Publicada la píldora formativa Thoth 48: ¿Cómo se oculta información con esteganografía?

Se ha publicado en el canal YouTube de la UPM la píldora formativa 48 del proyecto Thoth que lleva por título “¿Cómo se oculta información con esteganografía?”

El procedimiento para ocultar información utilizando una técnica esteganográfica, dependerá mucho del estegomedio elegido. Se entiende por estegomedio el recurso utilizado para ocultar información, por ejemplo, una imagen digital, un audio, un vídeo, un protocolo de comunicación, una página web, un texto, etc.

Independientemente del estegomedio utilizado, uno de los procedimientos comúnmente utilizados consiste en identificar información redundante. Información que puede ser modificada sin afectar al contenido del estegomedio.

Recuerda que todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, muy importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web del proyecto, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 47 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite, además, una búsqueda mediante los siguientes cinco filtros:

  1. Fundamentos de seguridad
  2. Criptografía clásica
  3. Historia de la criptografía
  4. Matemáticas en criptografía
  5. Criptografía moderna.

La próxima entrega del proyecto Thoth será en noviembre de 2017, con la píldora número 49 de título ¿Por qué pueden utilizarse las curvas elípticas para cifrar? y con guión hecho por los doctores Víctor Gayoso Martínez y Luis Hernández Encinas.

Exfiltración de información en redes aisladas

Las redes aisladas son aquellas que no están conectadas físicamente con otras redes a propósito, por motivos de seguridad. Ilustramos técnicas usadas para evadir esta medida de seguridad.

Extraída de progressny.com

Es una medida clásica en entornos críticos, de alta seguridad. Las redes aisladas (air-gapped networks) ponen en práctica un hecho evidente: No puedes introducir o extraer información de una red (o nodo de ésta) a través de otra red a la que se encuentre conectada, si no hay red a la que se encuentre conectada. A pesar de lo radical que resulta la medida (los problemas de comunicación que puede tener una red aislada), esto tampoco garantiza que no se introduzca o extraiga información de la red, sólo que no se puede hacer a través de otra red a la que se encuentre conectada. A continuación comentamos algunas formas curiosas en las que se ha violado la seguridad de redes aisladas.

Uno de los casos más sonados es el de Stuxnet (descubierto en 2010), una amenaza persistente avanzada en forma de troyano financiada y desarrollada conjuntamente por Estados Unidos e Israel, con el fin de atacar centrales nucleares iraníes y retrasar su programa nuclear. El objetivo era alterar los sistemas de control de las centrifugadoras usadas en el enriquecimiento de material radioactivo. El problema es que estos sistemas de control se hallaban en redes aisladas. En este caso, la forma de introducir código que alterase estos sistemas de control fue a través de un malware quese propagaba a través de las memorias USB. Una de éstas habría terminado en manos de algún técnico de mantenimiento de la planta…

Extraída de wonderhowto.com

El caso de Stuxnet es un caso de comprometer una red aislada desde fuera, pero… ¿qué pasa si quieres extraer información de al red aislada? Para ello, nos remontamos dos años atrás, a Fanny. Este malware ya fue detectado cuando salió, en 2008, pero se etiquetó como una versión común de malwareque infectaba ordenadores a través de memorias USB. Pero la parte “divertida” de Fanny fue descubierta en 2014, cuando investigadores crearon una detección sobre el código de exploit de Stuxnet, y se encontraron con que detectaba un viejo troyano de 2008.

Aquí la historia se vuelve interesante, y es que Fanny ya usaba parte del código de exploit de Stuxnet (detectado en 2010) en 2008. Cuando investigaron más a fondo la funcionalidad de este troyano, descubrieron que estaba especializado en extraer información de las redes aisladas a través de memorias USB. Según iba infectando máquinas, iba almacenando datos interesantes en la memoria USB de forma oculta. Y en cuanto alcanzaba una máquina con conexión a Internet mandaba todos los datos robados a un servidor de control. A su vez, el servidor de control también podía mandar órdenes a las máquinas infectadas, que las introducirían de vuelta en la memoria USB para su ejecución en máquinas sin conexión a Internet

