Cómo buscar vulnerabilidades en software

Hace mucho que no escribo nada, y esta vez será solo para recomendaros un artículo escrito por mi. El artículo describe las formas de búsqueda de vulnerabilidades actuales, aunque con ingenio seguramente se os ocurra alguna que sea eficaz también.

Cómo buscar vulnerabilidades en software
Voy a introducir en mi primer post en este blog, el cual trata sobre la búsqueda de vulnerabilidades enfocadas a binarios y no a aplicaciones web. Normalmente, los software vulnerables a buffer overlow, vulnerabilidades double free, null dereference… están programados en C o C++, lo que aumenta su peligrosidad, ya que otros lenguajes de programación tratan, por ejemplo, los arrays de caracteres de forma segura chequeando el tamaño de los mismos, en cambio en C Y C++, se le da total libertad al programador y es él quien debe encargarse de esos chequeos, esto no pasa en lenguajes como Java, Ruby, Perl, Delphi, etc.
Cuando auditamos una aplicación en busca de vulnerabilidades, podemos hacerlo de dos formas, a partir de su código fuente, lo que se llama análisis de código fuente, también llamada auditoría de Caja Blanca (WhiteBox), o a partir del binario de la aplicación llamada auditoría de Caja Negra (BlackBox). Realmente, en ciertas ocasiones podemos tener sólo disponibles partes del código pero de momento vamos a ir viendo esos dos casos:

Auditoría de código fuente
Para realizar dichos análisis, debemos indispensablemente saber programar muy bien en algún lenguaje como C y alguno orientado a objetos. Cuantos más conocimientos se tenga de programación, varios lenguajes completamente distintos, tecnologías, framework’s, etc. Nos será más efectivo llevar el análisis de código, además de conocer los posibles tipos de vulnerabilidades existentes, y normalmente en qué situaciones son provocadas o qué funciones son muy peligrosas de utilizar, si no se controlan bien. Para ello, nos podemos informar en internet aunque al final dejaré enlaces y libros enfocados a fallos típicos en binarios, los cuales pueden ser de nuestro interés para analizar aplicaciones en busca de vulnerabilidades. En la auditoría de binarios veremos algunas técnicas que perfectamente pueden servir para esto.

Análisis de binarios
En este caso suele estar disponible sólo el ejecutable, ya sea el típico PE de Windows, ELF de Linux, ROM…Veremos ejemplos más delante de binarios sobretodo enfocados a Windows. Veamos varias formas de buscar vulnerabilidades en binarios:

-Fuzzing: Consiste en realizar pruebas automáticas, en base a una investigación previa sobre la estructura de lo que queremos analiza, ya sea mediante el documento de especificación, o reverseando algún programa. Se utiliza para todo tipo de programas, pero es normal verlo para programas que abren “X” tipo de fichero y tienen una estructura interna por dentro. Por ejemplo, los pdf’s que están de moda, tienen una estructura y si se hace un programa que vaya generando numerosos documentos pdf’s malformados, pueden salir que un mismo pdf puede afectar a varios programas que no tienen nada que ver o que van copiando partes unos de otros, incluso varios fallos en un mismo lector de pdf’s.

-Ingeniería inversa: Mediante un depurador o desensamblador, como IDA Pro u OllyDbg, se puede ver el código en ensamblador y depurar el mismo. Tenemos el problema de que puedan ir protegidos, y se necesita un conocimiento en estas áreas, pero son herramientas perfectas si sabemos dónde buscar y nos pueden ayudar bastante a encontrar vulnerabilidades complejas, o incluso backdoors dejadas por programadores, que no se esperan que nadie pueda verlas, por ejemplo un condicional tipo ” if(password == “magicword:P”) “.

-Decompilación de código: A partir de decompiladores específicos de cierto lenguaje como los existentes para Delphi o .NET, tendríamos disponible el código fuente, siempre y cuando no viniera ofuscado ni con otras protecciones que llevaran más tiempo analizar. En este tipo de lenguajes y binarios pueden ser comunes los fallos tipo Command Injection y demás. Si intentamos decompilar un binario con código C/C++ podemos usar el IDA Pro con un plugin llamado Hex-Rays Decompiler que te lo traduce a código C aunque se pierden todos los símbolos y es difícil de seguir, pero mejor C que ensamblador en muchas ocasiones. De este modo, podríamos comenzar una auditoría manual y un análisis automatizados del código fuente como el de Buguroo BugScout.

