[Hemeroteca] HeartBleed, el bug de SSL que preocupó a medio mundo

650_1200

Buenas tardes, para esta última entrada del blog vamos a hacer un poco de historia (aunque ocurrió el año pasado).

Bien, hablemos de HeartBleed. Aparte del ‘pun’ intencionado, dado que es un juego de palabras con Heart Beat (latido de corazón), es un bug que se descubrió hace un par de años en la librería de SSL OpenSSL. Esta librería, usada en prácticamente la mitad de los servidores de Apache 2 del mundo, provocaba que, con un simple comando de heart beat, podías conseguir información que no deberías, por ejemplo, las claves privadas de SSL.

Heart beat es un mensaje que ese suele enviar para evitar que una conexión permanente a un servidor no se cierre, alegando que “aún estás ahí”. Es un mensaje que tiene como parámetro una cadena de chars que el servidor le tiene que responder en su totalidad, seguido de un parámetro int que indica el tamaño del archivo.

Hasta ahí bien, ¿verdad? Si tú envías un mensaje “hola” de 4 caracteres, el servidor devolverá “hola”. Vale, y si envío un mensaje “hola”, pero pongo de parámetro 400 carácteres, ¿Qué ocurrirá? El desastre.

El gran problema es el lenguaje de programación: OpenSSL está escrito en C, no está escrito en Java donde nos salga un “index out of bounds”, no está escrito en C#… El programa seguirá, porque las variables en C son espacios de memoria RAM en su forma más cruda. Si pido un mensaje de 500 bytes con un mensaje de 10, OpenSSL elegirá 10 direcciones de memoria donde alojar el mensaje de 10 bytes y luego cogerá los 490 direcciones de memoria siguientes y se lo devolverá al cliente. Insultantemente fácil y a la vez catastrófico. ¿Quién fue el iluminado que eligió poner como parámetro la longitud del mensaje?

Explicación_simplificada_de_Heartbleed

Por suerte, este bug se descubrió el año pasado en la versión más reciente en su día de OpenSSL, y ahora está corregido. Pero… ¿y si os dijera que el bug existe desde hace más de año? La NSA, la agencia estadounidense de seguridad nacional que tanta fama ha recibido por sus múltiples ataques contra la privacidad nacional y mundial, ya lo conocía desde hace dos años e incluso lo ha utilizado. ¿Qué habrá conseguido la NSA? No lo sabremos nunca. Para bien y para mal.

En fin, espero que os haya gustado el último post. Nos vemos pronto en otra asignatura.

Skype en jaque – El mensaje que bloquea la aplicación

Hola a todos y bienvenidos una semana más a este blog. Skype en jaque.

Hoy venimos con una noticia muy curiosa y que está muy relacionada con la seguridad. En este caso concreto con la seguridad e integridad de la aplicación Skype.

Todo el mundo conoce esta aplicación que nos permite mantener conversaciones entre usuarios tanto como un simple chat como video llamadas. Está muy integrada en nuestras vidas y millones de personas la usan diariamente.

Lo que no conocían muchos es uno de sus errores, el cual bloquea la aplicación enviando tan solo una cadena de texto de 8 caracteres. Dicha cadena es: “http://:”, sin las comillas. Esto provoca el cierre inmediato de la aplicación y que no se pueda volver a abrir. Si juntamos esto con el conocido historial de chat el cual disponen prácticamente todas las aplicaciones de este tipo, tenemos un problema aún mayor, ya que cuando este intenta recuperar los mensajes anteriores y llega al susodicho se vuelve a producir el error.

Este problema se produce únicamente en Windows, iOS y Android, pero no en Mac ni en la aplicación Modern de Skype para Windows 8, Windows 8.1 y Windows 10.