Extraída de arstechnica.com

Si bien estos casos ya son dignos de Hollywood, todavía hay formas más originales de exfiltrar información en redes aisladas. Otro caso llamativo es el del mítico malware BadBIOS (mítico porque no hay pruebas concluyentes de su existencia). Entre otras funcionalidades, se le atribuía el poder de establecer comunicación entre máquinas infectadas a través de ultrasonidos, usando los altavoces y los micrófonos de las máquinas como emisores y receptores. Técnicamente es posible, que conste… De hecho, un reciente estudio llamativamente titulado aIR-Jumper demuestra que es posible hacer lo mismo con cámaras de vigilancia con visión infrarroja. En este caso, el emisor sería el conjunto de luces LED usadas para iluminar el punto a vigilar, y el receptor la misma cámara que puede captar la luz infrarroja.

Como hemos podido observar, la medida de aislar redes no es la panacea(nada lo es en seguridad informática). Es un requisito imprescindible en sistemas realmente críticos que se benefician poco o nada de estar conectados a otras redes. Pero tal y como se ve en algunos de los ejemplos dados en este artículo, no sirve de mucho sin buenas políticas de seguridad que regulen el verdadero punto flaco de los sistemas de información: Las personas que los manejan.

Carlos Ledesma
cledesma@hispasec.com
Más información:
 

Canal encubierto
https://es.wikipedia.org/wiki/Canal_encubierto

El grupo de espionaje Sednit ataca redes seguras aisladas
https://www.welivesecurity.com/la-es/2014/11/11/grupo-espionaje-sednit-ataca-redes-aisladas/

Spying on Keyboard Presses with a Software Defined Radio
https://www.rtl-sdr.com/spying-keyboard-presses-software-defined-radio/

Hear that? It’s the sound of BadBIOS wannabe chatting over air gaps
http://www.theregister.co.uk/2013/12/05/airgap_chatting_malware/

Oracle anuncia nuevos programas de soluciones en la Nube

Si bien las organizaciones están ansiosas por trasladarse a la Nube, muchas no lo han hecho debido a obstáculos que los han obligado a elegir entre contar con flexibilidad o enfrentar menores costos.  Se han visto retados por la complejidad que ven en las soluciones en la Nube y la incapacidad de balancear los gastos entre distintos servicios. Las organizaciones también han sido detenidas por la limitada visibilidad y control sobre los gastos en la Nube. Hasta ahora, han sido incapaces de aprovechar plenamente sus inversiones de software para trasladarlas a la Nube, habiéndose visto limitados a servicios IaaS (infraestructura como servicio) o sacrificando características clave de base de datos en la capa de PaaS (plataforma como servicio).  Los nuevos programas de Nube de Oracle responden a los desafíos de adopción de la Nube que enfrentan los clientes al mejorar y simplificar la manera en la que compran y consumen servicios de Nube.

Oracle Database PaaS

Actualmente, los clientes pueden trasladar sus licencias a IaaS de Oracle. Ahora, Oracle expandirá la oferta al permitir a los clientes reutilizar sus licencias de software existentes en  PaaS de Oracle, lo que incluye Oracle Database, Oracle Middleware, Oracle Analytics y otros. Los clientes con licencias existentes pueden aprovechar esa inversión para migrar a Oracle Database Cloud a una fracción del costo del antiguo precio de PaaS. Ejecutar Oracle Database en IaaS de Oracle es más rápido y ofrece más características que Amazon, proporcionando el costo total de propiedad más bajo de la industria. Adicionalmente, los clientes pueden reducir aún más los costos administrativos y operativos que requiere el mantenimiento en las instalaciones al beneficiarse de esta automatización de PaaS.