-Ejecución simbólica: Es una técnica que, a partir de un método que se ejecuta al principio (un mecanismo interesante es el de proporcionar de entrada “X” valores de interés como entradas de usuario, para ello habría que adaptar el programa) es capaz de recorrer dinámicamente, todas las posibles rutas de ejecución de un programa y así encontrar vulnerabilidades difíciles de encontrar mediante otros métodos. El compilador-optimizador se llama LLVM y para esta tarea de búsqueda de vulnerabilidades se suele usar la máquina virtual KLEE. Se necesita compilar el código fuente de C, por ejemplo, con gcc-llvm. Se utiliza para programas que ya han sido testeados muchas veces. Este método puede descubrir alguna vulnerabilidad adicional ya que explora todo en ejecución y algunos compiladores modifican el código cuando compilan, (optimizaciones y demás) y se han dado varios casos en los que los códigos se han vuelto inseguros a través de estas modificaciones.

- Diff de binarios: Actualmente, un modo de hacer exploits es una vez que han parcheado un software, se aplican comparaciones entre la versión parcheada y la antigua, como pasa con los parches de Microsoft del tipo MS11-xxx, y se descubre el trozo de código que ha cambiado y se puede ver el fallo. Aunque propiamente el fallo ya ha sido descubierto antes, a veces se puede usar para encontrar fallos que han parcheado de manera silenciosa. Esta técnica también se puede aplicar a la auditoría manual si es un diff de código disponible.

-Testing manual: Hay varias formas de realizar este testeo para lograr buenos resultados, vamos a repasarlos brevemente:

Dejar la aplicación en manos de compañeros desarrolladores, y que vayan accediendo por todos lados probando inputs aleatorios y en algún caso, si existen zonas restringidas se les pase claves para que vayan probando en todas las zonas.

Una técnica utilizada por muchos productos, es lanzar el producto en versión Beta, y que la gente reporte problemas y errores descubiertos mediante su uso, estas versiones suelen llevar formas de reporte especial, además algo molestas para usuarios que en versiones oficiales no tienen.
Después de repasar cada método podemos inferir que ventajas y limitaciones tiene cada uno. En base a las limitaciones temporales que conlleva en muchas ocasiones la búsqueda de vulnerabilidades, elegiremos uno u otro. Utilizando todos de forma eficaz se puede llegar a un construir un software seguro.

También hay que destacar que hay tipos de análisis que se solapan. Por ejemplo, en este artículo no veo necesario entrar en el caso del threat model. Abajo os muestro algunos enlaces divididos por vulnerabilidades descubiertas con los distintos tipos de búsqueda de vulnerabilidades. Además, os dejo información de algunos de los temas tocados para que investiguéis en profundidad, aunque en posteriores post se irán tocando estos temas y otros de cómo aprovechar dichas vulnerabilidades mediante exploits.

Enlaces sobre distintos tipos de vulnerabilidades descubiertas con los métodos vistos:

Fuzzing:

• http://www.fuzzing.org/
• http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0748

Ingenieria Inversa:

• http://aluigi.altervista.org/adv.htm
• http://www.computersecurityarticles.info/antivirus/having-fun-with-adobe-0-day-exploits/

Decompilación:

• http://nchovy.kr/uploads/3/317/VulnerabilityDiscoveryInClosedSourcePHPApplications.ppt

Ejecución Simbólica:

• http://www.vupen.com/english/advisories/2008/2919
• http:// security.ece.cmu.edu/aeg/aeg-current.pdf

Diff de binarios:

• http://www.abysssec.com/blog/2008/11/microsoft-patch-analysis-binary-diffing/

Manual testing:

• http://www.exploit-db.com/exploits/5068/

*Decir que hay cientos de ejemplos en Internet, es cuestión de buscarlos. Entre ellos, alguno mio del que estoy seguro del método que se usó para descubrir la vulnerabilidad. En algún enlace se puede ver mezcla de métodos, incluso alguno general que tienen muchas vulnerabilidades pero que considero interesantes.
Otros enlaces de interés:

• https://www.securecoding.cert.org/confluence/display/seccode/CERT+C+Secure+Coding+Standard
• http://www.exploit-db.com/
• http://www.securityfocus.com/

 Link: http://blog.buguroo.com/?p=344

Saludos!!

