Todos os posts em Artigos

17.000 dispositivos vulneráveis a ataques em Portugal

por David Sopas em 12 de Fevereiro de 2015 em Artigos com 0 comentários Tweet

Com base nos últimos artigos que tenho escrito, tanto no WebSegura, como no Tek Sapo, decidi obter mais informação sobre algumas falhas em routers em Portugal. Foquei-me inteiramente nos protocolos NTP e SSDP, visto serem neste momento bastante utilizados como plataforma para amplificação de ataques DDoS.

Nesta investigação, e com dados recolhidos entre os dias 11 e 12 deste mês no projeto ShadowServer Foundation, concluí que existem cerca de 17.491 dispositivos alegadamente vulneráveis a ataques NTP e SSDP/UPnP em Portugal.

No topo dos ISPs com mais dispositivos vulneráveis, está a VODAFONE, logo seguido pela MEO e a TVCABO.

Elaborei dois gráficos para melhor ilustrar os ISPs afetados em Portugal.

TOP10 dos ISPs vulneráveis ao NTP em Portugal

Num total de 12010 ocorrências [o gráfico apenas ilustra o total do Top10] - https://ntpscan.shadowserver.org/

TOP10 dos ISPs vulneráveis ao SSDP em Portugal

Num total de 5481 ocorrências [o gráfico apenas ilustra o total do Top10] - https://ssdpscan.shadowserver.org/

Só para ter ideia do tipo de amplificação dos ataques SSDP, se for feito um pedido de 64 bytes ao serviço, a resposta é de 3283 bytes. Ou seja, uma amplificação de cerca de 50x.
Geralmente os utilizadores maliciosos utilizam pedidos M-SEARCH numa determinada gama de IPs. Se o dispositivo SSDP/UPnP responder ao pedido com a descrição do dispositivo, então está vulnerável. Com base nestas respostas, os utilizadores elaboram uma lista de dispositivos vulneráveis para posteriormente criarem botnets ou booters.

O projeto Shadowserver Foundation tem como objectivo pesquisar e identificar dispositivos com os serviços NTP e SSDP abertos e disponíveis.
Posteriormente contatam os responsáveis para uma resolução.

Gostava também de salientar que o Brasil é atualmente o 8º país no mundo com mais dispositivos NTP abertos (118.030 ocorrências) e 7º em relação ao SSDP (395.251 ocorrências). De facto são números assustadores.

Embora os utilizadores possam, na maioria dos casos, recorrer ao painel de administração dos dispositivos e desligar os serviços que que não utiliza, o papel deveria ser implementado pelo ISPs. Uma ~~pequena~~ GRANDE atenção que os ISPs poderiam dar aos seus clientes, seria fornecer um manual de segurança ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.

Criminosos ganham cerca de 13.000 euros/mês com o CTB-Locker

por David Sopas em 10 de Fevereiro de 2015 em Artigos com 1 Comentário Tweet

CTB-Locker [Curve-Tor-Bitcoin Locker] ou Critroni é um ransomware muito popular presente. Propaga-se via email spam com anexos em .zip, que contêm por sua vez um executável .scr/.cab [apenas afeta máquinas Windows].
O executável é um downloader malicioso conhecido como Dalexis [ou Elenoocka]. Caso o utilizador execute o ficheiro .scr, o Dalexis vai tentar descarregar uma cópia do CTB-Locker, armazenado em diversos websites comprometidos.

Após este processo, vai executar o CTB-Locker.
Depois da vítima estar comprometida, o CTB-Locker cifra todos os ficheiros do computador do utilizador e acrescenta 7 carateres aleatórios aos nomes dos ficheiros originais.
Posteriormente, o CTB-Locker apresenta à vítima uma mensagem de resgate e um contador decrescente para mostrar o tempo restante que a vítima tem para pagar o resgate. O malware muda inclusive o fundo-de-ecrã do sistema operativo com instruções para o pagamento.

O método de pagamento é feito exclusivamente em Bitcoins e têm valores entre os 2BTC a 4BTC (cerca de 384€ a 768€).

No Reddit, um utilizador malicioso decidiu abrir o jogo e correr uma AMA [Ask Me Anything] sobre o CTB Locker:

CTB é muito barato se adquirirmos como afiliado mas posso gastar perto de $2.000-$10.000 por mês num ek, traffic, crypter etc

Apenas tento atingir os países UK,CA,US,AU. Estou a fazer cerca de $15.000 por mês e um lucro de $8.000

Já atingi a marca de $300.000. Uma média de $1.000 por instalação

Todos estes Bitcoins recebidos pelos utilizadores maliciosos são posteriormente utilizados noutros esquemas fraudulentos ou mesmo em troca de moeda ou serviços em fóruns, como por exemplo no Hackforums.net. Aparentemente, é uma forma rápida lavar o dinheiro dos ransomware.

