Un address bar spoofing de libro en Twitter para iPhone

Me sorprende haber leído tan poco sobre este tema, así que voy a dedicarle una entrada, porque es uno de los trucos más usado para robar las cuentas de Twitter a los usuarios menos avisados en la red social de los 140 caracteres, y que fue uno de los 10 ejemplos que os conté en "10 formas de robarle la agenda de contactos a Pipi"

Address Bar Spoofing es una vulnerabilidad tipificada que se produce cuando la visualización de una página web oculta la dirección URL de donde está, abriéndose la ventana a los ataques de phishing. Esto es así porque el usuario que visualiza la página no tiene forma de averiguar si está en el sitio real o no y es fácil para los atacantes solicitar credenciales de sitios en los que confía la víctima.

En los navegadores hemos visto a lo lardo de la historia miles de casos de malware que superponían una imagen sobre la barra, o abrían un iframe a pantalla completa pintando una barra que simulaba ser de un banco, etcétera. De hecho, en iOS para iPhone tuvimos una vulnerabilidad de address bar spoofing que dio mucho que hablar, y en la versión iOS 5.1 apareció otra en Apple Mobile Safari para iOS que fue parcheada en el iOS 5.1.1.

Figura 1: Address Bar Spoofing en Apple Mobile Safari para iOS 5.1

Es por esto que me llama la atención que en Twitter para iPhone, cuando se muestra el contenido enviado en un enlace acortado, la forma natural de hacerlo sea ocultando la barra de navegación, dejando como única referencia visual una porción pequeña del título.

Figura 2: Visualización de una web en Twitter para iOS

En cualquier ataque de robo de cuentas es una tentación aprovecharse de esta debilidad. Para un atacante es tan sencillo como crear una supuesta página de login de Gmail, Twitter, Facebook, o lo que sea, y enviar un enlace a la víctima diciendo algo como: "Flipa lo que han publicado en Facebook", o ·"Revista este tweet que te están poniendo fino filipino".

Cuando la víctima pulsa en el enlace dentro de Twitter para iPhone, el atacante va a mostrar una supuesta página de inicio de sesión en Twitter o Facebook para engañar al usuario, que gracias a este diseño propenso al address bar spoofing va a hacer que sea mucho más común que la víctima pique y acabe introduciendo las credenciales.

Figura 3: Abre el link en Safari o envíalo por e-mail para ver la URL

Curiosamente, en Twitter para iPad, debido a que el diseño es más espacioso, es posible ver la dirección en la que se está al abrir un enlace justo debajo del título. ¿No debería haber algo para verlo también en Twitter para iPhone? Para ver el enlace real, una de las formas es seleccionar la opción de enviar por correo y ver el link completo en el mensaje de e-mail.

Saludos Malignos!

Actualización: En la siguiente versión de Twitter para iPhone se ha arreglado este bug, tal y como puede verse en este artículo "Twitter para iPhone arregló el bug de Address Bar Spoofing".

Amenazas en Internet en 2011: 403 Millones de malware

Symantec ha publicado el Internet Security Threat Report 17, con el resumen de lo que ellos han visto relativo a la seguridad informática durante el año 2011. Este informe es muy similar a los Security Intelligence Report que realiza Microsoft, y siempre arrojan datos curiosos. El documento, que puede ser descargado desde este enlacen en su versión resumida [ISTR 17], trae algunos datos que llaman la atención, y otros que son ya bastante conocidos y asumidos.

Por supuesto, en primer lugar hay que recordar lo que ya sabemos y no hay que olvidar, pero que recalcan en el informe como que el spam farmaceutico sigue siendo el campeón, como que el malware sigue creciendo, que los Mac OS X están en la línea de fuego, que los dispositivos móviles son objetivo atacado ya, que en las infraestructuras críticas se han descubierto vulnerabilidades críticas, o que el número de bugs descubiertos, bajó un poco, pero sigue siendo muy alto.

Figura 1: Número de bugs por año

Por supuesto, la industria del malware y el fraude online sigue siendo el gran motor de esta industria, y el número de copias únicas de malware se ha disparado, pasando según el informe de 286 Millones de variantes de malware en 2010 a 403 Millones de copias únicas de malware, lo que no es moco de pavo. Estas copias, casi todas, se distribuyen vía infecciones de sitios web, utilizando kits de explotación, tipo Black Hole - que a día de hoy es el preferido de tu amigo el criminal - y se crean usando herramientas automatizadas, para al final conseguir infectar a las víctimas a través de sitios web infectados.

Curiosamente, los sitios más peligrosos no son los pornográficos, como muchos podrían pensar por una antigua creencia, sino que los blogs y webs personales son lo más vulnerado. Recordad que en los ataques automatizados de sitios web, se pueden llevar por delante hasta webs de renombre, como la de la propia Apple.

Figura 2: Sitios más peligrosos para navegar por ellos

Como reflexión curiosa, y extraída del propio informe: Los sitios religiosos o ideológicos son el triple de peligrosos que los sitios pornográficos, algo que seguro que alguno saca una sonrisa por lo irónico de la metáfora.

Figura 3: Religión, Porno y Malware

Como último punto a destacar del informe, antes de que os pongáis con su lectura, os dejo esta cuenta de vulnerabilidades por navegadores en 2011, en la que se puede ver cuál ha sido el que más fallos de seguridad ha tenido durante el año pasado, y que como queda claro fue: Apple Safari.