Venta de Vulnerabilidades en software

Hoy en día, muchos informáticos con conocimientos sobre vulnerabilidades, explotación de las mismas, e ingeniería inversa en general, se pueden ganar un buen sueldo con la venta de lo que descubren de forma legal, vendiéndolo a empresas que tienen clientes que proteger, y reportándolo a la empresa propietaria del software afectado o a los encargados de hacer ese software.

Actualmente, de forma legal conozco 2 y aunque habrá más, son las más conocidas. También hay otra que no es muy "legal" que se pueda decir, ya que vende vulnerabilidades a los que pongan el precio sin importar quien sea, pero con los datos del comprador en teoría, no directamente a la empresa que lo reportará a la afectada como debería ser para evitar problemas.

Os voy a hablar un poco de las 3:

ZeroDayInitiative(ZDI)
Pertenece a 3com-TippingPoint y pagan bastante bien. Es una de las 2 empresas que conozco, y la verdad, parece muy buena. Ellos te proporcionan una lista de las aplicaciones y fabricantes que seguramente acepten vulnerabilidades, y a partir de ahí, dependiendo del tipo de vulnerabilidad, uso extendido y demás de la aplicacion te pagan más o te pagan menos.
Ejemplos conocidos:

Adobe Pdf Reader 8.1.2 Local and Remote Code Execution across Web Browser --> 4000$

Adobe Flash Player 9.0.115.0 and earlier DeclareFunction2 Invalid Object Use Vulnerability --> 5500$

Sacado de infolancer - Vallejo.cc

iDefense Labs
La otra empresa que parece bastante buena y pertenece a Verisign, y que recientemente hizo algunos cambios por lo que pagará más en algunas vulnerabilidades importantes porque creo que quitaron concursos que hacían antes. Ésto me llegó al mail ya que ando registrado ahí desde hace tiempo. No tengo ninguna suma conocida, pero en la misma web que en ZDI, la de Vallejo, comenta que una vulnerabilidad con ejecución de código en algún software, de momento desconocido, le han llegado a pagar 8000$.

Wabisabilabi
Desde hace pocos días, no me aparece las que se venden actualmente, no muestra ninguna, así que no se si seguirá en funcionamiento si quiera...Ya bastante info hay de este en las noticias de internet.
Os dejo una lista de lo que se ha pagado por algunas vulns:

PostgreSQL 8.3.1 con PoC, Remota(No especifica de que tipo) --> 800 Euros
Safari 3.1 con Poc, Remota(Visitando un link seguramente) --> 300 Euros
IBM DB2 9.1.0 sin Poc, Remota --> 1050 Euros
SAP GUI v 620 con Poc x 3 Vulnerabilidades --> 5100 Euros/Vulnerabilidad

Ahi teneis lo que se ha pagado y por cuales.
http://www.wslabi.com/wabisabilabi/initAssignedBid.do?

Luego hay otras que ofrecen menos dinero y son menos conocidas, o directamente las ventas ilegales, que ahí si que te pueden pagar grandes cantidades. Pero merece la pena hacer eso y que te miren mal, pues no.

Espero que os sirva, y el día que consiga vender una, os daré mejor mi opinión, si es que algú día lo consigo, que cada bug que consigo o ya ha sido encontrado o es flojillo y no lo compran porque no les merece la pena.

De Vuelta

Después de ver las escalofriantes cifras que llegan a pagar por fallos tanto idefense como tippingpoint, me he animado a buscar fallos en software comercial conocido con la intención de encontrar algún fallo bueno y venderlo a ver que tal pagan, ya que pronto hay que sacarse el carnet de coche y no llega..ahora la cosa es buscar bien y probar y probar, una parte que puede llegar a ser muy aburrida.

