El diario de Juanito

Ayer noche, después de la paliza Sevilla-Madrid, estuve leyendo algo de noticias, y me encontré con una noticia muy interesante sobre Phishing. En el artículo se hace mención a la nueva “línea de negocio” que los phishers estudian e implantan para cometer estos actos. El artículo en cuestión lo tenéis aquí. Si anteriormente escuchábamos que la gran mayoría de servidores vulnerados eran sistemas Windows, lo cual dudo mucho ya que hay un gran porcentaje de servidores Linux que son catalizadores en ataques vía Phishing, ahora se decantan o están empezando a tomar conciencia de los ataques vía Linux.

Como muchos de nosotros sabemos, en sistemas Linux también hay rootkits, incluso antes de que saliesen para Windows, y bastante sofisticados además. No es de extrañar, que este tipo de negocio vaya mutando hacia otros sistemas operativos.

Las técnicas para el Phishing han mejorado mucho. Han mejorado en el idioma, han mejorado en la forma, han mejorado en el envío de mails, y por qué no, si tienen otra fuente desde la que lanzar el ataque, por qué no hacerlo!

Hace poco teníamos un ataque a gran escala. Hablamos de unas 11.000 páginas que aprovechaban vulnerabilidades conocidas en los principales navegadores, entre los que se encontraban IE, Firefox y Opera. La alerta en cuestión es ésta, y se podía encontrar información detallada en el blog de Hispasec, y en ésta otra entrada.

Un Rootkit en Linux funciona de manera similar que en los de Windows. Tenemos Rootkits en modo usuario y modo Kernel. Los que son para la capa de usuario, normalmente suplantan archivos (los troyanizan) o bien, modifican el comportamiento de alguna aplicación. Ejemplos básicos los podríamos tener en la salida de netstat (ocultando puertos), o bien ocultando procesos que estén corriendo en el sistema (ocultando la salida de un ps por ejemplo). Los que son para modo Kernel, añaden código a la zona de Kernel, bien mediante un driver, o bien mediante un módulo.

En kernels antiguos (menor que el 2.5) si alguien lograba privilegios de root en un sistema previamente comprometido, éste tenía bastante facilidad para inyectar módulos directamente en el kernel. A partir del 2.5 (si mi memoria no me falla) se modifican ciertos aspectos del kernel para dificultar este tipo de intrusiones. No obstante, las técnicas de ocultación se han ido modificando, hasta burlar por completo las técnicas de los desarrolladores del Kernel por mitigar este tipo de acciones, y hoy en día, podemos encontrar muchos rootkits para las últimas versiones del kernel de Linux.

Nadie duda de si un sistema Linux es seguro o no, pero hay una cierta (sobrada) creencia de que Linux es superior y más seguro que sistemas basados en Windows, cuando la realidad es bien diferente.

Actualmente hay una gran variedad de Rootkits para Linux, entre los que se encuentran los siguientes:

Adore .- Rootkit basado en LKM (Loadable Kernel Module). Se oculta a sí mismo, procesos y ficheros.

SuckIt .- Oculta procesos, ficheros y conexiones. Se carga en el dispositivo /dev/kmem. Aquí tenéis un análisis del bichito en cuestión

Knark .- Rootkit basado en Kernel (2.2 y 2.4). Oculta procesos, ficheros y puertos.

Otro friend, amigo de los niños y que se llama Amir Alsbih ha empezado a desarrollar otro juguetito para el kernel 2.6, y que va a denominar Project Override.  El proyecto en cuestión lo tenéis aquí. El tío explica el por qué no se debe de estar tranquilo sólo porque se utilice Linux, desmitificando ese pensamiento que parece tener la mayoría de usuarios que utilizan Linux. Su POC esconde los ID de los procesos (también de los procesos hijos) que se necesiten esconder, esconde procesos, asigna privilegios de root a procesos predefinidos, esconde ficheros que empiecen por un determinado prefijo, disfraza puertos de red, etc… Casi nada verdad?

Un rootkit que se instale a nivel de Kernel podrá manipular las llamadas al sistema, y si puede manipular llamadas al sistema, podrá también modificar cualquier aplicación cargada desde la zona de usuario, así que software como Tripwire, aide, Fcheck, etc… no me servirían de NADA en casos como este, ya que podrían estar lanzándome salidas manipuladas previamente por el rootkit.