Segundo o blogue F-Secure, não existe maneira de quebrar a cifra utilizada pelo CTB-Locker. A única maneira que a vítima tem de recuperar os seus ficheiros, é com backups ou recebendo a chave para recuperar os ficheiros bloqueados pelos utilizadores maliciosos. No entanto, não devem escolher esta segunda opção. Estarão alimentar o crime online e nada garante que irão ter de volta os vossos ficheiros após o pagamento. Não se esqueça que está a lidar com criminosos.

Em Portugal, o CTB-Locker continua bastante presente. Segundo a empresa antivírus ESET, é atualmente a segunda maior ameaça no nosso país.

Fonte: http://virusradar.com/statistics/10/pt

Segundo o Diário Económico, são diversas as empresas afetadas e a PJ já confirmou a existência de diversas queixas.
Na minha opinião, é algo que está ainda a crescer e os utilizadores deverão ser alertados.

Análise do CTB-Locker no VT
Análise do Payload [neste caso o Angler EK] no VT

Para proteger-se contra este tipo de ameaças, deve manter sempre o seu software atualizado [sistema operativo, antivirus, Adobe Flash, Acrobat Reader, Java, etc.] e nunca clicar em links ou anexos duvidosos.

Pode consultar mais dicas de como se proteger no blogue da ESET.

Aumento da largura de banda, aumenta força dos DDoS

por David Sopas em 5 de Fevereiro de 2015 em Artigos com 0 comentários Tweet

Créditos da foto: http://threatpost.com/

Com o aumento da largura de banda por parte dos ISPs aos utilizadores, impacto dos ataques DDoS também aumentam. Esta situação, derivada em grande parte do desconhecimento por parte dos utilizadores de protegerem corretamente o seu router, leva a uma amplificação dos ataques DDoS.

No meu ponto de vista, é para mim óbvio que não devemos limitar o aumento [da largura de banda] mas sim obrigar os fornecedores a lançarem atualizações para os routers e a enviarem informação regular com informação para os clientes melhorarem a segurança do equipamento contratado. Alguma vez receberam alguma newsletter ou notificação por parte do vosso ISP em relação a segurança?

Trocar a password de acesso de administração de acesso ao router; trocar chave de acesso ao Wi-Fi e desligar serviços que não utilizam poderá prevenir imensas complicações de segurança.

NTP e SSDP continuam a ser as técnicas favoritas para os ataques DDoS e a contratação de Booters [inclusive por portugueses] para o efeito já é um serviço conhecido. A questão é que nos últimos anos, a largura de banda destes ataques aumentaram exponencialmente. De referir que há uma década atrás, o maior ataque DDoS registado tinha pico em 8Gbps. Em 2014, o maior pico registado foi de 400Gbps.

Recentemente, recebemos no WebSegura.net uma notificação do Pedro Fernandes, de dois artigos que demonstram algumas fragilidades no software dos routers da ZON[NOS].

http://djprmf.com/nos-os-vossos-router-necessitam-de-uma-5473
http://djprmf.com/nos-wi-fi-powered-by-fon-dns-spoofing-5805

Também em novembro de 2014, o especialista de segurança Marco Vaz da empresa portuguesa da Integrity, encontrou uma falha nos routers Belkin.
Pessoalmente é de dar valor aos portugueses que demonstram este tipo de fragilidades.
Em Portugal temos qualidade na área de segurança de informação e é preciso apoiar estas iniciativas.

Claro que existem outros fatores de risco, como por exemplo um malware instalado num computador que funciona como zombie à espera de ativação para uma botnet. Tem de existir um fator de informação para o utilizador entender que o seu computador poderá ser uma via para ataques informáticos. Se o utilizador entender este fator, é um passo para o caminho de uma solução e diminuição de ataques DDoS e outro tipos ataques informáticos.

Da nossa parte, iremos sempre que possível alertar problemas relacionados com este assunto, mantendo o nosso papel de ajudar a comunidade.

Programa responsável de divulgação de vulnerabilidades

por David Sopas em 29 de Janeiro de 2015 em Artigos com 0 comentários Tweet

Um programa responsável de divulgação de vulnerabilidades passa por criar uma secção onde os utilizadores, particularmente da área da segurança de informação, possam enviar possíveis falhas de segurança em software. Essa comunicação é feita diretamente sem qualquer divulgação pública, para que deste modo, as entidades visadas possam corrigir a falha em segurança sem qualquer perigo de ser explorada. Logo que a vulnerabilidade esteja corrigida, o autor é recompensado e poderá, na maioria dos casos, divulgar com algum detalhe essa falha.
Na minha opinião, é uma forma de aproximar os profissionais e entusiastas de infosec com as empresas. As empresas por outro lado, têm a oportunidade de proteger os seus clientes de uma forma mais barata e segura. Mesmo que tenham um departamento de segurança, por vezes um outsider consegue pensar fora-da-caixa e encontrar algo que escapou às auditorias.

