Active X Inseguros y una Prueba de Concepto


¿Qué es un ActiveX? Es una tecnología de reutilización de software creado en Microsoft COM. Por ejemplo, ActiveX permite un documento de Word embeberlo en una hoja de cálculo de Excel y esta publicarse por medio de un sitio o aplicación Web.

ActiveX habilita una interface de Scripts a través de la cual se pueden aprovechar todas las capacidades de componentes binarios pueden estar disponibles para los lenguajes scripts, tales como VBS y JS (lo que se conoce como Automatización OLE o simplemente Automatización). Es un modelo de plug-in de IE, permitiendo que IE cargue y use componentes binarios personalizados desde o dentro de sitios Web. La interacción entre las páginas se hace por medio de las interfaces script.

Dado que ActiveX es una tecnología de reutilización de código de propósito general y no es diseñado solamente para usarse en páginas Web. No todos los componentes son apropiados para su uso en la Web. Sin embargo, hay límites para estos componentes, por ejemplo, un ActiveX no podría ejecutar código malicioso en su computador sin su consentimiento.

El componente ActiveX debe afirmar que es tanto seguro para inicialización y seguro para scripting.

¿Qué es inicialización y scripting seguro?

“Seguro para inicialización” básicamente significa que el componente no violará la seguridad del usuario, incluso si inicializado con datos no confiables o maliciosos.

“Seguro para scripting” significa que sus interfaces de scripting no pueden ser objeto de abuso por un script malicioso que cause daño al usuario.

¿Cuál es la configuración por defecto de esta característica en IE?

IE por defecto deniega la carga de componentes ActiveX marcados como no seguros para inicializar o ejecutar scripting cuando son referenciados en sitios Web alojados remotamente y en cualquier zona de seguridad del IE, excepto la zona de maquina local que está en la opción “Preguntar”, es decir, en el resto de zonas está configurada en la opción denegar.

Esta configuración se puede hacer de manera diferente por cada zona de seguridad o mediante GPO a partir de IE 7.

Las interfaces del Windows Script Host son también un ejemplo más claro de un componente ActiveX inseguro, ya que permiten la manipulación del registro, manipulación de archivos, y lanzar programas o líneas de comando.

En IE6 en inferior, en la zona de sitios seguros esta opción está marcada para preguntar y no denegar como las versiones actuales, por tanto, le muestra un mensaje al usuario para que permita la interacción al darle clic en “Yes” o “Si”.

Question

La opción de “Preguntar” al usuario, tampoco es una buena idea, ya que los usuarios finales se acostumbraron a que cada vez que ven un aviso del navegador, dan en la opción “Si” para poder trabajar o visualizar lo que desean, por tanto, muchos no leen o son conscientes de que están permitiendo al hacer clic en sí.

Amenazas informáticas:

El problema radica en que IE no permite configurar de manera personalizada un componente ActiveX para fines específicos, sino que cuando se habilita esta opción en una zona del navegador, permite que cualquier o todos los sitios Web que funcionan en esta zona. Lleven a cabo cualquier acción en el computador sin el consentimiento del usuario, esto significa que un atacante o cualquier persona podría controlar el contenido, archivo, entre otras para todos los computadores que visitan el sitios Web.

Un atacante podría instalar un malware (ej. Spyware, virus, ransomware…) sin necesidad de permisos administrativos, configurar programas para ejecutarse al inicio de sesión del usuario, capturar o enviar información privada a externos, borrar citas del calendario o modificar/borrar archivos. Además puede hacer un escenario de ataque en donde con un script en un archivo HTML infecte los usuarios y luego lo restaure al original, sin que sea fácil de rastrear este tipo de ataque.

Prueba de Concepto – PoC:  (Se puede ejecutar codigo remoto desde la Red Interna o desde un sitio Web comprometido en Internet).

