19 oct 2014

THE INTERNET DEFENSE LEAGUE, ¡¡TODOS UNIDOS!!

Desde 2012, THE INTERNET DEFENSE LEAGUE, y toda la gente que apoyamos este proyecto, estamos luchando por la neutralidad de la red, evitando o por lo menos intentando, que no se convierta en una red corrupta y controlada por unos pocos.


La idea principal de esta liga, tal y como figura en su web, es: 

"Cable companies are spending millions to gut net neutrality and slow your internet to a crawl. We can't let them. Run the Battle for the Net campaign and help us save net neutrality!". 

Que viene a decir algo asi como: 

"Las compañías de cable están gastando millones para destripar la neutralidad de la red y reducir la velocidad de internet a paso de tortuga. No podemos permitirselo. Comience la campaña "battle for the net"  y  ayudenos a salvar la neutralidad de la red!". 

Puedes unirte a la liga, añadir algunas de sus insignias en tu web y asi dar tu apoyo a la causa, siguiendo las instrucciones que nos indican en el sitio oficial. Es tan sencillo como copiar el codigo que más os guste y añadirlo a vuestro sitio web.

Puedes elegir entre:

Super insignia:


Insignia Escudo:



Insignia de pie de página:

Insignia lateral:
Insignia tipo "ribbon", cinta (izquierda y derecha):


¡Yo ya formo parte de la Liga! , ¿y tú?.

INFO Y JS CODES, IR.

16 oct 2014

POODLE, EL CANICHE QUE ACABA CON SSL V3.0 (IN-SECURE SOCKET LAYER)

Aunque su nombre no da miedo, Poodle (Caniche en inglés), ha generado una gran expectación al ser el nombre que tres desarrolladores de Google (de ahí su juego de letras) han puesto a la vulnerabilidad que tira por tierra el protocolo SSL en su versión 3.0.


Poodle (Padding Oracle On Downgraded Legacy Encryption) hace que el protocolo más usado hoy en día se quede obsoleto y vulnerable. Éste ataque permite a un hacker "calcular" el texto plano de tokens o cookies HTTPS, forzando un fallback a SSL 3.0, pudiendo así secuestrar sesiones o loguearse como otro usuario. El ataque es relativamente fácil de desarrollar y puede ser realizado "on-the-fly" usando JavaScript y así interceptar, por ejemplo, packetes de las víctimas en un punto Wifi público, como en una cafetería de moda.

SSL no tuvo un principio fácil, ya que incluso su primera versión ni vió la luz, directamente se publicó la 2.0 al mundo. Pasado un tiempo, en 1996, se publica la versión 3.0, que se pensaba que sería para siempre, pero como hemos visto hace poco, su final.... ha llegado.

Todos tenemos aún en mente las vulnerabilidades que han dado que hablar este tiempo atrás, me estoy refiriendo a Heartbleed y Shellshock, y aún sin tiempo de digerirlas del todo, nos encontramos con Poodle.

Según el "TOP 1 MILLION" de Alexa, a fecha 12 de Octubre de 2014, cerca del 96.9% de las páginas web usan HTTPS SSL v.3 y un 0.12 % de ellas no soporta ninguna versión de TLS. (sustitutivo/solución a éste problema).

Se aconseja desactivar SSLv.3, y usar TLS 1.0, TLS 1.1 o TLS 1.2. También hay que tener en cuenta y evitar que TLS se degrade a SSL, para ello tenemos una opción que evita que innecesariamente, a servidores y clientes que soporten TLS, pasen a usar SSL en su lugar. Ésta opción es TLS_FALLBACK_SCSV, (INFO,), si hablamos en términos de servidores. Para clientes (Firefox, Chrome, ...) cada uno está aplicando su solución.

De momento Firefox a desactivado por defecto SSLv.3 en su navegador versión "Nightly". Hasta el 25 de Octubre cuando publique su "release" 34, sobre el 25 de noviembre, no corregirá éste problema en su navegador habitual, (salvo que digan lo contrario).



