27 abr 2014

OPENSSL HEARTBEAT EXPLOIT, INFOGRAFÍA.


HEARTBLEED, CÓMO FUNCIONA EL ATAQUE


Vamos a revisar cómo funciona el ataque. Dentro de TLS está el apoyo a DTLS (TLS a través de UDP-User Datagram Protocol ) y una extensión de Heartbeat.

Ésta extensión Heartbeat permite una funcionalidad de mantenimiento de conexión para la conexión sin necesidad de renegociación. Cuando un usuario realiza el ataque a un servidor de OpenSSL vulnerable, envían un paquete con una carga útil mayor de lo esperado (es decir, la carga útil de encargo). Esto permite que el raspado de hasta 64 KB de la memoria del servidor web fuera de los límites de lo que se supone que Heartbeat acepta. El siguiente diagrama describe el ataque:


En función de la cantidad de memoria capturada, ésto puede enumerar la información confidencial almacenada en la memoria en el servidor web, incluyendo contraseñas, datos y clave privada incluso del certificado del servidor web. Si el primer intento no tiene éxito el atacante puede simplemente ejecutar el ataque un par de veces más para capturar más información de la memoria. Si se captura la clave privada,  entonces se puede utilizar para descifrar las transmisiones previamente capturados o transmisiones existentes a continuación, revelar las credenciales de usuario y los datos adicionales. Es importante señalar que esto no representa una falla fundamental en el protocolo SSL / TLS, pero un error en la implementación OpenSSL del Heartbeat Extensión TLS / DTLS ensí mismo.

Más INFO, AQUÍ. y AQUÍ.

Explicación en forma de tira cómica:




23 abr 2014

GRAMS, NUEVO MOTOR DE BUSQUEDA EN LA DEEPWEB PARA BLACKMARKET


Ya  es oficial la versión beta del motor de busqueda GRAMS. Grams es un proyecto para la implementación de un motor de búsqueda en línea para los “dark markets”. Fué lanzado la beta la semana pasada en la url onion http://grams7enufi7jmdl.onion . El creador de Grams, que utiliza el apodo  “Gramsadmin”, anunció el lanzamiento de la versión beta con un post en Reddit. Utiliza los mismos colores que el famoso buscador, pero lo que encuentra son productos o información completamente diferente de la que indexa Google. En unas semanas contará con un sistema parecido al Google Adwords (de Google). Para poder utilizar este servicio es necesario que el usuario esté suscrito a TOR (The Onion Router), un servicio que nació en el Laboratorio de Investigación Naval de U.S.A. como una forma de crear comunicaciones seguras para los militares.


Muchos expertos en seguridad, están haciendo un esfuerzo considerable para hacer más accesible la red Tor, están trabajando en un tipo de motor de búsqueda para hace más rápida la búsqueda dentro de las páginas no indexadas. El número de servicios ocultos dentro de la red Tor es impresionante, muchos de ellos desconocidos para la mayoría de los usuarios, en lo que se conoce como la “DeepWeb”.

Ya se conoce de largo, que a diario, se crean nuevas páginas “oscuras” que ofrecen nuevos servicios, drogas ilegales de alta calidad, armas, herramientas de hacking, incluso proporcionar servicios ilegales a sus clientes como asesinatos por encargo, etc. [No quiero seguir que me enervo].

19 abr 2014

LISTA DE SITIOS AFECTADOS POR LA VULNERABILIDAD HEARTBLEED, INFOGRAFÍA.


AUDITANDO TRUECRYPT EN BUSCA DE "BUGS" Y "BACKDOORS"


Éste lunes, trás 7 meses de trabajo, concluyó la primera fase de la auditoría que se está realizando para encontrar o no posibles bugs y/o backdoor en el más que conocido TrueCrypt, aplicación, para los que no lo sepáis aun, que se usa a la hora de encriptar archivos, unidades completas, dispositivos usb, etc.