Figura 4: Vulnerabilidades en 2010 y 2011

Detrás de Apple Safari quedaron Mozilla Firefox y Google Chrome, dejando a Internet Explorer en la cuarta posición en número de bugs.

Saludos Malignos!

La huella digital de tu conexión

Se ha hablado mucho ya en el pasado del Proyecto Panopticlick de la Electronic Frontier Foundation, que trata de identificar de forma única un navegador entre un mar de usuarios conectándose a Internet pero yo quería dedicarle una entrada hoy para introduciros en el proyecto Japi Tracing que han hecho mis alumnos del Master de Seguridad de la UEM para “tracear usuarios al estilo Google”. Vayamos al tema.

Huella digital de la conexión

Un navegador, en pro de la usabilidad máxima de un interfaz de usuario web, permite que por medio de JavaScript, Java, Flash y un montón de plugins, se acceda a información del navegador aparentemente inofensiva, como son la resolución de la pantalla, el valor del campo User-Agent, el idioma del sistema operativo, si acepta o no acepta cookies, las fuentes cargadas en el sistema o los plugins activados en el navegador. Todos estos valores, de por sí, no ofertan información sensible aparente para la seguridad y la privacidad del usuario... pero.... ¿es esto así?

Lo curioso de esto es que, algo tan tonto como las fuentes del sistema se ve afectado por el software que está instalado en el equipo, es decir, que conociendo determinadas fuentes se puede conocer qué programa o programas se han instalado en el equipo. Sin embargo, eso no es lo importante en este caso, sino que dos equipos gemelos, dependiendo de qué programas hayan instalado van a terminar con un conjunto de fuentes distintas, que los diferenciarán uno del otro.

Así, en el Proyecto Panopticlick se identifica, siguiendo unas métricas, cuál es la probabilidad de que otro equipo tenga las mismas fuentes activas en una conexión del navegador. En mi caso, 1 de cada 125.609 equipos tienen las mismas fuentes que yo. Teniendo en cuenta el idioma de mi sistema operativo, la versión, la resolución, el valor de User-Agent, si tengo activadas las cookies y la región geográfica desde la que me conecto, esta información me hace prácticamente único en España.

Luego, esos datos conforman la huella digital de mi conexión en un instante de tiempo. Es cierto que mi huella digital puede cambiar a medida que se instala nuevo software o se cambia la configuración del sistema, y que un usuario puede contar con varias huellas digitales de conexión si utiliza varios navegadores, pero aún así, el abanico de huellas puede ser muy reducido y lentamente cambiante.

¿Qué navegador me hace más traceable?

Yo he hecho el test con tres navegadores distintos, y el que me hace más “unico” y por tanto más traceable es Apple Safari, que me obtiene que solo 1 de cada 1.758.530 equipos tienen la misma configuración que yo. Es decir, que aquí en España, que somos unos 30 millones de navegantes, solo hay unas aproximadamente 20 personas como yo que tienen mi misma huella digital de conexión cuando me conecto con Safari. Pocas, pocas.

Figura 1: 1 entre 879.263 con Chrome

Figura 2: 1 entre 1.758.528 con Firefox

Figura 3: 1 entre 1.758.530 con Safari

Volviéndonos paranoicos

Ahora, hagámoslo más fácil para el “vigilante”. Supongamos que tenemos una cuenta de... no sé, Google, Facebook o WindowsLiveMail y que nos hayamos conectado a ella desde nuestro equipo habitual, con nuestro navegador habitual... y que estos servicios guardan en los logs de conexión nuestras huellas digitales de conexión.

En este hipotético caso, existiría un "registro de huellas digitales de conexión” asociadas a nuestro perfil. Si ahora nos desconectamos de nuestra cuenta y nos conectamos a otro sitio que ha recogido estos datos con un simple javascript (como los muchos que cargan todas las webs de hoy en día), ¿podría saberse quién fue el que se conectó? Pues, evidentemente, si se cruza esa huella de conexión digital con la base de datos de usuarios y huellas se podría llegar a saber.

Ahora imaginate una película de ciencia ficción

Si alguien tiene monitorizados los logs de “huellas de conexión” podría estar buscando la huella de un usuario en concreto, saber desde qué dirección IP se ha conectado, llamar al ISP y obtener la ubicación GPS de esa dirección en minutos y...¿apuntar los satélites a esa zona geográfica?

Desde que se conocen este tipo de sistemas, Javascript y los plugins de lo que sea, se han hecho muy poco amigos de los amantes de la privacidad de los usuarios, pero... ¿Se puede vivir sin javascript y sin plugins? Pues en un porcentaje pequeño de sitios sí que se puede vivir y la funcionalidad permanece intacta, pero en otro montón de sitios no se puede, incluidos sitios de la administración pública – yo me quejo de la Española – donde deberían estar mucho más restringidos – y fomentan que los usuarios habiliten javascript y los plugins, aumentando la facilidad de encontrar usuarios voluntariosos de dar información de su huella digital de conexión.

Prueba tu huella, y comprueba cuánto de traceable eres a partir de tus diferentes navegadores, y recuerda, si haces algo malo... puede que te incrimine tu huella digital, así que revisa tus procesos de anonimato.

Saludos Malignos!

