Semana de la seguridad 42: colisiones en SHA-1, un truco efectivo para los routers, Android/Seguridad/Penumbra

Konstantin Goncharov explica el resultado de los fallos monumentales de los gigantes tecnológicos en nuestro nuevo boletín de noticias sobre ciberseguridad.

Cuando te encuentras en mitad  de una tormenta, puede que no entiendas lo que pasa realmente. Cuando estás en medio del tráfico, nunca sabes si es por un accidente hasta que realmente llegas al punto en el que ves que los restos de dos pilotos ocupan tres carriles. Hasta ese momento, simplemente no tienes suficiente información para hacer una suposición correcta.

Esto ocurre todo el tiempo en la industria de la seguridad de la información: este asunto es complejo y contiene un montón de detalles y peculiaridades, y debido a su complejidad, los resultados de ciertas investigaciones podrían tener una gran influencia en el futuro durante años.

Esta semana, nuestras tres noticias principales no tienen nada en común, solo que están bajo un mismo contexto. