Firejail es una herramienta fácil de usar, que nos permite realizar una especie de jaula con aplicaciones, especialmente útil para navegadores, clientes de correo electrónico, etc.

Instalación

$ sudo pacman -Syu firejail

Para que el funcionamiento de la herramienta sea óptimo debemos utilizar un kernel con el user-namespaces habilitado. En el caso de Arch, se recomienda utilizar en conjunción con el kernel linux-grsec, que lleva los parches grsecurity y habilitada esta opción o el kernel linux-usernd (disponible en el AUR).


Además, podemos añadir los siguientes paquetes (del AUR), con utilidades y perfiles predefinidos:

$ yaourt -S firetools firejail-profiles firejail-extras firectl

Existen diferentes formas de lanzar firejail:

Linea de comandos

 $ firejail nombre_aplicación

Desde los menus

En este caso hay que modificar el .desktop asociado. Por orden de preferencia, sería:
   ~/.local/share/applications/aplicacion.desktop

     /usr/local/share/applications/aplicacion.desktop

    /usr/share/applications/aplicacion.desktop

Añadiremos en el fichero deseado firejail en la cláusala “Exec”.

Si solo queremos que lo use el usuario actual, editaríamos/crearíamos el primero.

Si lo queremos por defecto para todos los usuarios, el segundo.
El tercero corresponde al paquete, por lo que se sobreescribe en cada actualización y, en todo caso, lo usaremos como plantilla para crear los .desktop de la primera y segunda opción.

Si se tratase de una aplicación que queremos que se ejecute en el inicio, el .desktop quedará ubicado en:

 ~/.config/autostart/

Entre las opciones disponibles para ejecutar firejail, disponemos de dos interesantes:

firejail –seccomp aplicación

Con la opción seccomp añadimos seguridad adicional.

firejail –seccomp –private aplicación

Con la opción private, no monta dentro del contenedor ningún directorio del usuario, muy útil para, por ejemplo, navegar por sitios “peligrosos” sin correr riesgos. Una vez se cierra la aplicación, no quedan “rastros” en el disco.

Según la aplicación a ejecutar, se usará un perfil predefinido que indica qué se debe añadir al contenedor para que funcione correctamente. En el caso de no existir un perfil para la misma, se utiliza uno genérico. Es por ello que hemos instalado los paquetes firejail-profiles y firejail-extras.

Veamos un ejemplo con firefox:

Si queremos ejecutarlo desde la línea de comandos, usaremos:

$ firejail firefox

Se lanzará con su perfil (todos los perfiles disponibles los tenemos en /etc/firejail/).

Bien, si queremos que no haya ningún cambio en disco, es decir, que sea totalmente transparente su ejecución, usaremos:

$ firejail –seccomp –private firefox

Sin embargo, esto es engorroso, si queremos utilizar por defecto firejail. Pare ello disponemos de varias opciones:

– Crear un enlace simbólico: 

ln -s /usr/bin/firejail /usr/local/bin/firefox

De esta forma, cada vez que lancemos firefox, lo hará con firejail. Esto funciona siempre que no se utilicen rutas absolutas y el path /usr/local/bin tenga preferencia o esté en la variable PATH (por defecto, para los usuarios es así).

Una herramienta que nos facilita la creación de estos enlaces es firecfg.

Sin embargo, es posible que queramos ejecutar con la opción –seccomp. Bien, para ello, podemos crear un pequeño scritp en bash. Siguiendo el ejemplo, creamos el fichero /usr/local/bin/firefox, con el siguiente contenido.

firejail –seccomp /usr/bin/firefox $@

y le damos permisos de ejecución:

sudo chmod +x /usr/bin/firefox

De esta manera, podemos añadir las opciones personalizas que deseemos.