La auditoría que se está realizando por parte de un proyecto independiente, "sin maldades ni malas practicas", llamado iSEC Partners. Ésta auditoría consta de dos fases: en la fase 1se audita el código fuente, que acaba de finalizar y el la fase 2, se auditará el criptoanálisis formal, se realizará una revisión detallada de cifrado y así se asegurará de que no hay ningún error en el cifrado. Podéis ver la web del proyecto, AQUÍ. Si queréis ver en detalle la auditoría de la fase 1, entonces VER.


Según informan desde iSEC Partners, "no hay evidencia de puertas traseras o código de otro modo intencionalmente malicioso en las áreas evaluadas ".

Sin embargo si que se encontraron pequeñas vulnerabilidades, en concreto 11, que catalogarón como errores no intencionados y sin malicia. Explican que son métodos en desuso o errores debidos a algoritmos que podrían comprometer la seguridad si no se utilizan contraseñas o claves complejas

Matthew Green, criptógrafo de la prestigiosa universidad Johns Hopkins, que ha sido una de las personas que lideran este priyecto, comentó: "Creo que la calidad del código no es tan alta como debería ser, pero por otra parte, nada terrible está ahí, por lo que es tranquilizador " .


En un estracto del informe, se puede leer:

Overall, the source code for both the bootloader and the Windows kernel driver did not meet expected standards for secure code. This includes issues such as lack of comments, use of insecure or deprecated functions, inconsistent variable types, and so forth. A more in-depth discussion on the quality issues identified can be found in Appendix B. In contrast to the TrueCrypt source code, the online documentation available at http://www.truecrypt.org/docs/ does a very good job at both describing TrueCrypt functionality and educating users on how to use TrueCrypt correctly. This includes recommendations to enable full disk encryption that protects the system disk, to help guard against swap, paging, and hibernation-based data leaks.

The team also found a potential weakness in the Volume Header integrity checks. Currently, integrity is provided using a string (“TRUE”) and two (2) CRC32s. The current version of TrueCrypt utilizes XTS2 as the block cipher mode of operation, which lacks protection against modification; however, it is insufficiently malleable to be reliably attacked. The integrity protection can be bypassed, but XTS prevents a reliable attack, so it does not currently appear to be an issue. Nonetheless, it is not clear why a cryptographic hash or HMAC was not used instead.

Que viene a decir algo así como:

En general, el código fuente, tanto para el gestor de arranque y el controlador del kernel de Windows no cumplía con los estándares esperados para código seguro. Esto incluye temas como la falta de comentarios, el uso de las funciones inseguras o en desuso, tipos de variables inconsistentes, y así sucesivamente . Una discusión más a fondo sobre los problemas de calidad identificados se puede encontrar en el Apéndice B. En contraste con el código fuente de TrueCrypt, la documentación en línea disponible en http://www.truecrypt.org/docs/ hace un muy buen trabajo , tanto en descripción de las funciones TrueCrypt y educar a los usuarios sobre cómo utilizar TrueCrypt correctamente. Esto incluye recomendaciones para habilitar el cifrado de disco completo que protege el disco del sistema , para ayudar a protegerse contra swap, paginación , y las fugas de datos a base de hibernación .

El equipo también encontró una debilidad potencial en el "Volume Header integrity checks". En la actualidad, se proporciona integridad mediante una cadena ("true" ) y dos ( 2 ) CRC32s . La versión actual de TrueCrypt utiliza XTS2 como el modo de cifrado de bloques de la operación , que carece de protección contra la modificación ; sin embargo, es suficientemente maleable para ser atacado de forma fiable . La protección de la integridad se puede omitir , pero XTS evita un ataque fiable , por lo que no aparece en la actualidad a ser un problema. Sin embargo, no está claro por qué no se utilizó un hash criptográfico o HMAC lugar.

En la fase 2, veremos que sorpresas nos esperan.


Descargar TrueCrypt, AQUÍ.
TrueCrypt Info, VER.
Resumen de los detalles encontrados, AQUÍ.
Detalles técnicos, VER.