Asi que Fuzzing, fuzzing y más fuzzing hasta encontrar algo, de momento descubri algunos que ya fueron vendidos o posteados así que nada...xD

Yashira On y Mi reto para el que se atreva

Bueno ahora andan en un VPS configurado todo tal y como quieren, para que sea seguro y resista duros ataques de botnets normalitas. Principalmente, es posible gracias a g30rg3_x y a los que colaboraron dando dinero también: skyline2412, patoruzu y Mcrow. Falta mi colaboración que llegará en cuanto me llegue la tarjeta nueva que con la que tenía no me vale.
Así que en Yashira.org ya pusieron la nueva versión con todos sus retos, entre ellos el mio. Os dejo la descripción del mismo y acuérdense es un reto, que no es real del todo y es así porque la cuestión es aprender y asi no tardar demasiado en encontrar la vulnerabilidad.

Nombre del reto

Mision para Lara Croft

Indicaciones para que funcione bien

1º-Ruta Obligada --> C:\RetoOverflow\reto.exe & C:\RetoOverflow\md5.dll

2º-Hacer el reto con permisos de Administrador para evitar cualquier problema, porque puede que no funcione de no hacerlo así, ya cuando descubran el bug sabrán el porqué, o sino después de que lo encontréis os lo digo yo. (Si sabéis que bug es y aún así no os funciona me decís más que nada porque podria dar algun pequeño problema...pero solo cuando ya sepáis cual es la vulnerabilidad).

3º-Este reto no consiste en buscar en el código del reto con un debugger, de momento, el posible error y por ello está empacado con el themida porque no quiero que miréis el código y lo saquéis así porque sí, hay otros modos de descubrir un bug ademas de ver el código y por ahí va parte del reto.

Como pasar el reto

1º-De momento ,solo será necesario que encuentren el bug, y me envien la prueba de que funciona con argumentos AAAA dando el problema en la dirección 41414141, vamos lo de siempre, un access violation ahí.

2º-Guiaros por la lógica y pensar...seguro lo sacáis pronto.

Futuro

Más adelante espero que esté la version 2 del reto y será algo más complicada porque habrá que ejecutar la calculadora por ejemplo...y como podréis ver más adelante hay trucos, maldito win y las vuln que hay sobre él...ejejej


Para mas información mirar la Ayuda del programa.

Premio

El que lo descubra sin trampas de chivatazos y se lo haya currado le paso el código del reto y ya veré si algo más.



Saludos y Suerte

Link: Reto 172

Distintos Blogs y paginas buenas

Para que no ocupe mucho los links que suelo ver a diario y que me parecen buenos, o algunos que veo de vez en cuando, voy a poner una lista aqui que ire reyenando.

En Español:
Lista de CracksLatinos
El Lado Del Mal - Chema
Blog S21Sec
Blog de Boken
48bits
SecurityByDefault
Kriptopolis
Blog de Zhodiac
JV Vallejo
Laboratorio de Hispasec
Foro de bugs - elhacker.net
Wadalbertia
h4ck1t - h1t
Blog de JosS
Blog de HaDeS
Blog de Thor
Blog de +NCR/CRC!
Blog de Yibam
Blog de AmeRiK@nO
Todo sobre Hack It - Euskal

En Ingles:
SysInternals - Mark Russinovich
BrowserFun - Cerrado :(
KernelFun
OpenRCE
Alexander Sotirov
Alpha3 Shellcoder - Skylined
Luigi Auriemma
Milw0rm
rvdh - 0x000000 - Browser Attacks
Halvar Flake
Pedram Amini - OpenRCE
Jeremiah Grossman - Web Hacking
Ero Carrera
RSnake - ha.ckers
SecurityTeam
Peter Ferrie
Archivos de las conferencias CanSecWest
Archivos de las conferencias BlackHat
Archivos de BugHunter sobre todo

Ireagregando segun me vaya acordando

Fuzzing: Brute Force Vulnerability Discovery (Paperback)

Hoy voy a escribir sobre un libro que me quiero comprar que la verdad me parece muy interesante sus contenidos y que claramente es muy profesional solo hay que ver a los autores que lo han escrito y donde trabajan. Bueno ahi va la descripción que aparece en amazon.com, traducida por mí más o menos bien. En el link de la fuente viene info además sobre los autores.