Los mensajes de Apple en seguridad insultan la inteligencia

Cuanto más conozco de Apple, más me me gusta el hardware y menos sus mensajes de marketing. Podría decirse que he aprendido a reconocerle a Steve Jobs la fuerza con que transmite sus ideas y las defiende y, por supuesto, como revoluciona la tecnología, una y otra vez, y todas esas cosas de las que no voy a hablar porque ya lo hacen otros.

Sin embargo, cuando más conozco y estudio el software de Apple, más de coña, ridiculos e ignorantes me parecen sus mensajes de seguridad. Cuando se ponen mensajes de seguridad en los que directamente se engaña o se ridiculizan las amenazas, me parece hasta insultante. Basta con ir a la página de seguridad de Snow Leopard y leer los siguientes panfletos:

Virus (y del resto de malware me hago mus)


Empieza la página con la primera perla: "No se infecta de los virus de PC". Es bueno saberlo. Me pregunto si se infectará de los virus de Mac OS X o es de los de Linux de los que se infecta. Sí, es cierto que tradicionalmente no ha habido malware para Mac OS, pero decir que no se infecta hoy en día, es de broma. Hay troyanos como Hellraiser, hay gusanos como Koobface o Boonana, hay Rats viniendo (Blackhole RAT, DarkCometX), botnets, y en Jnanabot, que era multiplataforma, con más máquinas Mac OS infectadas que Windows Vista/7.

Que tiene DEP y ASLR (o casi)


Sí, quizá tengas que leer este párrafo dos veces para entender lo que está explicando, pero viene a decir que en Snow Leopard metieron ASLR, aunque como dicen Dino Dai Zovi y Charlie Miller, habrá que esperar a ver si con Lion llegan a tener un ASLR como el de Windows Vista.

La seguridad es peor en 32 bits


No entendía bien este parrafo...¿por qué es más seguro en 64 bits? o lo que es lo mismo... ¿por qué es peor en 32 bits? La respuesta es sencilla DEP solo lo tienen implantado en 32 bits.

Alertas de Seguridad


No tenemos alertas molestas, decían en otra parte, pero te pondremos una alerta cuando tengas que estar alerta. Y en esa alerta, deberás tener cuidado con donde haces clic, pero para eso te damos toda la información en la alerta. En definitiva, tiene alertas de seguridad, como todo el mundo. Y algunas peor, como la de la descarga de los ejecutables en Safari.

Tienen Windows Apple Update, porque tienen fallos de seguridad


Como todo el mundo, por desgracia, si pensabas que solo tenías que actualizar el windows, lo llevas clarinete. Además, no hay planificación fija, solo "más o menos", para las actualizaciones. Sí, tendrás que preocuparte de tener tu software al día. Y sí, también meten el cuezo en las actualizaciones una y otra vez. Y si no te las dan... a callar.

Tiene firewall y cifrado (solo de tu carpeta)


Esta es otra buena, tiene un firewall fácil de configurar, lo dificil es saber qué reglas son las que hay que configurar, pero no te preocupes, que te avisarán con una alerta. Y respecto al cifrado, sí, tienen cifrado, pero sólo de tu carpeta de inicio. Parece que no será hasta Lion cuando haya un cifrado completo de disco. Sólo unos años después que Windows.

Con Mac OS X usar Internet es seguro (si no usa Safari)


La taxatividad de esa frase de usar Internet es seguro es lo más atrevido que he visto en mucho tiempo. Lo de que te owneen la máquina con visitar una página web tal y como demostró Nico Waisman en su artículo de Canvas, o como ha hecho la gente de VUPEN, o como hacen los kits de exploits que cuentan con Mac OS X, está al orden del día, pero no, con Mac OS X es seguro, porque tienen SSL y un asistente de contraseñas... en fin.

Mejor no sepas

Esta última es lo más grande. No tienes que preocuparte, porque si te preocupas y descubres que todo lo que pone antes no es verdad, entonces si que estarás muy preocupado cuando navegues con Mac OS X y Safari por Internet.


Saludos Malignos!

Camuflar un troyano como un vídeo en Apple Safari 5.0.4

Una de las características principales en las que los navegadores tienen que hacer foco es en la protecciones contra las técnicas de ingeniería social. Muchos han sido los trucos utilizados por atacantes para engañar al usuario y hacerle creer que estaba descargando un fichero, viendo una web o haciendo clic en una opción, cuando realmente estaba siendo engañado.

Como tuve algo de tiempo en Buenos Aires, quise probar como andaban las nuevas versiones de los navegadores contra un truco sencillo de ingeniería social. En esta ocasión es Apple Safari 5.0.4, es decir, la última versión publicada, la que cae en un engaño muy tonto a la hora de mostrar el nombre del fichero que le está descargando al usuario.

Supongamos que una web maliciosa decide mostrar un link a un supuesto vídeo de Paris Hilton haciendo sus cosas con sus amigos en uno de sus hoteles. Si el usuario de la web, ávido de conocimiento y ganas de descargar el archivo, hace clic en el fichero para que se descargue, el navegador mostrará el nombre del fichero a descargar y la opción a aplicar una vez descargado, es decir, abrir, ejecutar, guardar, etcétera.

Uno de los trucos más utilizados a lo largo de la historia ha sido el de la doble extensión. El usuario cree que está descargando un archivo .avi, pero realmente es un .avi.exe, es decir. Un fichero ejecutable.

Las últimas versiones de los navegadores de Internet Explorer, Google Chrome, Firefox u Opera, tienen especial cuidado contra este tipo de trucos, así, tienen mucho cuidado de mostrar la extensión del fichero a la hora de enseñarle al usuario el cuadro de diálogo.

