Archivo

Archive for agosto 21, 2012

Controla los permisos en Android con Android WhisperCore

agosto 21, 2012 Deja un comentario

La empresa Whisper Systems, que ofrece software para gestionar la seguridad de Androidha anunciado la salida de una nueva herramienta que permite a los usuarios ser más selectivos con los permisos que otorgan a una aplicación.

Hasta la fecha, al instalar una aplicación en Android el cliente tenía que aceptar las condiciones especificas que esta determinaba sobre el acceso a los datos de su teléfono, o en caso de que no estuviera de acuerdo con ello cancelar la instalación.

Para terminar con esto, desde Whisper Systems han lanzado la aplicación WhisperCore 0.5, que permite a los usuarios controlar exactamente que autorizaciones se otorga una aplicación antes de instalarla.

Además, el funcionamiento es relativamente sencillo, ya que básicamente, lo que hace la aplicación de Whisper Systems es crear un identificador que contiene información falsa para proteger la privacidad del usuario.

Asimismo, WhisperCore, que está disponible en versiones para Windows, Linux y MacOS X, puede proceder al cifrado del smartphone y ofrece también un firewall.

De todas formas, de momento cuenta con importantes limitaciones como son el hecho de que para instalarse se requiera tener el dispositivo desbloquedado y que sólo sea compatible con los modelos Nexus One y Nexus S.

En cualquier caso se espera que se unan otras marcas en el futuro y se pueda ir perfeccionando su funcionamiento en las próximas versiones.

Fuente: TheInquirer

Fuente: b1nary0

Anuncios
Categorías:Mobiles, Noticias Etiquetas: , ,

Android: inyección de malware en el Android Market

agosto 21, 2012 Deja un comentario

Cuando un usuario de Android descarga una aplicación, suele pasar por alto mucho de los permisos solicitados y de esta manera, se expone su información personal. Es complicado entender cómo es que se maneja la privacidad del usuario por parte de los desarrolladores de software y la importancia que el usuario le brinda a su información. Intentaremos repasar un poco a qué es lo que sucede….

Android es una plataforma muy versátil con una gran cantidad de aplicaciones disponibles a través del Android Market, a donde los usuarios pueden acceder e instalar en sus teléfonos nuevo software. Sin embargo, una parte del modelo de seguridad queda en manos del usuario, quien debe aceptar los permisos solicitados por una aplicación a veces sin entender realmente a qué recursos esta autorizando.

¿Qué pasa cuando el usuario instala una aplicación? Al instalar una aplicación desde el Android Market se presenta el listado de los permisos requeridos por la aplicación. El mismo muchas veces se pasa por alto. Como ejemplo de esta situación vamos a tomar el caso de Paint Master, una aplicación publicada por el usuario BeeGoo, que efectuaba un par de acciones por demás de lo que decía ser:

Como podrán imaginar, una aplicación que es para dibujar no tendría un motivo especial para leer el estado del teléfono. En realidad, que una aplicación pueda acceder a la identidad y el estado del teléfono significa que puede acceder a datos como:

  • IMEI (International Mobile Equipment Identity, en español Identidad Internacional de Equipo Móvil)
  • IMSI ( International Mobile Subscriber Identity, en español Identidad Internacional del Abonado a un Móvil)
  • Modelo del equipo
  • Información del usuario
  • Número de teléfono

¿Cuál sería el propósito de este permiso? Acceder a la información personal del usuario, y de esta manera poder identificar univocamente al dispositivo.

¿Qué hace con la información recopilada? La envía a un servidor remoto, haciendo uso de los permisos para acceder a Internet.

Dentro del código de la aplicación, se encuentra en realidad escondido un código malicioso detectado por ESET Mobile Security como Android/Lightdd.A. Además de efectuar el robo de información, esta amenaza cuenta con características similares a DroidDream, otro de los códigos maliciosos encontrados hace meses en el AndroidMarket.

¿Cómo se ejecuta la amenaza? Cuando el usuario inicia la aplicación, dentro del código de la aplicación se realiza la llamada que dispara la ejecución del troyano, accionando así la recopilación de la información y el envío al servidor remoto.

