Curl | bash, Como detectar el uso en el servidor



La instalación del software mediante la canalización de curl y bash es obviamente una mala idea y un usuario bien informado lo más probable que haría es comprobar el contenido en primer lugar. Por lo tanto, ¿no sería genial si una carga maliciosa sólo se haría cuando uses curl |bash? Algunas personas han intentado esto antes mediante la comprobación de la aplicación del usuario, curl es de ningún modo a prueba de fallos – el usuario puede simplemente hacer curl al URL y en la línea de comandos revelar su código malicioso. Por suerte el comportamiento de curl (y wget) cambia cuando usas pipe (|) en bash. Esto permite que un atacante pueda presentar dos versiones diferentes de su script en función del contexto 🙂

Continuar leyendo “Curl | bash, Como detectar el uso en el servidor”

AI2, el bot que detecta el 85% de ataques a la red

AI2, Hoy en día los sistemas de seguridad caen dentro de dos categorías: Humanos y Máquinas. Entonces los llamados “Analistas de soluciones” confían en las reglas creadas por los expertos vivientes (los humanos) y por lo tanto no se pierda ningún ataque que no coincidan con las reglas.  Mientras tanto, los enfoques de aprendizaje de las máquinas se basan en la “detección de anomalías“, que tienden a provocar falsos positivos, y esto mismo genera desconfianza en el sistema y terminan siendo investigados por los humanos de todas formas.

AI2 CSAIL
AI2 CSAIL

Pero ¿y si hubiera una solución que podría fusionar esos dos mundos? ¿Qué aspecto tendría?

En un nuevo documento, los investigadores de MIT’s Computer Science and Artificial Intelligence Laboratory (CSAIL) y el startup PatternEx demuestran una plataforma de inteligencia artificial llamado AI2 que predice ataques cibernéticos significativamente mejor que los sistemas existentes mediante la incorporación permanentemente de los expertos humanos.

El nombre proviene de la fusión de la inteligencia artificial, con lo que los investigadores llaman el analista de intuición. (Analyst Intuition, AI2)

El equipo demostró que AI2 puede detectar el 85% de los ataques, que es aproximadamente tres veces mejor que los puntos de referencia anteriores, al tiempo que reduce el número de falsos positivos en un factor de 5. El sistema fue probado en 3.6 mil millones de piezas de datos conocidos como “sys logs”, que se han generado por millones de usuarios durante un período de tres meses.

Para predecir los ataques, AI2 peina los datos y detecta actividad sospechosa, agrupando los datos en patrones significativos utilizando el machine-learning. A continuación, se presenta esta actividad para los analistas humanos que confirman que los acontecimientos son los ataques reales, e incorpora la retroalimentación en sus modelos para el siguiente conjunto de datos.

Fuente: CSAIL.MIT.EDU

FBI, con problemas de contratación de hackers

El FBI está teniendo problemas para llenar puestos de trabajo para sus programas de ciberseguridad debido comparativamente a los bajos salarios y rigurosos controles de antecedentes, dice un informe de auditoría.FBI con problemas de contratación

La oficina del Departamento de Justicia, ha publicado el jueves que el FBI no ha contratado a 52 de los 134 científicos de la computación para el que fue autorizado, y que 5 de sus 56 oficinas en el terreno no tenía un científico de la computación por su Grupo de Trabajo del Cyber.

El informe dijo que el FBI tiene que centrarse en “reclutar y retener a los profesionales cibernéticos altamente cualificados, con formación técnica”, y para ampliar la cooperación con el sector privado para luchar contra las amenazas cibernéticas.

“El reclutamiento y la retención de candidatos cualificados siguen siendo un desafío para el FBI, como entidades del sector privado a menudo son capaces de ofrecer salarios más altos y por lo general tienen un menos extenso proceso de investigación de antecedentes”, dijo el informe.

“Creemos que el FBI debería continuar sus esfuerzos de reclutamiento y retención creativas, incluyendo el uso selectivo de la (programa de pago de préstamos estudiantiles) y aumentar la movilidad de los ex empleados con habilidades críticas, para atraer y retener a profesionales altamente cualificados cibernéticos.”

El informe del inspector general dijo que el FBI ha tratado de llenar los vacíos al trabajar con contratistas privados, y también ha intensificado los programas de contratación y formación en los colegios y universidades.

El informe dijo que mientras que el reclutamiento es difícil, “la mayoría de los agentes cibernéticos del FBI que entrevistamos nos dijeron que es la misión de la FBI que les motiva a permanecer en el FBI en lugar de salir hacia posiciones más lucrativas.”

El informe parece confirmar la evidencia anecdótica sobre las relaciones difíciles entre el establecimiento y la tecnología de seguridad de la industria estadounidense, que han empeorado desde los 2.013 revelaciones sobre vastos programas de vigilancia del gobierno estadounidense.

El informe señaló que el FBI también se ve obstaculizada en sus esfuerzos para impulsar los esfuerzos de seguridad cibernética por la falta de cooperación por parte del sector privado.

