Me gustaría empezar con esta nueva edición de la Semana de la seguridad con algunas noticias que no tienen mucho que ver con los sistemas de seguridad de la información. Salió la noticia de que los coches diesel de Volkswagen emiten más gases contaminantes de lo que dicen los tests.
No voy a ponerme tan crítico antes de que conozcamos el panorama completo. Esta historia demuestra que el papel del software en el mundo actual es de gran importancia: al parecer, una ligera modificación del código es suficiente para alterar una característica clave sin que nadie se diera cuenta.
De acuerdo con la revista Wired, fue bastante fácil esconder los altos niveles de emisión. ¿Sabes cómo se llevan a cabo las pruebas de laboratorio? El coche se coloca en un dispositivo que imita la conducción por carretera, presiona el acelerador, gira las ruedas y analiza la emisión de gases.
¿Cuál es la diferencia entre estas pruebas de laboratorio y la conducción real? El volante no está en acción. Esto significa que se podría programar con una sola condición: cuando nadie está al volante, eso significa que el vehículo se encuentra en la estación de la ITV. Este truco podría descubrirse por accidente, y así es como creo que ocurrió.
Volkswagen says emissions deception actually affects 11 million cars http://t.co/8Z0MMR6kBO
— WIRED (@WIRED) September 23, 2015
De nuevo, a menos que esto se aclare, la diferencia en el análisis de emisiones de gases puede considerarse tanto intencional, culpando al fabricante de coches (o a un grupo de personas responsables del código), como involuntario. ¿Podría haber sido un error? Por supuesto. En el resumen semanal de hoy de Threatpost.com trataremos historias sobre diferentes errores de código y cómo éstos pueden ser utilizados para varios propósitos, entre los que se incluye ganar dinero. Haz click aquí para leer otras historias.
D-Link revela sus propios certificados digitales por error
La noticia. Tweakers.net, un sitio web holandés, publica una investigación detallada, adornada con mucho Traductor de Google.
Imagínate que eres productor de diversos dispositivos de red, desde routers hasta cámaras de vigilancia. Acompañas tu equipo con firmware, controladores, software, software de actualización del firmware, software de actualización del controlador, etc. Todo se almacena en alguna carpeta de “flujo de trabajo” en un servidor secreto. Todo se actualiza, se distribuye, se sube a servidores actualizados según lo programado, luego los cambios se marcan, y por últimos los usuarios obtienen sus actualizaciones. Fácil, ¿eh?
D-Link Accidentally Leaks Private Code-Signing Keys – http://t.co/0mmP6Mm5wv
— Threatpost (@threatpost) September 18, 2015
No hace falta decir que no se puede gestionar manualmente todo el inventario de hardware, esto lo hacen los scripts. Bien, tenemos un nuevo código, ejecutamos un archivo .bat (Shell script, o Python, o el que sea), entonces el código se distribuye entre las carpetas designadas, todo se archiva, y todos contentos.
Y este es Jack el ingeniero, quien decidió mejorar radicalmente el script probándolo en un par de casos con resultados satisfactorios. Y este es el error que creó Jack. Sólo una línea, del código responsable de seleccionar los archivos o carpetas de actualización apropiados, que simplemente no incluía un guión o un paréntesis adicional. Y ahora los datos que recopilabas querido amigo, se han filtrado pasando a formar parte del dominio público y se han enviado por correo electrónico a innumerables usuarios.
Semana de la seguridad 39: #XcodeGhost, el filtrado de certificados #D-Link, 1 millón de dólares por los #bugs en #iOS9
Tweet
Bueno, por supuesto, no puedo afirmarlo al 100 %. Puede que no sea exactamente así. Pero esto es lo que sucedió: un usuario cauteloso, que acababa de descargar la actualización del firmware de su cámara D-Link, se dio cuenta de que el archivo contenía las claves privadas para acceder al software del proveedor. Habían diversos certificados en el archivo, algunos obsoletos, pero uno de ellos expiraba el día 3 de septiembre, no hace mucho tiempo.
Pero antes de esa fecha, la clave había estado expuesta durante seis meses y podría haber sido utilizada para introducir cualquier software, y, por consiguiente, malware. Fue un error evidente, vergonzoso y peligroso. Ahora estamos viviendo en una época en la que una secuencia de 512 números puede incluir cualquier cosa: una clave necesaria para infectar millones de ordenadores, un montón de dinero en divisas virtuales o un código de acceso a la información clasificada.
Pero, al mismo tiempo 512 bytes son pequeños granos de arena en el océano de tu disco duro, susceptibles a ser expuestos al dominio público. La única esperanza que tenemos es que nadie se haya dado cuenta del error, que es lo que suele pasar. Pero a veces alguien localiza el error, como en este caso, aunque aún no se ha encontrado ningún malware que se haya aprovechado de ninguna de las claves expuestas.