Créditos universales

Oracle presentó Universal Credits (Créditos universales), el modelo más flexible de compra y consumo de servicios de Nube de la industria. Con estos créditos universales, los clientes tienen un contrato sencillo que proporciona acceso ilimitado a todos los servicios actuales y futuros de PaaS y IaaS de Oracle, que abarcan Oracle Cloud y Oracle Cloud at Customer.  Los clientes obtienen acceso on-demand a todos los servicios, además del beneficio del menor costo que ofrecen los servicios prepagados.  Asimismo, cuentan con la flexibilidad para actualizar, expandir o mover servicios entre distintos centros de datos dependiendo de sus requisitos. Con los créditos universales, los clientes obtienen la capacidad de cambiar los servicios PaaS o IaaS que están utilizando sin tener que notificar a Oracle. Además, se beneficiarán de utilizar nuevos servicios con su conjunto existente de créditos de Nube, una vez que dichos servicios estén disponibles.

Las nuevas opciones de Universal Credits y Bring Your Own License to PaaS de Oracle estarán disponibles a partir del 25 de septiembre de 2017. Estos programas abarcan Oracle Cloud y Oracle Cloud at Customer.

Minería de criptomoneda en la plataforma “The Pirate Bay”

criptomonedas” han adquirido un papel importante. No entraremos en detalle sobre las criptomonedas y/o sobre lo que es “The Pirate Bay”. En Internet podemos encontrar muchísima información sobre esto.

Hay que decir que los gastos que conlleva administrar una plataforma como TPB son muy altos, así que no es de extrañar que se usen métodos como insertar publicidad para que así cubran los gastos derivados de la plataforma.

Lo interesante de la noticia es que han implementado el sistema de minería sin que los usuarios fuesen conscientes de ello. La plataforma que ha posibilitado esta minería es Coin-Hive. Con un sencillo fichero JavaScript se puede hacer que el visitante de la web también aporte al proyecto cediendo CPU para la minería en cada visita al sitio web.
La web de Coin-Hive nos muestra una pequeña demo de su sistema donde podremos ver cuantos hashes hemos calculado. En 30 segundos (el tiempo mínimo estimado que pasa un usuario en The Pirate Bay) hemos calculado alrededor de 600 hashes.
Captura de The Pirate Bay con el código JavaScript de minado


Hemos probado a entrar en los distintos portales de The Pirate Bay, haciendo uso de un simple comando de Linux vemos como sube nuestra carga de procesamiento, tanto que los cuatro núcleos están en el 90% aproximadamente.

 

Carga de un equipo común durante el proceso de minado

 

El fichero JavaScript contiene

 

Código JavaScript de minado
Desde la organización han comunicado que estaban haciendo una prueba para saber si es un método viable de financiación. De cualquier modo no sabremos si se han estado aprovechando de esto durante más tiempo.
Este nuevo sistema de financiación para webs gratuitas, con su debido control, podría llegar a ser menos molesto que las publicidad a la que estamos acostumbrados. Sin embargo, The Pirate Bay lo ha implementado sin ningún anuncio, advertencia ni consentimiento previo del usuario, lo cual debería ser requisito indispensable para el uso de esta tecnología.

FinFisher ataca de nuevo, ahora con posible apoyo de ISP’s

FinFisher (o FinSpy) es un spyware diseñado para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta última campaña parece apoyarse en los proveedores de servicio, según el último aviso de la firma antivirus ESET.

 

FinFisher no es un spyware especial. Al menos en el sentido técnico. Captura en directo de webcams, micrófonos, pulsaciones de teclado, extracción de archivos…No tiene funcionalidades extravagantes que otros spywares no tengan. Lo que llama la atención de FinFisher sobre los demás es lo controvertido de sus métodos de distribución. Métodos comospearphishing (phishing dirigido, en este caso para introducir un troyano), instalación manual en dispositivos accesibles físicamente, exploits 0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes específicos).

Esta vez la particularidad viene debida a que, según la investigación llevada a cabo por ESET, seha detectado la distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos comentados.
Se pudo determinar que aquellos usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un nivel mucho más bajo de lo habitual.
Esta capacidad de despliegue, sólo posible para determinados países y sus operadores, reafirma y parece validar los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP, o la distribución de FinFisher mediante ISPs cooperantes que introducen este comportamiento en su servicio.
Descripción del servicio FinFLY ISP
 
Carlos Ledesma
cledesma@hispasec.com

Más información:

New FinFisher surveillance campaigns: Internet providers involved?

