Malware, Malware y ms Malware Cmo me puedo proteger Dijo el cliente web'

1
Malware, Malware y más MalwareCómo me puedo
proteger? Dijo el cliente web.
Marc Vilanova Consultor de Seguridad TIC
Independiente
2

• Quién soy?
• Consultor de seguridad TIC Independiente
• 4 años de experiencia profesional
• Miembro del FIRST (Forum of Incident Response and
  Security Teams)
• Miembro del APWG (Anti-Phishing Working Group)

3

• Evolución de los clientes Web
• Panorama actual
• Tecnologías y Funcionalidades
• Riesgos. Cuándo empeoran las cosas?
• Consecuencias
• Ataques comunes
• Ataques reportados recientemente
• Quienes están detrás?

4

• Porqué?
• Configuración segura
• Internet Explorer
• Mozilla Firefox
• Apple Safari
• Otros
• Recomendaciones Generales
• Enlaces de Interés
• Preguntas?

5
Evolución de los clientes Web

• Web Browser TimeLine
• Des del 1991 a día de hoy han nacido muchos
  navegadores
• Algunos siguen en desarrollo IE, Mozilla
  Firefox, Apple Safari, Opera, etc.
• Otros se quedaron en el intento Cello,
  WebRunner/HotJava, etc.
• Las tecnologías Client-Side también han ido
  evolucionando
• HTML, DHTML, CSS, Cookies, ActiveX, JavaScript,
  VBScript, AJAX, Java, etc.
• Mejora de la experiencia del usuario
• Interfaces más atractivas

6
Panorama actual

• Uso muy frecuente del cliente Web
• Nadie se acuerda de él cuando se habla de
  seguridad. Porqué?
• Las configuraciones por defecto que proporciona
  el fabricante no son seguras
• Mejoran de la experiencia del usuario, pero.
• Aumenta el riesgo y disminuye el tiempo de ser
  comprometido
• Es una pasarela perfecta para explotar
  vulnerabilidades del software
• Navegador
• Plug-ins (Realplayer, Quicktime, Adobe Flash,
  ...)
• Sistema Operativo
• Los atacantes ya se han dado cuenta hace tiempo.
  Porqué seguimos sin hacer nada?

7
Tecnologías y Funcionalidades ActiveX

• Microsoft Internet Explorer
• Permite que las aplicaciones, en parte o su
  totalidad, sean utilizadas des del navegador
• Aumenta la superficie de ataque
• Componentes que residen en el Sistema Operativo o
  se pueden descargar on-line
• Funcionalidad extra
• Pueden reducir la seguridad del sistema si no
  existe una buena implementación
• Se pueden explorar aunque no hayan sido diseñados
  para ser usados en el navegador
• Ver http//www.kb.cert.org/vuls/id/680526
• CERT/CC ActiveX WorkShop Report
• ActiveX Vulnerabilities DB

8
Tecnologías y Funcionalidades Java

• Lenguaje que permite el desarrollo de contenido
  activo para páginas web
• Independiente del sistema operativo
• Usa la JVM para la ejecución del código Java o
  Applet en un entorno "controlado" (sandbox)
• Algunas implementaciones contienen
  vulnerabilidades no corregidas a día de hoy
• Aunque el código esté signado, es posible
  saltarse las restricciones
• Java Vulnerabilities DB

9
Tecnologías y Funcionalidades JavaScript y
VBScript

• JavaScript
• Lenguaje de scripting que permite hacer que las
  páginas web sean más interactivas y mas cosas
• Muy extendido y usado
• VBScript
• Lenguaje de scripting para Microsoft Internet
  Explorer
• Similar a JavaScript
• Incompatibilidad Menos usado

10
Tecnologías y Funcionalidades Cookies

• Ficheros almacenados en la parte cliente que
  contienen información sensible
• Páginas Web visitadas
• Credenciales de acceso
• Etc.
• El programador Web decide QUE información se
  almacenará en ellas
• Tipos
• Sesión. Se destruyen cuando se cierra el
  navegador
• Persistentes. Se destruyen cuando caducan (Más
  riesgo)
• Los atacantes intentaran hacerse con ellas con el
  fin de robar información