Muchos se pueden sorprender debido a este error pero hemos de tener una cosa siempre en mente y es que la seguridad no es gratis. Existen equipos que dentro de cada empresa que se dedican a encontrar estos errores y solucionarlos, esto vale millones de dólares y tal como vemos en este caso las cosas más simples como una cadena de texto pueden ocasionar muchos problemas. Ni las empresas más grandes se libran de estos errores y poco a poco hemos de concienciarnos que no estamos del todo seguros en la red.

Lo importante es buscas soluciones y parece que ya existe una solución proporcionada por un usuario, a expensas que Skype de por finiquitado dicho error. Esta solución se basa en que la persona que envió el mensaje lo borre y una vez hecho esto basta con desinstalar Skype y bajar una versión anterior. Esto solo funciona en Windows ya que el resto no permite bajar versiones que no sean la última así que los usuarios de Android y iOS tendrán que esperar a un parche de la propia compañía.

Espero que os haya resultado interesante y útil y nos vemos la próxima semana.

Niño desarrollador de juegos de seguridad informática

Buenas tardes, hoy no traemos ninguna noticia referente a un delito ni ataque informático, sino que lo que hoy traemos es una curiosa noticia, si bien está relacionada con la seguridad informática.

Hoy hablaremos de un niño de ocho años de Austin, Texas, llamado Reuben Paul. ¿Qué tiene de especial este niño y qué tiene que ver con la seguridad informática? Pues bien, resulta que el padre de Reuben Paul ya desde muy pequeño, debido a la pasión que el chico tenia por los videojuegos, le empezó a enseñar conceptos de seguridad informática. Un día su escuela planeó un proyecto, una especie de concurso de talento, en el que los alumnos fueron retados a crear un juego. Tal y como Reuben dice “la gran mayoría de sus amigo crearon un juego de mesa”, pero él ni corto ni perezoso creó una aplicación para iPhone, con algo de ayuda de su padre a la hora de escribir el código. Esta aplicación se llamó “Shuriken Math” y se trata de un juego en el que hay que disparar estrellas ninja para resolver problemas matemáticos. Cuando enseñó el juego en la escuela los profesores, a los que les había gustado la idea de aprender mientras te diviertes, le mostraron interés de poner al mercado. Cuando muchos de los niños le dijeron que preguntarían a sus padres si les dejarían comprarla fue cuando Reuben Paul decicdió fundar su propia empresa, de la cual además de fundador también es director ejecutivo, a la que llamó “Prudent Games”, y en la cual también colabora su padre.

“Prudent Games”, el lema de la cual es precisamente “aprende mientras juegas”, ha creado dos aplicaciones más, llamadas “Cracker Proof” o “Crack Me If You Can”. La primera es una aplicación para aprender a hacer contraseñas seguras y la segunda se trata de una aplicación para aprender sobre ataques basados en la fuerza bruta.

Así que aparte de animaros a todos aquellos que tengáis un iPhone o un iPad a descargar estas aplicaciones y mirar de lo que es capaz un niño de ocho años con los conocimientos adecuados, también me gustaría recalcar ciertas opiniones del niño, ya que considera que la seguridad informática debería formar parte del currículum de las escuelas, especialmente para tratar que los niños sean víctimas de ataques de phishing, así como también deberían recibir aprendizaje más avanzado en el tema los padres, ya no sólo para ellos mismos sino también para seguir enseñando a sus hijos.

La evolución de las contraseñas

Hola a todos. Hoy estamos aquí para hablar de un tema muy recurrente en el mundo de la seguridad, estamos hablando de las contraseñas. Cada día prácticamente todas las personas utilizan contraseñas para mirar su correo electrónico, acceder a su cuenta bancaria o abrir la puerta del parking.

Estamos rodeados de contraseñas y nos puede surgir la idea de cuan segura es, o si está bien utilizar la misma en diferentes ámbitos. Puede ser complicado tener que diseñar y recordar varias contraseñas, ya que finalmente podemos llegar a tener en nuestro día a día más de 5 contraseñas diferentes. Existen recomendaciones sobre estas, tales como tamaño, inclusión de números y mayúsculas y que no tengan relación con algo personal para que sean difíciles de  averiguar.