540.000 registros de clientes expuestos en Internet

Nuevo leak. 540.000 registros de datos de clientes de una empresa han sido expuestos públicamente, durante un tiempo indeterminado, en Internet.

Los registros pertenecen a la empresa SVR Tracking, cuyo servicio principal es proveer de un sistema de seguimiento GPS y alertas de movimiento de vehículos. Este tipo de servicios suele ser instalado en flotas comerciales y como sistema de recuperación en caso de robo.

El problema fue descubierto por la empresa Kromtech Security Center, al encontrar un servidor caché al que se podía acceder sin contraseña, y en el que se encontraba el grueso de datos expuesto. Entre los datos estaban el nombre de usuario, contraseña, número de identificación del vehículo, IMEI del dispositivo GPS además de la localización física del dispositivo instalado en el coche.

 

Otro de los pecados cometidos por la empresa fue el tipo de almacenamiento de las contraseñas, en SHA-1, un algoritmo de hash ya superado; además ni tan siquiera se estaba generando una sal para dificultar ataques por tablas rainbow.

Imagen procedente de: https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online

Cómo podemos aprender, no hace falta una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta con no tener la más mínima idea de principios básicos de seguridad y desplegar un servidor con información crítica en Internet, sin control alguno, para facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían exponer a una empresa a sanciones y una grave pérdida en su reputación.

Inyección SQL en plugin “Responsive Image Gallery” de WordPress


La vulnerabilidad se encuentra en el fichero “gallery_class.php” y “gallery_theme.php”.

Código vulnerable en gallery_class.php
Código vulnerable en gallery_theme.php

Cuando se ejecuta la consulta SQL el parámetro $id no está filtrado. Dado esto, podemos introducir cualquier cadena. Para explotar esta vulnerabilidad se necesita el uso de HTTP v1.

Se pueden realizar dos tipos de ataques en este plugin: Union SQL Injection y Blind SQL Injection.


PoC de Union SQL Injection

 

PoC de Blind SQL Injection

 

La versión afectada es la 1.1.8. Para solucionar la vulnerabilidad se debe actualizar a la versión 1.2.1, disponible a través de https://downloads.wordpress.org/plugin/gallery-album.1.2.1.zip)

Más información:

Responsive Image Gallery, Gallery Album
https://wordpress.org/plugins/gallery-album/#developers

Múltiples vulnerabilidades en Samba

Se han confirmado tres vulnerabilidades en las versiones de Samba anteriores a la 4.4.16, 4.5.14 y 4.6.8, que podrían permitir a un atacante remoto secuestrar una conexión samba y acceder a información sensible a través de ataques de hombre en el medio.

Samba es un software libre que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet utilizando el protocolo de Microsoft Windows. Está soportado por una gran variedad de sistemas operativos, como LinuxopenVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

La primera vulnerabilidad, etiquetada con CVE-2017-12150, permitiría a un atacante remoto realizar ataques ‘man in the middle’ y obtener información sensible aprovechando que algunos mensajes ‘SMB’ se transmiten sin firmar:

  • En el cliente samba, cuando se utiliza el parámetro ‘-e’ para cifrar la conexión con el servidor, no se asegura la negociación de la firmapara los comandos ‘smb2mount -e’‘smbcacls -e’ y ‘smbcquotas -e’. Este fallo tiene relación con la vulnerabilidad CVE-2015-5296, corregida de forma incompleta en las versiones de Samba posteriores a la 3.2.0 y 4.3.2.
  • El componente ‘samba.samba3.libsmb_samba_internal’ para la librería de Python no tiene en cuenta la opción ‘client signing’ del fichero de configuración ‘smb.conf’ y envía los mensajes sin firmar.
  • La librería ‘libgpo’ tampoco fuerza la firma cuando hace una consulta de las políticas de grupo.
  • Las herramientas ‘smbclient’‘smbcacls’ y ‘smbcquotas’ permiten conexiones anónimas en caso de fallo cuando se utiliza el parámetro‘–use-ccache’.