A partir de aquí edito y añado un poco de flame al asunto, ya que cuando lo iba a publicar, se me ha adelantado la ciudad de los krispis, publicando un artículo que menciona esto mismo, pero restando importancia al asunto sólo porque la charla estaba patrocinada por Microsoft.

Vamos a ver…. Microsoft no patrocinaría jamás una charla en donde se juanquease un equipo suyo no? En esto estamos seguros no?

Joder, pues las BlackHat están patrocinadas por Spectra, y la RutKowska hablando sobre el bluepill (cuando Spectra no tenía decidido qué certificados iba a usar), el último reto forense celebrado por RedIris y la UNAM-CERT también está patrocinado por Spectra, y joder! Se analizaba un 2003 que había sido juanqueado a través del navegador IE!

Pero cuando un informe dice que en Linux también hay línea de negocio para Phishing, rootkits, virus, gusanos, etc… Eso es imposible….

Pero en fin…. Viendo URLS como ésta, o esta otra podríamos decir sin lugar a dudas que Linux es seguro. Y si es inseguro seguramente sea culpa de Spectra. Así que como la ciudad de los Krispis dice que a Linux le corresponde la “jefatura”, yo os animo a que toméis el mando de la jefatura y sigáis los dos enlaces anteriores, picando en cada directorio….

Besitos!

Eso es seguramente lo que piensen muchísimos usuarios de la Internet de hoy cuando instalan sus servidores y aplicaciones Web. Una instalación by default (of course), o como diriamos en mi tierra, una instalación tipo tó p`lante.

Esta mañana me han enviado un mail muy instructivo que me linkaba a una Web del Arizona Central Credit Union. La Web real es esta:

https://www.azcentralcu.org/

Todos debemos saber ya las características para identificar un sitio Web válido. Página certificada (esta en concreto con certificado Verisign), en un dominio propio con su correspondiente servidor (acá la IP del banco 208.2.189.169), etc, etc…

Esta es la Web que me linkaba el correo:

http://71.248.113.250:8080/azcentralcu.org/onlineserv/HB/

De momento no la pillan ni IE ni FireFox en su última versión, así que os podéis imaginar el peligro que eso conlleva. Si algún incauto basa todas sus esperanzas de no caer en un ataque tipo Phishing en el estado de la barra de direcciones de los navegadores, ésta Web, al no ser indexada todavía por las listas de los fabricantes, pasaría totalmente desapercibida a ojos de este incauto.

Los exploradores se basan en listas negras para poder detectar este tipo de Webs maliciosas. Para saber más sobre la barra antiPhishing de Internet Explorer, podéis descargaros este White-Paper de la Web principal:

http://www.microsoft.com/downloads/details.aspx?FamilyId=B4022C66-99BC-4A30-9ECC-8BDEFCF0501D&displaylang=en

Firefox se basa en una lista negra mantenida por Google, y que se puede ver en esta dirección:

http://sb.google.com/safebrowsing/update?version=goog-black-url:1:1

A lo que ibamos, que me enrollo….

Qué posible vía es la que utilizan estos chicos del phishing para colarnos sus .php en nuestros servidores? Una de ellas podría ser la NO securización de nuestro servidor, dejando totalmente visible toda la configuración de la Web. Trabajo fácil y sencillo. Seguro que pensáis que es imposible no? Para muestra…. Un botón:

A mi no me va a pasar nada

Tengo mi servidor muy seguro

Seguí el manual de mi compadre. En Internet le dicen Tecnicoless, pero no entiendo por qué.

La securización de un servidor es tan importante como la propia puesta en marcha de una aplicación Web.

Este servidor no lleva ni 2 días en funcionamiento, y por culpa de la dejadez, podemos ser potenciales víctimas de una estafa de Phishing. Por culpa de uno, podemos pagar todos.

Hemos pasado del timo de la estampita al phishing en cuestión de años. Un timo, diferentes escenarios, diferente época, mismo resultado. Robar.

Tened cuidado por ahí chicos!