11
Tecnologías y Funcionalidades Plug-ins

• Aplicaciones diseñadas para ampliar la
  funcionalidad del navegador
• Parecidos a ActiveX, pero no se pueden ejecutar
  fuera del navegador
• Realplayer, Quicktime, Adobe Flash, etc.
• Pueden contener Buffer Overflows o provocar
  violaciones de Cross-domain

12
Riesgos. Cuándo empeoran las cosas?

• Cuando el usuario no evalúa el riesgo asociado al
  click del ratón
• Riesgo Ir a sitios inesperados
• Cuando aparecen nuevas vulnerabilidades en
  actualizaciones de software
• Cuando los ordenadores vienen con software
  pre-instalado
• Revisar siempre
• Eliminar si no es necesario
• Cuando el software de terceros no dispone de
  actualizaciones automáticas
• Páginas web que requieren de la instalación de
  software adicional
• Plug-ins, Codecs, etc.
• Cuando el usuario no tiene los conocimientos para
  una correcta configuración
• Educar al usuario. Proporcionarles el
  conocimiento
• Cuando los usuarios no están dispuestos a
  activar/desactivar funcionalidades a cambio de
  seguridad

13
Consecuencias

• Toma de control
• Robo de información
• Credenciales de acceso
• Documentos
• Etc.
• Destrucción de ficheros
• Extorsión CryptoViral
• Pasar a formar parte de una Botnet o Fast-Flux
  Service Network

14
Botnets

• A botnet is a collection of computers, connected
  to the internet, that interact to accomplish some
  distributed task. (http//www.shadowserver.org/)
• Típicamente usadas para realizar actos ilegales
• Spam, DoS, DDoS (Estonia), Robo de Identidad
  (Phishing, Keyloggers), AdSpyware, Scaneos de
  Red, Ataques massivos RFI (RemoteFileInclusion)
  (recientemente), etc...
• Controladas por una o más personas (BotMaster o
  BotHerder)
• Estructura de Command Control (CC)
• Mecanismos de control basados en HTTP
  (NetHell/Limbo), IRC, P2P (StormWorm. de un
  año).
• de 10.000 bots en una botnet es no es nada raro

15
Ataques Comunes

• XSS (Cross-side Scripting)
• Se aprovecha de la confianza que el cliente Web
  tiene con la página Web
• Robo de información, bypass de autenticación,
  etc.
• XSS Vulerabilities DB
• CSRF (Cross-side Request Forgery)
• Se aprovecha de la confianza que la página Web
  tiene con el cliente Web
• Modificar la configuración de un cortafuegos que
  se administra via Web
• Cross-Zone y Cross-Domain
• Acceso a datos de otro domino
• Acceso a ficheros locales
• Cross-zone and cross-domain vulnerabilities DB

16
Ataques reportados recientemente

• Massive Malicious JS Injection Campain
• "xprmn4u.info/f.js" contained in about 83,000
  sites
• free.hostpinoy.info/f.js contained in about
   177,000 sites.
• Otros casos relacionados
• uc8010.com
• 2117966.net
• Cuál es el objetivo final? Comprometer nuestro
  sistema
• Massive SQL Injection Attack
• Modificación de las variables VARCHAR de las
  BBDD para inyectar tags HTML Script
• hxxp//www.2117966.net/fuckjp0.js
• http//www.shadowserver.org/wiki/pmwiki.php?nCale
  ndar.20080320)

17
Código JavaScript Malicioso Ofuscado

• Evasión de los sistemas
• AntiVirus
• IDSs
• IPSs
• Gracias a la naturaleza dinámica de JavaScript