Internet Explorer y Google Chrome, separan la extensión y siempre la ponen al final del archivo. En el supuesto caso de que el fichero tenga un nombre muy largo, los navegadores mostrarán la primera parte del nombre del archivo y la extensión. Firefox muestra de la extensión hacia atrás lo que entre y Opera selecciona parte del principio del nombre, y parte del final con la extensión.


Figura 1: Visualización en Opera


Figura 2: Visualización en Internet Explorer 9


Figura 3: Visualización en Google Chrome
Sin embargo, Apple Safari 5.0.4 no hace eso, basta con solicitar la descarga de un fichero con un tamaño fijo de caracterectes, tal y como se ve a continuación, para que la auténtica extensión del fichero quede sustituida por unos sutiles puntos suspensivos.


Figura 4: Troyano con doble extensión simulando ser .avi


Figura 5: Visualización del troyano en Apple Safari 5.0.4
Si el usuario no presta atención a los puntos suspensivos y da al botón de ejecutar, pensando que se le va a reproducir el tan ansiado vídeo, lo que va a obtener, por el contrario, es la ejecución de un troyano. Sencillo, pero funcional y peligroso.

Saludos Malignos!

De bucaneros, corsarios y piratas

He de confesar que los barcos me gustan los justo y poco más. Tiempo ha, cuando el miedo a lo desconocido y las alturas me llevaban a temer volar en pájaros de hierro, siempre pensé que cruzaría el charco montado en un Titanic – maldígase la elección de ejemplo – antes que subir a una de esas cosas de metal que retan a las leyes de la física y a las de la esperanza en caso de fallo, ya que no llevan paracaídas para todos.

Sin embargo, las películas de barcos, y aún más, las historias noveladas alrededor los buques de guerra, los enormes galeones o bergantines, atestados de piojosos militares enrolados a la fuerza tras una mala noche de alcohol o ávidos de oro y saqueos, me mantienen en vilo y nervioso mientras intento ser capaz de entender toda la terminología de piezas y archiperres que conforman la difícil germanía náutica.

Aprovechando un forzoso parón médico he aprovechado para bucear entre los libros de mi biblioteca, aún de oloroso papel, para rescatar del naufragio un libro con el que me obsequiaron unas navidades atrás, en el que D. Arturo Pérez Reverte recoge un misterio de los de tomo y lomo, con su asesino en serie, su oscuro y crudo policía, los gabachos de los obuses y vigía de la imperial napoleónica, en el asedio de uno de los puertos más famosos en la historia hispánica. El puerto de Cádiz, y nada más y nada menos, que a un año de que se proclame la Pepa.

Y en mitad del misterio, plagado de virus y con el tiempo más escaso que el presupuesto español en innovación tecnológica, me encuentro en medio de una nueva e inminente batalla naval. La guerra de los browers que tenemos en ciernes, y de la que ya se han soltado los primeros tiros, aunque de momento no se ha dado barra libre a la Santa Bárbara, y solo se han lanzado las primeras hostilidades desde pequeños falconetes.

Es una batalla con reminiscencias, ya que la guerra comenzó tiempo largo ha y no ha hecho nada más que vivir etapas de latencia, pero nada por el estilo a una posible tregua indefinida.

Hoy, día 14 de Marzo, Microsoft presenta la versión final de Internet Explorer 9, dispuesta a demostrarse digna sucesora de IE8 que se lanzó 2 años atrás, que puso los listones altos en la parte de seguridad. Con la nueva versión de IE9 acompañan múltiples funcionalidades nuevas, como los Tracking Protection Lists, el Download Reputation Filter, o el resto de pequeñas opciones de mejora.

Por su parte Google Chrome, que ha tomado carrerilla en la creación de versiones estables – ya va por la 10 en mi equipo – está poniéndose las pilas a la hora de acumular plugins y desarrolladores para tener lo que el usuario necesite en cuanto a funcionalidades. Respecto a seguridad, el producto sigue basándose en chromium y webkit y con resultados dispares. Sigue sin un filtro AntiXSS por defecto, enviando URLs y sufriendo las actualizaciones de las muchas vulnerabilidades de Webkit, que ya la versión 9, con un ciclo de vida cortisimo, tuvo 58 vulnerabilidades.

En la última Pwn2Own de la CanSecWest, Google Chrome, quedó sin ser explotado como sucediera el año pasado, y es que el truco de actualizar el navegador el día antes de que se paralicen las versiones de software les ha salido bien, aunque la vulnerabilidad encontrada en Blackberry afecta igualmente a Google Chrome, solo que el exploiter que la encontró estaba centrado en Blackberry y no en Chrome. Así que, aunque se encontró una vulnerabilidad explotable – que Google Chrome ha corrido a parchear inmediatamente – según las reglas quedó sin pwnear.

Además, Google Chrome está trabajando la parte de administración usando políticas, pudiendo hasta eliminar ya las actualizaciones automáticas para que sean manuales. Habrá que ver si podemos eliminar también en el futuro la opción de enviar las URLs de navegación.

Por su parte Mozilla prepara la nueva versión de su navegador, para intentar defender su segunda posición en el mercado de la navegación que cada día cuesta más defender por lo pujante de Chrome y Safari.