El siguiente fallo (CVE-2017-12151) permitiría a un atacante remoto leer y alterar documentos a través de un ataque ‘man in the middle’ debido a que no se mantiene el cifrado cuando se realizan redirecciones ‘DFS’ (en un sistema de archivos distribuido) con conexiones de tipo ‘SMB3′. Este error se ha corregido en las versiones 4.6.8, 4.5.14 y 4.4.16 de Samba.

La útima vulnerabilidad corregida (CVE-2017-12163) permitiría a un cliente con permisos de escritura volcar el contenido de la memoria del servidor en un fichero o en una impresora. Esto es debido a que no se comprueba correctamente el rango de datos que envía el cliente, lo que podría provocar que el servidor completara la operación de escritura con datos almacenados en la memoria. Estos fallos han sido corregidos en las versiones de Samba posteriores a la 4.6.8, 4.5.14 y 4.4.16.

Se han publicado parches para solucionar estas vulnerabilidades en
http://www.samba.org/samba/security/

Francisco Salido
fsalido@hispasec.com
Más información:
 
SMB1/2/3 connections may not require signing where they should
https://www.samba.org/samba/security/CVE-2017-12150.html

SMB3 connections don’t keep encryption across DFS redirects
https://www.samba.org/samba/security/CVE-2017-12151.html

Server memory information leak over SMB1
https://www.samba.org/samba/security/CVE-2017-12163.html

El acceso no es suficiente

La tecnología se ha convertido en un aspecto fundamental para el futuro de las instituciones educativas, no importa cuan grandes y cuan diversas sean, por ello hoy nos toca hablar de las posibles necesidades de las mismas y la forman en que estas pueden quedar cubiertas.

Como ejecutivo que viaja, tengo el privilegio de escuchar las opiniones de las escuelas en gran parte de la región sobre tecnología en la educación. En unos pocos días voy a asistir a una conferencia de educación superior (Tical 2017 en Costa Rica), compartiendo la visión que he obtenido de mi experiencia en sector educativo, esto es algo emocionante.

En dicha reunión compartiré mis puntos de vista sobre las distintas soluciones de comunicación y el acceso unificado con los miembros apasionados de esta gran conferencia.  Aquí, cientos de tecnólogos de educación superior y los tomadores de decisiones se verán para hacer frente a los retos de colegios y universidades cuando se trata de la utilización práctica y el futuro del papel de la tecnología en la educación.

De mis participaciones en diversos eventos de este tipo veo que las tecnologías de la información en la educación superior ha llegado a un punto de inflexión, el punto en el que las tendencias que dominaron el liderazgo han motivado a los primeros usuarios y ahora son corriente principal.

En mis visitas por la región, algunas veces visitando escuelas y universidades de varios tamaños, soy muy consciente del impacto de la tecnología en las operaciones fundamentales y en el éxito de estas instituciones. Puedo decir con seguridad que las TI se han convertido en pieza fundamental para la educación superior. Los estudiantes universitarios de hoy son algunos de los nativos digitales más ávidos que nunca vi.

Así que se podría decir: Sí, la tecnología en un campus universitario… Está ahí, tiene que estar allí. Pero… ¿Qué hay de nuevo? ¿Por qué tanto alboroto? Ya no se trata de una universidad que tiene las capacidades tecnológicas básicas. El 60% de los estudiantes dicen que ni siquiera se fijan en una universidad si no tiene conexión Wi-Fi en todas partes. Se necesita hacer más que eso.

¿Qué está haciendo la escuela para mantenerse por delante, dado que estudiantes, profesores y personal de la escuela esperan más cada día? ¿Qué haces como institución educativa para proporcionar una experiencia personalizada y conectada en esa institución? Todo es cuestión de equilibrio. ¿Qué hacemos para satisfacer las expectativas de los estudiantes y de sus profesores? Para mantener una gran relación calidad-precio? ¿Nuestra innovación retiene al estudiante más tiempo, y ayuda a garantizar a los estudiantes una carrera? O al menos un buen impacto para conseguir una?

Gracias a estos cuestionamientos los mejores profesionales de la educación de TI han cambiado su enfoque. Ahora su foco es menor en problemas técnicos tácticos y más a problemas de negocio, más estratégicos y que marcan la diferencia en el balance final. Después de todo, el dinero manda.