XcodeGhost un marcador en el entorno de desarrollo integrado de Apple
La noticia. La investigación de Palo Alto. La lista de las aplicaciones afectadas. La declaración oficial de Apple (en chino, por desgracia).
Imagínate que eres un desarrollador chino de aplicaciones para iOS. Nada especial, ya que los kits y las herramientas de desarrolladores son iguales para todos ellos, independientemente del país. Sólo agrégale alguna que otra peculiaridad geográfica. Por ejemplo, imagínate que compras un nuevo Mac, instalas un marco Xcode y empiezas a programar.
Esto está bien, excepto por un detalle: si lo descargas desde la página web oficial de Apple, el marco Xcode gratuito se descarga muy lentamente, ¡gracias a la Gran Muralla! La manera más rápida y sencilla de descargarlo es desde un sitio web local, de todas formas, ¿cuál es la diferencia? Es gratuito de todas formas.
Entonces, como salidas de la nada, algunas aplicaciones (tanto las populares como las que no lo son tanto) tienen una inyección de código malicioso, que (¡por lo menos!) envía los datos sobre el dispositivo a un servidor C&C remoto. En el peor de los casos, el dispositivo acepta las órdenes del servidor, que comprometen al usuario y explotan las vulnerabilidades de iOS.
Resulta que el malware estaba oculto en las versiones locales de Xcode y afectó a varios lanzamientos. Eso significa que alguien lo creó a propósito. Aún puede ser peor: no se trata solamente de que algunas aplicaciones populares como WeChat IM o la versión local de Angry Birds estén comprometidas, se trata de un código malicioso que ha conseguido burlar los controles de la App Store.
Por supuesto, todas las aplicaciones infectadas ya han sido eliminadas y el código malicioso en sí es bastante fácil de encontrar por los nombres de dominio de los servidores C&C (que también han sido bloqueados). Pero sin conocimiento previo, el malware es bastante difícil de encontrar: estaba escondido de forma muy inteligente en las bibliotecas estándar de Apple, que se utilizan en el 99.9 % de las aplicaciones.
Allegedly 40 apps on App Store are infected https://t.co/UTSGwvWccj #apple pic.twitter.com/moLosQwB9V
— Kaspersky (@kaspersky) September 23, 2015
Hay otro dato curioso. La revista The Intercept, especializada en la información secreta disponible tras las revelaciones de Snowden, declara que el método usado por XcodeGhost para infiltrarse en los dispositivos de Apple, coincide con los métodos descritos en los planes secretos del gobierno. Los periodistas afirmaron, presumiendo de ello, que revelaron esta información el pasado marzo.
More #XcodeGhost news: Potentially thousands of iOS apps infected, modded versions date back to March: http://t.co/XaHXORV07B
— Threatpost (@threatpost) September 23, 2015
Pues bien, nosotros también podemos alardear, pues fuimos los primeros en saberlo, en el 2009, incluso antes de que ocurriera lo de Snowden. Por ejemplo, encontramos malware que infectó el entorno de desarrollo integrado de Delphi e insertó un código malicioso en todas las aplicaciones compiladas. La idea es lógica. Pero, una vez más, en cuanto eres consciente del problema, puedes deshacerte de él fácilmente, simplemente hay que confrontar la integridad de la herramienta de desarrollo con la versión principal.
De todas formas, aquí va una sencilla recomendación: no descargar software de fuentes cuestionables. Suena algo extraño ya que aquí estamos hablando de desarrolladores experimentados. ¿Pueden cometer realmente estos errores? Bueno, resulta que sí pueden.
Un broker anuncia una recompensa de 1 millón de dólares por los bugs en iOS 9
Hay un interesante tema sobre la historia del Jailbreak de varios dispositivos iOS. A diferencia de Android o los sistemas operativos de escritorio, en los que el control integral sobre el sistema, por lo general, se activa por defecto, por lo que se puede explotar fácilmente, los smartphones de Apple, tablets, (y ahora también los decodificadores o receptores de televisión y los smartwatches) tienen permisos de usuario limitados por naturaleza.
Ya han pasado siete años desde que el conocido proveedor ha estado intentando cercar proteger sus dispositivos por un lado y los entusiastas intentando eludir esta protección por otro lado. Al final, a la mayoría de los dispositivos de Apple se les ha hecho Jailbreak (excepto Apple TV v3, y, al menos por ahora, Apple Watch). Por lo general, el tiempo varía de un día a seis meses desde que el producto llega a las estanterías.