11 abr 2014

BUG EN OPENSSL, EL CORAZÓN DESANGRADO HEARTBLEED

Aunque la noticia se dió a conocer a principios de ésta semana, por problemas técnicos ajenos a mí, no he podido publicar la entrada cuando me hubiera gustado. Cómo se suele decir "Más vale tarde, que nunca", y cómo la noticia sigue dando que hablar y tiene una importancía muy alta, ahora la publico. Ya se ha hablado mucho sobre ésta noticia y puede que no aporte nada nuevo al tema, pero mere una mención en el blog.

Éste lunes 7 se dió a conocer la vulnerabilidad, conocida como CVE-2014-0160, considerada una de las más importantes de los últimos tiempos, algunas fuentes afirman que afecta a los 2/3 de todo internet, en mi modesta opinión creo que más... Y si sonsideramos en una escala de importancia/gravedad de 1-10, yo le pondría un 9 y algo.



La vulnerabilidad se da en la versión OpenSSL 1.0.1, (VER) y ha sido descubierta por Neel Metha del equipo de Google Security. Heartbleed es una grave vulnerabilidad que se encuentra en la  biblioteca de software criptográfico. Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS que se utiliza para asegurar Internet. SSL / TLS proporciona seguridad de las comunicaciones y la privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

7 abr 2014

ALEXA, CONSULA EL RANKING DE LAS WEBS MÁS VISITADAS


Para muchos no os resultará desconocido, pero para aquellos que no les suene cuando decimos Alexa, sólo contaros que Alexa Internet, Inc. es una subsidiaria de la compañía Amazon.com con base en California. En la web nos ofrecen información y una visión analítica acerca de la cantidad de visitas que tiene una web y sus enlaces relacionados, muy interesante para ver el tráfico de una web, además podemos organizar la consulta por ranking global, por  paises o categoría. Os animo a que os déis una vuelta, podemos encontrar cosas bastante interesantes para posicionamiento SEO.

 
El nombre de Alexa fué elegido en homenaje a la Biblioteca de Alejandría, por sus creadores, Brewster Kahle y Bruce Gilliat en 1996.

El Top10 Mundial a día de hoy es:


Pronto anuncian nuevo "look", que podemos previsualizar AQUÍ y que se parecerá algo a ésto (bastante más moderno la verdad):



Las estimaciones de tráfico de Alexa se basan en datos de su panel de tráfico global, que es una muestra de los millones de usuarios de Internet que utilizan una de las más de 25.000 extensiones de explorador diferentes. Además, reunen gran parte de sus datos de tráfico procedentes de fuentes directas en la forma en que los sitios han elegido para instalar el script de Alexa en su sitio web y certificar sus métricas.

El rango de tráfico global es una medida de cómo una página web está relacionada con todos los demás sitios web, durante los últimos 3 meses. El rango se calcula utilizando una metodología propia que combina promedio estimado de un sitio de visitantes únicos diarios y su estimación del número de páginas vistas durante los últimos 3 meses. Proporcionando una clasificación específica de cada país, que es una medida de cómo un sitio Web se posiciona en un país en particular en relación con otros sitios en el último mes .

Cómo no puede ser de otra manera, tienen planes completos que te ayudan a dirigir el tráfico de tu web y así obtener mejor posicionamiento. Éstos planes se pueden disfrutar entre tres opciones:




5 abr 2014

YAHOO SE SUMA A GOOGLE ENCRIPTANDO SU TRÁFICO


En noviembre del año pasado, Yahoo reveló planes para cifrar toda la información que se mueve entre sus centros de datos a finales de primer cuatrimestre de 2014, y así ha sido. El 31 de marzo de éste año, el tráfico entre los centros de datos está totalmente encriptado, anunció hace un par de días la compañía.


Yahoo ya activó  por defecto el protocolo para conexiones seguras HTTPS para todos los usuarios de su servicio de correo en enero de este año. Además la compañía reveló hace un par de días que en el último mes, también se ha habilitado el cifrado de correo entre los servidores y otros proveedores de correo que soportan el estándar SMTPTLS. Lo que es más , la página de inicio de Yahoo y todas las búsquedas que se ejecutan allí, al igual que " la mayoría" de los sitios de Yahoo, también tienen por defecto HTTPS ahora.