Autores:
Michael Sutton
Adam Greene
Pedram Amini

Fuzzing
Actualmente es una de las más poderosas técnicas para revelar fallos de seguridad. El fuzzing es una de las formas más efectivas de ver la seguridad del software. Para fuzzear, tu atacas a la entrada de datos de un cógido aleatorio del programa, y después sistemáticamente identificas los fallos que surjan. Los hackers llevan confiando en el fuzzing durante años: Ahora, es tú turno. En este libro, reconocidos expertos en fuzzing te muestran cómo usar el fuzzing para descubrir debilidades en tu software antes de que alguien lo haga.

Fuzzing es el primer y único libro que cubre el fuzzing desde el principio hasta el final, dándote una disciplina mejor para practicar una técnica que ha sido implementada de una manera informal tradicionalmente. Los autores empiezan por revisar como trabaja el fuzzing y como leer entre líneas da ventajas cruciales sobre otras formas de ver la seguridad. Después, ellos introducen lo más reciente en técnicas en el arte del fuzzing para encontrar vulnerabilidades en protocolos de redes, formatos de archivos, y aplicaciones web; demuestran el uso automatizado de las herramientas de fuzzing; y presentan varios casos profundizando como trabaja el fuzzing.

El libro incluye:

• Porqué el fuzzing simplifica el testeo del diseño y obtiene otros métodos perdidos de encontrar fallos.
• El proceso del fuzzing: desde identificar entradas de datos a evaluar si es explotable.
• Entendiendo los requerimientos necesarios para un fuzzing efectivo.
• Comparaciones entre fuzzers basados en mutación y en generación.
• Usando y automatizando el fuzzing de variables de entorno y argumentos.
• Dominando las técnicas de fuzzing en memoria.
• Construyendo frameworks y herramientas de fuzzing personalizadas.
• Implementando sistemas inteligentes de deteccion de errores.

Los atacantes normalmente usan fuzzing. Tú deberías también. Si tu eres un programador, ingeniero de seguridad, tester o un especialista QA, este libro te enseñara como construir software seguro.

Índice del libro:

Foreword
Preface
Acknowledgments
About the author

Part I: Background
Chapter 1: Vulnerability Discovery Methodologies
Chapter 2: What Is Fuzzing?
Chapter 3: Fuzzing Methods and Fuzzer Types
Chapter 4: Data Representation and Analysis
Chapter 5: Requirements for Effective Fuzzing

Part II: Targets and Automation
Chapter 6: Automation and Data Generation
Chapter 7: Enviroment Variable and Argument Fuzzing
Chapter 8: Enviroment Variable and Argument Fuzzing: Automation
Chapter 9: Web Application and Server Fuzzing
Chapter 10: Web Application and Server Fuzzing: Automation
Chapter 11: File Format Fuzzing
Chapter 12: File Format Fuzzing: Automation on UNIX
Chapter 13: File Format Fuzzing: Automation on Windows
Chapter 14: Network Protocol Fuzzing
Chapter 15: Network Protocol Fuzzing: Automation on UNIX
Chapter 16: Network Protocol Fuzzing: Automation on Windows
Chapter 17: Web Browser Fuzzing
Chapter 18: Web Browser Fuzzing: Automation
Chapter 19: In-Memory Fuzzing
Chapter 20:In-Memory Fuzzing: Automation

Part III: Advanced Fuzzing Technologies
Chapter 21: Fuzzing Frameworks
Chapter 22: Automated Protocol Dissection
Chapter 23: Fuzzer Tracking
Chapter 24: Intelligent Fault Detection

Part IV: Looking Forward
Chapter 25: Lessons Learned
Chapter 26: Looking Forward

Index

Fuente:Amazon.com - Fuzzing