Safari sigue siendo "esa herramienta que Apple trae para que hagan jailbreak" en los dispositivos. En la última actualización, la 5.0.4 solucionó más de 60 vulnerabilidades. Soluciones que se aplicaron en Apple iOS 4.3 pero que dejan a los usuarios de iPhone 3G sin parche, creando un aluvión de críticas que han llevado incluso a que Apple bannee los mensajes en los foros oficiales. Gracias a una vulnerabilidad de Apple Safari, los productos Apple volvieron a ser hackeados en primer lugar, como en todas las ediciones de Pwn2Own.

Por supuesto, la guerra de los navegadores no va a terminar aquí, todo anda enfangado con los estándares HTML 5 y el cumplimiento o no por parte de ellos según la W3C, la inclusión o no de codecs abiertos o con copyright y, por supuesto, el rendimiento y la aceleración gráfica. Va a ser una temporada de batallas al más puro estilo de los grandes veleros, y yo me lo voy a pasar pirata por ahí en medio.

Saludos Malignos!

Don´t touch my porn

He de decir que me saqué la cuenta de twitter sin demasiado convencimiento, pero hoy en día la uso para enterarme de mucha cosas. Y por un twitt de un amigo llegué a este curioso estudio sobre lo qué Internet sabe sobre ti.

El estudio intenta conocer la historia de los navegantes por medio de un algoritmo de fuerza bruta. La idea que subyace se publicó hace mucho tiempo y tiene su origen en que los navegadores muestran en diferente color los links ya visitados. Los creadores de la web, ya sea por medio de Javascript o por CSS pueden, con estas sencillas piezas de código, saber si un link se ha visitado o no.

Si Javascript está activado, se crea primero el estilo para links visitado.


Figura 1: Configuración del estilo
Y después se crea el array de sitios que se quiere saber si han sido visitados o no. Cada uno de esos sitios se convierte en un hipervínculo para, posteriormente, comprobar el color que tiene asociado ese enlace. Si coincide con el color del estilo de link visitado entonces se sabrá que desde ese navegador ha sido visitado ese link.


Figura 2: Scaneo Javascript
Por el contrario, si Javascript está desactivado, basta con crear una imagen de fondo para cada hipervínculo si este se ha visitado en la definición de la plantilla CSS. Cuando se haya visitado el link el navegador solicitará la imagen. Recogiendo las solicitudes es posible conocer las URLs visitadas.


Figura 3: Configuración estilo imagen de fondo en links visitados
Al final el sistema necesita hacerlo por fuerza bruta, es decir, deben darse los links necesarios para comprobarlos desde la aplicación que mira el historial. Esto quiere decir que si alguien ha visitado una URL que no está siendo comprobado, no se podrá saber con este método.

Para hacer el estudio tomaron el top 5.000 de Alexa de los sitios con más tráfico, para ver si podían descubrir los datos de navegación de los usuarios. La pregunta es, ¿Cuántos sitios se pueden comprobar por minuto?


Figura 4: Sitios escaneables por segundo con los dos métodos
El estudio de rendimiento se hizo con Internet Explorer 8.0, Mozilla Firefox 3.6, Safari 4, Chrome 4, y Opera 10.5 en Windows 7 usando un Intel Core 2 Quad Q8200 CPU con 6GB de RAM.

Como se puede ver, en poco tiempo se pueden comprobar muchos links del historial de un navegante aunque, si bien es cierto, es necesario contar con la transmisión de los datos por red.

¿Qué se puede hacer con esto?

Supongo que se os podrán ocurrir mil cosas que hacer con esto, o mil situaciones en las que alguien podría estar interesado en el historial vuestro. Desde sistemas de identificación de potenciales psicópatas que visitan determinadas “webs marcadas”, hasta análisis de mercados o control empresarial del uso de los recursos o saber quién está buscando curro.

En el estudio se hizo una prueba con una base de datos de sitios porno y, de los más de 243.000 visitantes que se probaron, los resultados fueron que el 21 % de los navegantes griegos, el 18 % de los españoles y el 18% de los mexicanos (que son el top 3) tenían sitios “de contenido adulto” en su historial.


Figura 5: Filtros por paises
Si a esto le sumamos los esfuerzos de identificación única de browser como el servicio de https://panopticlick.eff.org/ para identificar y tracear de forma única tú navegador, parece que los filtros de navegación anónima y los servicios de protección de la privacidad deben ser más importantes en nuestra vida.

Si quieren saber mis tendencias políticas, con quién me junto y que porno veo, que esperen a que lo ponga en mi facebook o en mí twitter, ¿qué es esto de mirar mi historial de navegación y quién soy yo?

Saludos Malignos!

Navegadores: Una cuenta de seguridad

Ayer presentamos la Comparativa de seguridad de navegadores en sistemas Windows, un documento donde se han mirado muchos aspectos de la seguridad de los navegadores. Sí, muchos ya me habéis oido hablar de ellos y de otros he hablado ya aquí, pero ayer quisimos actualizar el conteo de vulnerabilidades que hicimos, y estos son los resultados. El documento está disponible en la web de Informática64 en la siguiente URL: Comparativa de seguridad de navegadores en entornos Windows.