– Modificar los .desktop:

Si lanzamos la aplicación desde el menú del escritorio en el que nos encontremos, probablemente, no se ejecutará enjaulado. El motivo es que porque se suele utilizar la ruta completa, con lo que el paso anterior es ignorado. Parar evitar problemas, eliminamos los enlaces simbólicos anteriores antes de utilizar este médoto. Siguiendo el ejemplo anterior, vamos a hacer lo siguiente:

sudo mkdir -p /usr/local/share/applications/

sudo cp /usr/share/applications/firefox.desktop /usr/local/share/applications/

Si solo lo queremos disponible para nuestro usuario:

cp /usr/share/applications/firefox.desktop ~/share/applications/

Ahora editamos el fichero y buscamos todas las ocurrencias de “Exec”, cambiando el contenido por:

Exec=firejail –seccomp firefox %u

Con esto estaría todo lo necesario para aplicaciones, pero… ¿y para daemons? Bueno, dado que estamos utilizando systemd, deberemos modificar la unidad correspondiente. Para evitar que sea sobreescrita, realizarmos lo siguiente:

sudo mkdir /usr/lib/systemd/system/unidad_a_sobreescribir.service.d

Y crearemos un fichero dentro de ese directorio, con la configuración nueva, con la extensión conf (por ejemplo firejail.conf):

[Service]

ExecStart=

ExecStart=firejail –seccomp binario

Sustituyendo “binario” por el contenido del ExecStart original, disponible en /usr/lib/systemd/system/unidad_a_sobreescribir.service.

Es importante la opción “ExecStart=” ya que, de no ponerla, se ejecutarán la original y la sobreescrita.

De esta forma, aunque reinstalemos el paquete afectado, esta configuración no se perderá.

Hecho esto, debemos recargar la lista de daemons:

sudo systemctl daemon-reload

Y ya podemos lanzar el servicio en cuestión.

Ahora ya sabemos cómo lanzar las aplicaciones con firejail. Toca ver cómo monitorizarlas. Es por ello que instalamos firetools.

Si lanzamos firetools, veremos que se nos abre una especie de dock, con varios iconos. Son lanzadores de aplicaciones con perfil de firejail, detectadas en nuestro sistema. Por supuesto, estos lanzadores podemos editarlos y añadir opciones personalizadas.

En cualquier caso, la utilidad real se encuentra pulsando sobre “Firetools”. Se nos abrirá una ventana donde podemos ver una lista de aplicacicones enjauladas, su árbol de procesos, podremos navegar por su sistema de ficheros, etc. Sin duda, una utilidad bastante interesante si vamos a usar esta herramienta de sandboxing.





Más información: https://firejail.wordpress.com/documentation-2/firefox-guide/

Saludos.

Análisis de seguridad de la capa dos:

Nuestro análisis de seguridad del estándar de comunicación móvil LTE (Long-Term Evolution, también conocido como 4G) en la capa de enlace de datos (denominada capa dos) ha descubierto tres nuevos vectores de ataque que permiten diferentes ataques contra el protocolo. Por un lado, presentamos dos ataques pasivos que demuestran un ataque de mapeo de identidad y un método para realizar huellas dactilares en el sitio web. Por otro lado, presentamos un ataque criptográfico activo llamado ataque LTEr que permite a un atacante redirigir las conexiones de red realizando la suplantación DNS debido a una falla de especificación en el estándar LTE. A continuación, proporcionamos una descripción general de la huella dactilar del sitio web y el ataque aLTE, y explicamos cómo los realizamos en nuestra configuración de laboratorio. Nuestro trabajo aparecerá en el Simposio IEEE 2019 sobre Seguridad y Privacidad y todos los detalles están disponibles en una versión previa a la impresión del documento.