Um bom exemplo deste tipo de programas é o do Google. Na página do programa é possível ver as limitações e as regras a aplicar aos participantes.
Sem dúvida um bom exemplo a qualquer empresa que queira seguir e iniciar este tipo de programa.

Só para referência, recentemente um utilizador ganhou $5000 por ter encontrado uma falha XSS na página de administração do Google Apps.

São muitas as empresas que optam por estabelecer programas responsáveis de divulgação de vulnerabilidades.
Vou apenas referir apenas algumas, no entanto poderão consultar uma lista completa e atualizada no Bugcrowd:

Google
Microsoft
Yahoo!
Twitter
Facebook
PayPal
Dropbox
Pinterest
Apple
eBay

As recompensas vão desde dinheiro, swag ou mesmo à referência numa lista Hall of Fame.

Estive à conversa com o Tiago Henriques - CEO da BinaryEdge - e falámos um pouco sobre este tema:

Qual é a tua opinião sobre os programas responsáveis de divulgação de vulnerabilidades?

Acho que este tipo de programas é bastante bom quando feito corretamente. Um bom exemplo na minha opiniao é o do Google Project Zero, no qual existe um tempo limite (90 dias) em que os vendors têm que produzir e dar release de um patch pois o Google liberta os detalhes dessa vulnerabilidade para o mundo. Existem pessoas que criticaram a Google pois eles deram release de umas vulnerabilidades do Windows antes da Microsoft ter o patch pronto, mas na minha opinião se uma entidade nao consegue produzir um patch e testar em 90 dias algo está errado com o seu ciclo de desenvolvimento de software.

Achas que em Portugal existe abertura para este tipo de programas?

Acho complicado. Conseguia ver o SAPO por exemplo a arrancar com um programa destes mas não muitas mais empresas. Em Portugal ainda se tem muito medo deste tipo de programas e uma mentalidade muito fechada para estas coisas. Não esquecendo que ter um bug bounty envolve ter que pagar uma recompensa, o que significa um custo adicional, com as condições económicas em Portugal de momento, acho muito complicado. Lembro-me também perfeitamente à coisa de 2 anos atrás estar numa conferência em Portugal na qual ouvi um responsável de segurança dizer “Se alguem faz um portscan que seja a um dos meus ips espero que alguma accao legal seja realizada” este tipo de mindset ainda é muito antiquado e não corresponde à realidade em que nos encontramos.

Que tipo de empresas ou organizações em Portugal estariam dispostas aderir a este tipo de programa?

Como mencionado anteriormente na minha opinião: SAPO, uma empresa que considero espetacular em Portugal e com uma excelente equipa de segurança, alguma da malta mais competente e inteligente com quem já tive o prazer de colaborar. Outra empresa que também tem um espirito jovem e que acho que poderiam ter algo é a Blip.

Existem diversos casos de portugueses que já entraram em programas no estrangeiro [Google, Yahoo!, Microsoft, etc] e alguns até ganharam uns euros. Este tipo de iniciativa poderá ser uma porta de entrada para uma oportunidade de emprego?

Oportunidade de emprego nao digo. Eu pessoalmente já participei em bug bounties (via Bugcrowd e Prezi) e já tive dias, em que, em 40 minutos, fiz perto de $2500, como tive 1 mês em que fiz $300. Nao é fixo. Tem que se entrar nas bounties cedo, apontar logo para sitios especificos onde normalmente todas as apps caem (isto vem com a experiência), e conseguir ser dos primeiros a reportar. Portanto substituir um emprego não, mas trazer mais uns trocos para casa isso sim, definitivamente.
Caso encontres uma vulnerabilidade, ou participes em programa de bug hunting acho que é sempre um boost no teu CV, que te dá uma vantagem (grande) vs outros potenciais candidatos. A coisa boa é que é uma forma boa, grátis e LEGAL de ganhares experiência em segurança enquanto também fazes uns trocos. Para a malta dos Anonymous e Lulzsec etc em Portugal digo “Não percam tempo a fazer DDoS, foquem-se neste tipo de programas, no futuro irá ajudar-vos bastante.”

Achas que é um dever cívico se um utilizador encontrar uma falha de segurança num site e divulgá-lo à entidade responsável?