.@Zerodium Hosts Million-Dollar iOS 9 Bug Bounty – http://t.co/tQ9Evs3iTi
— Threatpost (@threatpost) September 21, 2015
Ya se le ha hecho Jailbreak al nuevo iOS 9, pero, al mismo tiempo, no. No se ha hecho del todo. El encargado de cuidar de este problema es Zerodium que anunció una recompensa de 1 millón de dólares por el método que explote iOS 9, siempre y cuando:
- El exploit sea remoto (por lo que funciona automáticamente cuando un usuario visita una página web modificada o lee un SMS o un MMS malicioso);
- El exploit permita la carga lateral de aplicaciones arbitraria (como en el caso de Cydia);
- El exploit sea lo suficientemente persistente y continúe operativo tras el reinicio;
- El exploit sea “fiable, discreto y no necesite que el usuario realice ninguna acción”
Esta lista muestra que Zerodium no tiene en mente desperdiciar 3 millones de dólares (cantidad total de la recompensa) sólo para complacer a los entusiastas. Chaouki Bekrar, el fundador de Zerodium, fue inicialmente el fundador de VUPEN. Esta última compañía está especializada en la venta de las vulnerabilidades y exploits para los actores estatales. Es una zona oscura del mundo de la seguridad de la información, tanto desde el punto de vista legal como del punto de vista moral: los buenos persiguen a los malos usando sus propias herramientas.
Mientras VUPEN (al menos oficialmente) no se mete en la cacería de bugs, Zerodium fue creado inicialmente con ese objetivo. Eso significa que alguien ganará el premio gordo, alguien se dedicará a introducirse en los dispositivos mediante la compra de exploits y sin revelar detalles de las vulnerabilidades (de lo contrario, ¿qué sentido tiene ofrecer una recompensa?).
Pero ya sabemos lo que ocurre cuando los propios brokers de bugs son hackeados. Recordemos al Hacking Team, cuando varios ataques de día cero terminaron siendo de dominio público, además del descubrimiento de algunos negocios sucios entre la empresa y varios estados del Medio Oriente, en pocas palabras, un gran fiasco.
Hackers Release Hacking Team Internal Documents After Breach – http://t.co/NIsqv96Ctc
— Threatpost (@threatpost) July 6, 2015
La moraleja aquí es que si alguien tiene ganas de hacer Jailbreak a su smartphone, es libre de hacerlo (o, igual no tanto). Pero hacer Jailbreak a un dispositivo ajeno sin el consentimiento de su propietario no es nada bueno y, en cuanto se descubre una posibilidad de hacerlo, se debe compartir esta información con el proveedor para que sea parcheado. No hay ninguna excusa para lanzar exploits, aunque sea por una buena causa.
Qué más ha ocurrido:
Adobe parcheó 23 vulnerabilidades en Flash Player. En agosto se parchearon 30 bugs más.
Huge Flash Update Patches More Than 30 Vulnerabilities – http://t.co/45seXMk5qT
— Threatpost (@threatpost) August 11, 2015
La OPM informó sobre consecuencias aún más graves de la brecha masiva que hubo este año: las huellas dactilares de más de 5.6 millones de empleados de agencias federales estaban comprometidas. Los analistas señalan que la huella dactilar no es tan fácilmente reemplazable como una contraseña que se ha visto comprometida, y donde el número de combinaciones es muy limitado. Ahora, ya no se puede hacer casi nada respecto a esta brecha, pero nadie sabe de qué será capaz la tecnología del futuro.
https://twitter.com/jpluscplusm/status/646811379312279552
Oldies:
“Imprimir pantalla”
Un virus muy peligroso, que ocupa 512 bytes (un sector) e infecta el sector de arranque de los disquetes y discos duros al leerlos (int 13h). El antiguo sector de arranque, escribe a la dirección 1/0/3 (lado/pista/sector) en una unidad de disco flexible, y en la dirección 3/1/13 del disco duro. Puede corromper uno de los sectores FAT o de los datos almacenados (dependiendo de la capacidad de la unidad). Al infectar un disco duro, su sector de arranque se almacena en la dirección de 0/1/1 (mostrando el poco dominio del codificador que creó el virus).
También se introduce en int 13h. A juzgar por la lista del virus cuando infecta la unidad con una tasa de probabilidad del 1/256 (en función del valor de su contador interno), el virus debe llamar a int 5 (Imprimir pantalla), pero debido a un error del nuevo valor del contador no se guarda.
Citado de “Virus informáticos en MS-DOS”, de Eugene Kaspersky, 1992. Pág. 102.
Aviso legal: Este artículo refleja únicamente la opinión personal del autor. Usted puede coincidir con la posición de Kaspersky Lab, o no. Depende de la suerte.