Finalmente podemos hablar de un posible final de todo este mundillo, ya que actualmente existen muchas formas de implementar autenticación. Varios ejemplos pueden ser huellas dactilares o patrones de iris. Pero dejando esto de lado una nueva investigación propone utilizar el mismo cerebro como contraseña. La idea toma como punto de partida las ondas cerebrales ante diferentes estímulos, ya que estas parecen ser distintas entre cada persona y por lo tanto únicas.

El experimento se ha realizado sobre 45 voluntarios, y reflejo que cada sujeto reaccionaba de forma distinta a los estímulos dependiendo de los recuerdos semánticos de cada uno, ofreciendo una tasa de acierto del 94%. Una tasa de acierto muy elevada, la cual puede indicarnos una nueva forma de pensar en la seguridad y verificación de la identidad en un futuro.

Hay varias investigaciones en marcha sobre este tipo de autenticación biométrica, aunque todo está en una fase muy inicial, aunque nunca podemos descartar este tipo de identificación en un futuro, aunque quizás combinada de varias técnicas.

Bueno pues espero que os haya gustado y nos vemos la semana que viene!!

Curiosidad: HTML Injection en Dota 2

Saludos y muy buenas tardes, traigo una curiosidad que me encontré últimamente mientras jugaba al Dota 2. No necesito que sepáis de qué va el juego, porque de eso no va la historia.

Simplemente vamos a hacer una reflexión sobre la reciente práctica que hemos tenido en ESXS: hemos hecho que en una página web se ejecuten comandos SQL mediante la práctica de SQL injection, que es el envío de comandos directos de SQL sobre envíos tradicionales de formularios, como por ejemplo solicitar el acceso a una página importante mediante usuario y contraseña. Esta práctica es sencilla a la par que muy peligrosa, pero las empresas ya tienen el remedio adecuado.Ahora bien, ¿y si no se usara con fines maléficos? ¿Y si, por ejemplo, alguien utilizara SQL Injection para utilizarlo con fines cómicos, o añadir estilo a palabras o texto? Cosas como las que voy a mostrar me he encontrado mientras curioseaba perfiles y nombres de usuarios de Dota 2.

Pero la práctica no es exactamente SQL Injection, si no más bien “HTML Injection”.  Voy a explicarlo con mejor detalle:

Supongamos que queramos añadir un estilo de texto a mi nombre de usuario Getu. Para ello necesitaremos un tag de HTML (decrepitado, no se usa en HTML5) llamado <font>, que permite cambiar tamaño y estilo de fuente para un texto o título.

Éste es el “antes”:

2015-05-24_00002

Y le vamos a añadir el siguiente tag de <font>:

2015-05-24_00004

Así lo que provoca es que cuando el juego haga una llamada al nombre del jugador, coja el nombre y también el tag. El resultado de este estilo es el siguiente:

2015-05-24_00003

Como podemos ver, tenemos el nombre “Getu” con un estilo de fuente diferente, que es reconocible porque la letra Impact es ésa que se muestra en la foto.

Otro ejemplo es que no sólo podemos cambiar nombres de jugadores, si no que podemos modificar tamaño de las fuentes de otras cosas. Por ejemplo, un simple objeto cosmético en dota 2 sería como el siguiente:

2015-05-17_00004

Podemos ver que tiene un nombre y un tipo. También puede contener una descripción, que suele ser el texto en cursiva. Muy bien, ¿qué pasa si le añadimos el tag <font size=”72″> a la descripción del objeto? Que ocurren cosas como esta:

2015-05-17_00003

Como podemos ver, es un objeto cosmético que no tiene nombre ni descripción ni tipo, porque está sobreescrito por una inmensa lista de “PRESS R”, perteneciente al tag <font size=”72″>.

