Blog Laboratorio Hispasec

'White Paper' sobre la vulnerabilidad en el tratamiento de im�genes en Firefox y otros navegadores

Hispasec publica un documento t�cnico que analiza la vulnerabilidad en tratamiento de im�genes en m�ltiples navegadores. El problema se basa en un manejo incorrecto de ficheros en formato BMP con paleta de colores parcial. El c�digo vulnerable permite que, al manejar un fichero BMP especialmente manipulado, se filtre informaci�n al heap, y estos datos pueden ser enviados a un servidor remoto con ayuda de la etiqueta canvas de HTML y JavaScript. Esta vulnerabilidad ha sido descubierta por Hispasec.

Los enlaces directos a la descarga de los documentos (en castellano e ingl�s) son:

http://www.hispasec.com/laboratorio/vulnerabilidad_firefox.pdf http://www.hispasec.com/laboratorio/vulnerabilidad_firefox_en.pdf

Se puede visualizar un v�deo en el que se muestra el efecto del exploit en: http://blog.hispasec.com/lab/files/ff_2_0_0_11.avi

Workshop de FORWARD

Recientemente Emiliano y el que suscribe hemos participado (como representaci�n de Hispasec) en un taller de trabajo de un proyecto europeo llamado FORWARD. B�sicamente se trata de una iniciativa de la Uni�n Europea que trata de crear un grupo de expertos en materia de seguridad inform�tica para afrontar las futuras amenazas en dicho contexto. Aqu� ocurri� el meollo de la cuesti�n
Localizado en Gotteb�rg (Suecia), ha reunido a una cantidad bastante impresionante de entidades de todo tipo, desde universidades (Carnegie Mellon, Mannheim, T�cnica de Viena, etc.) hasta empresas privadas relacionadas directa o indirectamente con la seguridad inform�tica (Banco de Austria, Boeing, Cisco, France Telecom, Nokia, Panda, Symantec, etc.) y por supuesto, la propia Comisi�n de la UE. Se ha discutido largo y tendido sobre temas como protecci�n de Infraestructuras Cr�ticas, Malware, Fraude Onine, desde las perspectivas y experiencia de los distintos sectores participantes. Desde Hispasec, por ejemplo, hemos aportado nuestra visi�n sobre temas de malware y fraude, apoy�ndonos en nuestra experiencia d�a a d�a. La verdad es que fu� interesante ver las aportaciones de gente como la de la Carnegie Mellon, Boeing y Cisco, especialmente por aquello del enriquecimiento de ideas al verse desde distintas perspectivas. S� echamos de menos la participaci�n de fuerzas del orden involucradas en estos temas, por lo que en futuros encuentros esperamos que tambi�n participen (pensamos que dicha participaci�n es simplemente ineludible para tratar este tema de forma efectiva).

Troyanos bancarios luchando por la libertad sexual...

En el inmenso flujo de malware que recibimos cada d�a en VirusTotal siempre encontramos alguna cosa curiosa como la captura de pantalla que colgaba Sergio hace unos d�as (Crear malware con prisas). Analizando los Troyanos bancarios recibidos hoy he encontrado uno con un gusto sexual un tanto especial: Tal y como pod�is apreciar, el Troyano est� empleando como drop host al que enviar los datos bancarios capturados el subdominio "iwannafuckadogintheass"... los desarrolladores de malware pueden llegar a tener unas aficiones realmente peculiares...

WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats)

Despu�s de algo m�s de un a�o de trabajo entre bambalinas, y bajo el amparo de la Uni�n Europea, ha comenzado su andadura el proyecto WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats), formado por un grupo de universidades y empresas internacionales, entre las que se encuentra Hispasec.

El proyecto WOMBAT tiene como objetivo proporcionar nuevos m�todos para entender las amenazas que atacan directamente a la econom�a de Internet y los ciudadanos. Para alcanzar su objetivo el proyecto aborda (i) concentrar en tiempo real los reportes de ataques de una gran diversidad de fuentes, (ii) enriquecer esos datos con varias t�cnicas de an�lisis automatizado y (iii) identificar la causa ra�z de los mismos. El conocimiento adquirido ser� compartido con todos los agentes de seguridad interesados (ISPs, CERTS, empresas de seguridad, etc), de cara a aumentar el nivel de seguridad y confianza de los ciudadanos europeos.