https://alter-attack.net/#paper

Consecuencias
¿Qué tan prácticos son los ataques? Realizamos los ataques en una configuración experimental en nuestro laboratorio que depende de un hardware especial y un entorno controlado. Estos requisitos son, por el momento, difíciles de cumplir en redes LTE reales. Sin embargo, con un poco de esfuerzo de ingeniería, nuestros ataques también pueden realizarse en la naturaleza.
¿Que puede pasar? Presentamos tres ataques individuales: para mapear identidades de usuario en la celda de radio (ver el artículo para más detalles), para saber a qué sitios web accedió un usuario y para realizar un ataque de alteración (por ejemplo, en tráfico DNS) que se puede usar para redireccionar y secuestro de conexiones de red.
¿Me puede pasar esto a mí? En teoría sí, pero espera que el esfuerzo sea alto. Las víctimas más probables de tales ataques dirigidos en la práctica son personas de especial interés (por ejemplo, políticos, periodistas, etc.).
¿Quién sabe sobre los ataques? Informamos a instituciones relevantes tales como la Asociación GSM (GSMA), el Proyecto de Asociación de Tercera Generación (3GPP) y las compañías telefónicas en un proceso de revelación responsable antes de publicar este trabajo.

Más información: https://alter-attack.net/

Saludos.

El malware sin archivos aprovecha exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria utilizando herramientas legítimas del sistema como Windows Powershell. Code Red y SQL Slammer fueron los pioneros del malware sin archivos que datan de principios de la década de 2000. Actualmente, este tipo de malware está aumentando una vez más.



La charla de la ciudad durante la primera mitad del año en la comunidad de Seguridad Cibernética es el término ataque "sin archivos". Es una técnica de ataque que no requiere descargar ni arrojar archivos maliciosos al sistema para ejecutar su comportamiento malicioso, sino que aprovecha los exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria a través de herramientas legítimas del sistema. De hecho, ataques como los gusanos Code Red y SQL Slammer a principios de la década de 2000 no se guardan en ningún disco sino que almacenan su código malicioso únicamente en la memoria.

Sin embargo, el término "sin archivos" también puede ser un nombre inapropiado ya que existen ataques que pueden implicar la presencia de archivos en la computadora, como la apertura de archivos adjuntos de correos electrónicos no deseados. Una vez ejecutado, aún puede guardar un archivo en el disco y luego usar técnicas sin archivos para reunir información en el sistema y propagar la infección a través de la red. Estas técnicas pueden ser en forma de exploits e inyecciones de código para ejecutar código malicioso directamente en la memoria, almacenar scripts en el registro y ejecutar comandos a través de herramientas legítimas. Solo en 2017, el 13% del malware recopilado utiliza PowerShell para comprometer el sistema.
Las herramientas legítimas del sistema como PowerShell e Instrumental de administración de Windows están siendo objeto de abuso por actividades maliciosas, ya que estas son todas las herramientas integradas que se ejecutan en el sistema operativo Windows. Una familia de malware conocida que usa PowerShell para descargar y ejecutar archivos maliciosos es el descargador de Emotet.
Incluso hay malwares antiguos que cambiaron su técnica y ahora usan ataques sin archivos. Estos malwares pretenden ser más efectivos en términos de infectar máquinas y evitar la detección como Rozena.
Rozena es un programa malicioso de puerta trasera capaz de abrir una conexión de shell remota que conduce al autor del malware. Una conexión exitosa con el autor del malware genera numerosas preocupaciones de seguridad no solo para la máquina afectada, sino también para otras computadoras conectadas en su red.
Esto se vio por primera vez en 2015 y reapareció en marzo de 2018. El viejo y nuevo malware Rozena todavía se dirige a los sistemas operativos Microsoft Windows, pero lo que marcó la diferencia es la nueva adaptación a la técnica sin archivos que utiliza scripts de PowerShell para ejecutar su intención maliciosa. . Una encuesta realizada por Barkly y el Ponemon Institute, que encuestó a 665 líderes de TI y seguridad, descubrió que los ataques sin archivos tienen una probabilidad 10 veces mayor de tener éxito que los ataques basados ​​en archivos. Esta podría ser la razón probable por la que los autores de malware siguen el camino sin archivos.

Más información: https://www.gdatasoftware.com/blog/2018/06/30862-fileless-malware-rozena

El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar.



A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

Más información: https://threatpost.com/macos-malware-targets-crypto-community-on-slack-discord/133254/

Saludos.

Se encontraron dos exploits de día cero después de que alguien subió PoC "desarmado" a VirusTotal.