Obviamente ésto no provocará una caída de servidores ni pérdidas de dinero, pero no está de más observar que el tema de SQL Injection sirve para cosas más curiosas y a veces divertidas.

Sin más, espero que os haya gustado mi entrada, un saludo y hasta la próxima.

El ataque de correos

Hola a todos. Esta semana seguimos hablando de malware, y es que hace unos días un familiar me avisó de que si recibía un email de correos no le hiciera caso, pues se trataba de un ataque, así que decidí investigar a ver de que se trata.

Pues bien, se trata de un email donde te dicen que no han podido entregarte una carta y te adjuntan un enlace que te llevaba a la supuesta página web de correos, y una vez allí tenías que descargarte un documento pdf para imprimirlo e ir con él a la oficina de correos a buscar la carta. Resulta que este pdf, aunque en todo momento parecía un pdf, realmente era un ejecutable, así que al abrir el documento se instalaba un troyano en el ordenador.

Una particularidad de este troyano es que no es detectado por los antivirus, así que llegados a este punto, se ponía a trabajar en tu ordenador sin que lo supieras, obteniendo información personal y cifrándola en un fichero. El problema es que se conseguía que el usuario no pudiera acceder a la información y pocos días después recibía un chantaje por parte de los atacantes, que pedían dinero a cambio de la información, y la cantidad que pedían iba subiendo cuanto más tardara el usuario.

Por eso quiero hacer una reflexión y es que vemos que mucha gente sigue sin saber el peligro al que nos exponemos y se toma las cosas muy a la ligera. Me refiero por ejemplo a gente que, aún no estando esperando ninguna carta o paquete y tras abrir el correo, que por cierto está escrito en un castellano un tanto cuestionable, continuaba siguiendo las instrucciones que le daban en ese correo.

Así que con este post no queremos sólo difundir la noticia de este virus, sino también concienciar un poco de que hay que ser más cuidadosos con lo que hacemos.

Un saludo a todos y hasta la semana que viene.

Rombertik, la evolución del Malware

Hola a todos y os traemos una noticia bastante curiosa sobre Malware.

Los virus están al orden del día, cada dos por tres tenemos nuevos virus intentado atacar nuestros sistemas de diversas formas y este hecho no se puede negar. Hoy vamos a hablar de un nuevos virus Rombertik. Investigadores del grupo Talos de Cisco han alertado sobre este, el cual es  una pieza de malware muy sofisticada que cuenta con modos de ataque y evasión en caso de detección.

Esto es bastante curioso ya que normalmente este tipo de virus buscan atacar nuestros sistemas sin ser detectados, pero nunca hubiéramos imaginado que dispondrían de un sistema de evasión.

Rombertik se propaga mediante técnicas de spam a través de correos electrónicos maliciosos, esta es una técnica muy habitual cuando hablamos de malware. Cada vez más la gente se preocupa más por los correos que recibe y por lo tanto no hay tantas víctimas, pero con la cantidad de personas que disponen de correo electrónico con bajos conocimientos sobre seguridad informática hacen que estos virus se extiendan.

En particular Rombertik tiene como objetivo  conseguir toda la información introducida en nuestro navegador web, especialmente nombres y contraseñas de usuario. Los datos se envían a un centro de comando y control a través de HTTP.

Podemos pensar que no tiene nada de curioso este virus, ya que todos funcionan más o menos de la misma forma, pero este llega aún más lejos. Se trata de un desarrollo altamente sofisticado, ya que en caso de ser detectado por algún antivirus el malware sobrescribe el Master boot record( MBR ), que es el primer sector del disco duro destinado a incluir el registro de arranque maestro y la tabla de peticiones.

El MBR es esencial para el arranque del equipo. Su eliminación o sobreescritura provoca que el ordenador entre en un bucle de reinicio continuo, dejando inservible el PC.