Las amenazas para plataformas móviles se encuentran en constante evolución, modificando sus técnicas de propagación, sus capacidades y la manera de ocultar su comportamiento. Es así como logran pasar desapercibidos ante los ojos del usuario, y logran acceder a su información sin su consentimiento.

En particular, para los usuarios de Android les recomendamos prestar especial atención a los permisos de las aplicaciones antes de instalarlas, ya que muchas veces cuando una aplicación solicita acceso a recursos que no son necesarios para su funcionamiento.

Entonces, como consejos principales, siempre tengan en cuenta estas buenas prácticas al momento de instalar nuevo software:

  • Los permisos solicitados por la aplicación.
  • Las comentarios de la aplicación por parte de otros usuarios.
  • La información del desarrollador de la aplicación.
  • La calificación de la aplicación.
  • Utilizar una solución de seguridad.

Android es una de las plataformas móviles más utilizadas en la actualidad y la cantidad de amenazas que han aparecido publicadas en el Android Market o en repositorios no oficiales se encuentra en aumento. Es debido a ello que es recomendable que sus usuarios cuenten con una solución de seguridad que los proteja ante estos códigos maliciosos y controle el acceso a su información.

Pablo Ramos
Especialista en Awareness & Research

Fuente: b1nary0

Categorías:Mobiles, Noticias Etiquetas: ,

Microsoft saca herramienta anti-exploit para administradores de IT

agosto 21, 2012 Deja un comentario

Microsoft dió a conocer una nueva herramienta para ayudar a los administradores de TI a actualizar con mitigaciones anti-exploits del tipo ASLR (Aleatorización del Esquema de Espacio de Direccionamiento) y DEP (Prevención de Ejecución de Datos) en versiones de Windows más antiguas.

La herramienta, llamada Kit de Herramientas de Experiencia de Mitigación Mejorada (Enhanced Mitigation Experience Toolkit – EMET) funciona aplicando las tecnologías de mitigación de seguridad a aplicaciónes arbitrarias para bloqueo contra la explotación a través de vectores comunes de ataque.

Además de implementar ASLR y DEP en versiónes más antiguas de sistema operativo Windows, Microsoft dice que EMET también agregará mitigaciones anti-explotación a los programas existentes de terceros que actualmente no eligen las mitigaciones.

“Esto ayuda a proteger contra la explotación exitosa de vulnerabilidades sin solución disponible,” dice Mike Reavey, un director en Microsoft’s Security Response Center (MSRC).

ASLR y DEP, los cuales sirven como bloqueos de defensa en profundidad durante los ataques de malware, están habilitados por defecto en las versiones más nuevas de Windows.

EMET soporta tanto aplicaciones de 32 bits como de 64 bits y activa mecanismos de protección específicos en binarios compilados. Agrega las siguientes mitigaciones a aplicaciones que no las soportan nativamente:

* Protección de sobre escritura de manejo estructurado de errores (Structured Error Handling Overwrite Protection – SEHOP) que impide la explotación de sobre escritura del Manejo Estructurado de Excepciones (SEH) mediante la realización de validaciones de cadenas SEH.
* La Prevención de Ejecución Dinámica de Datos que marca porciones de la memoria del proceso como no ejecutable, dificultando la explotación de vulnerabilidades de corrupción de memoria.
* La asignación de página NULA que asigna la primera página de memoria antes de la inicialización del programa y bloquea a los atacantes de poder aprovecharse de las referencias NULAS en modo usuario.
* La Asignación de Rociado de memoria Heap que pre-asigna direcciones de memoria para bloquear ataques comunes que llenan la memoria heap del proceso con contenido manipulado especialmente.
* La aleatorización mandatoria del esquema de espacio de direcciones (ASLR) tanto como los módulos que no soportan ASLR en Windows Vista, Windows Server 2008 y Windows 7.
* La tabla de exportación de direcciones (EAT) que usa puntos de parada para filtrar el acceso a la EAT de kernel32.dll y ntdll.dll, bloquea el acceso si el puntero de intrucciones no está dentro del módulo, e interrumpe los shellcodes metasploit comunes actualmente.