“La renuencia del sector privado para compartir información se ha visto afectada además por la desconfianza en el gobierno tras las filtraciones Edward Snowden” acerca de los programas de vigilancia de Estados Unidos, según el informe.

“Varios representantes del sector privado nos dijeron que el suministro de información al FBI es similar a enviarlo en un agujero negro – la información que entra y las entidades no escuchar nada más sobre él.”

El informe dijo que el FBI debería “redoblar sus esfuerzos de divulgación para mejorar el intercambio y la colaboración con entidades del sector privado” cuando sea factible.

 

Fuente: SecurityWeek

Netflix en Velocity 2015, Herramientas de rendimiento en Linux

Hay muchas herramientas de rendimiento hoy en día para Linux, pero ¿cómo se encajan entre sí, y cuando las usamos? En Velocity 2015, le di un tutorial 90 minutos en herramientas de rendimiento de Linux.

Herramientas de rendimiento en Linux
Herramientas de rendimiento en Linux

He hablado sobre este tema antes, pero teniendo en cuenta un intervalo de tiempo 90 minutos tuve la

oportunidad de incluir más metodologías, herramientas y demostraciones en vivo, por lo que es el tour más completo del tema que he hecho. El vídeo y las diapositivas están por debajo.

En este tutorial voy a resumir las herramientas tradicionales y avanzadas de rendimiento, incluyendo: top, ps, vmstat, iostat, mpstat, libre, strace, tcpdump, netstat, nicstat, pidstat, swapon, lsof, sar, ss, iptraf, iotop, slaptop, pcstat , tiptop, rdmsr, lmbench, fio, pchar, perf_events, ftrace, SystemTap, KTAP, sysdig y EBPF; y hacer referencia a muchos más. También incluyo herramientas, diagramas actualizados para observabilidad, sar, benchmarking, y tuning (incluyendo la imagen de arriba).

Este tutorial se puede compartir con un público amplio – cualquier persona que trabaje en los sistemas Linux – como un curso acelerado de herramientas gratuitas sobre el rendimiento de Linux. Espero que la gente lo disfrute y les resulta útil. Aquí está la lista de reproducción.

Video Part 1

Video Parte 2:

 

Enlace a las diapositivas:

 

 

Fuente: netflix

ICWATCH: Espiando a los espías

Un adolescente de 21 años  acaba de exponer 27 mil perfiles de LinkedIn de personas que trabajan en el sector de inteligencia. Lo hizo hace pocos días en re:publica, una de las conferencias más importantes a nivel global sobre cultura digital –este año tuvo 800 expositores de 45 países distintos para sus cerca de seis mil visitantes, utilizó el buscador de Google para ubicar términos clave que, hasta hace poco, eran palabras sin significado para la mayoría de nosotros.

xkeyscore site:linkedin.com/pub
xkeyscore site:linkedin.com/pub

XKEYSCORE es uno de los programas de espionaje utilizado por la NSA y revelado al público por Edward Snowden. Utilizando ese término y limitándolo a los perfiles de LinkedIn, uno puede encontrar cientos, sino miles de perfiles de personas que presumen esa como una de sus destrezas. Si uno repite este tipo de operaciones con el catálogo de vigilancia que tienen las grandes agencias de espionaje, puede fácilmente construir una base de datos de miles de espías internacionales. Por supuesto, hay que tener cuidado porque ciertos términos, como “MUSCULAR”, son muy comunes y hay que realizar búsquedas cruzadas para no tener falsos positivos.

ICWATCH

La información no sólo ha sido recolectada y almacenada, sino que además la han organizado dentro de un motor de búsqueda para que cualquiera pueda jugar con los datos. “Yo no creo que todos sean personas malas” dijo M. C., y nos relató como una persona, tras trabajar veinte años en la comunidad de inteligencia, describe cómo en uno de sus últimos puestos antes de convertirse en vendedor de autos “hizo lobby para cambiar la forma cómo se concibe la inteligencia”. Tal vez él, como muchas otras personas que trabajaron en este campo, fue una de las víctimas de lo que se denomina el efecto Snowden.

ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos
ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos

A partir de las revelaciones del ex-agente de la NSA, cada vez menos personas asociaban su perfil con trabajar en la agencia nacional de seguridad de Estados Unidos, puede que simplemente quisieran ocultar el rastro, pero muchos ciertamente renunciaron a su trabajo.

Esta fue la primera vez que la herramienta ICWATCH fue mostrada al público, la misma se encuentra en Github junto con los datos, lo cual será de especial interés para aquellos que trabajan en periodismo, minería de datos, transparencia y contrainteligencia.

Aquí el video completo (en inglés):

 

 

Fuente: Andres Delgado

Using AWS in the Context of CESG UK’s Cloud Security Principles

Last year, CESG UK published the Cloud Security Guidance documents for public sector organizations that are considering the use of cloud services for handling information classified as OFFICIAL. The guidance aims to help public sector organizations make informed decisions about cloud services and choose a cloud service that balances business benefits and security risks. In relation to this, the legacy Impact Level accreditation scheme has been phased out and is no longer the mechanism used to describe the security properties of cloud services.

