15 de abril de 2012

Evolución de Android en Seguridad


El objetivo de este post es realizar un listado sobre como ha ido evolucionando en seguridad Android; permitiendo a un usuario conocer las vulnerabilidades y características de su sistema Android en cuanto a seguridad se refiere.

Este listado solo se listarán fallos y mejoras a nivel de sistema y que afectan a el mismo, es decir:

Quedan descartados los fallos en las aplicaciones de terceros o externas al sistema, como pueden ser Skype (CVE-2011-1717), el SDK de Android (CVE-2011-1001, CVE-2008-0985, ...), Flash (CVE-2011-2460, CVE-2011-2459, …), entre otras.

Otro ejemplo que excluiré son los fallos CVE-2008-7298 y/o CVE-2011-2344 que afecta a la seguridad de las cookies en una conexión, y no están incluida ya que no tienen un impacto directo contra el sistema.

Tampoco tendremos en cuenta fallos que afecten a fabricantes en exclusiva, como por ejemplo, la vulnerabilidad CVE-2011-3975 que afecta a algunos modelos de HTC. O las versiones de la 2.3.5 a la 2.3.7 que solo de están disponibles para algunos dispositivos.

He intentado mostrar las fuentes originales y no perder ninguna vulnerabilidad o fallo importante. Si conocéis alguno que me olvide encantado de añadirlos, solo tenéis que comentar. xD

Voy ha distinguir tres apartados:
Soluciona: Indica que ha sido publicada de forma clara, que este fallo ha sido solucionado en esa versión.
Nuevo: Nueva mejora implementada.
Vulnerable: Indica que esa versión en vulnerable, pero no se especifica cuando ha sido solucionada.

Febrero 2009 v1.1

  • Soluciona:
    CVE-2009-0475 (Ejecución de código a través de Mp3)
    CVE-2009-0606 (Elevación de privilegios)
    CVE-2009-0607 (Múltiples desbordamientos de enteros)
    CVE-2009-0608 (Desbordamiento de entero)

Abril 2009 v1.5 r1

Mayo 2009 v1.5 r2

Julio 2009 v1.5 r3

Septiembre 2009 v1.6 r1

Octubre 2009 v2.0

  • Nuevo:
    Kernel 2.6.29
  • Vulnerable:
    CVE-2009-1442 (Posible ejecución de código a través de “Skia”)
    CVE-2010-EASY (Elevación de privilegios, exploit RageAgainsttheCage)

Diciembre 2009 v1.6 r2

Diciembre 2009 v2.0.1

Mayo 2010 v2.2 r1

Julio 2010 v2.2 r2

Diciembre 2010 v2.3

Julio 2011 v2.2 r3

Febrero 2011 v2.3.3, v3.0

Mayo 2011 v2.3.4, v3.1 r1 y r2

Julio 2011 v3.0 r2

  • Nuevo:
    Kernel 2.6.36
    DRM
    Cifrado de disco
    Mejora de Políticas de seguridad

Julio 2011 v3.1 r3, 2011 v3.2

Octubre 2011 v4.0

OTRAS NOTAS:
Busqueda sistemática de fallos de fuga de información
http://www.csc.ncsu.edu/faculty/jiang/pubs/NDSS12_WOODPECKER.pdf
http://www.youtube.com/watch?v=xGwTviVRcrg
http://www.xda-developers.com/android/discover-undisclosed-apis-with-androids-secret/
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios
Etiquetas: ,

13 de febrero de 2012

La Comisión Europea propone cambiar las leyes de Protección de datos

Tras un estudio realizado por la Comisión europea sobre la preocupación de sus ciudadanos en temas de protección de datos y observar que:
 - 2/3 de los europeos nos preocupa que las empresas compartan nuestros datos personales sin autorización.
 - 9/10 queremos tener los mismos derechos de protección en toda Europa.

La comisión ha propuesto un cambio de legislación que unifique los la protección de los internautas europeos.

Entre las novedades destancan:
- Se establece un "Derecho al olvido", de tal modo que las empresas estén obligadas a eliminar los datos personales a petición del usuario, salvo razones legítimas (como el cumplimiento de alguna norma).
- La protección de datos también debe aplicarse en los países que no pertenezcan a esta y traten con datos de europeos.
- Las empresas estarán obligadas a comunicar los incidentes de fugas de información que puedan afectar a los datos personales de sus usuarios.

Por el momento es una propuesta de reforma, y queda un largo camino burocrático para que pueda ser aplicable.


Referencia:
http://ec.europa.eu/news/business/120125_es.htm
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios

15 de enero de 2012

Filtrado por lista negra en WebPy


WebPy es un framework para aplicaciones web escrito en python. Se trata de un framework de código libre y está "licenciado" como dominio público.

