Entendiendo “#Referrer Policy”

Una de las mayores amenazas para nuestra privacidad cuando navegamos por Internet es el seguimiento que realizan las webs. Cuando pulsamos sobre un enlace, la web a la que llegamos sabe perfectamente desde dónde lo hemos hecho, algo muy útil para analítica pero una grave violación de nuestra privacidad. Por suerte, gracias a las Referrer Policy, poco a poco, los administradores web pueden tener un mayor control sobre el seguimiento que se realiza a sus visitantes y ayudarles a que su navegación sea lo más privada posible.

Las Referrer Policy con una serie de cabeceras web que llevan ya bastante tiempo disponibles, y muchos navegadores como Firefox y Mozilla ya contaban con su soporte desde hace tiempo, sin embargo, no ha sido hasta enero de este mismo año cuando la W3C ha empezado a recomendarlas en la programación de páginas web con el fin de que los usuarios puedan disfrutar de una navegación lo más privada posible, lejos del seguimiento que realizan las webs.

Google Chrome, Mozilla Firefox y Opera son compatibles con estas nuevas cabeceras y las reconocen sin problemas, igual que el navegador base de Android, Safari en iOS y Google Chrome para ambos sistemas móviles. Sin embargo, Internet Explorer y Opera Mini no son compatibles, a día de hoy, con ellas. Además, Microsoft Edge y Safari son compatibles con ellas parcialmente, por lo que solo pueden trabajar con algunas de ellas pero no con todas.

Así es la cabecera “ReferrerPolicy”

A la hora de configurar esta cabecera podemos asignarla 9 parámetros diferentes, los cuales vamos a ver a continuación.

  1. “”: Este parámetro vacío indica que, aunque la cabecera esté declarada, no se quiere utilizar ninguna Referrer Policy, por lo que el rastreo y el seguimiento serán los de siempre.
  2. no-referrer: indica que nunca se envíe el origen del visitante al acceder a un link. De esta manera, todos los usuarios que llegan a una web desde otra configurada como no-referrer aparecerán con el origen NULL.
  3. no-referrer-when-downgrade: este parámetro hará que el navegador no envíe seguimiento cuando vayamos a visitar una web HTTP desde una HTTPS, aunque siempre se enviará cuando no sea así.
  4. same-origin: solo enviará el origen cuando el destino y el origen sean el mismo, por ejemplo, de una web HTTPS a una subweb de la misma también con HTTPS.
  5. origin: cuando accedamos a un enlace nos mostrará la URL principal de la página desde la que hemos accedido, pero no la URL completa a la subpágina que estábamos visitando.
  6. strict-origin: igual que la anterior, pero solo para conexiones HTTPS. Las conexiones HTTP devolverán un NULL.
  7. origin-when-cross-origin: se enviará la URL completa en las consultas internas, pero se enviará la URL general cuando sean consultas cruzadas (desde distintas webs o protocolos).
  8. strict-origin-when-cross-origin: similar a la anterior, pero cuando hay cambio de HTTPS a HTTP se devolverá un NULL.
  9. unsafe-url: siempre se enviará la URL completa.

Cómo comprobar las cabeceras Referrer Policy de cualquier página web

Si queremos saber cómo tiene una página web concreta configuradas sus cabeceras en cuanto a la privacidad, podemos hacerlo fácilmente realizando una simple consulta en la web SecurityHeaders.

En esta página, introduciremos la dirección web que queremos analizar y pulsaremos sobre “Scan”. En unos segundos, esta web nos dirá cómo está configurada la página web en cuanto al bloqueo del seguimiento.Cabeceras Mozilla

Como hemos dicho, estas cabeceras están recomendadas por la W3C desde el 26 de enero de 2017, por lo que el número de páginas web que ya cuentan con estas cabeceras es bastante pequeño, aunque se espera que, poco a poco, cada vez vaya siendo mayor.

Fuente: SeguInfo

Rastreando #XSS con Sleepy Puppy

Cross Site Scripting (XSS) es una vulnerabilidad que permite ejecutar código JavaScript en el navegador de la víctima sin su consentimiento. Por ejemplo, un XSS permite a un atacante, entre muchas posibilidades, mostrar el clásico mensaje mediante un pop-up, redirigir el navegador de la víctima a un sitio de terceros o robar las cookies de su sesión.

La herramienta que ocupa esta entrada es Sleepy Puppy y fue lanzada por Netflix en 2015 (sí, la Netflix que todos conocemos). Ésta permite, principalmente, mediante la inyección de determinados payloads en JavaScript, seguir la traza de las vulnerabilidades XSS obteniendo información de las víctimas del ataque. La información obtenida de éstas abarca desde cookies, hasta su user-agent, el código del DOM o una captura del sitio afectado (entre muchas más posibilidades).

La siguiente imagen (obtenida del blog de Netflix) muestra el proceso:

(fuente: http://techblog.netflix.com/2015/08/announcing-sleepy-puppy-cross-site.html)

En la imagen se observa que un atacante puede introducir un payload XSS en determinada parte de una aplicación, por ejemplo, como comentario a una entrada de un blog. Suponiendo que exista una vulnerabilidad de Cross Site Scripting al mostrar el comentario, todos los usuarios que visiten la entrada quedarán registrados en el panel de control de Sleepy Pyppy.