Periodo y versiones de estudio

Hacer una comparativa de vulnerabilidades de navegadores es dificil cuando Firefox no da soporte más atrás de la versión 3.5 y esta es del 30 de Julio de 2009 mientras que Internet Explorer 8 ha cumplido ya un año. La cosa se complica cuando tenemos a Google que con Chrome, de vivir en la beta perenne de Gmail, ha pasado a tener una versión final cada 4 meses. Así que tuvimos que hacer un cálculo de compromiso y luego prorratearlo por meses para hacernos una idea de las vulnerabilidades medias. Así, se han contado las vulnerabilidades de:

- Internet Explorer 8: 12 meses
- Chrome 2, 3 y 4: 10 meses
- Firefox >= 3.5: 9 meses
- Opera >=9.6: 14 meses
- Apple Safari 4.0: 9 meses

A unos les parecerá bien, a otros les parecerá mal, pero este documento no pretende nada más que ilustrar un poco que ha pasado en ese tiempo.

Vulnerabilidades

En primer lugar se han contado las vulnerabilidades que han tenido en esas versiones en ese periodo de tiempo.


Gráfico 1: Número total de vulnerabilidades contadas
Este resultado, prorrateándolo entre el número de meses nos deja un valor mensual de:


Gráfico 2: Vulnerabilidades media por mes
Estos datos dan una imagen de los parches que pueden ser esperados cada mes de cada uno de los navegadores, nada más.

Modificadores

Por supuesto, el número de vulnerabilidades no es el factor determinante, hay muchas otras características que mirar, como su grado de criticidad, su estado de parcheo, etc... Además, hay que tener en cuenta, que no todos los navegadores despiertan el mismo grado de interés dentro de la comunidad de investigación donde Opera, por ejemplo, está un poco olvidado. Por supuesto, las vulnerabilidades en navegadores más utilizados son las más deseadas por las mafias para la distribución de malware. La cuota de mercado por familias, comprobada ayer, dejaba estos resultados:


Gráfico 3: Cuota de mercado de uso por familias
Como se puede apreciar, tanto Firefox con Internet Explorer, son los más apetecibles hoy en día para la industria del malware.

Otro factor, que no hemos querido tocar, es la curva de descubrimiento de vulnerabilidades a lo largo de la historia. Según un varia la antigüedad de un producto varía su grado de descubrimiento de vulnerabilidades. Todos estos aspectos no se han evaluado, porque el objetivo no es sacar un valor que responda a todas las preguntas del universo, sino traer un poco de luz al asunto.

Niveles de Criticidad

Para tomar estas medidas se ha optado por utilizar el sistema de medición y la terminología de Secunia. Y este es el gráfico por niveles SIN prorratear por meses.


Gráfico 4: Niveles de criticidad
Como se puede ver Internet Explorer 8 tiene 7 vulnerabilidades marcadas como Extremly Critical. Sin embargo, este resultado merece una explicación.

La única diferencia entre una vulnerabilidad Highly Critical y una Extremly Critical es que de la Highly Critical se sabe a ciencia cierta que existe un exploit público que se ha utilizado antes de que exista el parche. Sin embargo, estructuralmente, las vulnerabilidades Highly Critical y Extemly Critical son iguales.

En segundo lugar, en la cuenta sale perjudicado el sistema de publicación acumalado, tal y como hace Internet Explorer - y Firefox en Marzo - en el que salen varias vulnerabilidades juntas en un mismo advisory. Esto implica que el nivel de criticidad de todas las vulnerabilidades fuera el del advirosy, y éste tiene el de la vulnerabilidad de mayor criticidad.

En la mayoría de los estudios en los que se evalúan las prácticas de desrrollo las vulnerabilidades Highly Critical y Extremly Critical, al ser identicas y depender su diferencia sólo de factores externos, estas se unifican, pero nosotros hemos querido dejarlas separadas.

La presentación

Las diapositivas recogen los otros apartados evaluados en el paper dentro de las opciones de seguridad del navegador y están recogidos en la siguiente presentación.

Seguridad en Navegadores

View more presentations from chemai64.

Saludos Malignos!

Navegadores de Internet en la empresa

Tras la famosa y ya parcheada vulnerabilidad de IE8, he decidido que era tiempo de aprovechar todo ese chapapote mediático para perder una serie de artículos en esa escabechina de SEO que se está generando. Utilizando toda la malignidad de que sea posible voy a escribir una serie de artículos sobre los navegadores en la empresa.

En la empresa se querrá un sitio de administración potente que permita gestionar de forma centralizada las propiedades de los componentes de los navegadores, un sitio que permita afinar lo que se ejecuta o no en un navegador en un instante dado.


Configuración de Widget en Opera
Esto es importante porque se querra comprobar que soluciones se tiene ante situaciones peligrosas y como podrá proteger sus activos si pasa algo malo. Por ejemplo, ¿qué solución hubiera podido aplicar en su empresa una organización con 200 equipos con el bug de Firefox de hace unos meses? ¿Qué herramientas tiene para gestionar esa situación de riesgo?


Vamos a desactivar el Javascript solo en Internet pero no en la intranet para todos los equipos de la empresa. ¿Cómo lo hacemos de forma centralizada?
En la empresa se querrá conocer el ciclo de versiones y las evoluciones de las mismas para saber que esperar si gasta pasta en desarrollar tecnología basada en ese navegador.


Google, de vivir en una beta perenne a sacar una nueva versión final cada 5 meses. Eso es ponerse las pilas
La empresa, un sitio donde uno quiere que sus navegadores estén dispuestos a funcionar con las administraciones públicas y reconocer todos los prestadores de servicios nacionales como entidades de certificación autorizadas. El Artículo 11 de la Directiva 1999/93CE de la Unión Europea facilita esta tarea ya que insta a que todos los países notifiquen, entre otras cosas, los nombres y direcciones de todos los prestadores de Servicios de Certificación nacionales acreditados. Así, en nuestra empresa nos gustará que no haya problemas con los certificados de las entidades nacionales españolas. ¿Los tiene todos tu Firefox?

