[Ehn-Dev 2010] - Concurso de desarrollo de aplicaciones @ elhacker.net

Termino el periodo de entrega de aplicaciones del concurso de desarrollo de aplicaciones, para dar paso a las votaciones.
Lamentamos los que no pudieron participar porque se enteraron tarde u porque no tuvieron tiempo para trabajar en su proyecto, pero esperamos y alentamos a todos a que participen en la próxima edición del concurso!

De mi parte, y de parte de todo el staff de elhacker.net, quiero felicitar a todos los que han participado, ya que independientemente de quienes estén en los primeros puestos, todos son ganadores al participar.
Especiales felicitaciones a las personas que decidieron involucrarse en el concurso a pesar de tener poco tiempo en el mundo de la programación, y a los que no son nuevos pero han tenido complicaciones con sus horarios, y así y todo han sacado tiempo de donde no lo hay para poder estar. Doy fe que se han esforzado bastante para participar y eso vale mucho para todos nosotros.

Espero que se hayan divertido programando y que hayan aprendido algo nuevo en el camino.

---

Comienzan las votaciones!

Para emitir tu voto, entra aquí!


Lista de aplicaciones:

• JawBreaker
• DLL Genius
• Neural
• CryptHunt
• TurboTron computer
• HearBlocdenotas
• hK 2.0
• Mejor Combinacion
• Soft game map 1.0a
• MintDex
• EdHex
• WS Downloader
• RCBluetooth
• Notas por red
• Leviathan
• rcalc
• FrogCheat v1.1
• QtPassGen Version 2.0
• PyMSE

Grave fallo en Android

Un fallo que permite que podría permitir al atacante obtener cualquier fichero en principio de la tarjeta SD, pero también podría utilizarse para obtener información y datos alojados en el movil.

Características de la vulnerabilidad:

• El navegador no pregunta donde descargar el archivo, automáticamente se descarga en "/sdcard/download/payload.html".


• Sabiendo lo anterior, utilizando javascript podemos abrir el archivo malicioso logrando que el navegador muestre el archivo local.
  

• Al abrir un archivo HTML dentro del contexto local, el navegador ejecuta javascript sin advertir al usuario.

Vídeo demostración después del salto.

Demostración de la escalada de privilegios en Windows Vista/7 (UAC) en video

0 day: Elevación de privilegios en Microsoft Windows

Se ha públicado un nuevo 0 day en Microsoft Windows que permite a un
usuario local obtener privilegios de SYSTEM (control total sobre el
sistema) eludiendo cualquier control de usuario.

Los detalles técnicos se han hecho públicos, así como el código fuente y
el programa necesarios para aprovechar el fallo. El exploit se aprovecha
de la forma en la que el controlador win32k.sys procesa ciertos valores
del registro. En concreto, el exploit manipula el valor
SystemDefaultUEDCFont del registro y activa el soporte para EUDC
(End-User-Defined-Characters) a través de la función EnableEUDC.

Esto quiere decir que el atacante debe crear una clave en el registro
donde un usuario no administrador tiene privilegios para hacerlo. Luego
intenta leerla, provoca el fallo en el driver y obtiene los privilegios.

Comenzó el concurso de aplicaciones de elhacker.net!

En el día de ayer comenzó el periodo de entrega en el concurso de aplicaciones de elhacker.net. Tienes una aplicacion y deseas participar? todavía estas a tiempo! visita elhacker.net!

Quieres ver algunas de las aplicaciones que se han presentado en el concurso?

Adobe publica la versión X de Reader!

Adobe ha publicado una nueva versión de su amado y odiado lector de pdf. Esta vez no solo para solucionar fallos graves, si no que también para dar un paso importante en materia de seguridad.

Reader ha sido protagonista de multitud de fallos, algunos graves, otros no tanto, pero sin ninguna duda esta entre los primeros puestos si hablamos de software vulnerable. Ya sean expertos en seguridad, desarrolladores de malware, u simples aficionados, Reader siempre fue uno de los flancos mas débiles y mas explotados de Adobe.

Como toda empresa en el mundo, desarrollar un producto proclive a tantos fallos o inseguro termina malogrando la imagen de la empresa. El desarrollo de software por supuesto no es una excepción, dado que desarrollar software tan vulnerable y evidenciar poco esfuerzo en intentar remediar la situacion logro que Adobe tenga una imagen muy mala en materia de seguridad.
Por supuesto, toda empresa en algún momento decide cambiar esa imagen o aunque sea hacer algo para intentarlo, y este es el caso de Adobe.