Ui… Depende. Se for em algo como um dispositivo médico, ou algo que possa por em perigo vida de pessoas (infrastruturas criticas ligadas a internet, como redes electricas e de água ou gás que estejam expostas) aí sim, acho que se deve avisar logo e corretamente. Agora se for umas entidades que não são críticas, acho que não se deve fazer absolutamente nada. Falo por mim. Se encontrar uma vulnerabilidade num router ou numa framework ou em algum software que seja usado mais wild, vou primeiro a um programa como a ZDI para o tentar vender e só depois se vir que não sai nada daí é que reporto à entidade responsável. Mas acho que é importante notar-se que não tem só haver com o “se reportar” ou não. É importante depois de se reportar, apontar os timelines e avisar a entidade que ao fim de X dias iremos tornar a vulnerabilidade pública, de forma a obrigar que essa entidade não fique parada.

Realmente o Tiago tem razão, no aspeto de estabelecer um timeline para que a falha seja corrigida. Recordo-me que uma vulnerabilidade DOM XSS que encontrei no Tripadvisor demorou cerca de 1 ano para ter correção e inumeros contatos. Empresas com esta dimensão deveriam ter uma resposta mais rápida a este tipo de situações.

Seria interessante que este artigo servisse de inspiração a alguma empresa portuguesa em criar este tipo de programa. Nós no WebSegura.net teríamos todo o gosto em partilhá-lo com os nossos leitores.

Plataforma da Direcção Geral do Ensino Superior comprometida

por David Sopas em 28 de Janeiro de 2015 em Artigos com 3 Comentários Tweet

O defacer indonésio d3b~X - - continua a fazer das suas em Portugal. Desta vez comprometeu a Plataforma do DGES [Direção Geral do Ensino Superior] - http://www.cet.dges.mctes.pt
Tal como em casos anteriores, o defacer colocou uma imagem gif na raiz do domínio.

http://www.cet.dges.mctes.pt/nyet.gif [Ainda online na altura da publicação deste artigo]

O mirror deste ataque informático já foi indexado pelo Zone-H .

De referir que este site está alojado na FCCN e segundo os dados do site Netcraft, corre o servidor web da Microsoft IIS 6.0.
Apenas verificando o código fonte é também possível verificar que o site foi implementado com o Microsoft Visual Studio .NET.

Sendo uma plataforma privada, apenas acedida via password, fica por saber se o defacer obteve informação confidencial.

Investiguei um pouco mais, baseando-me em alguns registos de sites comprometidos, e reparei que o d3b~X tem um modus operandis muito habitual. Pesquisa por servidores mal configurados que aceitam o método PUT sem qualquer tipo de proteção. Ou seja, a ferramenta deste defacer pesquisa por servidores vulneráveis e faz o seguinte pedido:

PUT /nyet.gif HTTP/1.1″ 200 473 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”

Se retornar o código HTTP 200, ele faz um novo pedido, mas neste caso GET que é para validar se conseguiu ou não enviar a imagem GIF. Em caso de sucesso, envia provavelmente automaticamente o deface para o Zone-H.

GET /nyet.gif HTTP/1.1″ 200 2357 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Caso o pedido PUT dê erro HTTP 404, um scan automático é utilizado para procurar outras vulnerabilidades, na maior parte, plugins vulneráveis do CMS Joomla!.

Atualização:
No mês de janeiro, ainda não terminado, o PUT /nyet.gif apareceu nos logs de um site Joomla! de um cliente cerca de 41 vezes com 38 endereços de IP diferentes [máquinas comprometidas ou proxies].
A última entrada, dia 29 de janeiro, é possível verificar que a ferramenta automática tenta encontrar vulnerabilidades conhecidas no Joomla! [exemplo: com_jce] e só depois é que tenta verificar se é possível usar o método PUT.

87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
&action=upload HTTP/1.1” 200 22 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_media&view=images&tmpl=component&e_name=jform_articletext&
asset=com_content&author= HTTP/1.1” 404 - “-” “curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1” 404 - “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “GET /images/jdownloads/screenshots/nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 - - [29/Jan/2015:12:33:19 +0000] “PUT /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 - - [29/Jan/2015:12:33:22 +0000] “GET /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 - - [29/Jan/2015:12:33:22 +0000] “GET /oipm//index.php HTTP/1.1” 404 1437 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)”
87.230.19.16 - - [29/Jan/2015:12:33:22 +0000] “PUT /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 - - [29/Jan/2015:12:33:25 +0000] “GET /nyet.gif HTTP/1.1” 404 - “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Um ponto curioso, é que posteriormente a estes varrimentos nos sites, muitos outros utilizadores maliciosos poderão utilizar a mesma falha para proveito próprio e ter acesso a informação confidencial. É bastante comum haver este tipo de atividade.

Desconheço se foi este o método utilizado para atacar este site governamental mas quem sabe…