”, la cual explota las vulnerabilidades de la computadora del usuario" (DiarioTi).

La noticia y los vídeos de la explosión en una planta de fertilizantes en la localidad de West, Texas, es otro suceso muy buscado en internet en éstas horas. Igual que con lo anterior, probablemente sea otra oportunidad del ciberdelincuente, se recomienda estar muy atentos.