El proyecto, parcialmente financiado por la Uni�n Europea bajo el S�ptimo Programa Marco (7PM), est� integrado por:

(Francia) - France Telecom R&D
(Francia) - Institut Eurecom
(Austria) - Technical University Vienna
(Italia) - Politecnico di Milano - Dip. Elettronica e Informaziones
(Holanda) - Vrije Universiteit Amsterdam
(Grecia) - Foundation for Research and Technology
(Espa�a) - Hispasec
(Polonia) - Research and Academic Computer Network
(Irlanda) - Symantec Ltd.
(Singapur)- Institute for Infocomm Research

M�s informaci�n en la web del proyecto WOMBAT

Cifras de VirusTotal por terceros

Algunas veces comento con Rom�n que me da "verg�enza" utilizar los n�meros que movemos en determinadas �reas porque, de tan "escandalosos" que son, o bien nos acusan de alarmistas, o bien de exageraci�n con tintes comerciales (cree el ladr�n que todos son de su condici�n).

Afortunadamente, de vez en cuando, alg�n tercero da cifras relacionadas con nosotros. Por ejemplo en este art�culo de PCWorld se puede leer:
"McAfee employs VirusTotal's shared information. The company receives more than 200,000 samples per month from the site, says Dave Marcus, security research and communications manager for McAfee Avert labs. He says that antivirus companies share with one another the thousands of samples they receive directly from users, too."

Teniendo en cuenta que los laboratorios antivirus reciben las muestras �nicas que no detectan y si lo hace cualquier otro antivirus (sumar aqu� tambi�n los falsos positivos), puede dar una idea de la cantidad de malware (mejor dicho, supuesto malware) que se mueve. Alg�n mes superamos el mill�n de ficheros analizados.

Realmente no es m�rito nuestro, nosotros s�lo nos encargamos de tener a punto la herramienta y dimensionarla para encauzar todos esos env�os que provienen desde particulares an�nimos hasta los principales CERTs internacionales, con los que mantenemos acuerdos para facilitarles la automatizaci�n de sus an�lisis.

Es ese papel que nos ha tocado, en medio de este feedback con los laboratorios antimalware, el que nos da cierta posici�n de privilegio a la hora de abordar ciertos temas, como el del fraude por Internet.

Crear malware con prisas...

Este es un perfecto ejemplo de c�mo el programar malware con prisas termina por hacer que se creen espec�menes cutres. Y no hablo ya de errores en programaci�n, donde el propio agotamiento de quien crea decenas de nuevas muestras al d�a se hace patente en mucho malware analizado... En este ejemplo destaca un simple despiste tonto a la hora de capturar las im�genes que formar�n parte de la estafa.

Este esp�cimen pertenece a la familia de los Delephant. Recibimos decenas de ellos en VirusTotal a diario, y afectan a una gran cantidad de bancos espa�oles, latinoamericanos y brasile�os sobre todo. Esta variedad consiste en una aplicaci�n que simula ser el navegador, y que se activa mientras cierra la ventana del verdadero Internet Explorer cuando el usuario visita la p�gina del banco. Aunque es una simulaci�n muy buena, est� lejos de ser perfecta. Por ejemplo, pulsar en el 'candadito' para ver el certificado SSL no resulta en ninguna acci�n, puesto que toda la ventana no es m�s que una recreaci�n del navegador, en ning�n caso el Internet Explorer verdadero. Por supuesto, las contrase�as ah� introducidas viajar�n por correo al atacante.

El caso es que este programador ha tomado una captura de pantalla de una de las p�ginas corporativas de la entidad para darle realismo... y ha incluido sin querer el men� contextual que aparece en Windows cuando se deja el cursor sobre la propia imagen en el visor est�ndar. Lo rodeado por el c�rculo rojo, simplemente no deber�a estar ah�, al creador del bicho se le ha colado de soslayo en la captura. Es que no se puede crear malware con prisas.

�Trabajas demasiado?

Siempre hab�a pensado que s�... pero visto lo visto, hay qui�n lo lleva peor. Qui�n no se consuela es porque no quiere :)
http://www.youtube.com/watch?v=gvz4aY7nvNQ