Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Burlar escáneres de seguridad cambiando el idioma del sistema
Investigadores de Trustwave aseguraron y demostraron, durante la conferencia Hack In The Box que se llevó a cabo en Kuala Lumpur, una omisión substancial de seguridad presente en varias herramientas utilizadas para llevar a cabo pruebas de penetración, la cual está relacionada con los diferentes idiomas que se pueden configurar en un sistema.
Luiz Eduardo y Joaquim Espinhara descubrieron que la mayoría de las herramientas utilizadas en pruebas de penetración analizan problemas específicos en aplicaciones web (como inyecciones SQL) a través de los mensajes que las aplicaciones regresan y no en el código que es reportado por el sistema de gestión de la base de datos.
Entonces, ¿qué pasaría si el idioma configurado no fuera inglés, sino mandarín o portugués- Como se demuestra en su investigación, si el servidor SQL objetivo no utiliza inglés por defecto, los escáneres no van a poder encontrar algunos problemas de seguridad que serían evidentes.
Los resultados obtenidos al usar un escáner comercial en dos aplicaciones web distintas, ejecutándose en ambientes configurados con idiomas diferentes (inglés, portugués y ruso), demostraron diferentes índices de vulnerabilidades críticas y no críticas.
Aplicación web 1
Aplicación web 2
Existen algunas consecuencias potenciales de este problema. Desde la perspectiva de un atacante, esto podría ser un buen truco para utilizarse después de la explotación; ya que una vez comprometido el equipo, el atacante podría cambiar el idioma de la base de datos y, de esa forma, proteger su nueva "posesión" de otros atacantes.
Un administrador de bases de datos que esté esperando una auditoría externa, puede usar este problema para hacer que su sistema se vea aparentemente seguro. Esto, como mencionan los investigadores, es seguridad por oscuridad en su máxima expresión; es decir, tratar de proveer seguridad manteniendo en secreto el diseño o la implementación de un sistema.
Una discusión después de la conferencia señaló la simplicidad evidente de este problema y el riesgo que presenta; así como la falta de previsión de los desarrolladores, que no toman en cuenta diferentes idiomas al programar procedimientos para identificar riesgos de seguridad.