INFO:

https://zmap.io/sslv3/


Análisis Técnico:

https://www.imperialviolet.org/2014/10/14/poodle.html


Paper completo:

Https://www.openssl.org/~bodo/ssl-poodle.pdf


Comprueba tus servidores con un diagnostico del SSL:

Https://www.digicert.com/help/

https://www.tinfoilsecurity.com/poodle

http://poodlebleed.com/



9 oct 2014

EL CÓDIGO DE BADUSB YA ESTÁ EN GITHUB

Aunque en un principio se dijo que no se haría público el código por su alta peligrosidad, no ha sido así, ya podemos disponer de él alojado en GitHub, AQUÍ.

El problema descubierto por los investigadores de BadUsb, y presentado por Karsten Nohl reside en la posibilidad de modificar el firmware de un dispositivo USB y añadirle funcionalidades adicionales.

Según los desarroladores se consigue alterar el firmware de los dispositivos aplicandole ingeniería inversa,  y heurística y así poder incorporar características adicionales, tales como cargar un exploit en el ordenador de la victima. Funcionaría en cualquier S.O., dependiendo de cual estemos usando, se necesitaría realizar una escalada de privilegios, como es en el caso de los sistemas operativos GNU/Linux.


Ésta vulnerabilidad además de afectar a pendrives, también lo haría con cualquier dispositivo que utilice USB, tanto cámaras web, discos duros externos, teclados..., aunqué no está comprobado en éstos todavía al 100%.

También se podría utilizar ésta vulnerabilidad para realizar ataques através de la red, usando un pendrive modificado y haciendose pasar éste por un adaptador de red Ethernet en el sistema objetivo y respondiendo a peticiones DHCP realizadas desde el sistema pero sin asignar una puerta de enlace. Esto se traduce en que si estamos conectados a una red Wi-Fi e introducimos un USB modificado en nuestro sistema, seguiremos navegando sin problema; pero las peticiones DNS que realicemos a la hora de acceder a una web, por ejemplo, serán gestionadas por el servidor cargado desde el pendrive, lo que permite ataques de redirección de tráfico que nos pueden llevar a sitios maliciosos que aparentan ser legítimos.

Tambíén se podría modificar para reconocer el tipo de BIOS y así ocultar el contenido malicioso, reescribir datos al vuelo e incorporar malware ... [todo lo que nuestra imaginación quiera, dentro de unos límites].

Pocas soluciones se dan a éste problema, una de ellas es que los fabricantes cambiaran y actualizaran sus firmwares y que el estándar cambiara, cosa poco probable ya que tardarían incluso hasta 10 años en hacerlo.

Aún sabiendo todo ésto, Adam Caudill y Brandon Wilson han tomado la decisión de hacer público el código y colgarlo en GitHub. ¡Gracias amigos! [Ironía].

¿Será éste el fin del USB tal y cómo lo conocemos?, ¿tendremos que cambiarnos a otros puertos de conexión como Thunderbolt o Lightning ?, Esperemos que nó.

Codigo en GitHub: VER.

Fuente:

Blog Bruce Schneier: VER.
Otros...

1 oct 2014

BLACKHAT, LA PELÍCULA

Chris Hemsworth, actor que interpreta a "Thor" en la película de Marvel y también en "Los vengadores", ha cambiado su martillo por un teclado en el primer trailer de "Blackhat",  de Michael Mann. Su estreno está previsto para el 16 de Enero de 2015.


Hemsworth interpreta a Nicholas Hathaway, un codificador genio, alumno del MIT y hacker, condenado a cumplir una condena de 15 años.

Los gobiernos estadounidense y chino se ven obligados a cooperar por el bien de la seguridad nacional de ambas potencias. Una fuerte amenaza informática está poniendo en riesgo las vidas y el futuro de la población. Delitos informáticos de alto nivel para los que deberán recurrir a sus mejores agentes de campo si quieren llegar a tiempo para evitar lo peor.

Web oficial: IR.
Ver Trailer en Youtube, VER.