AWS CESG UK
AWS CESG UK

In order to provide you with guidance regarding the Cloud Security Principles and to make an informed decision when performing risk assessments, we have published a whitepaper called
Using AWS in the Context of CESG UK’s Cloud Security Principles.

This whitepaper provides insights into implementation and assurance approaches within AWS based on the published guidance for each of the 14 Cloud Security Principles and Subprinciples. If you are a Senior Information Risk Officer or a CESG-Listed Advisor Scheme consultant supporting a decision-making process for selecting a cloud service at a UK public sector organization, the whitepaper provides an in-depth view into the AWS implementation approach in relation to the Cloud Security Principles. Based on this information, UK public sector organizations and their information security functions can conduct informed risk assessments and select the appropriate AWS services for their cloud environment.

AWS Services

AWS currently provides the following 11 services on the UK Government Digital Marketplace:

  1. Amazon CloudWatchDigital Marketplace link
  2. Amazon Elastic Block Store (Amazon EBS) – Digital Marketplace link
  3. Amazon Elastic Compute Cloud (Amazon EC2) – Digital Marketplace link
  4. Amazon GlacierDigital Marketplace link
  5. Amazon Relational Database Service (Amazon RDS) – Digital Marketplace link
  6. Amazon Simple Storage Service (Amazon S3) – Digital Marketplace link
  7. Amazon Virtual Private Cloud (Amazon VPC) – Digital Marketplace link
  8. Auto ScalingDigital Marketplace link
  9. AWS Direct ConnectDigital Marketplace link
  10. AWS Identity and Access Management (AWS IAM) – Digital Marketplace link
  11. Elastic Load BalancingDigital Marketplace link

Source: AWS Blog

WordPress, Critical Persistent XSS 0day

Yes, you’ve read it right: a critical, unpatched 0-day vulnerability affecting WordPress’ comment mechanisms was disclosed earlier today by Klikki Oy.

Who’s affected

If your WordPress site allows users to post comments via the WordPress commenting system, you’re at risk. An attacker could leverage a bug in the way comments are stored in the site’s database to insert malicious scripts on your site, thus potentially allowing them to infect your visitors with malware, inject SEO spam or even insert backdoor in the site’s code if the code runs when in a logged-in administrator browser.

You should definitely disable comments on your site until a patch is made available or leverage a WAF to protect your site and customers.

Technical details

This vulnerability requires an attacker to send a comment long enough to force the backend MySQL database to truncate what is stored.

 

WordPress Database Schema

As you can see from the above schema, the comments texts are stored in the comment_content column which is a TEXT column, meaning a comment can only contain a maximum of 65535 bytes of data.

A typical exploit would look like the following:

<a href='x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)'>test</a>

Once taken back from the database would look like this:

<p><a href='x onclick=alert(1) AAAAAAA</p>

Some of you might have noticed that the resulting HTML tag isn’t complete, but this isn’t a problem for most modern browsers as most of them will simply patch it up automatically

This bug then allows anyone to insert any HTML tag attributes to his hyperlink, including Javascript event handlers.

What you can do

There’s a few thing you can do to prevent getting hacked before there’s an official patch being released: You can disable comments on your site or leverage a Web Application Firewall to filter good requests from exploit attempts.

WordPress PoC

Enter as a comment text:


<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

 

Hopefully the WordPress team will release a patch soon.

 

Source: Sucuri Blog and Klikki.fi Blog

Instalando aws-cli, la nueva herramienta en línea de comandos AWS

Recomiento leer la documentación de aws-cli, como complemento a las instrucciones, ya que nos dará varias opciones de instalación y configuración de la herramienta.

aws-cli
AWS CLI

 

En esta ocasión vamos a instalar la herramienta en Ubuntu:


sudo apt-get install -y python-pip
sudo pip install awscli

Agregar al archivo siguiente, muchos sabrán a que me refiero con este regex $HOME/.(profile|bash_profile|profile)


complete -C aws_completer aws

Esto nos ayudará con el autocomplete de Bash

Agrega tu KeyID y tu SecretKey al archivo $HOME/.aws/config, usando el siguiente formato:


[default]
aws_access_key_id = 
aws_secret_access_key = 
region = us-east-1

No olvides proteger tu documento a solo lectura, escritura para el dueño del archivo:


chmod 600 $HOME/.aws/config

Opcionalmente establecer una variable de ambiente que apunte al archivo modificado previamente, especialmente si ese archivo no está en el directorio estandar.


export AWS_CONFIG_FILE=$HOME/.aws/config

Probando la instalacion de nuestro aws-cli

Una vez que hayamos finalizado nuestra instalación y configuración, procedemos a realizar nuestra primera consulta al API de AWS, usando la herramienta de consola:


aws ec2 describe-regions

La salida predefinida es en formato JSON, pero podemos intentar con diferentes formatos, como son table o text


aws ec2 describe-regions --output text
aws ec2 describe-regions --output table