Verificar la opción en la configuración del Internet Explorer. (La que no se puede habilitar)

Opcion1

La prueba consiste en ingresar desde el Internet Explorer a un sitio en Internet donde se montó una página HTML que permita ejecutar una calculadora sin consentimiento del usuario. La prueba fue satisfactoria en un Internet Explorer 10 con Windows 7 Service Pack 1.

Se crea una página HTML básica con un llamado a un archivo JavaScript o se modifica una existen en un sitio Web.

Index

Se agregan las lineas de ejecución de codigo al archivo JS con el objeto ActiveX malicioso, que  para este ejemplo solo ejecuta una calculadora en el computador que visita la página.

js

Ejecución desde el navegador.

PoC

Remediación

Para asegurar un ActiveX no solamente basta con fírmalo digitalmente(este es más para la integridad y no repudio del control), sino que también existen dos métodos a nivel de código fuente para asegurarlo, usando un identificador de clase del control (CLSID).

  1. El primer método consiste en usar la interface ICatRegister del “Component Categories Manager” para crear unas entradas en el registro (CATID_SafeForScripting) del sistema operativo y el IE examina este antes de cargar el control ActiveX.

La ruta donde se crea esto es la siguiente:

regedit

Los pasos son:

  1. Create an instance of the Component Categories Manager and retrieve the address of the ICatRegister
  2. Set the appropriate members of a CATEGORYINFO
  3. Call the ICatRegister::RegisterCategories method, passing the address of the initialized CATEGORYINFO

NOTA: En el enlace de referencia está el código fuente de ejemplo con la implementación.

El segundo método tiene que ver con implementar una interface llamada IObjectSafety y su método SetInterfaceSafetyOptions (con 3 parámetros) en el control ActiveX, para poder que el navegador IE lo inicialice y ejecute de forma segura.

ActiveX-Seguro

En el siguiente articulo de Microsoft explican el detalle del asunto:

https://msdn.microsoft.com/en-us/library/aa751977%28v=vs.85%29.aspx

También es recomendable este post sobre el diseño seguro de ActiveX:

https://msdn.microsoft.com/es-es/library/aa752035%28v=vs.85%29.aspx

Espero este ejemplo sirva para que cuando se vaya habilitar una opción en el navegador, se evalue primero el riesgo y en lo posible con una prueba de concepto evidenciarlo; ademas que esto  pueda ayudar a crear lineamientos para los desarrolladores de las Apps corporativas que usan ActiveX, con el fin de no poner en riesgo la organización.

Anuncios

Vuelta al mundo con las #Conferencias #Internacionales de #Seguridad #Informática


En este articulo se muestran algunas de las conferencias sobre seguridad informática mas importantes del mundo, tales como: Ekoparty en Argentina,  GuadalajaraCON en Mexico; ShmooCon, BlackHat, Defcon en Estados Unidos, RECON en Canada, SECURECOMM en Italia, CONFIdence en Polonia, RootedCON en España, SHAKACON en Hawái, RuxCon en Australia, Chaos Communication Congress en Alemania, entre otras…

El pase de diapositivas requiere JavaScript.

¿Que brindan?

Las conferencias de seguridad informática brindan la oportunidad de obtener conocimiento de primeras fuentes, involucrarse con innovación tecnológica, vulnerabilidades nuevas (0day), herramientas e intercambio de saberes y diferentes culturas.

A continuación, se describen en orden cronológico (para agendar en el calendario por mes) el panorama a modo general, es decir, el nombre, la fecha, el lugar, una breve descripción de cada conferencia y el link de la Web oficial por si quieren ampliar la información.

Podemos empezar el recorrido por el mundo, en el mes de enero con ShooCom en la USA.

Nombre: ShmooCon

Fecha: Enero 27 al 29

Lugar: Washington, DC en el Hotel Hilton de Washington, Estados Unidos.

Descripción: Es una convención anual de hackers empeñados en ofrecer tres días de un ambiente interesante para demostrar la explotación de la tecnología, el software de inventiva, soluciones de hardware, y las discusiones abiertas de temas críticos de INFOSEC o seguridad de la información.