18
Quiénes están detrás?

• CyberCrime Executives (Data Brokers / Carders)
• Spammers (Pump-and-Dump Stocks, Products,
  Phishing, Malware)
• Web Site Hackers and Malware Writers
• Bot Herders
• Criminal ISPs (RBN. Russian Business Network)
• Bullet-proof services
• St. Petesburg -gt Panama -gt Asia
• YOU !!!
• Spam through botnets
• Malware through infected websites

19
Porqué?

• DINERO!!!
• Software requerido
• MPack (Web Attack Toolkit) 300-500
• Dream Downloader 200-300
• Limbo/NetHell (Banking Trojan, keylogger, etc.)
  1000
• Inversión Total de 1500-1800
• Beneficios? Millones de dólares
• Capacidad para atacar, al mismo tiempo, más de
  500 bancos a nivel mundial

20
Configuración Segura Internet Explorer 7

• Totalmente integrado en MS Windows
• Donde? Herramientas -gt Opciones de Internet -gt
  Seguridad
• Zonas de Seguridad
• Internet (High)
• No ActiveX
• No Active scripting
• No Java
• Local Intranet
• Trusted Sites (Medium-High)
• Restricted Sites
• Nivel personalizado por zona

21
Configuración Segura Internet Explorer 7

• Privacidad
• Cookies
• Advanced -gt Override automatic cookie handling
• Prompt for first and third party cookies
• Allow session (not persistent) cookies enabled,
  if there is a lot of prompts
• Sitios
• Gestionar las cookies por URL

22
Configuración Segura Internet Explorer 7

• Disable third-party browser extensions
• Tool Bars
• BHOs (Browser Helper Objects)
• Usados por los Troyanos para
• Monitorizar el tráfico
• Man-in-the-Middle Attacks

23
Configuración Segura Internet Explorer 7

• IDN spoofing of web page addresses
• Enable the "Always show encoded addresses" option
  (http//www.kb.cert.org/vuls/id/273262)
• Disable the Play sounds in webpages
• No provoca interferéncias con otros softwares,
  cómo Adobe Flash or Apple QuickTime

24
Configuración Segura Internet Explorer 7

• Programas
• Especificar cuales van a ser los programas
  asociados a los diferentes eventos
• Deshabilitar que se nos pregunte si IE es el
  navegador por defecto

25
Configuración Segura Mozilla Firefox

• No dispone de soporte para ActiveX
• No dispone del modelo de Zonas de Seguridad
• CAPS
• Políticas de seguridad
• No gràfico

26
Configuración Segura Mozilla Firefox

• Tools -gt Options
• General
• Always ask me where to save files
• Privacidad (History Cookies)
• Entornos compartidos
• Disable the option Remember what I enter in
  forms and the search bar
• Control granular (Deny, Allow for Session, or
  Allow the cookie)
• Use my choice for all cookies from this site
• Keep until I close Firefox option. (Si hay muchas
  peticiones)

27
Configuración Segura Mozilla Firefox

• Security
• Passwords
• Master Password to encrypt sensitive data
• Warn me when sites try to install add-ons (Show a
  top bar when a site tries to take an action)

28
Configuración Segura Mozilla Firefox

• Content
• Enable/Disable Java. Revisar primero la web
• Advanced
• JavaScript. Todo desabilitado
• File Types (Manage)
• Asociacion de tipo de fichero con programas
• Para todos los ficheros asociados -gt save to
  disk
• Previene la explotación automàtica
• Aumenta el número de acciones al usuario

29
Configuración Segura Mozilla Firefox

• Firefox 1.5 i posteriores
• Herramientas -gt Limpiar información privada
• Extensiones interesantes
• NoScript
• Zonas de Seguridad
• FireKeeper (Web IDS)
• Known infected sites (http//malware.com.br/)
• Scanning of HTTP(S) URL requests, Headers and
  Body.
• Fast Pattern matching algorithm (SNORT)

