m313 Security Blog

No suelo escribir dos post en un periodo tan corto de tiempo pero esta vez merece la pena.
Si ayer hablaba sobre la Russian Business Network y proporcionaba algunos recursos al respecto hoy “vengo a hablar de mi libro” y a darme yo mismo una palmadita en la espalda, no olvidemos que el ego es a la seguridad informática lo que la musa al poeta.

El caso es que ha salido la nueva versión de OSSEC y en el mismo artículo de presentación mi tocayo Daniel B. Cid me nombra entre los agradecimientos, en esta ocasión por hacer de beta testing, si bien mantengo correos electrónicos con él sugiriendole mejoras en las reglas de detección y espero ser más util en futuras versiones.

Estamos en la cresta de la ola, que no lo olvide nadie.

Compártelo

Si nos centramos en el aspecto técnico y dejamos a un lado cuestiones legales, morales y demás los interesados en la seguridad digital podemos afirmar que la RBNetworks es un filón. Un filón de malware, troyanos, virus, botnets y todo lo que tenga que ver con el lado oscuro( no estoy hablando de Micro$oft ).

Hace poco nos alertaban en un artículo desde Hispasec, e incluso desde el Washington
Post. He encontrado un interesante mapa de la Russian Bussines Network, no me acuerdo de la fuente, lo he colgado de ImageShack:

Es cierto que por un lado resulta sumamente atractivo escanear estas redes en busca de interesante contenido educativo sobre seguridad informatica, pero por otro lado son redes sobre las que en el uso normal de nuestras computadoras debemos protegernos, ya que conexiones involuntarias con estas redes son al 90 % causa de infección por virus,troyanos, etc.

Los chicos de Bleeding Threats han reaccionado rapido y han creado una serie de reglas para Snort que alertan de las conexiones con la RB Network, están basadas en listas negras de IP’s. Cito una de ejemplo:

El resto podéis encontrarlas en éste enlace.

Por otro lado, he encontrado un interesantísimo blog de reciente creación sobre esta red con información muy util.

Un saludo

Compártelo

No es un secreto que las vulnerabilidades XSS(Cross Site Scripting) abundan en la red, como tampoco lo es que los programadores no otorgan a estas vulnerabilidades la relevancia que merecen.
A menudo evidencio un XSS con un simple script que muestra una ventana con la cookie del usuario, un simple script con un alert y un document.cookie en su interior.

Sin embargo el alcance de estas vulnerabilidades va mucho más allá de esta simple inyección. Las posibilidades son infinitas cuando hablamos de ejecución de código remoto, con una importancia mayor aún si cabe cuando tratamos XSS permanentes. Pruebas de esta importancia son los tuneles XSS, pruebas de concepto como la del ya famoso Jikto( cuyo código disponemos ya todos ), o herramientas de secuestro del navegador cada dia más maduras, como el ejemplo de BeEF.

Este post viene al caso no solo para quejarme publicamente sobre el desprecio generalizado antes estas fallas, sino a la decepción que me he llevado recientemente al descubrir y reportar una de ellas.
Se trata del ya famoso BASE, la interfaz escrita en php para administrar alertas del detector de intrusos Snort.
El dia 24 de Septiembre del mes pasado(hace ya 10 días) descubrí un XSS en BASE, lo evidencié en forma de imagenes:

que remití a los desarrolladores. Mi correo fue contestado muy rapidamente por Kevin Johnson, el lider del proyecto, agradeciendome el reporte, pidiendome información concreta sobre la vulnerabilidad y comentandome que intentarían arreglarlo ese mismo dia.

Tras 10 días no solo sigue aún sin resolver, sino que el bug que abrí en Bugtrack tiene una prioridad media y no ha sido asignado a nadie. Por otro lado en el CVS del fichero afectado en cuestión no hay ninguna entrada que haga referencia alguna a esta vulnerabilidad.

Como curiosidad dejo un pantallazo de la inserción de un enlace, apuntando hacia un supuesto código maligno:

Estaré pendiente de la resolución.

Compártelo