Más información en el sitio Web oficial: http://www.shmoocon.org/

En marzo podríamos ir a Europa al RootedCON y el Blackhat.

RootedCON - España

Nombre: RootedCON

Fecha: del 1 Marzo al 3

Lugar: Madrid, España.

Descripción: Es un congreso cuyo objetivo promover el conocimiento técnico y asegurarsen de que, en todo momento, haya diversión y se disfrute en un ambiente de animación e intercambio, en la edición del 2010 se liberaron varios “0day”, se presentaron primicias de herramientas tales como FOCA, EMET, Radare2…

Entre los temas que se han tratado se encuentran: reversing, técnicas de intrusión, forense, terminales móviles, seguridad en SCADA, 0days en Oracle y NO-SQL, cómo montar una botnet, canales encubiertos, redes, comics, cibersexo, ataques a smartcards y el funcionamiento del DNI-e, cracking de contraseñas, programación de virus…

Más información en: http://www.rootedcon.es/index.php/sobre-rootedcon/

luego nos vamos para al Blackhat en Holanda.

Nombre: Blackhat Europa

Fecha: del 14 de Marzo al 16

Lugar: Amsterdam, Holanda.

Descripción: Es una de las más grandes e importantes conferencias de seguridad en el mundo, objetivo central es reunir a las mejores mentes para encontrar líderes apasionados en el campo de la seguridad de la información y compartir sus conocimientos de forma práctica.

Más información en la web oficial del evento: http://www.blackhat.com/

Luego nos vamos para CentroAmerica donde los manitos (charritos)!

Nombre: GuadalajaraCON

Fecha: 20 y 21 de abril

Lugar: México

Descripción: Este año se llevó a cabo los días 20 y 21 de abril del 2012 en el Centro Universitario de Ciencias Exactas e Ingenierías (CUCEI) de la Universidad de Guadalajara.

La entrada al evento, conferencias, pláticas y la participación en los retos fue totalmente gratuita. El único detalle es que como el cupo fue limitado, entonces los asistentes debían registrarse.

Más información en la web oficial del evento: http://www.guadalajaracon.org

Luego nos devolvemos para Europa Central para aguantar frió en Polonia.

Nombre: CONFIdence

Fecha: 23 y 24 de Mayo

Lugar: Krakow, Polonia.

Descripción: es uno de los puntos de encuentro de la comunidad hacker en Europa y no sólo ofrecen los mejores oradores (speakers), temas de actualidad y cursos de formación superior, pero (aún más importante) grandes fiestas, concursos interesantes, locos eventos sociales y un tiempo y espacio para cumplir con miembros de la comunidad cara a cara, hablar, beber, entre otras…

La primer CONFIdence se organizó en 2005 como un proyecto creado por un grupo de entusiastas polacos que se comprometieron a mejorar la seguridad de las aplicaciones informáticas. Desde esos primeros años se ha convertido en la mayor reunión de hackers en Polonia que cada año reúne a casi 500 participantes: profesionales de TI de seguridad del gobierno, la industria del sector bancario, y el mundo académico, así como investigadores y desarrolladores de software.

Para más información en la Web principal: http://2012.confidence.org.pl/

y como nos quedo gustando el frió por que hay con quien darnos calorsito, entonces nos vamos para Canada.

Nombre: RECON Conference

Fecha: del 14 al 16 junio

Lugar: Montreal, Canadá.

Es una conferencia de seguridad informática que se celebra anualmente en Montreal, Canadá. Ofrece presentaciones en el lapso de tres días con un enfoque en la ingeniería inversa y técnicas avanzadas de explotación.

La cuota de inscripción incluye un pase de acceso a la conferencia, así como el desayuno, el almuerzo y coffee break para los tres días de la conferencia. Impuestos de ventas provinciales y federales, se aplicará a todos los derechos de inscripción. Todos los derechos de inscripción se pagarán en dólares canadienses (CAD).

Para este año se venderán un total de 300 entradas.

