Ataques dirigidos: el caso de Facebook

Rompemos varias costumbres de esta bitácora (además de la de volver a publicar, hacerlo varias veces la misma semana) hablando de algo de bastante actualidad: en Facebook computers compromised by zero-day Java exploit.

Según nos cuentan se ha tratado de un ataque dirigido a algunos ingenieros de Facebook:

Rather than using typical targeted approaches like “spear phishing” with e-mails to individuals, the attackers used a “watering hole” attack—compromising the server of a popular mobile developer Web forum and using it to spring the zero-day Java exploit on site visitors.

“The attack was injected into the site’s HTML, so any engineer who visited the site and had Java enabled in their browser would have been affected,” Sullivan told Ars, “regardless of how patched their machine was.”

Esto es, aprovechar un fallo de Java en un sitio web que esperas que visiten tus víctimas y luego aprovechar para obtener otro tipo de ventajas.

Ya habíamos hablado en el pasado de ataques a medida:

Ataques a medida con hojas de cálculo.
Vigilancia en el Tíbet.

Actualización (2013/02/21): Ahora le ha pasado algo parecido a
Apple a través de un portal que visitarían sus desarrolladores y parece que
el fallo de Twitter de hace unos días también tenía que ver con lo mismo.
Lo cuentan en Java detrás de los ataques a Apple, Facebook y Twitter.

Recuerden: no visitar sitios ‘delicados’ con la máquina del trabajo.

Otro caso de SSH y fuerza bruta

Y seguimos con ataques de fuerza bruta al SSH. En este caso nos lo cuentan en El extraño caso del SSH y el ataque de fuerza bruta donde se cuenta otra batallita de intentos de acceso por SSH, uso de un equipo para lo que no se debe y el tiempo perdido tratando de encontrar el problema.

Observando ataques de fuerza bruta en SSH

Este tipo de artículos son de los que más me gustan: normalmente llevan bastante trabajo y no son suficientemente genéricos pero nos dan algunas pistas. En este caso, además, hablan del SSH que es un protocolo que si uno tiene una máquina conectada a internet es relativamenet fácil observar los intentos de bots aleatoriamente sin mucha dificultad.

En Observations from two weeks of SSH brute force attacks hablan justamente de eso.

Intentos sencillotes:

As expected, the vast majority of password-guessing attempts are quite dull, and fall into one of two categories. Firstly there are attempts with a large number of ‘poor’ passwords (e.g. “password”, “1234″, etc…) against a small number of accounts which are very likely to exist (almost always “root”, but sometimes others such as “bin”).

Algunos más sofisticados:

Secondly, there were attempts on a large number of accounts which might plausibly exist (e.g. common first names and software packages such as ‘oracle’).

Y, finalmente, otros más interesantes:

here were, however, some more interesting attempts. One category was passwords far too complicated to be in a standard password dictionary, or even found through offline-brute-force attacks on a hashed password database (e.g. “TiganilAFloriNTeleormaN”, “Fum4tulP0@t3Uc1d3R4uD3T0t!@#$%^%^&*?”, and “kx028897chebeuname+a”). The best guess is that these passwords were collected from an unhashed password database, or from a trojaned SSH server or client.

Muy interesante.

Stuxnet: de la red al mundo físico

Parece que el tema de este verano ha estado siendo Stuxnet, un gusano que anda propagándose por ahí y que, como novedad, incluye un rootkit para PLC’s: esencialmente, si se dieran las condiciones adecuadas podría atacar entornos industriales ya que estos dispositivos controlan máquinas y otros sistemas.

Por lo demás, casi todo son elucubraciones y cosas que se piensa que
podrían pasar. Algunos enlaces:

• Stuxnet: el ‘ciber-arma’ que se los esta poniendo por corbata a media comunidad de seguridad e inteligencia
• DEADF007 – Is Stuxnet The Secret Weapon To Attack Iran’s Nukes; Is A Virus About To Revolutionize Modern Warfare?
• Stuxnet malware is ‘weapon’ out to destroy … Iran’s Bushehr nuclear plant?
  
• The Stuxnet Worm
• Stuxnet: the first weaponized software?