Investigadores de seguridad de Microsoft revelaron detalles de dos vulnerabilidades críticas e importantes de día cero que se descubrieron recientemente después de que alguien cargó un archivo PDF malicioso en VirusTotal y se parcheó antes de ser utilizado.

A fines de marzo, los investigadores de ESET encontraron un archivo PDF malicioso en VirusTotal, que compartieron con el equipo de seguridad de Microsoft "como un exploit potencial para una vulnerabilidad desconocida del kernel de Windows".
Después de analizar el archivo PDF malicioso, el equipo de Microsoft descubrió que el mismo archivo incluye dos exploits diferentes de día cero: uno para Adobe Acrobat y Reader y el otro para Microsoft Windows.

Dado que los parches para ambas vulnerabilidades se lanzaron en la segunda semana de mayo, Microsoft dio a conocer los detalles de ambas vulnerabilidades en la actualidad, después de dar a los usuarios el tiempo suficiente para actualizar sus sistemas operativos vulnerables y el software de Adobe.
Según los investigadores, el PDF malicioso que incluía tanto el exploit de días cero estaba en la etapa de desarrollo inicial, "dado el hecho de que el PDF en sí no entregó una carga maliciosa y parecía ser un código de prueba de concepto (PoC). "
Parece que alguien que podría haber combinado ambos días cero para construir un arma cibernética extremadamente poderosa había perdido involuntaria y erróneamente el juego al cargar su vulnerabilidad de subdesarrollo a VirusTotal.
Las vulnerabilidades de día cero en cuestión son un error de ejecución remota de código en Adobe Acrobat y Reader (CVE-2018-4990) y un error de escalamiento de privilegios en Microsoft Windows (CVE-2018-8120).
"El primer exploit ataca el motor javascript de Adobe para ejecutar Shellcode en el contexto de ese módulo", dice Matt Oh, ingeniero de seguridad de Windows Defender ATP Research.

"El segundo exploit, que no afecta a las plataformas modernas como Windows 10, permite que el shellcode escape del entorno limitado de Adobe Reader y se ejecute con privilegios elevados desde la memoria del kernel de Windows".
El exploit de Adobe Acrobat y Reader se incorporó en un documento PDF como una imagen JPEG 2000 creada con fines malintencionados que contiene el código de explotación de javascript, que desencadena una vulnerabilidad de doble libre en el software para ejecutar Shellcode.
Aprovechando la ejecución del shellcode desde la primera vulnerabilidad, el atacante usa el segundo exploit del kernel de Windows para romper el sandbox de Adobe Reader y ejecutarlo con privilegios elevados.
Debido a que esta muestra maliciosa de PDF estaba en desarrollo en el momento de la detección, al parecer incluía una carga útil simple de PoC que arrojaba un archivo vbs vacío en la carpeta de Inicio.
"Inicialmente, los investigadores de ESET descubrieron la muestra en PDF cuando se cargó en un repositorio público de muestras maliciosas", concluyeron los investigadores de ESET.

"La muestra no contiene una carga útil final, lo que puede sugerir que fue capturada durante sus primeras etapas de desarrollo. Aunque la muestra no contiene una carga útil final real maliciosa, el autor demostró un alto nivel de habilidades en el descubrimiento de vulnerabilidades y explotar la escritura ".
Desde entonces, Microsoft y Adobe lanzaron las actualizaciones de seguridad correspondientes para ambas vulnerabilidades en mayo. Para obtener más detalles técnicos de los exploits, puede dirigirse a los blogs de Microsoft y ESET.

Fuente: https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

Saludos.