En este caso queremos mejorar la seguridad de nuestra aplicación web creando una clase que implemente mecanismos de filtrado por lista negra. Existen múltiples listas negras en internet sobre IPs potencialmente dañinas.

En mi caso he decido para implementar esta funcionalidad con la lista negra suministrada por el proyecto honeypot.

En primer lugar vamos a crear una clase que nos permita hacer consultas sobre esta base de conocimiento.

class HttpBL():
 def __init__(self, key):
  self.key = key
  self._DOMAIN = "dnsbl.httpbl.org"

 def get_info(self, ip, timeout=None):
  partes = ip.split(".")
  #Don't ask private networks
  if partes[0] == "10" or partes[0] == "127":
   return (-1,-1,-1)
  elif partes[0] == "192" and partes[1] == "168":
   return (-1,-1,-1)
  elif partes[0] == "172" and int(partes[1]) >= 16 and int(partes[1]) <= 31:
   return (-1,-1,-1)

  domain_ask = ""
  for parte in partes:
   domain_ask = parte+"."+domain_ask

  domain_ask = self.key+"."+domain_ask+self._DOMAIN
  try:
   if timeout:
    socket.timeout = timeout
   result = socket.gethostbyname(domain_ask)
   result = result.split(".")
   return (int(result[1]), int(result[2]), int(result[3]))
  except socket.gaierror as (error, string):
   if error == 11001 or error == -5:
    return (-1,-1,-1)
   else:
    raise socket.gaierror(error, string)
Como podeis observar, las IPs privadas no se consultan.
Podeis obtener más información sobre el tipo de información que nos provee esta lista desde: http://www.projecthoneypot.org/httpbl_api.php

Por otro lado he implementado una clase que, además de comprobar que quien acceda al servicio no sea potencialmente peligroso, define: unas reglas de acceso directamente en la declaración, la creación de una respuesta OPTIONS con los datos anteriores y una comprovación del dominio desde el que se está acediendo a la aplicación.
class SecureWeb():
 def __init__(self, blkey="", host_name=None, allow_methods=["HEAD","GET","POST","OPTIONS"]):
  self.allow_methods = allow_methods
  self.host_name = host_name
  self.blacklist = HttpBL(blkey)
 def not_allowed(self):
  raise web.Forbidden()
 def wrong_hostname(self):
  self.not_allowed()
 def bad_method(self):
  self.not_allowed()
 def to_honeypot(self, data):
  self.not_allowed()
 def to_search_engine(self):
  pass
 def check_allow(self):
  (last_activity, threat_score, type) = self.backlist.get_info(web.ctx.env["REMOTE_ADDR"])
  if type == 0:
   self.to_search_engine()
  elif type > 0:
   self.to_honeypot((last_activity, threat_score, type)) 
  if self.host_name:
   hostname_ok = False
   for hostname in self.host_name:
    if hostname.lower() == web.ctx.env["SERVER_NAME"].lower():
     hostname_ok = True
     break
   if not hostname_ok:
    self.wrong_hostname()
  if not web.ctx.env["REQUEST_METHOD"].upper() in self.allow_methods:
   self.bad_method()

 def HEAD(self, *extras):
  self.check_allow()
 def GET(self, *extras):
  self.check_allow()
 def POST(self, *extras):
  self.check_allow()
 def PUT(self, *extras):
  self.check_allow()
 def DELETE(self, *extras):
  self.check_allow()
 def TRACE(self, *extras):
  self.check_allow()
 def CONNECT(self, *extras):
  self.check_allow()
 def OPTIONS(self, *extras):
  self.check_allow()
  allow = ""
  for method in self.allow_methods:
   allow += method+","
  allow = allow[:1]
  web.header('Allow', allow)

Como se puede observar en cada tipo de petición HTTP se realiza un chequeo de acceso, y en caso de no validarlo se envia la información a la función correspondiente para poder procesarla de forma adecuada. En el ejemplo todas las funciones acaban llamando a 'not_allowed' que muestra un Forbidden. Pero cada uno de vosotros podeis modificar las funciones 'wrong_hostname' 'bad_method' 'to_honeypot' 'to_search_engine' para que realicen las acciones que estimeis oportunas.
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios

27 de noviembre de 2011

Borrando nuestra Wi-Fi de Google

Hace tiempo que Google se volcó de lleno en poder geolocalizar a sus usuarios, para así poder dar más precisión en sus búsquedas.

Inicialmente para poder localizar a un usuario era necesario que este tuviera algún dispositivo GPS que permitiera poder enviar su posición.
Esto impedía que los terminales móviles de baja gama pudieran ser localizados, por ello se desarrollo un mecanismo que permitiera localizar a los dispositivos sin hacer uso de un GPS.