30
Configuración Segura Apple Safari

• Safari -gt Preferencias
• General
• Save downloaded files to
• Disable Open safe files after downloading
• AutoFill tab
• Filesystem encryption software such as OS X
  FileVault along with the use secure virtual memory

31
Configuración Segura Apple Safari

• Security
• Web Content (Scripting and active content)
• Disable Plug-ins, Java and JavaScript
• Activar el bloqueo de ventanas pop-up
• Cookies
• Sólo de sitios que estoy navegando, no de
  terceras partes (Ads)
• Activar "Ask before sending a non-secure form to
  a secure website
• Activar el aviso antes de mandar datos no
  cifrados de un formulario cuando se visita un
  site securizado con HTTPS

32
Configuración Segura Otros

• Opera
• Mozilla SeaMonkey
• Konqueror
• Netscape

33
Recomendaciones Generales

• Activar SIEMPRE las actualizaciones automáticas
  cuando el software lo permite
• Mantenerse informado sobre los cambios del
  software
• Página Web Oficial del fabricante
• Listas de correo
• Instalar y usar software AntiVirus (No protege
  contra todo el código malicioso)
• Seguir el principio de No lo habilites sino lo
  necesitas
• Usar cuentas con privilegios limitados
• Administrador para la gestión y el mantenimiento
  del SO y software
• Usuario sin privilegios para el uso diario
• Usar DropMyRights
• Educar al usuario para evitar comportamientos
  inseguros
• Seguridad a nivel DNS Proyecto OpenDNS

34
Enlaces de interés (I)

• CERT/CC References (http//www.cert.org/)
• US-CERT Browser Security (http//www.us-cert.gov/r
  eading_room/securing_browser)
• NSA (National Security Agency) Security Guides
• OWASP  Top Ten
• SANS Top 20
• Microsoft Windows XP References
• Improve the safety of your browsing and e-mail
  activities (http//www.microsoft.com/athome/securi
  ty/online/browsing_safety.mspx)
• Microsoft's Protect Your PC (http//www.microsoft.
  com/protect/)
• Microsoft Windows XP Baseline Security Checklist
  (http//www.microsoft.com/technet/archive/security
  /chklist/xpcl.mspx)
• Setting Up Security Zones (http//www.microsoft.co
  m/windows/ie/using/howto/security/setup.mspx)

35
Enlaces de interés (II)

• Apple Macintosh OSX References
• Apple Product Security (http//www.apple.com/suppo
  rt/security/)
• OSX Security Features Overview (http//www.apple.c
  om/macosx/features/security/)
• Apple Security Updates (http//docs.info.apple.com
  /article.html?artnum61798)
• MacOSX Security Configuration (http//images.apple
  .com/server/pdfs/Tiger_Security_Config.pdf)
• Linux References
• Ubuntu Security notices (http//www.ubuntu.com/usn
  /)
• Mandriva Security Advisories (http//www.mandriva.
  com/security/advisories)
• SUSE Security (US/Canada) (http//www.novell.com/l
  inux/security/securitysupport.html)
• RedHat Security and Errata (http//www.redhat.com/
  apps/support/errata/)
• Debian Security Information (http//www.debian.org
  /security/)
• Gentoo Security Handbook (http//www.gentoo.org/do
  c/en/security/)
• Slackware Security Advisories (http//www.slackwar
  e.com/security/)

36
Enlaces de interés (III)

• System Administrator References
• Description of Internet Explorer security zones
  registry entries (http//support.microsoft.com/?kb
  id182569)
• How To Set Advanced Settings In Internet Explorer
  by Using Group Policy Objects (http//support.micr
  osoft.com/?kbid274846)
• Internet Explorer Administration Kit
  (http//www.microsoft.com/technet/prodtechnol/ie/i
  eak)

37
Preguntas?
Marc Vilanova marc.vilanova at
gmail.com Consultor de Seguridad TIC Independiente
38
MUCHAS GRACIAS !!!
Marc Vilanova marc.vilanova at
gmail.com Consultor de Seguridad TIC Independiente