¿Puede el departamento de TI, con recursos insuficientes de estos centros educativos tener una voz estratégica? La buena noticia, y se verá en eventos como el de Costa Rica, y es que la tecnología de la educación, y los avances en el aprendizaje mixto, las oportunidades que ofrecen los MOOCs y la adopción de las herramientas digitales en el aula significan que la marea cambia.

Hay tres áreas que los profesionales TI de la educación superior deben tener en cuenta y ayudan a demostrar el valor estratégico de la TI en la evolución de una organización educativa.

Utilizar la tecnología innovadora para ofrecer una experiencia personalizada conectada (estudiante /facultad). Una experiencia de conexión personalizada es la capacidad para que los estudiantes y profesores accedan a contenidos y aplicaciones sin problemas, usando sus dispositivos preferidos, desde teléfonos móviles a tabletas, en cualquier lugar, en cualquier momento, conectado a una nueva generación de redes inteligentes y cursos en la nube.

Esta es una manera perfecta de TI para ayudar a impulsar la innovación y la creación de valor en lo que respecta a la razón para que  un estudiante asista y a la razón de los maestros para educar. Una experiencia de conexión personalizada puede ser lo que diferencia a su escuela de todos los otros colegios.

Por ejemplo: un estudiante llega en su primer día. Escanea un código QR y el dispositivo se conecta de inmediato a la red de la universidad, sus registros se actualizan automáticamente, y recibe una aplicación de la universidad, con su horario personalizado, incluso su información de residencia. Lo que les permite (al alumno y a sus padres) centrarse en esos primeros días de su separación, sin otras preocupaciones.

Hacer que TI sea estratégica para el éxito de la universidad. Al conducir el éxito educativo y la solidez financiera mediante la tecnología, se convierte en un factor crítico para las operaciones generales de una universidad. La tecnología rica en innovación de hoy ofrece un soporte que cumpla con las nuevas expectativas de estudiantes y profesores.

Tecnología con modelos de consumo: es una manera de equilibrar el avance de la tecnología y reducir los costos. Las soluciones que se adaptan para satisfacer las necesidades únicas de sus entornos de educación son las que ayudan a las estrategias de TI que conducen al éxito del estudiante. Por ejemplo, puede ser un producto de primera calidad con un precio asequible y con un costo total de propiedad aún más bajo.

Este cambio estratégico reduce el costo por estudiante y ayuda a mantener su escuela como una opción cuando un estudiante de escuela preparatoria está evaluando a qué universidad ir. Como ejemplo la Universidad del Estado de California (CSU, que ahorra 100 millones de dólares de los contribuyentes de esta manera). Añadir nuevos avances en técnicas automatizadas, tales como equipos de auto restauración, herramientas de despliegue de SDN y la interoperabilidad con las marcas predominantes, hace que una universidad puede ahorrar significativamente y ayudar a conseguir tasas más bajas.

Impulsar la colaboración en tiempo real que conduce al éxito de la enseñanza y el aprendizaje de la experiencia de los estudiantes. Los profesionales de TI deben tener en cuenta la evolución de la forma en que las personas se comunican en la educación superior, aprovechando el entorno de tecnología de la información y las comunicaciones (TIC), reduciendo así el costo total, y mejorando la calidad de la educación.

TIC puede vincularse directamente al éxito compartido por los resultados de los estudiantes (mejor conectado) y la reducción del costo por estudiante (menor TCO). Con un enfoque basado en los resultados, la tecnología ayuda a fortalecer la reputación de la universidad y atraer a estudiantes y profesores en el proceso, al tiempo que reduce la matrícula al estar ligada directamente al éxito del proyecto de TI.

Por ejemplo, con el uso de herramientas de gestión de interacciones, una universidad puede centrarse en cada peso de la matrícula, sin afectar a la consistencia de la educación. Esto se traduce en una mejor experiencia de los estudiantes y en la mejora de la reputación de marca de la universidad.

