Curl | bash, Como detectar el uso en el servidor

La instalación del software mediante la canalización de curl y bash es obviamente una mala idea y un usuario bien informado lo más probable que haría es comprobar el contenido en primer lugar. Por lo tanto, ¿no sería genial si una carga maliciosa sólo se haría cuando uses curl |bash? Algunas personas han intentado esto antes mediante la comprobación de la aplicación del usuario, curl es de ningún modo a prueba de fallos – el usuario puede simplemente hacer curl al URL y en la línea de comandos revelar su código malicioso. Por suerte el comportamiento de curl (y wget) cambia cuando usas pipe (|) en bash. Esto permite que un atacante pueda presentar dos versiones diferentes de su script en función del contexto 🙂

Continue reading “Curl | bash, Como detectar el uso en el servidor”

AI2, el bot que detecta el 85% de ataques a la red

AI2, Hoy en día los sistemas de seguridad caen dentro de dos categorías: Humanos y Máquinas. Entonces los llamados “Analistas de soluciones” confían en las reglas creadas por los expertos vivientes (los humanos) y por lo tanto no se pierda ningún ataque que no coincidan con las reglas.  Mientras tanto, los enfoques de aprendizaje de las máquinas se basan en la “detección de anomalías“, que tienden a provocar falsos positivos, y esto mismo genera desconfianza en el sistema y terminan siendo investigados por los humanos de todas formas.

AI2 CSAIL
AI2 CSAIL

Pero ¿y si hubiera una solución que podría fusionar esos dos mundos? ¿Qué aspecto tendría?

En un nuevo documento, los investigadores de MIT’s Computer Science and Artificial Intelligence Laboratory (CSAIL) y el startup PatternEx demuestran una plataforma de inteligencia artificial llamado AI2 que predice ataques cibernéticos significativamente mejor que los sistemas existentes mediante la incorporación permanentemente de los expertos humanos.

El nombre proviene de la fusión de la inteligencia artificial, con lo que los investigadores llaman el analista de intuición. (Analyst Intuition, AI2)

El equipo demostró que AI2 puede detectar el 85% de los ataques, que es aproximadamente tres veces mejor que los puntos de referencia anteriores, al tiempo que reduce el número de falsos positivos en un factor de 5. El sistema fue probado en 3.6 mil millones de piezas de datos conocidos como “sys logs”, que se han generado por millones de usuarios durante un período de tres meses.

Para predecir los ataques, AI2 peina los datos y detecta actividad sospechosa, agrupando los datos en patrones significativos utilizando el machine-learning. A continuación, se presenta esta actividad para los analistas humanos que confirman que los acontecimientos son los ataques reales, e incorpora la retroalimentación en sus modelos para el siguiente conjunto de datos.

Fuente: CSAIL.MIT.EDU

Netflix en Velocity 2015, Herramientas de rendimiento en Linux

Hay muchas herramientas de rendimiento hoy en día para Linux, pero ¿cómo se encajan entre sí, y cuando las usamos? En Velocity 2015, le di un tutorial 90 minutos en herramientas de rendimiento de Linux.

Herramientas de rendimiento en Linux
Herramientas de rendimiento en Linux

He hablado sobre este tema antes, pero teniendo en cuenta un intervalo de tiempo 90 minutos tuve la

oportunidad de incluir más metodologías, herramientas y demostraciones en vivo, por lo que es el tour más completo del tema que he hecho. El vídeo y las diapositivas están por debajo.

En este tutorial voy a resumir las herramientas tradicionales y avanzadas de rendimiento, incluyendo: top, ps, vmstat, iostat, mpstat, libre, strace, tcpdump, netstat, nicstat, pidstat, swapon, lsof, sar, ss, iptraf, iotop, slaptop, pcstat , tiptop, rdmsr, lmbench, fio, pchar, perf_events, ftrace, SystemTap, KTAP, sysdig y EBPF; y hacer referencia a muchos más. También incluyo herramientas, diagramas actualizados para observabilidad, sar, benchmarking, y tuning (incluyendo la imagen de arriba).

Este tutorial se puede compartir con un público amplio – cualquier persona que trabaje en los sistemas Linux – como un curso acelerado de herramientas gratuitas sobre el rendimiento de Linux. Espero que la gente lo disfrute y les resulta útil. Aquí está la lista de reproducción.

Video Part 1

Video Parte 2:

 

Enlace a las diapositivas:

 

 

Fuente: netflix

ICWATCH: Espiando a los espías

Un adolescente de 21 años  acaba de exponer 27 mil perfiles de LinkedIn de personas que trabajan en el sector de inteligencia. Lo hizo hace pocos días en re:publica, una de las conferencias más importantes a nivel global sobre cultura digital –este año tuvo 800 expositores de 45 países distintos para sus cerca de seis mil visitantes, utilizó el buscador de Google para ubicar términos clave que, hasta hace poco, eran palabras sin significado para la mayoría de nosotros.

xkeyscore site:linkedin.com/pub
xkeyscore site:linkedin.com/pub

XKEYSCORE es uno de los programas de espionaje utilizado por la NSA y revelado al público por Edward Snowden. Utilizando ese término y limitándolo a los perfiles de LinkedIn, uno puede encontrar cientos, sino miles de perfiles de personas que presumen esa como una de sus destrezas. Si uno repite este tipo de operaciones con el catálogo de vigilancia que tienen las grandes agencias de espionaje, puede fácilmente construir una base de datos de miles de espías internacionales. Por supuesto, hay que tener cuidado porque ciertos términos, como “MUSCULAR”, son muy comunes y hay que realizar búsquedas cruzadas para no tener falsos positivos.