Video de explicación

Descargalo!

Traducción: Raúl Batista – Segu-Info
Autor: Ryan Naraine

Fuente: b1nary0

Android 4.1 Jelly Bean implementa full ASLR

agosto 21, 2012 Deja un comentario

La última versión del sistema operativo Android de Google Mobile finalmente ha sido debidamente fortificado con una defensa estándar de la industria. Android 4.1 Jelly Bean incluye varias medidas de mitigación para evitar explotar vulnerabilidades y extiende ASLR para realizar dichas acciones.

ASLR es un método de mitigación de exploit que cambiar en forma aleatoria las posiciones de memoria de áreas de datos claves, tales como bibliotecas, heap, stack, lo cual hace que sea casi imposible para los atacantes poder predecir dónde puede ser cargado un payload.

Esto hará que sea mucho más difícil usar técnicas conocidas para explotar desbordamientos de buffer y otros ataques en memoria.

 

Autor: Cristian de la Redacción de Segu-Info

Fuente: b1nary0

Categorías:Mobiles, Noticias Etiquetas: , ,

Penetration Test, ¿en qué consiste?

agosto 21, 2012 Deja un comentario

La realidad dicta que en la actualidad las organizaciones deben contemplar la evaluación de la seguridad de sus sistemas. De esta forma es posible evaluar cuál es el nivel de seguridad de la organización. Este tipo de evaluaciones se denominan Penetration Test o test de penetración.

¿Qué es un Penetration Test?

Un test de penetración consiste en pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se está analizando. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, hasta el análisis del factor humano utilizando Ingeniería Social. El objetivo de estas pruebas es verificar bajo situaciones extremas cuál es el comportamiento de los mecanismos de defensa, específicamente, se busca detectar vulnerabilidades en los mismos. Además, se identifican aquellas faltas de controles y las brechas que pueden existir entre la información crítica y los controles existentes.

¿Por qué es necesario realizar un Penetration Test?

Existen muchos casos donde las organizaciones sufren incidentes que podrían haberse evitado si los mecanismos de protección hubieran sido reforzados en su momento. Los incidentes comprenden sucesos tales como fuga de información, accesos no autorizados, pérdida de datos, entre muchos otros. El análisis de los mecanismos de protección debe ser una tarea proactiva permitiendo al pentester (persona que lleva adelante la auditoría) encontrar las vulnerabilidades dentro de los mismos y brindar una solución antes de que un ciberdelincuente aproveche esta debilidad.

¿Qué actividades comprende un Penetration Test?

Un Penetration Test comprende múltiples etapas con diferentes tipos de actividades en distintos ámbitos y entornos. La profundidad con que se lleven a cabo las actividades dependerá de ciertos factores, entre los que se destaca el riesgo que puede generar hacia el cliente alguno de los métodos que se apliquen durante la evaluación.
Se establece un previo acuerdo con el cliente para llevar a cabo las diferentes fases del análisis, que se describen a continuación:

  • Fase de reconocimiento: Posiblemente, esta sea una de las etapas que más tiempo demande. Asimismo, se definen objetivos y se recopila toda la información posible que luego será utilizada a lo largo de las siguientes fases. La información que se busca abarca desde nombres y direcciones de correo de los empleados de la organización, hasta la topología de la red, direcciones IP, entre otros. Cabe destacar que el tipo de información o la profundidad de la pesquisa dependerán de los objetivos que se hayan fijado en la auditoría.
  • Fase de escaneo: Utilizando la información obtenida previamente se buscan posibles vectores de ataque. Esta etapa involucra el escaneo de puertos y servicios. Posteriormente se realiza el escaneo de vulnerabilidades que permitirá definir los vectores de ataque.
  • Fase de enumeración: El objetivo de esta etapa es la obtención de los datos referente a los usuarios, nombres de equipos, servicios de red, entre otros. A esta altura de la auditoría, se realizan conexiones activas con el sistema y se ejecutan consultas dentro del mismo.
  • Fase de acceso: En esta etapa finalmente se realiza el acceso al sistema. Esta tarea se logra a partir de la explotación de aquellas vulnerabilidades detectadas que fueron aprovechadas por el auditor para comprometer el sistema.
  • Fase de mantenimiento de acceso: Luego de haberse obtenido el acceso al sistema, se busca la manera de preservar el sistema comprometido a disposición de quien lo ha atacado. El objetivo es mantener el acceso al mencionado sistema perdurable en el tiempo.