Una cosa está clara, mientras nos preparamos para nuestra participación en Tical 2017, el punto de inflexión es una buena noticia para todas las personas de las TIC en la educación superior. Junto con los técnicos de educación, los CIO pueden abrir un camino en el entorno de la educación de próxima generación, y no sólo atraer a nuevos estudiantes, sino hacerlo lleno de sentido de los negocios.

¿Es OptionsBleed el nuevo HeartBleed?

El investigador independiente Hanno Böck ha descubierto una vulnerabilidad en los servidores web Apache que permite el filtrado de fragmentos de memoria arbitrarios. Un comportamiento que nos recuerda a HeartBleed, famosa vulnerabilidad en OpenSSL de 2014.

 

Imagen tomada de The Fuzzing Project
Precisamente por este parecido la vulnerabilidad ha sido bautizada como OptionsBleed, también en honor al método OPTIONS de HTTP. Este es utilizado por un cliente web para recibir información sobre los métodos soportados por el servidor. Una petición OPTIONS normal debería devolver una respuesta de la forma:

Respuesta de una petición OPTIONS.

Pero, durante una investigación sobre los sitios con mayor posición de Alexa, Böck descubrió algunas respuestas a OPTIONS bastante peculiares. Los métodos se repetían, aparecían vacíos, y en algunas cabeceras se devolvía algo parecido a una fuga de memoria:

Respuesta OPTIONS de un servidor vulnerable.

Este comportamiento le hizo sospechar. Aunque no conocía el software especifico que devolvía estas respuestas, encontró fugas con fragmentos de configuraciones que parecían pertenecer a servidores Apache, y se puso en contacto con el equipo de desarrollo, que finalmente confirmaron la vulnerabilidad.

Este error ha sido identificado como CVE-2017-9798 y ya existen parches para la mayoría de las versiones de Apache Web Server en Linux.

Teoría y práctica

Explotar OptionsBleed en teoría es sencillo: solo hay que realizar una petición OPTIONS al servidor para disparar la vulnerabilidad. En la práctica, la vulnerabilidad no es determinista, es decir, no devuelve siempre el mismo resultado dados los mismos datos de entrada. Por ello su reproducción es difícil.

Se sabe con seguridad que la vulnerabilidad es causada por un fallo en la implementación de la directiva Limit. Los métodos disponibles en el servidor (aquellos que la respuesta de OPTIONS comunica) se pueden establecer a nivel global en la configuración. Usando Limit, además, se puede limitar su uso por recurso, usando un fichero .htaccess.

Sintaxis de una directiva Limit.

El problema ocurre cuando establecemos una directiva Limit sobre un método que no hemos registrado en la configuración global. Es más, en general cualquier método no valido sobre el que se define esta directiva directiva en un fichero .htaccess provoca la fuga de información.

Aun localizado el problema, se deben dar ciertas condiciones para su explotación, y los detalles son bastante vagos. Según Böck en el FAQ de la vulnerabilidad:

Debido a su naturaleza, el fallo no aparece de forma determinista. Parece que solo se da en servidores ocupados. A veces aparece tras varias peticiones.

OptionsBleed no es HeartBleed

Más allá del parecido en el comportamiento, hay varias diferencias que hacen a OptionsBleed bastante menos peligroso que HeartBleed, la famosa vulnerabilidad en OpenSSL aparecida en 2014 con la que se le está comparando.

Por un lado, la superficie de exposición es menor. OptionsBleed solo afecta a servidores Apache Web Server. Por su parte HeartBleed afectaba a todo servidor con versiones de OpenSSL vulnerables, sin distinción entre web, email, o VPN.

Además, es necesario tener una cierta configuración y que el servidor se encuentre en condiciones específicas para la explotación. Hay que tener en cuenta que en el estudio se ha conseguido explotar la vulnerabilidad en solo 466 servidores entre el Top 1 millón de Alexa. Además, de ser explotada, OptionsBleed devuelve un fragmento de menor longitud que HeartBleed.

Sin embargo, tiene un riesgo añadido: en servidores Apache compartidos, un usuario puede incluir un fichero .htaccess manipulado para facilitar deliberadamente la explotación y descubrir secretos del resto de usuarios.

Pero hay algo que sí tiene en común: pasaron desapercibidos durante bastante tiempo.