ICWATCH

La información no sólo ha sido recolectada y almacenada, sino que además la han organizado dentro de un motor de búsqueda para que cualquiera pueda jugar con los datos. “Yo no creo que todos sean personas malas” dijo M. C., y nos relató como una persona, tras trabajar veinte años en la comunidad de inteligencia, describe cómo en uno de sus últimos puestos antes de convertirse en vendedor de autos “hizo lobby para cambiar la forma cómo se concibe la inteligencia”. Tal vez él, como muchas otras personas que trabajaron en este campo, fue una de las víctimas de lo que se denomina el efecto Snowden.

ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos
ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos

A partir de las revelaciones del ex-agente de la NSA, cada vez menos personas asociaban su perfil con trabajar en la agencia nacional de seguridad de Estados Unidos, puede que simplemente quisieran ocultar el rastro, pero muchos ciertamente renunciaron a su trabajo.

Esta fue la primera vez que la herramienta ICWATCH fue mostrada al público, la misma se encuentra en Github junto con los datos, lo cual será de especial interés para aquellos que trabajan en periodismo, minería de datos, transparencia y contrainteligencia.

Aquí el video completo (en inglés):

 

 

Fuente: Andres Delgado

Using AWS in the Context of CESG UK’s Cloud Security Principles

Last year, CESG UK published the Cloud Security Guidance documents for public sector organizations that are considering the use of cloud services for handling information classified as OFFICIAL. The guidance aims to help public sector organizations make informed decisions about cloud services and choose a cloud service that balances business benefits and security risks. In relation to this, the legacy Impact Level accreditation scheme has been phased out and is no longer the mechanism used to describe the security properties of cloud services.

AWS CESG UK
AWS CESG UK

In order to provide you with guidance regarding the Cloud Security Principles and to make an informed decision when performing risk assessments, we have published a whitepaper called
Using AWS in the Context of CESG UK’s Cloud Security Principles.

This whitepaper provides insights into implementation and assurance approaches within AWS based on the published guidance for each of the 14 Cloud Security Principles and Subprinciples. If you are a Senior Information Risk Officer or a CESG-Listed Advisor Scheme consultant supporting a decision-making process for selecting a cloud service at a UK public sector organization, the whitepaper provides an in-depth view into the AWS implementation approach in relation to the Cloud Security Principles. Based on this information, UK public sector organizations and their information security functions can conduct informed risk assessments and select the appropriate AWS services for their cloud environment.

AWS Services

AWS currently provides the following 11 services on the UK Government Digital Marketplace:

  1. Amazon CloudWatchDigital Marketplace link
  2. Amazon Elastic Block Store (Amazon EBS) – Digital Marketplace link
  3. Amazon Elastic Compute Cloud (Amazon EC2) – Digital Marketplace link
  4. Amazon GlacierDigital Marketplace link
  5. Amazon Relational Database Service (Amazon RDS) – Digital Marketplace link
  6. Amazon Simple Storage Service (Amazon S3) – Digital Marketplace link
  7. Amazon Virtual Private Cloud (Amazon VPC) – Digital Marketplace link
  8. Auto ScalingDigital Marketplace link
  9. AWS Direct ConnectDigital Marketplace link
  10. AWS Identity and Access Management (AWS IAM) – Digital Marketplace link
  11. Elastic Load BalancingDigital Marketplace link

Source: AWS Blog

WordPress, Critical Persistent XSS 0day

Yes, you’ve read it right: a critical, unpatched 0-day vulnerability affecting WordPress’ comment mechanisms was disclosed earlier today by Klikki Oy.

Who’s affected

If your WordPress site allows users to post comments via the WordPress commenting system, you’re at risk. An attacker could leverage a bug in the way comments are stored in the site’s database to insert malicious scripts on your site, thus potentially allowing them to infect your visitors with malware, inject SEO spam or even insert backdoor in the site’s code if the code runs when in a logged-in administrator browser.

You should definitely disable comments on your site until a patch is made available or leverage a WAF to protect your site and customers.

Technical details

This vulnerability requires an attacker to send a comment long enough to force the backend MySQL database to truncate what is stored.

 

WordPress Database Schema

As you can see from the above schema, the comments texts are stored in the comment_content column which is a TEXT column, meaning a comment can only contain a maximum of 65535 bytes of data.

A typical exploit would look like the following:

<a href='x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)'>test</a>

Once taken back from the database would look like this:

<p><a href='x onclick=alert(1) AAAAAAA</p>

Some of you might have noticed that the resulting HTML tag isn’t complete, but this isn’t a problem for most modern browsers as most of them will simply patch it up automatically

This bug then allows anyone to insert any HTML tag attributes to his hyperlink, including Javascript event handlers.

What you can do

There’s a few thing you can do to prevent getting hacked before there’s an official patch being released: You can disable comments on your site or leverage a Web Application Firewall to filter good requests from exploit attempts.

WordPress PoC

Enter as a comment text:


<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

 

Hopefully the WordPress team will release a patch soon.

 

Source: Sucuri Blog and Klikki.fi Blog

cPanel v11.36 has now entered the CURRENT

If you see the next error into your currently update CPanel:

Can’t use string (“_defheader.tmpl”) as a HASH ref while “strict refs” in use at /usr/lib64/perl5/site_perl/5.8.8/x86_64-linux-thread-multi/Template/Context.pm line 809.

Just update your current CSF

curl -s configserver.com/free/csupdate | perl