En un principio se hacía uso de las celdas de cobertura que proporcionan conexión al dispositivo. Las celdas, tienen un tamaño variable dependiendo del lugar donde nos encontremos; de este modo, una celda en
Madrid capital ocupa un tamaño muy pequeño comparada con una, por ejemplo, en un pueblo de la sierra.

Este método de localización por tanto tiene un error variable según la zona. Para poder precisar más la posición Google desarrollo un mecanismo que permite localizar la posición usando además de la celda, datos de las redes Wifi de la zona. Como estas redes no tienen un alcance demasiado elevado, usando una o varias redes y su potencia de señal, podemos triangular una posición de forma más exacta.

En 2008 Google proporciona una funcionalidad en Gears que permite hacer uso de estos mecanismos para localizar al usuario. Gears permitía hacer uso de una serie de herramientas para mejorar la experiencia web; para ello era necesario instalar un cliente en el navegador que diera soporte a algunas de las funcionalidades. Este motor era el que permitía hacer uso de las aplicaciones Web de Google en modo off-line.

En 2010 Google descontinua Gears, pasando la carga de trabajo hacia el nuevo protocolo HTML5. Ese mismo año W3C incorpora en las especificaciones de HTML5 en la clase 'navigator' que permite enviar la posición a una aplicación web JavaScript.

Para que el navegador pueda dar soporte de localización ha usuarios sin GPS, hace uso de las técnicas anteriormente descritas y envía la información a un servidor donde le informarán de la posición actual.

Esta información fue recogida por Google mientras fotografiaba las ciudades del mundo, para Maps. Pero no es la única empresa que realiza esta labor; skyhookwireless.com, location-api.com o navizon.com son otras de las empresas que proporcionan estos servicios.

Desde que esta información fue almacenada por Google, no podíamos hacer nada para eliminar nuestra Wi-Fi de sus servidores, y por tanto siempre era usada para geolocalizarnos. Esto ha cambiado recientemente, ya que Google ha publicado un método para hacer que nuestra red Wi-Fi sea eliminada de sus servidores. Para ello, solo tenemos que renombrar nuestra web y hacer que termine con el nombre "_nomap". De este modo la próxima vez que se consulte usando tu punto de acceso, Google borrará la información.

Ante esto surgen algunas preguntas sin respuesta como, ¿porque no renombrar usando "_map" para que este punto sea localizable? y ¿que pasará si otras de las empresas deciden usar otro nombre para esta misma labor?

Más información:

Google blog:
http://googleblog.blogspot.com/2011/11/greater-choice-for-wireless-access.html

Google Location-based services Faq:
http://maps.google.com/support/bin/answer.py?hl=en&answer=1725632

W3C Geolocation API for HTML5:
http://dev.w3.org/geo/api/spec-source.html

Gears geolocation (Deprecated):
http://code.google.com/intl/es/apis/gears/api_geolocation.html

Mozilla info:
http://www.mozilla.org/es-ES/firefox/geolocation/
https://developer.mozilla.org/en/Using_geolocation
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios

Samsung presenta la tecnología Secu-NFC

NFC (Near Field Communication) es una tecnología de comunicación inalámbrica basada RFID (Radio Frequency IDentification - ISO 14443). RFID funciona mediante inducción de campos magnéticos. Los 'tag' (tarjetas RFID) pueden ser pasivos (la energía de la respuesta proviene de la señal de lectura) con poco alcance o activos (usan una pila) con un alcance mayor. NFC permite funcionar al 'tag' en ambos modos y usando el protocolo NDEF (NFC Data Exchange Format) permite la comunicación bidireccional.

La tecnología NFC está siendo utilizada para pagos bancarios a través del móvil. Este echo está forzando a los fabricantes a buscar la mayor seguridad posible en esta tecnología. Samsung ha presentado un nuevo chip NFC (SENHRN1) con una nueva tecnología llamada Secu-NFC.

Esta tecnología incorpora al transmisor NFC, un bloque de cifrado de datos y una memoria flash (760 KB) para almacenar de forma segura (mediante cifrado) la información sensible.

Estas características permiten que los datos de pago, queden almacenados de forma segura en el propio chip y no sean accesibles en caso de ser comprometido el sistema o que se realice un análisis forense del dispositivo.

De este modo el sistema operativo no podría leer en claro los datos cuando son enviados.

Por el momento no ha sido publicada el 'datasheet' (hoja de características técnicas) que nos permita describir de mejor el comportamiento real de este dispositivo.

Referencia:
Anuncio de Samsung
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios

8 de junio de 2011

Ejecución de comandos en WebSVN 2.3.2 

Recientemente ha sido publicado en "exploit-db" un 0-day en WebSVN 2.3.2.
Esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar comandos arbitrarios a través de una petición POST con un valor de "path" especialmente diseñado.