Si bien las fases que componen a la operatoria de un Penetration Test son las mencionadas anteriormente, cabe señalar que a partir de los resultados obtenidos se genera la documentación correspondiente con los detalles que comprendieron la auditoría. Esta documentación es la que verá el cliente, y es la que servirá como guía para tomar las decisiones futuras pertinentes.

Finalmente, es importante tomar los recaudos necesarios para evitar sufrir ataques e incidentes en la organización. Asimismo la seguridad debe ser gestionada contemplando la necesidad de la realización de auditorías cada un período de tiempo adecuado. Debido a esta problemática, ESET Latinoamérica ofrece servicios de auditoría de seguridad a través de la unidad ESET Security Services de forma tal de poder identificar vulnerabilidades en la infraestructura de seguridad de la empresa, para así poder trabajar en una mejora en la protección de la información corporativa.

Fernando Catoira
Analista de seguridad

Fuente: B1nary0

Categorías:Noticias, Que es un Pentest Etiquetas:

Mensajes por WhatsApp pueden ser interceptados por terceros fácilmente

agosto 21, 2012 Deja un comentario

Aunque es una vulnerabilidad de diseño de la cual se tiene constancia y conocimiento desde hace al menos un año, WhatsApp Messenger continúa transmitiendo en texto plano todos los mensajes que son enviados. Con la reciente aparición de WhatsApp Sniffer para Android, herramienta que permite obtener todos los mensajes enviados por los usuarios de WhatsApp que se encuentren conectados a un mismo Wi-Fi, se ha vuelto indispensable que el usuario comprenda ciertos conceptos, conozca algunos casos similares, y sepa minimizar los riesgos asociados al uso de redes públicas para acceder a programas o servicios que utilizan información sensible, y que finalmente no la transmiten de forma cifrada hacia su destino.

El cifrado es un método de protección que consiste en proteger información para que no sea legible, o al menos resulte más difícil de hacerlo, por parte de personas no autorizadas. De este modo, si un atacante intenta acceder a esos datos y no posee la clave de acceso, le será imposible visualizar esa información.

Este caso no es el primero en donde el objetivo es leer información mediante la técnica de sniffing o análisis de tráfico de red. En 2010 se dio a conocer Firesheep, una extensión para el navegador Mozilla Firefox que permitía obtener los usuarios y contraseñas de personas conectadas a una misma conexión Wi-Fi y que intentaran iniciar sesión en servicios como Facebook, Twitter y Google. Afortunadamente, esas empresas implementaron un método de cifrado para manejar de forma segura las credenciales de acceso de los usuarios. Al respecto recomendamos la lectura de nuestro post sobre cómo activar HTTPS en Facebook y Twitter.

Luego, fue el turno de FaceNiff, aplicación para Android que cumplía una función similar pero que además afectaba a Amazon y Youtube. Hay que destacar que en los tres casos, el único requisito para que algún individuo malintencionado pueda obtener la información sin cifrar es, o instalar una aplicación diseñadas para smartphones cuyo sistema operativo Android esté desbloqueado, es decir, que se haya sometido a un proceso denominado rooting; o se instale una extensión para un navegador como Firefox. Una vez que se dispone de esas herramientas, lo único que necesita el atacante es conectarse a una red Wi-Fi en donde existan otros usuarios transmitiendo o iniciando sesión en los mencionados servicios. El problema se agrava aún más si a la simplicidad en el uso de estas herramientas consideramos que en este caso, una red inalámbrica protegida por contraseña y cifrada mediante algún protocolo de seguridad como WEP, WPA o WPA2 no ayuda a aminorar el problema. Si bien una red inalámbrica que implemente un mecanismo de protección es considerablemente más segura que un W-Fi desprotegido, si el atacante logra vulnerar ese método de autenticación, o si por ejemplo va a un restaurante y obtiene acceso a dicha clave, podrá realizar sin problemas un análisis de tráfico que le permita sustraer toda la información sensible sin cifrar de las víctimas.