La empresa es también un sitio donde el navegador se usa para trabajar y no para hackear webs (salvo que tu trabajo sea hackear webs). Un lugar donde queremos que los usuarios no hagan lo que quieran, sino lo que el CSO mande según la política de uso corporativo. Un lugar donde el navegador se usa para generar dinero en la empresa mediante el manejo de herramientas.

No voy a meterme en la lucha encarnizada de los standares y esas cosas que ya acabaron conmigo después de años intentando comprender porque las bases de datos no implementan ninguna el lenguaje SQL igual. No voy a meterme a discutir porque los tests de validación de standares salieron años después de que existieran implementaciones de ellos en lugar de salir al principio y facilitar la vida a las implementaciones. No voy a meterme en la necesidad o no de documentar los estándares profundamente o dejando cosas TBD (To Be Defined).

Tampoco voy a meterme en comparar o mirar opciones de seguridad en todos los sistemas operativos. Si estás usando Linux, esta serie de artículos que voy a empezar a publicar no tendrán que ver contigo ¡Qué guay!. Para poder afinar esto, voy a centrarme en arquitecturas Windows y, las partes más modernas, serán de Windows Vista/Windows 7 porque… todo el mundo ama a Wndows 7. ¡Y sin pagar a nadie para que hicera colas en las tiendas!


Cuota de Windows 7 diaria. Batiendo todos los records de adopción en SSOO
Será un poco largo, así que tal vez te aburra, pero… es lo que hay, que últimamente he leído muchas cosas en muchos sitios y necesito desahogarme. Ya sabéis, esto es como la energía sexual, si no sale liberada de "alguna forma" uno acaba, como dice un amigo mío, estallando como los Lemmings. Así que tengo que hacerlo.

Saludos Malignos!

Informe Técnicoless y amarillista de La OCU sobre Navegadores en Internet

Parece mentira que la OCU, la Organización de Consumidores y Usuarios sea capaz de sacar un informe como el que ha sacado un Análisis de los Navegadores en Internet. Me parece muy triste que una organización en la que prima la protección de los consumidores y los usuarios sea capaz de sacar un informe como ese con tan poca base técnica. Si realiza el resto de sus comparaciones de la misma manera estamos apañados y mejor que cierren el chiringuito y se dejen de hacer paripés, porque es lamentable que saque un artículo así sin firmar.

Las pruebas que han hecho son de lo más geniales. Han puesto a un pollo a navegar y le han dicho:

-“ Ale majete, y ahora valora en seguridad, usabilidad, facilidad y alguna otra cosa que también termine en –ad, que eso vende mucho”

El técnicoless que haya hecho este artículo, al más puro estilo Fuckowski ha preparado un informe sobre superficies cuadrúpedas en el que ha sacado el dedito y se ha dedicado a poner crucecitas y esas cosas según le ha venido bien. Que triste que alguien se sienta así de cómodo haciendo estas cosas porque los informáticos se lo permitimos.

Sorprendentemente, a pesar de que uno de los aspectos que más le preocupa a la OCU sea la seguridad, los tipos van y ponen que el mejor navegador es el Firefox 3.5 con un 85%. Me encanta el cuadro de resultados porque, como se puede ver, los peores, los peores, son los de los chavalotes de Microsoft que es que los pobrecitos no saben programar. Y esl resultado aplastante es queCualquier navegador es mejor que Internet Explorer 8. De Vergüenza.


Figura 1: Los resultados según los "ESTUDIOS DE LA OCU"
Que luego haga yo una Maligno-Comparativa sobre la arquitectura de seguridad de los navegadores midiendo el uso de Mandatory Integrity Control, el DEP, el ASLR, el Virtual Store y la arquitectura de procesos es totalmente tendenciero y parcialista. Tenía que haberlo hecho como estos chicos de la OCU, sacando el dedito y poniendo numeritos superchulos.


Figura 2: Arquitectura de Navegadores. Toda la info en "Hundir la flota"
Que Firefox 3.5 haya batido todos los records de fallos de seguridad en navegadores Web desde que salió el 30 de Junio de 2009 no cuenta. Un navegador que cuenta con 48 fallos de seguridad dejando una FANTASTICA MEDIA DE RECORD de 8 fallos mensuales de seguridad, y además de los gorditos, no ha puntuado nada mal. ¡Coño!, que ha sacado un Notable Alto de 8.5. No importa que Internet Explorer lleve la mitad de fallos en el doble de tiempo. Lo que mola es el de la zorrita.


Figura 3: Fecha de lanzamiento según Wikipedia y fallos de seguridad según SECUNIA
Nada cuenta y, por supuesto, tampoco que Firefox no haga uso de MIC, que no haga uso del Virtual Store, que no divida procesos, tampoco. ¿Por qué? Pues tan sencillo porque al técnicoless de turno que ha escrito ese artículo le molaba su Firefox y punto pelota.

OCU, es una vergüenza que publiquéis esos “supuestos estudios” sin ninguna base técnica, sin haber publicado la métrica, sin publicar pruebas ni los resultados de las mismas. ¿Qué sois, una revista de esas que regalan en el metro para ganar pasta con la publicidad de los anunciantes que queréis amarillismo y punto? VERGONZOSO.