Si es detectado, Rombertik también cifra todos los archivos del disco como si fuera un ransomware (programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción)

Con este post queremos hacer conocer a cuanta más gente mejor sobre este tipo de virus y sobretodo dar a conocer que estamos rodeados de virus que no hemos de tomarnos la seguridad a broma y que el mantenimiento de nuestro PC y nuestro antivirus es una parte fundamental.

 

Un saludo y nos vemos la semana que viene!

Sin duda un desarrollo de alto nivel que muestra el grado de complejidad que está alcanzando el malware actual.

Firefox sólo accederá a sitios web con HTTPS

Buenas tardes a todos, traigo una noticia que no pasará desapercibida para los usuarios de Internet, en especial los usuarios de Mozilla Firefox.

 

La fundación Mozilla lleva años apostando por la seguridad en la red, promoviendo el uso del HTTP con el procolo de sockets SSL (también conocido como HTTPS), pidiendo permisos especiales para acceder a periféricos como la cámara web o el micrófono, y promoviendo la eliminación de cookies no seguras.

En una reunión entre los integrantes de Mozilla, se decidió promover el uso de HTTPS, dado que es la manera más segura de navegar por la red. Sin embargo, este protocolo aún no está establecido para muchísimas páginas web que utilizamos día a día. Foros de internet todavía utilizan el protocolo estándar, y páginas de noticiarios. Aunque las páginas de las empresas de tecnología más grandes, como Facebook o Google, ya utilizan el protocolo HTTPS, desafortunadamente son una minoría respecto a la gran cantidad de páginas web que siguen sin actualizarse.

De modo que para promover el uso de HTTPS, Firefox empezará a restringir el acceso a sitios web que utilicen este sistema de cifrado de sockets. Pero no lo harán de golpe, por supuesto, si no que:

 

– Establecerán una fecha límite (aún no decidida) en la que los desarrolladores tendrán tiempo hasta que Firefox empiece a restringir gradualmente el uso de páginas sin HTTPS

– Restringirán, gradualmente, funcionalidades del navegador Firefox a la hora de acceder páginas sin HTTPS

 

Este movimiento incentivará a los desarrolladores a invertir tiempo en HTTPS, ayudando así a navegar por la web de manera más segura. Puesto que es la empresa uno de los navegadores web más usados en el mundo, dudamos que alguien cuestione las palabras de Mozilla, especialmente si va a favor de los usuarios.

 

Nos vemos la semana que viene con otra entrada.

España, tercer país más atacado

Hola a todos!

Según reveló hace poco el ministro de Asuntos Exteriores español, José Manuel García-Margallo, España fue el año pasado el tercer país con más ciberataques del mundo, recibiendo más de 70.000 ataques. La lista la encabezan Estados Unidos, con un 26% del total de los ataques, seguido de Reino Unido con un 16% y España con un 15,7%.

Sacar estadísticas sobre todos los ataques resulta un tanto complicado, pero sí que podemos hacerlo si se trata de ataques conocidos, así que nos fijamos solo en los que afectaron a la administración pública. Podemos ver que tan solo un 1,23% de los ataques fueron para obtener información y un 0,65% fueron para atacar la disponibilidad del servicio. Entonces, ¿para qué fueron el resto de los ataques? Pues bien, principalmente fueron código dañino, un 82,04%, e intrusiones, un 13,95%. Es decir, los ataques específicos a la administración pública fueron muy pocos, la gran mayoría de los ataques iban dirigidos a aquél que los recibiera.

Por último, para reflexionar un poco, nos preguntamos si 70.000 ataques son muchos o pocos. Según nuestro punto de vista no podemos concretarlo. Con ello queremos decir que no queda muy claro si 70.000 fueron los ataques que tuvieron consecuencia, que entonces sí sería un número elevado, o si son el total de ataques, de los cuales la mayoría fracasan, debido a la concienciación cada día mayor de la gente respecto al tema, con lo cual no sería un gran número de ataques.

Nos vemos la semana que viene con una nueva entrada.