Read More

#QARK: Quick #Android Review Kit

QARK (Quick Android Review Kit) es una herramienta que está diseñada para buscar varias vulnerabilidades de seguridad relacionadas con el funcionamiento de aplicaciones de Android, ya sea en código fuente o en archivos empaquetados en APKs. Con la particularidad de que esta herramienta también es capaz de crear APKs desplegables como prueba de concepto o comandos ADB, capaces de explotar muchas de las vulnerabilidades que encuentran en Android. No es necesario tener privilegios de root el dispositivo de prueba, ya que esta herramienta se centra en vulnerabilidades que pueden ser explotadas bajo condiciones de un usuario común.

A diferencia de los productos comerciales, es 100% libre bajo las condiciones de la licencia Apache versión 2.0. QARK también ofrece información educativa que permite a los que están dando sus primeros pasos en el análisis de seguridad en Android localizar explicaciones precisas y en profundidad de las vulnerabilidades. QARK automatiza el uso de decompiladores múltiples, aprovechando sus salidas combinadas, para producir resultados mas precisos, al decompilar APKs. Por último, la mayor ventaja que tiene QARK sobre las herramientas tradicionales, es que no sólo apuntan a posibles vulnerabilidades, si no, que puede producir comandos ADB, o incluso APKs totalmente funcionales, que convierten las hipotéticas vulnerabilidades en explotaciones operativas “POC”.

Read More

Análisis de #Malware en #WordPress por ESET

A medida que pasan los años crecen las tecnologías utilizadas por los desarrolladores de software para construir o mejorar sus creaciones. Pero, a su vez, crecen las vulnerabilidades que tienen estas tecnologías y los ciberdelincuentes sacan provecho de esto para llevar a cabo sus ataques.

Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tal motivo, el más atacado. Esto no quiere decir que WordPress sea más vulnerable o inseguro a la hora de elegir un CMS; de hecho, muchos de los puntos débiles en esta plataforma resultan ser los complementos que se instalan en ella.

¿Cuál es el impacto de un sitio comprometido?

Desde cualquier punto de vista un sitio comprometido tiene un impacto negativo. Por el lado del dueño o desarrollador es una cuestión grave, ya que un atacante lograría el acceso total a los archivos y datos, y podría abusar del hosting para alojar malware y/o phishing. Una vez que el atacante comienza a propagar estas amenazas, el sitio seguramente comience a ser bloqueado o catalogado como malicioso, e ingresará a una lista negra compuesta por sitios con mala reputación. Sin dudas, esto sería muy dañino para el negocio en el que esté involucrado, el cual estaría perdiendo tanto dinero como visitas.

Un caso real

Hace unos días comenzamos a recibir falsos correos del Poder Judicial de Chile, notificando al receptor que posee deudas debido a una supuesta infracción de tránsito; como consecuencia, se invita al usuario a acceder a un enlace para ver la imagen del momento de la infracción. En el detalle del enlace podemos observar que el sitio de donde se descarga la amenaza es un WordPress que en algún momento fue comprometido (o sigue estándolo).

Resulta un beneficio para los atacantes que estos sistemas tengan grietas de seguridad, ya que se evitan el trabajo de contratar un hosting y que los investigadores puedan dar con él.

wordpress comprometido

Luego de descargar la amenaza, observamos que se trataba de un JavaScript malicioso. Al finalizar el análisis descubrimos que el script tenía como fin descargar dos archivos, un ejecutable (EXE) y un comprimido (ZIP). No podemos dejar de destacar que estos dos nuevos archivos iban a provenir de otro sitio web que también contiene WordPress implementado.

Como te habrás dado cuenta, resulta un objetivo fácil para los ciberdelincuentes atacar este tipo de CMS y obtener alguna ventaja de ellos. En este caso lograron algún tipo de acceso a través de una vulnerabilidad, que les permitió alojar archivos en el servidor web.

2-code

Al obtener los dos archivos que el JavaScript intenta descargar, corroboramos que se trataba de un ejecutable y un comprimido. Analizando el primero observamos que era 7-Zip, un software para comprimir y descomprimir archivos. Si volvemos a observar el JavaScript en la línea 38 se encuentra la password que protege al ZIP, y en la línea 40 el comando con los argumentos y parámetros para descomprimirlo.

Tal como se ve en la siguiente captura, obtuvimos un ejecutable, al cual los productos de ESET detectan como Win32/Spy.Banker. Como la firma describe, es un malware encargado de robar credenciales bancarias.

3-detection

Conclusión

Existen muchos y variados casos como el que acabamos de presentar porque sigue habiendo malas implementaciones; además, no hay un consentimiento sobre la seguridad de la información en las aplicaciones que utilizamos, ya sea para ocio o para nuestro negocio. Por tales motivos, es crucial mantenerte actualizado e informado al respecto de las amenazas y vulnerabilidades que podrían afectarte, para luego tomar las precauciones necesarias e instalar los parches de seguridad.

Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress son:

  • Actualizar WordPress, complementos y temas
  • No tener más de un CMS en un mismo servidor
  • Instalar complementos conocidos y de confianza
  • Usar temas de WordPress seguros y de confianza
  • Utilizar contraseñas robustas

De esta forma, evitarás ser víctima de ciberataques.

Fuente: We Live Security