La característica ya implementada en otras aplicaciones pero novedosa en el Reader es la del modo protegido, basicamente la adicion de una sandbox que aislaría el Reader del resto del sistema evitando así comprometer el sistema en el caso de un intento de explotación.

Los equipos de Adobe llevan trabajando varios meses junto a los equipos de Microsoft, Google Chrome, entre otros. Gente con experiencia en implementar este tipo de modelos en sus respectivos productos.

El modo protegido vendrá activado por defecto y como consecuencia lograría que el Reader se ejecute en un entorno con minimos privilegios. Por supuesto esto no detiene los intentos de explotación pero sirve como una linea de defensa mas en pos de evitar comprometer al sistema.
Cualquier acción potencialmente peligrosa será conducida a través de un proceso llamado "Broker" el cual se encargara de filtrar dichas acciones.

Por supuesto esto no implica que Reader sera invulnerable, pero si lograría dificultar la explotación dado que habría que vulnerar la sandbox, evadir el proceso "Broker" y por supuesto escalar privilegios.

El modo protegido de Adobe esta basado en el modelo de Sandboxing de Microsoft y ya se habían revelado detalles de su implementación en el blog de Adobe.

Inside Adobe Reader protected mode

El modo protegido de Adobe no es perfecto, y de hecho en algunos análisis ya han remarcado algunas de sus debilidades pero definitivamente es un paso importante respecto de las políticas de seguridad de Adobe.
Ojala esto logre aumentar la seguridad de los usuarios de Reader.

Referencias:

Adobe Reader X is here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html

Introducing Adobe Reader Protected Mode
http://blogs.adobe.com/asset/2010/07/%20introducing-adobe-reader-protected-mode.html

Processor-Dependent Malware

Anthony Desnos, Robert Erra, and Eric Filiol de l'Ecole Supérieure d'Informatique Electronique Automatique (ESIEA) desarrollaron una prueba de concepto respecto de malware destinado a hardware especifico.

En pos de identificar los distintos procesadores, utilizan la aritmetica de coma flotante (FPA) logrando distinguir entre Intel, AMD, SPARC, Atom, Digital Alpha y Cell.
No explota ninguna vulnerabilidad en el hardware, mas bien se basa en características de los mismos y sus diferencias. El malware, a grandes rasgos, identificaría los distintos procesadores al verificar las diferencias que mantienen realizando ciertos cálculos matemáticos.

Esto vislumbra una posible nueva amenaza en los ataques de espionaje corporativo y la cyberguerra, dado que se pueden identificar grandes cantidades de ordenadores basándose en el hardware que posean, independientemente del sistema operativo que tengan instalado, logrando así atacar en los objetivos deseados y para los cuales el malware esta destinado.

Por otro lado, tomara tiempo para que este tipo de técnicas se utilicen en el malware destinado a usuarios domésticos, ya que realmente no es necesario. Pero posiblemente sea una nueva amenaza para organizaciones y paises atacados día a día por malware desarrollado con un objetivo muy claro y puntual.

Por supuesto esta técnica es solo una herramienta mas, que de por si sola no ayuda a identificar completamente un sistema debido a que para ello se necesitan conocer muchos factores. No obstante, puede ser de utilidad para realizar ataques muy específicos.
Por ejemplo, si un malware esta destinado a atacar sola y exclusivamente a equipos Intel, este podria identificar en una instancia final si el hardware es el deseado para luego proseguir con sus metodos propios de ataque:

El paper completo de la investigacion puede encontrarse aquí.

Hispasec presenta "Lapsec"

Hispasec ha desarrollado una herramienta destinada a intentar mitigar con un solo click los riesgos más importantes que puede conllevar utilizar un sistema operativo Windows en un portátil. Cada vez que se instala (o se encuentra de serie) un Windows en un ordenador portátil, se deberían realizar los mismos cambios (específicamente útiles para portátiles) para intentar que se mantenga un poco más seguro. Ofrecemos
una herramienta gratuita para automatizar el proceso.

LapSec viene de "Laptop Securer" y es una herramienta destinada a automatizar los cambios más aconsejables para asegurar Windows en un ordenador portátil. Básicamente, aglutina en un solo botón varias
tareas. No está destinado a asegurar "por completo" un sistema, sino que pretende facilitar las modificaciones más importantes para un "bastionado" de ordenador portátil, mucho más susceptible de ser perdido o sustraído.