Mayor información en el sitio Web oficial: http://www.recon.cx/2012/conference.html

Pero para evitar resfriados, mejor cojamos para la isla de Hawaí en USA que tiene un clima más tropical.

SHAKACON-Hawaii

Nombre: SHAKACON

Fecha: 18, 19, 20 y 21 de Junio

Lugar: Neal Blaisdell Center Hawaii Suites

Descripción: Conferencia donde hay entrenamientos, conferencias, CFP (Call for Papers), entre otros.

Pueden ver la agenda para este año desde la pagina oficial: http://shakacon.org/Shakacon%20IV%20Agenda%20-%20Attendees.pdf

Continuamos nuestra gira alrededor del mundo con el blackhat en Estados Unidos (USA).

Nombre: Blackhat USA

Fecha: del 21 de Julio al 26

Lugar: Las Vegas, Estados Unidos.

Algunos de los expositores (speakers) de este año en USA:

Blackhat también ofrece entrenamientos de alta intensidad de varios días, las sesiones de entrenamiento son proporcionados por algunos de los expertos más respetados en el mundo y muchos de ellos también ofrecen certificaciones oficiales a los asistentes.

Y estando en Estados Unidos, nos quedamos de una vez en el DEFCON!

Nombre: DEFCON

Fecha: del 26 de Julio al 29

Lugar: Rio las Vegas, Estados Unidos

Es una de las más antiguas de las convenciones de hackers continuos que nos rodean, y también uno de los más grandes, se trata de una reunión anual, donde expertos de seguridad de todo el mundo, exponen sus nuevos trabajos, investigaciones y descubrimientos.

Entre los asistentes a  DEFCON se incluyen profesionales de seguridad informática, periodistas, abogados, empleados del gobierno federal, y hackers con un interés general en el código informático y arquitectura de computadores. El evento consta de varias pistas sobre el equipo de oradores y temas relacionados con la piratería, así como los acontecimientos sociales y concursos en todo, desde la creación de la más larga de conexión Wi-Fi y agrietamiento sistemas informáticos.

Entre las actividades incluyen lockpicking, concursos de robótica relacionada con el arte, el lema, las guerras de café, juego de búsqueda y captura de la bandera (Capture the Flag CTF) es quizás el más conocido de estos concursos.

Por medio del siguiente video (documental) pueden conocer un poco más acerca de este evento, que es una de las más grande del mundo.

Esta es la web oficial:  http://www.defcon.org/

Seguimos nuestro recorrido (puebliando) por el mundo en Italia.

Nombre: SECURECOMM – Conferencia Internacional sobre Seguridad y Privacidad en Redes de Comunicación.

Fecha: del  3 a 5 septiembre

Lugar: Padua, Italia.

Se trata de un  foro de liderazgo internacional que cubre todos los aspectos de seguridad de las comunicaciones y redes. El objetivo de SecureComm es reunir a expertos de seguridad y privacidad en el mundo académico, la industria y gobierno, así como los profesionales, el desarrollo de normas y los responsables políticos, con el fin de participar en un debate acerca de las metas comunes y explorar las direcciones importantes de investigación en el campo. SecureComm también sirve como un lugar para aprender sobre el estado de la técnica en la investigación de seguridad y privacidad, dando a los asistentes la oportunidad de establecer contactos con expertos en la materia.

Los temas de interés abarcan los avances de investigación en todas las áreas de seguridad de las comunicaciones y redes.

Pueden encontrar más información en http://securecomm.org/

Che’  luego nos vamos pa’ Argentina.

Nombre: Ekoparty Security Conference

Fecha: del 19 al 21 de Septiembre

Lugar: Buenos Aires, Argentina

Es un evento anual  que se celebra en Buenos Aires, Argentina, es el más importante de Latinoamérica, además de poseer relevancia internacional y contar con una amplia audiencia técnica especializada, la ekoparty ofrece entrenamientos, con los profesionales más reconocidos del mercado, actividades paralelas y desafíos.