Saludos Malignos!

Hundir la Flota

Lo bueno de tener un hermano más o menos de tu misma edad es que puedes jugar con él a juegos en los que es necesario que sean dos personas. Bueno, hoy en día, con el ordenador esto no es tan así, pero cuando a mí me tocó ser un niño sí que vino bien. Uno de los jueguecitos a los que jugábamos era Hundir la Flota, ya sabéis, el famoso juego de los barquitos que se jugaba en clase con el compañero de al lado, pero a través de un sistema novedoso.

El que nos trajeron de regalo por unos Reyes Magos se llamaba “Hundir la Flota por Computadora” o algo así, y te permitía poner las coordenadas con unos botones y darle al lanzador de misiles. Sonaba el sonido de “fiiiiiiiiiiiiiiiu!!” y terminaba con un “Boomm” si acertabas o con un vacío si fallaba. No he conseguido ninguna foto de este juego en Internet, porque creo que no era el original, sino alguna copia.

Si alguien lo tiene que avise, porque tal vez esté confundiendo el nombre del juego. Recuerdo que era una única pieza horizontal en la que estaba tú tablero y el del contrincante a la que se pinchaba un tablero vertical para que se apuntaran los disparos realizados y que sirviera de protección visual. Era similar a éste, pero se veía más antiguo.

El caso es que me ha acordado de este juego porque en la última clase del master estuvimos hablando de los riesgos de los navegadores de Internet y de las medidas de seguridad que implementaban cada uno de ellos. Como quería tener todos los datos de los principales navegadores de Internet he decidido instalármelos todos en mi Windows7, que es más bueno que nada, y me permite que le haga todo este tipo de maldades.

Para comprobar las medidas de seguridad que aprovechaban de Windows 7 he usado Process Explorer, que creo el más famoso de los MVP de Seguridad de la historia, y he habilitado las columnas de las opciones de seguridad.

Las medidas que he comprobado son: Uso de DEP, Uso de ASLR, Nivel de Integridad en el que está funcionando y si corre virtualizado o no para evitar que el programa pueda acceder directamente a las carpetas del sistema y claves de registro protegidas. Estos son los resultados obtenidos con Process Explorer después de abrir todos los navegadores con tres páginas cada uno de ellos.


Process Explorer de todos los navegadores
Arquitectura: Safari, Opera y Firefox utilizan una arquitectura monolítica lo que hace que si falla una de las páginas cargada en una de las pestañas afecte a todo el navegador. Intener Explorer 8 y Google Chrome hacen uso de un proceso distinto por cada página cargada, con lo que si hay un fallo en una pestaña no afecta al resto. Así que le voy a dar un Maligno-punto a Internet Explorer 8 y otro Maligno-punto a Google Chrome. A los otros ni agua.

Niveles de Integridad: El uso de los niveles de integridad adecuado permite a los navegadores hacer un ajuste del Mínimo Privilegio Posible de todos los componentes. Así, cuanto menos niveles de privilegio tengan los procesos que renderizan las páginas visualizadas mejor que mejor, ya que ayuda a que si una es explotada, el atacante consiga más o menos privilegios. Los procesos que corren con nivel de integridad “Obligatorio medio” podrían acceder a los objetos que corren con nivel de integridad Obligatorio medio y Obligatorio bajo.

Los navegadores que tienen una arquitectura monolítica corren todos en nivel Obligatorio medio, así que no hacen uso de esta propiedad. Cero Maligno-puntos para Firefox, Safari y Opera. Google Chrome hace una cosa extraña ya que para abrir 3 pestaña ha abierto un proceso más que corre en nivel de integridad Obligatorio medio, pero, por lo demás parece hacerlo bien. Le voy a dar 1 Maligno punto a él y otro, por supuesto a Internet Explorer 8 que lo hace como debe de ser.

ASLR y DEP: Las protecciones Address Space Layout Randomization y Data Execution Prevention han sido aplicadas por todos los navegadores, lo que es una buena noticia. Les voy a dar 2 Maligno-puntos a todos los chicos.

Virtual Store: Sólo hacen uso de esta característica Internet Explorer 8, Safari y Opera. Nuestros amigos de Google Chrome y Firefox parece que prefieren no usar el Virtual Store del usuario para proteger al sistema. Así que 0 Maligno-puntos para Google Chrome y Firefox y 1 Maligno-punto para los demás.

El resultado de este Hundir la Flota Maligna queda como sigue:


Hall of Fame Maligno
Quiero recordar que ninguna de estas medidas es una bala de plata y que todas, de una forma u otra, tienen sus limitaciones pero sin embargo el uso combinado siguiendo el principio de Defensa en Profundidad ayuda a proteger el sistema.

Todas estas medidas ahondan en la protección del usuario que navega por Internet, pero hay muchas más con las que podríamos jugar como las políticas de seguridad para los componentes añadidos, las protecciones Anti-XSS, los filtros AntiPhising, la verificación de conexiones, el número de vulnerabilidades al año, el tiempo de parcheo, la gestión de actualizaciones o demás, pero esas… ¿Qué os parece si las dejamos para una segunda batalla a ver que nos sale de resultado?

Saludos Malignos!

UPDATE: Las fotos de Hundir la Flota por Computador con el que jugaba con mi "chache". ¡Gracias David por hacérselas a tu juego!


La caja del juego


El juego