Security Innovation Day 2017_ Security Rocks

En el año 2013 hicimos nuestro primer Security Innovation Day. Hoy queremos hablaros de nuestra quinta edición de este evento tan nuestro y que llevamos en nuestro ADN. Las organizaciones actuales conviven en un entorno de dificultades continuas, siendo los ataques cibernéticos una de las principales razones. Éstas llegan a sustraer y divulgar información confidencial, provocando grandes daños tantos en las infraestructuras como en la reputación de las mismas.

El lema de este año es Security Rocks y puedes encontrar todo el detalle en el sitio web que hemos preparado. El día elegido es el jueves 5 de Octubre de 2017, dónde daremos a conocer toda la innovación en la que hemos estado trabajando durante los últimos meses. Puedes registrarte para asistir al evento en enlace de la web. Tendremos con nosotros al gran Mikko Hypponen, CRO de F-Secure.

Figura 1: Security Innovation Day 2017

Para conocer a todos los ponentes del #SID2017 accede aquí. Comparte una tarde con nosotros cargada de ciberseguridad, innovación, invitados estrella y ¡algo de rock! La web de registro ya esta disponible y el aforo es limitado, ¡reserva tu plaza hoy mismo!

Esta tarde, en Eleven Paths Talks: Big Data y la Seguridad de la Información

Hoy, Jueves 5 de Mayo, nuestro compañero Leandro Bennaton impartirá una charla sobre la importancia del BigData en el mundo de la seguridad hoy día. En el canal de Eleven Paths puedes encontrar el resto de charlas que nuestros compañeros han ido impartiendo con diferentes temas de actualidad en el mundo de la seguridad. Las organizaciones se han dado cuenta de la importancia hoy día de las tecnologías Big Data y el potencial que ofrecen en el mundo de la seguridad. Tenemos ejemplos como Sinfonier o Tacyt. 

Figura 1. Leandro Bennaton: Big Data Security

Leandro Bennaton nos contará como el Big Data ha revolucionado las nuevas soluciones en Ciberseguridad. Además, puedes aprovechar el hangout para preguntar también por nuestras soluciones en Pentesting Persistente con nuestra tecnología Faast. La duración de la charla de Leandro será de unos 30 minutos, los cuales se dividen entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. A continuación os dejamos las diferentes charlas que podéis encontrar en nuestro canal que se han ido impartiendo.

 
Figura 2. Rames Serwat

 
Figura 3: Leonardo Huertas

 
Figura 4: Claudio Caracciolo

 
Figura 5: Gabriel Bergel

 
Figura 6: Jorge Rivera

 
Figura 7: Leonardo Huertas

El horario del talk serán las 15.30 (GMT +1). La sesión se llevará a cabo en castellano y se realizará a través de Hangout. Os esperamos para que nuestro CSA os enseñe todo lo que necesitáis conocer sobre Big Data y su expansión y usos en el mundo de la Ciberseguridad para empezar en él. Además, podéis revisar el calendario de charlas que quedan por hacerse. Recuerda, tienes una cita el próximo 5 de Mayo a las 15.30 (GMT +1). Para registrar utiliza el siguiente formulario.

Un error de Apple en la gestión de certificados provoca que los usuarios de OS X tengan que re-instalar aplicaciones

La gestión de certificados digitales en los servidores lleva a que los usuarios tengan que eliminar y volver a instalar todas las aplicaciones que han comprado o descargado de la Mac App Store. Algo extraño ocurrió, pero los usuarios de OS X se enfrentan a problemas con sus aplicaciones, ya que el certificado digital que utiliza Apple para prevenir que le suplanten la identidad o engañen a los usuarios expiró el miércoles. Esto no es la primera vez que le ocurre, y es algo bastante grave y que afecta a todos los usuarios que descargan o compran aplicaciones de su Store.

Las aplicaciones descargadas de la Mac App Store estuvieron temporalmente fuera de servicio en el Reino Unido hace unos días, cuando el certificado de seguridad expiró, 5 años después de su creación y si un reemplazo posible inmediatamente. Incluso, una vez que Apple fijo el error y emitió un nuevo certificado para las aplicaciones, el cual vence el mes de Abril de 2035, los usuarios podrían tener problemas aún. Los que no pueden conectarse a Intenet no pudieron verificar el nuevo certificado, mientras que los que se habían olvidado su contraseña de iCloud no pueden utilizar las aplicaciones descargadas hasta que puedan iniciar sesión. 

Figura 1: Error al arrancar aplicaciones

Algunos usuarios se vieron obligados a eliminar y volver a instalar todas sus aplicacones. Como se puede ver, algunos mostraron su frustración vía Twitter. El certificado caducado fue descubierto por un desarrollador de OS X e iOS llamado Paul Haddad.

Figura 2: Certificado caducado

En definitiva un problema de planificación en Apple. Este tipo de debilidades pueden afectar a la imagen corporativa y afectar gravemente a la seguridad de los usuarios.

Certificados Digitales inseguros en dominios de Apple: BEAST, Lucky13, Perfect Secrecy o Bar Mitzvah

En una de las pruebas que hemos realizado con diversos plugins que el servicio de Pentesting Persistente Faast para verificar la seguridad de los certificados digitales hemos podido localizar rápidamente algunas debilidades en algunos certificados digitales que está utilizando la compañía. Apple y su dominio apple.com es uno de esos mega-dominios que algunas compañías tienen. Seguramente Apple pase varias auditorias al año, pero sus dominios son tan grandes y dinámicos que están en constante crecimiento y cambio.