Evidentemente, estas medidas también son útiles para un ordenador de sobremesa. También es importante destacar que hay más medidas de seguridad aplicables a un portátil en particular y Windows
en general, pero que no han sido implementadas en LapSec por resultar medidas más "genéricas" que se salen del objetivo del programa: activar funcionalidades de seguridad Windows especialmente útiles para
portátiles.

El principal objetivo a la hora de asegurar un portátil es:
a) que nadie acceda al sistema operativo (o al sistema de ficheros)
b) que si accede, la información confidencial esté inaccesible ya sea con cifrado o con borrado seguro.

Con esos objetivos en mente, estas medidas han sido implementadas en el programa:

• Eliminar el cifrado LM de las contraseñas (en Vista y 7 no es necesario).

• Sobrescribir el archivo de memoria paginada (pagefile.sys)

• Ocultar el nombre del usuario que el Sistema Operativo muestra en la pantalla de presentación

• Activar la protección por contraseña del salvapantallas.

• Eliminar la autoejecución de archivos cuando se introducen unidades extraíbles.

• Comprobar la existencia de contraseña del usuario.

• Comprobar la complejidad de las contraseñas.

• Comprueba la activación de la contraseña en la consola de recuperación.

• Deshabilitar el almacenamiento de contraseñas en el navegador Internet Explorer.

• Deshabilitar la hibernación (hibernation.sys).

• Deshabilitar la cuenta de administrador y de invitado del sistema.

• Cifrado de la carpeta Mis Documentos.

• Exportación del certificado de forma sencilla para casos de "desastre".

Además de activar estas funcionalidades propias de Windows, añade un sistema de borrado seguro, accesible a través del menú contextual de los archivos.

Puede ser descargado desde

http://www.hispasec.com/lapsec/

Todas las charlas de la EKOParty 2010 en video!

Nuevas tecnicas para descubrir botnets sigilosas.

Investigadores de seguridad han implementado un nuevo método para descubrir botnets que tratan de esconderse detrás de nombres alternativos de dominio.

Supranamaya Ranjan afirma que el y su equipo han  para detectar botnets tal como las de Conficker, Kraken y Torping, que utilizan una técnica denominada DNS domain-fluxing para su infraestructura C&C (Command & Control).
Domain-fluxing, también conocido como domain generation algorithm (DGA), genera en forma aleatoria nombres de dominio; el bot realiza peticiones a una serie de nombres de dominio, pero el dominio registrado es solo uno. Para llegar al C&C, los investigadores de las botnets generalmente deben realizar ingeniería inversa al malware bot y descubrir cuales son los dominios generados en forma regular. Un proceso que lleva tiempo y recursos en pos de obtener todos los nombres de dominios que van a ser registrados por la botnet, para poder adelantarse y registrarlos y lograr así un pie dentro de la botnet.

Ranjan dice:

"Botnets such as Kraken, Conficker, and Torpig came up with domain fast-flux, where even the domain name that each bot queries for is randomly generated,
Each bot queries for tens of thousands of domain names hoping that the botnet operator has registered for at least one of them via DNS. Now consider security vendors, who in this situation have no way of predicting which DNS queries are related to a botnet."

¡Estrenamos Twitter!

A partir de ahora, nos podes seguir en twitter desde http://twitter.com/needofsecurity y podras enterarte todo desde allí.

[Historias] El rey de los cajeros.

Los cajeros automáticos suelen ser motivo de atención para una gran variedad de delincuentes, desde simples asaltantes hasta organizaciones mafiosas.
La metodología de robo y estafa puede ser un tanto rustica o un poco mas elaborada. Algunos malvivientes optan por esperar a la salida del cajero a que las victimas terminen de retirar su dinero, otros secuestran personas - a veces con inteligencia mediante para conseguir un objetivo adinerado o simplemente al azar- para obligarlos a retirar dinero del cajero.
Otros, un tanto mas ingeniosos, obstaculizan la salida del dinero con una cinta u barra solida oscura, para que la victima piense que hay algún problema con su cuenta e ingrese al banco a quejarse. En el lapsus de tiempo que el cajero queda vacio mientras la victima se queja, el malviviente ingresa al cajero y destapa la salida del dinero para retirar lo que antes , se creyó, no había salido en primera instancia.