Y podríamos relacionarlo con dos tipos de entrada que hemos puesto por aquí de vez en cuando: sistemas inseguros porque no se piensa que nadie vaya a atacarlos, como aquella historia de Más ataques a coches y los enlaces que allí se contienen o Los electrodomésticos y la seguridad.
La otra línea serían los ataques dirigidos, como los que se comentaban en Ataques a objetivos concretos.

Ataques a medida con hojas de cálculo

Hablábamos no hace tanto de Vigilancia en el Tibet y cómo se había atacado mediante documentos preparados a propósito, entre otras cosas.

Como continuación, en Targeted Attacks with Excel Files hablan de la alternativa utilizando hojas de cálculo apropiadamente preparadas.
Curioso.

¿Pueden atacar tu coche?

Ya hablamos de Los electrodomésticos y la seguridad, refiriéndonos a robots de juguete y marcapasos.

En Experimental Security Analysis of a Modern Automobile (pdf) han comprado un par de coches iguales (para ver que los fallos eran reproducibles) y se han dedicado a probar sus sistemas informáticos: han descubierto todo tipo de fallos, que afectan al vehículo tanto en parado como en marcha y que permiten hacer cosas como apagar las luces, frenar, cambiar lo que muestra la instrumentación …. Todo ello tanto en local como en remoto (a través de algunos sistemas de comunicación disponibles).
Impresionante, si lo pensamos con cuidado.

Ya habíamos hablado de ¿Virus en el coche? y Jugando con Cabir sobre ataques maliciosos a los sistemas informáticos de los coches.

También de Coches y reparaciones, o de Cuando tu coche no te hace caso, Coche asesino, Coches, computadoras y riesgos que no harían sino confirmar lo que dicen los autores del artículo: los problemas aparecen en una variedad de marcas y modelos. También lo que veníamos sugiriendo con lo de los ‘electrodomésticos’: la informática en cualquier cosa que no sean ordenadores está bastante descuidada y tiene fallos, problemas y agujeros de seguridad que pueden ser peligrosos.

Ataques a objetivos concretos

Siempre se habla de que se podrían tener ataques personalizados como una posibilidad pero nunca se comenta demasiado sobre esto en los medios de comunicación y sitios de noticias. Supongo que se debe a que los ataques personalizados no son tan publicitados (a lo mejor hasta pasan desapercibidos) y tampoco son de interés general. Sin embargo, leíamos el otro día un par de ellos donde los objetivos eran de suficiente nivel como para no pasar desapercibidos: en On-going Targeted Attacks Against US Military Contractors hablaban de ataques a contratistas de las fuerzas armadas de EEUU y en Intelligence Sector Hit by a Targeted Attack.

En ambos casos se trata de aprovechar una vulnerabilidad del lector de PDF y un documento malicioso adecuadamente preparado, que abriría una puerta trasera que permitiría al propietario del PDF conectarse al ordenador comprometido.

Por aquí sí que habíamos hablado de ataques personalizados en Puedes estar vigilado.

Personas contra gusanos

En People Vs Worms un resultado poco sorprendente pero que está validado por datos y que, por lo tanto, vale la pena reseñar: se comparan sistemas comprometidos por personas y por gusanos. La conclusión es que los gusanos son mucho más rápidos que las personas ante las vulnerabilidades que ‘conocen’ (pocas dudas: son programas, actúan de manera automática) y las personas son más lentas, pero consiguen atacar más sistemas.

En Measures with meaning hablan de la supervivencia en un experimento controlado de máquinas corriendo XP con diversos niveles de vulnerabilidades: ninguna de ellas con más de 6 vulnerabilidades sin parchear y accesibles desde la red aguantó más de 15 días sin ser comprometida. Uno de los sistemas con dos vulnerabilidades conocidas fué comprometido en cuatro días.

Nuevos ataques con SMSs

Ya tiene unos días (y solución) pero quede aquí a título de inventario: Researchers attack my iPhone via SMS: mediante el envío de un mensaje especial el teléfono queda a merced del atacante (mediante más mensajes de control). Lo vi en Vulnerabilidad en los iPhone vía SMS.

Ya habíamos hablado de ataques a teléfonos de la marca Nokia en ‘Regalos’ navideños de seguridad y también a routers,

Pero … ¿Qué son las botnets?

En When Bots Attack un artículo explicando las botnets de manera básica. Lo ha traducido Raúl Bautista en Cuando las redes bot atacan.