Categories
Artí­culos Seguridad Web

Collège de France: interesantes presentaciones sobre seguridad informática

Durante los meses de marzo, abril y mayo de este año, se han realizado un conjunto de presentaciones sobre seguridad (inglés, francés) en el Collège de France, en París. Pueden descargar las transparencias y ver los videos de las presentaciones.

Algunas de las presentaciones se hicieron en francés, pero felizmente casi la mayoría de las presentaciones tienen traducción en inglés (todas las que aparecen en esta entrada).

Categories
Seguridad WordPress

WordPress < 3.1.3: Multiples vulnerabilidades

Aunque en el anuncio oficial no se mencione muy claramente, esta versión trae importantes cambios.

  • La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
  • El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
  • El changeset 18019 corrige problemas que permiten realizar ataques XSS.
  • El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.

Más adelante probablemente vaya comentando más en detalle los cambios realizados y una que otra mejora que se introdujo luego de una serie de discusiones.

Categories
Seguridad WordPress

WordPress: protección contra ataques CSRF

Para aquellos que desconocen, WordPress utiliza (desde la versión 2 si mal no recuerdo) las funciones wp_create_nonce y wp_verify_nonce como sistema de protección para ataques de tipo CSRF. Más allá de algunos problemas no relacionados con la implementación de estas funciones, ha funcionado bastante bien a lo largo del tiempo.

Entrando un poco más en detalle sobre esta funcionalidad, lo que parecería que se usa es algo que se conoce como nonce en el mundo de la seguridad informática. Un nonce viene de la abreviación en inglés number used once, un número pseudo-aleatorio que normalmente se usa para evitar ataques de repetición (mala traducción para replay attacks) cuando se definen y verifican protocolos criptográficos. Volviendo al principio, lo que se usa en WordPress no son estrictamente nonces puesto que estos valores tienen una duración de 24 horas más o menos y que naturalmente puede ser usado para realizar las mismas acciones múltiples veces.

En circunstancias normales, si ese valor generado es seguro y un atacante no tiene la posibilidad de generarlo o interceptarlo, pues todavía es en cierta forma aceptable. El protocolo de manera simplificada es el siguiente.

WP  -> B  : nonce( time.action.user_id )
B   -> WP : pair( nonce( time.action.user_id ), action )

WP representa a WordPress, que envía al navegador B un valor encriptado conteniendo el timestamp, la acción relacionada y el identificador del usuario. Por su lado el navegador debe enviar el valor generado por WP y la acción que desea realizar. WP al recibir el mensaje comprueba que el numero enviado por B no ha sido modificado y corresponde exactamente a la acción a realizar. Sin embargo, una vez más, esto no se cumple siempre debido a que el valor que puede tomar action, puede ser modificado por B. ¿Las consecuencias? pues simplemente que este mecanismo puede actualmente ser evadido bajo ciertas condiciones. En el caso de un blog, puede que no sea importante, pero para otro tipo de aplicaciones hay que tener bastante más cuidado.

Categories
Seguridad WordPress

WordPress, tres años después

WordpressAunque nunca haya sido un gran colaborador de WordPress, recuerdo que desde los primeros tickets que abrí relacionados a su seguridad, llegué a conocer relativamente bien el código que formaba parte de las versiones 2.0.x a 2.3.x. Solía seguir de manera regular los cambios que se iban haciendo y reporté unas cuantas fallas de seguridad.

Por esos azares de la vida, el 2008 tuve que abandonar todo. Incluyendo familia, amigos, ciudad, país y obviamente las actividades que solía hacer. Seguramente podría haber continuado, pero lamentablemente nunca se dieron las condiciones. En la segunda mitad del 2009, me contactaron para auditar el código de WordPress y una lista de los plugins más usados --- no recuerdo exactamente que versión era. Llegué a enviar en privado unos cuantos fallos, uno que permitía subir archivos php y otros típicos XSS o CSRF. Tuve que abandonar ese trabajo porque, aunque había compensación económica de por medio, requería demasiado tiempo y en ese entonces, eso era lo que más me faltaba.

Este año, concretamente desde hace menos de un mes, he estado viendo un poco de código. Por lo que he podido ver, los desarrolladores del núcleo suelen poner un poco más de énfasis en la seguridad. Si bien esto es un indicador bastante positivo, hay que ser consciente también que las nuevas funcionalidades implican la aparición de nuevos problemas, o principalmente de nuevas formas de aprovechar (¿alguna traducción mejor para exploit?) las fallas de seguridad. El código es más complejo que antes y un cambio inocuo en una parte del código, puede ser la causa de un problema serio en otro lado. Sin embargo, tampoco hay que desesperar. Al ser un proyecto con una comunidad bastante grande, siempre habrán ojos que descubran este tipo de fallos y que nos permitan gozar de un blog relativamente más seguro.

Estén atentos los días a venir, antes de la publicación de la versión 3.2, se viene una actualización menor que corregirá algunos problemas de seguridad, unos serios y otros algo más triviales.

Categories
Miniposts Seguridad

Seguridad de las compras en línea

Interesante artículo (pdf) donde comentan algunas fallas de algunas plataformas de comercio electrónico. Recuerdo que hace unos años, me había tocado integrar ese tipo de cosas en aplicaciones existentes. En ese entonces habían bastantes cosas que las daba por seguras, haciendo evidentemente la aplicación propensa a los problemas que se describen en ese artículo.

Ahora veo necesario el uso de herramientas que permitan verificar formalmente este tipo de protocolos, si bien es cierto que puede que no sea perfecto o que haya errores al definir los modelos, al menos da cierto grado de garantía de que las propiedades que se prueban en este tipo de herramientas, se mantienen.