WebSVN es un proyecto Open Source que permite visualizar de forma cómoda uno o varios repositorios SVN. Está implementado en PHP y licenciado bajo GPL v2.

El fallo se da al no validar correctamente el valor recibido como nombre del fichero. Para poder usar esta vulnerabilidad hay que modificar el valor de la variable POST "path".
Para poder explotar esta vulnerabilidad es necesario encontrar un recurso que pueda ser descargado, puesto que el fallo se encuentra en la función "exportRepositoryPath()", que solo es accesible cuando nos descargamos un elemento.

El parche que soluciona esta vulnerabilida y algún otro posible vector de ataque ha sido publicada varias horas despues de haber sido echo publico el fallo.

Más información:

WebSVN 2.3.2 Unproper Metacharacters Escaping exec() Remote Command
Injection
http://www.exploit-db.com/exploits/17360/

Fix:
http://trunk.websvn.info/revision.php?repname=WebSVN&path=%2Ftrunk%2Fdl.php&rev=1256&peg=1256

Una al día:
http://www.hispasec.com/unaaldia/4608
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios
Etiquetas:

3 de junio de 2011

Múltiples vulnerabilidades en "torremolinos.es"

Para quienes no lo conozcáis, Torremolinos es un pueblo de la provincia de Málaga.
Es el pueblo donde me he criado, estudiado, crecido,... y la verdad, ha cambiado mucho en estos años, en algunas cosas para bien y en otras para mal.

En lo que no ha cambiado demasiado (desde que soy usuario) es la web. Siempre me ha dado la sensación, de estar poco cuidada, insuficientemente accesible y poco actualizada. Parecen que en el ayuntamiento, no han entendido la importancia cada vez más creciente de la "web 2.0", y que cada vez más, tiene peso la presencia web para el turismo.

Tras mi critica personal sobre el estado "tecnológico" de mi pueblo, vamos a caso:

El primero de los fallos que he encontrado y reportado al ayuntamiento de Torremolinos es un Inyección SQL:
De Rollanwar
En este ejemplo se puede ver como la base de datos retorna el resultado inyectado, en este caso el voluntario anterior.
No he probado cosas más complicadas, pero cambiando "%20or%20ID_voluntario=%20453" por otro código más complejo se podría, potencialmente, obtener toda la base de datos de "www.torremolinos.es".

Recordar a los lectores que este tipo de practicas podrían constituir un delito.
Entiendo que esta explotación no cumple ninguno de los puntos que podrían ser tenidos en cuenta para constituir un delito, dado que esta explotación es inocua para el sistema y los datos obtenidos son publicos, se podría acceder a esos datos de forma normal.

Por otro lado he encontrado un XSS.
Los más observasores se abran dado cuenta que en la imagen anterior ambos voluntarios tenían la misma cantidad de puntos, y es que no es casualidad, es por el parámetro '&puntos=750&', cambiando el valor por '&puntos=750<script >alert("XSS");</script>&' magia:
De Rollanwar
En este ejemplo se puede ver se ejecuta el código inyectado.

Este fallo no es demasiado grave, pero permite modificar el contenido de la web, a través de una url, es decir, solo ven el contenido modificado quienes sigan ese enlace.
Al tratarse de una vulnerabilidad leve, he decidido publicarla directamente, sin espera respuesta, en "http://secureless.org".

Un ejemplo de esta explotación más llamativa puede ser la siguiente:
De Rollanwar


Por último podemos ver como también se produce un error en el tercer marámetro si insertamos una comilla.
De Rollanwar
No he intentado explotar este SQLi.

En la primera solución que se implementó por parte del ayuntamiento se filtra inadecualamente los caracteres de la URL, para redirigir a la web principal, pero se puede seguir explotando el fallo sustituyendo los espacios por '+'.

Como esta primera solución no se me comunicó decidí pasarme en persona a ver si solucionan el fallo.

Durante mi paso por el ayuntamiento, me informaron de nuevas mejoras e ideas para el futuro "web" del ayuntamiento. He de decir que los cambios para el futuro que me comentaron solucionará varias de las criticas que he vertido al inicio del post.

Estos fallos ya han sido solucionados.

TIMELINE:
08-05-2011: Descubierta
09-05-2011: Notificación del SQLi y XSS
09-05-2011: Publicación del XSS en 'secureless.org'
11-05-2011: No responde, pero parece que solucionan el problema
16-05-2011: Me pongo en contacto de nuevo, esperando contestación.
19-05-2011: No contestan y publico.
24-05-2011: Confirmo que el filtro aplicado no es valido.
24-05-2011: Retiro el post.
24-05-2011: Reenvio fallo con el nuevo ejemplo.
25-05-2011: Paso en persona a ver que ocurre con este asunto.
02-06-2011: Me informan que está solucionado.
Escucha este post Publicado por Victor Ant. Torre Villahoz 0 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)