Este año se realizará la 8° edición.

Entre las actividades que se ofrecen se encuentran:

         Desafío de Lockpicing

         Wardriving en Buenos Aires

         Wargames;

         Zona de relax;

         Exposición y actividades relacionadas con el arte digital

         Tiempo para GetTogether

         Promoción de la red Social

Más información en la web oficial: http://www.ekoparty.org/

Después de Argentina, podemos decidir hacer un viaje largo, para Australia.

RuxCon-Australia

Nombre: RuxCon

Fecha: 20 y 21 de octubre (en la misma fecha en que se celebra la conferencia H2HC en Brasil)

Lugar: Melbourne, Australia

Descripción: Ruxcon es una conferencia de seguridad informática que pretende reunir a los mejores y más brillantes talentos de la seguridad en la región Aus-Pacífico. La conferencia es una mezcla de presentaciones en vivo, actividades y demostraciones presentadas por los expertos en seguridad de la región de Aus-Pacífico e invitados de todo el mundo. Ruxcon es ampliamente considerado como una conferencia de seguridad informática que lleva dentro de Australia atrae a todas las facetas del panorama de la seguridad de la industria, académicos, a los aficionados.

Más información en la Web oficial: http://www.ruxcon.org.au/

Finalmente, terminamos nuestro recorrido en Alemania, en una de las conferencias de Hackers más antiguas que existen.

Nombre: Chaos Communication Congress (CCC)

Fecha: del 27 al 30 de Diciembre

Lugar: Berlin, Alemania.

Descripción: El Congreso ofrece conferencias y talleres sobre una multitud de temas y atrae a un público diverso de miles de piratas informáticos, científicos, artistas, y los utopistas de todo el mundo.

Este año se celebra la edición #28.

Para más información en la Web oficial: http://events.ccc.de/congress/

Listo, después de este recorrido, podemos volver a Colombia a pasar el fin de año con la familia. 🙂

Sí esta interesado en conocer más conferencias internacionales, puedes ver este artículo publicado en el Wiki del proyecto colaborativo de entrenamiento en Seguridad Informática: Sec-Track.

http://www.sec-track.com/listado-de-conferencias-de-seguridad-informatica

o ver el ranking y las estadísticas de otras conferencias de seguridad pero con un enfoque distinto.

http://faculty.cs.tamu.edu/guofei/sec_conf_stat.htm

¿Están interesantes las conferencias y lugares como para irse a conocer el mundo?

¿Conoces otra conferencia internacional importante, cual nos recomiendas?

 

Agradecimientos:

Milena García (Autora de la consulta y futura especialista tecnológica de seguridad en redes de computadores)

Fernando Quintero (Consultor e instructor de Networking  & seguridad de la información)

By @JOGAcrack.

Segundo BarCamp Security Edition en Colombia #BARCAMP_SE


Hola a tod@s,

Les informo que la fecha definida para realizar el segundo #BarCamp_SE es el próximo Sábado 10 de Diciembre del presente año apartir de las 9 am, en las siguientes cuidades de Colombia: Medellín, Bogota, Cali, Pereira, Cartagena, Barranquilla y Pasto.

Recordemos que el primer evento se llevó a cabo con éxito el  4 de Diciembre del año pasado y el cual anuncie oportunamente en este post  anterior del blog; En esta ocasión no habia avisado aun, principalmente por que faltaba confirmar el lugar del evento en #Medellín. 🙂

barcampSE

barcampSE

Pero ¿Que es el BarCampSE? El #BarCampSe, es un evento que además se caracteriza porque todas las charlas giran alrededor de la seguridad informática (@BarCamp_Se), y cuenta con otro elemento adicional, y es la realización de un WarCamp (@WarCamp), un reto de seguridad informática, en donde se miden las destrezas de los participantes.

¿Y en que lugares va ser este año?