Si su operador de telefonía móvil ofrece LTE, también conocida como la red 4G, debe tener cuidado ya que su comunicación de red puede ser secuestrada de forma remota.
Un equipo de investigadores ha descubierto algunas debilidades críticas en el ubicuo estándar de dispositivo móvil LTE que podría permitir a piratas informáticos sofisticados espiar las redes celulares de los usuarios, modificar el contenido de sus comunicaciones e incluso puede redirigirlas a sitios web maliciosos o de phishing.
LTE, o Long Term Evolution, es el último estándar de telefonía móvil utilizado por miles de millones de personas diseñado para brindar muchas mejoras de seguridad sobre el estándar predecesor conocido como Sistema Global para comunicaciones móviles (GSM).
Sin embargo, se han descubierto múltiples fallas de seguridad en los últimos años, que permiten a los atacantes interceptar las comunicaciones del usuario, espiar las llamadas telefónicas de los usuarios y enviar mensajes de texto, enviar falsas alertas de emergencia, falsificar la ubicación del dispositivo y desconectar completamente los dispositivos.



Más información:
https://thehackernews.com/2018/06/4g-lte-network-hacking.html?m=1

Saludos.

Con solo unos pocos clics, G DATA Clean up limpia su sistema de adware, barras de herramientas y complementos de navegador así como de los conocidos como “programas potencialmente no deseados” (PUPs) que no pueden ser desinstalados con los métodos convencionales. La herramienta se puede usar sin necesidad de instalación.



Web: https://www.gdata.es/descargas#Herramientas
D.Directa: https://secure.gd/dl-gdcleanup
Peso: 17 MB

Saludos.

G DATA Meltdown & Spectre Scanner comprueba si su sistema es vulnerable a los ataques recientes de Meltdown y Spectre. Después de la comprobación de archivos, se le informará sobre el estado de seguridad de su sistema y las posibles contramedidas.

Requisitos del sistema: Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 SP1. G DATA Meltdown & Specter Scanner requiere .NET Framework 4 o superior, el cual viene preinstalado a partir de Windows 8 o Windows Server 2012. Si está utilizando Windows 7 SP1 o Windows Server 2008 R2 SP1, instale primero .NET Framework 4.7.1.

Web: https://www.gdata.es/descargas#Herramientas
D.Directa: https://secure.gd/dl-mss
Peso: 0,8 MB

Saludos.

Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.

A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.

La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.

Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como “.httaccess” del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero “wp-config.php”, abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.

Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero “wp-config.php”, así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.

Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.

Fuente: The Hacker News

Gentoo es una de las distribuciones Linux (aunque también hay una implementación con FreeBSD) con más historia, y destaca por la instalación de una gran cantidad de paquetes y aplicaciones mediante la compilación del código fuente a través de una gestión de los paquetes realizada por Portage, cuya implementación para línea de comandos se llama Emerge

Según informan nuestros compañeros de MuyLinux, la comunidad que está detrás de esta distribución anunció ayer que una cuenta de uno de los encargados del repositorio de GitHub fue hackeada. Esto fue utilizado por parte de los ciberdelincuentes para comprometer el código alojado ahí, modificando los árboles de Portage y musl-dev con versiones maliciosas de los ebuilds en un intento de eliminar todos los ficheros de los usuarios.

Ebuild es un conjunto de scripts en Bash creados por los desarrolladores de Gentoo que se encarga de automatizar los procesos de compilación e instalación de los paquetes de software, siendo un componente fundamental junto con Portage. Si bien se sabe exactamente qué componentes terminaron comprometidos, los encargados de Gentoo han preferido marcar el repositorio de GitHub como totalmente comprometido.

Sin embargo, parece que los atacantes no fueron muy listos si querían provocar un gran perjuicio a los usuarios de esta distribución Linux, ya que el repositorio de GitHub no es más que un espejo (mirror) y no el repositorio principal. La mayoría de los usuarios utilizan el repositorio alojado en el sitio web oficial y otros espejos, así que el impacto de este ataque ha terminado siendo mínimo.

Como medida de precaución y tras recuperar el control sobre la cuenta hackeada, los encargados de Gentoo han decidido borrar o inhabilitar el repositorio en GitHub, que ahora da un código 404 cuando es visitado mediante un navegador web.

En caso de haber obtenido Gentoo desde GitHub, lo recomendable es hacer una copia de seguridad de los datos, a ser posible utilizando otra distribución que funcione en live, para reinstalar el mismo Gentoo descargado desde el sitio web oficial.

Saludos.