Por estas razones, las herramientas clásicas de escaneo no son tan flexibles como para poder escanear este tipo de dominios. En una charla sobre bug bounties y Google a la que asistimos recientemente, comparaban a Google y su dominio google.com como un universo, el cual crece y cambia tan rápido que ni el propio Google puede controlarlo. Debido a este tipo de situaciones las grandes empresas optan por los famosos programas de bug bounty y por la necesidad de realizar un Pentesting Persistente como se hace con Faast.

¿Qué prueban los plugins de certificados digitales de Faast?

Las pruebas que se realizan sobre los certificados digitales son varias y podemos recopilarlas por las vulnerabilidades, recomendaciones y notificaciones que el sistema proporciona al usuario. A continuación se muestra el listado de vulnerabilidades detectadas por estos plugins:

• Poodle SSL. Apple ya lo sufrió en su sistema operativo y lo parchearon de urgencia, además de que le apareció en varios certificados usados en Apple.com.

• CRIME. La compresión DEFLATE permite a un atacante obtener las cabeceras de las peticiones web en texto plano a través de este ataque, evolucionado de BEAST. CVE-2012-4929.

• Lucky 13. Con este ataque a TLS se puede obtener el cuerpo de los mensajes que circulan por la conexión a partir de ataques basados en leaks de tiempo.

• OpenSSL CCS (Change Cipher Spec) Injection. Bug de seguridad definido en el CVE-2014-0224.

• Insecure Renegotiation Enabled. Este bug fue presentado hace tiempo y abre los ataques de TLS-Renegotiation CVE-2009-3555. Faast también comprueba si está deshabilitada la renegociación segura.

Figura 1: Dominios de Apple.com con certificados que tienen renegociación segura deshabilitada

• BEAST. El archifamoso ataque descrito por Thai Duong y Juliano Rizzo para descifrar conexiones SSL controlando un padding.

• RC4 Cipher Suites habilitada. Estos algoritmos abren la puerta a los ataques de Bar Mitzvah. 

• FREAK. También hablamos de esto, ya que se tuvo que parchear en todos los sistemas operativos de Apple. El bug de FREAK se basa en los algoritmos de cifrado de exportación EXP.

Otras vulnerabilidades que se verifican, pero que tienen que ver con el certificado y no con el protocolo que se utiliza son las siguientes:

• Caducidad del certificado. Es importante detectar, sobretodo si tenemos muchos dominios, cuales certificados se encuentran caducados o tienen fecha próxima a su caducidad.  

• Certificado emitido para otro dominio. Esto es algo más común de lo que a priori podíamos pensar. En muchas organizaciones se reutilizan ciertos certificados, provocando que el navegador u otras aplicaciones no puedan validar realmente la identidad del certificado.

• Caducidad cercana del certificado. Como se mencionó anteriormente, se evalúa el tiempo de validez del certificado. Hay que recordar que a Apple ya se le caducó el certificado digital de uno de los servidores de Software Updates el año pasado y esta detección temprana lo hubiera resuelto.

Figura 2: Certificado de Apple.com que se caducó

• Certificado autofirmado. Esto es algo común en ciertas organizaciones. Estamos enseñando mal a nuestros usuarios realizando estas acciones, ya que generalmente el navegador va a inidicar que no se ha podido validad la identidad del certificado, mientras que el usuario aceptará la conexión. Esto puede ser un vector a técnicas MiTM.

• KeyStrength débil. En algunas ocasiones las claves utilizadas para realizar el cifrado son demasiado cortas, convertiéndose en débiles. Esto también es evaluado por Faast.

• Certificado inválido. El certificado puede presentar ciertos campos con un mal formato o alguna cadena de confianza no válida.

Por último, en notificaciones y recomendaciones el servicio de Faast comprueba lo siguiente:

• SSLv3 y SSLv2 habilitado. Esto es una mala práctica, la cual puede desembocar en una vulnerabilidad como Poodle. Como hemos dicho, esto ya afectó a Apple en el pasado.

• TLS 1.2. deshabilitado. Es altamente recomendable que TLS 1.2 esté habilitado en el sistema, Faast lo revisa.

Por supuesto, Faast se encuentra en constante desarrollo y nuevos plugins se implementan y se añaden al flujo. Últimamente tenemos mucho trabajo con el tema de certificados, ya que las útlimas vulnerabilidades nos hacen estar entretenidos con ello.

¿Qué se ha localizado?

En la siguiente imagen vemos de un vistazo rápido el que se ha detectado con Faast. El número que aparece al lado de cada vulnerabilidad o debilidad indica sobre cuantos dominios se ha encontrado este fallo.

Figura 3: Resultados de BEAST

Algunos de los dominios con más detecciones por parte de Apple son support.apple.com, discussions.apple.com, areas.apple.com, manuals.info.apple.com o tips.apple.com. Estos dominios son vulnerables, por ejemplo a BEAST. 

Figura 4: Certificados digitales vulnerables a Lucky 13

Otros dominios como locate.apple.com o idmsa.apple.com, el cual es utilizado durante una sesión con el Apple ID, también son afectados, por ejemplo por Lucky 13. Además, estos dominios tienen habilitados el algoritmo RC4 los cuales son criptográficamente inseguros y vulnerables a ataques de Bar Mitzvah.

Figura 5: Certificados digitales vulnerables a ataques de Bar Mitzvah

Seguiremos estudiando la evolución constante de estos dominios y de los certificados digitales que tienen instalados. Hay que recordar que en el pasado ya hicimos una evaluación sobre certificados digitales de Apple y encontramos Poodle. Nosotros apostamos por un pentesting persistente para todas las organizaciones, pequeñas y grandes, y pensar en que el pentesting no es cuestión de auditorias puntuales al año, si no es una necesidad del día a día.