  • Bogotá
  • Calle 17 No 2-51 La Redada
  • http://hackbo.co/home/la-redadaEl día del evento debe llevar impreso el ticket, que le genera la inscripción, en donde aparece su nombre y apellido con su respectivo codigo de barras y numero de Id. asignado.
  • Pereira

Auditorio Parquesoft Pereira
Carrera 31 # 15-87 CDV Barrio San Luis
Parqueadero gratis
Entrada libre, a partir de la 1pm.

  • Medellín

Biblioteca EPM
http://www2.epm.com.co/bibliotecaepm/
Cra. 54 N° 44 – 48 Plaza de Cisneros
Auditorio #2

  • Pasto Por confirmar lugar
  • Barranquilla

Restaurante Rooter’s Calle 84 entre 43b y 44. Para mas información hacer click aqui

  • Cali

Bar Dinner’s
Transv 25 No. D24B-29 (a 5 cuadras de Comfandi el Prado por la Troncal de Aguablanca).

Interesante, entonces ¿Donde me puedo inscribir?

Las inscripciones para asistir al BarCampSE aún están abiertas y solo debes diligenciar el formulario según la cuidad en donde vas asistir:

  • BOGOTA

Para la ciudad de Bogotá puede hacerlo aquí  (Inscribase si su ASISTENCIA ES 100% SEGURA).

  • BARRANQUILLA

Para la ciudad de Barranquilla, puede hacerlo aquí  (Inscribase si su ASISTENCIA ES 100% SEGURA) Cupos Limitados. Maximo 45.

  • Pereira

Para la ciudad de Pereira, puede hacerlo aquí.

  • MEDELLIN, PASTO Y CALI

Para el resto de las ciudades puede usar este formulario: Quiero inscribirme al BarCamp Security Edition.

NOTA: Para Medellín, cupos limitados son 80.

¿Cuales son las tematicas del evento? Las temáticas de las desconferencias deben procurar ser innovadoras, relacionadas con seguridad informática, legislación informática, seguridad en la nube, seguridad inalámbrica, computación forense, explotación de vulnerabilidades y cualquier otro eje temático relacionado con estos temas.

¿Cuales son los Premios?
Los premios son segun la cuidad y la concertación con los patrocinadores, por ejemplo para #Medellín, uno de los organizadores (@nonroot,) ya publico un sorteo de una ancheta Geek y un portatíl para le ganador del #WarCamp.

NOTA: “en el lejano caso que ningún participante sume un total de 500 puntos o mas, el premio quedará desierto abriendo inmediatamente la competencia a todas las personas a nivel nacional que quieran competir”

Sitios con información oficial del evento:

http://barcampse.org

http://barcamp.org/BarCampSE

Notas de Prensa:

Lean la nota de prensa realizada por @caracolradio, el día 21 de Noviembre de 2011 aqui

Escuchen el Audio, realizado por @caracolradio, el día 21 de Noviembre de 2011 aqui

Espero aprovechen este evento para utilizar los conocimientos adquiridos con ética profesional, conocer contactos del área de interés  y generar más conciencia sobre la seguridad de la información!

By  @JOGAcrack.

Oracle ha publicado una actualización para Java SE


Hola a tod@s,

Les informo que a partir del momento voy a publicar avisos de seguridad sobre nuevas vulnerabilidades o actualizaciones de aplicaciones criticas para una empresa o en el Hogar.

Espero les sirva mucho, sobretodo a las personas que deben estar velando por la seguridad de la información en su empresa o por gusto propio.

Titulo: Oracle ha publicado una actualización para Java SE

Descripción: Oracle ha publicado una actualización crítica para Java que soluciona 17 vulnerabilidades, 9 de ellas críticas, que afectan tanto a aplicaciones cliente como servidor.

Solución:

  • Los desarrolladores deben instalar la última versión de Java SE.
  • Los usuarios de Java, deben instalar la última versión del JRE.
  • Los usuarios de Windows pueden aprovechar la actualización automática de Java para obtener la última versión.

Referencias:

Fuente: INTECO-CERT.