Algo parecido ocurre con algunas aplicaciones para plataformas móviles como iOS o Android en donde determinados programas almacenan información sensible en texto plano. En este caso específico dichos datos no son transmitidos por Internet, pero sí facilita que alguien diseñe un código malicioso que cumpla dicho objetivo.

Pese a que la solución para estos casos es que los desarrolladores cuenten con algún mecanismo de cifrado, es necesario que los usuarios eviten el uso de esta aplicación en cualquier red Wi-Fi pública mientras WhatsApp no implemente un sistema de cifrado para la información transmitida. 

Mas información en este enlace y en este enlace.

André Goujon
Especialista de Awareness & Research

Fuente: B1nary0

Cuatro consejos a la hora de utilizar dropbox para su negocio

agosto 21, 2012 Deja un comentario

Debido al reciente suceso donde Dropbox confirmó la fuga de información, los controles sobre el mencionado servicio en la nube han sido mejorados. Sin embargo, cuando las empresas utilizan este servicio, es importante que se consideren ciertos aspectos relacionados al tipo de información que se va a alojar así como también que los empleados adquieran el concepto de que la mencionada plataforma debe ser tratada como un repositorio público.

Las organizaciones deben tener en cuenta las siguientes consideraciones a la hora de utilizar plataformas donde se aloja información sensible y crítica, cómo es el caso de Dropbox.

Monitorear el uso de Dropbox

Se debe considerar la calidad y cantidad de información que una organización está compartiendo en esta plataforma y similares. El riesgo posee una relación directa con la cantidad de información que se aloja en la nube teniendo en cuenta que mientras más información se albergue en la red más difícil será controlarla.

Considerar la seguridad del servicio en la nube

Existen estudios que han demostrado que un gran porcentaje de aquellas personas que utilizan este tipo de servicios para alojar información sensible consideran que el propio servicio es el responsable de la seguridad de la información que allí se aloja. Sin embargo, un número similar de esas personas no tiene conocimiento de qué tipo de seguridad implementa la plataforma. De esta manera, es necesario que la organización evalúe si la seguridad ofrecida por el servicio es acorde a las medidas de seguridad que necesita la propia organización.

Tratar a Dropbox como un repositorio de información pública

Es importante que la organización concientice a sus empleados y personal, que van a hacer uso de este tipo de servicio, sobre la información sensible que allí se alojará. En caso de que la información sea de criticidad alta, existe la alternativa de cifrar la misma antes de alojarla en un servicio en la nube de las características de Dropbox. Asimismo, existe la contracara de aquellas organizaciones que optan por no alojar ningún dato sensible en servidores de terceros. El objetivo es estar conscientes de la problemática y tomar la decisión más acorde a la organización.

Estar atentos a empleados infieles

La pregunta que debe hacerse la organización a la hora de autorizar la utilización de esta clase de servicios es: ¿Es posible detectar la información que un empleado puede filtrar a través de estos servicios? Si bien esta problemática puede ser difícil de controlar, Dropbox ofrece un servicio llamado Dropbox for teams el cual es idóneo para las organizaciones y ofrece algunas características tales como administración centralizada, seguridad mejorada, integración con Active Directory, entre otras opciones.

Todos los aspectos antes mencionados deben ser considerados por la organización antes de implementar la utilización de los servicios en la nube existentes en la actualidad. La seguridad de una organización debe gestionarse, y la información es uno de los activos que más relevancia tiene dentro de la misma. De esta manera será posible prevenir incidentes tales como fuga de información, entre otros, los cuales atentan contra el estado de la seguridad de la información corporativa.

Fernando Catoira
Analista de Seguridad

 

Fuente: Eset

Categorías:Malware, Noticias Etiquetas: ,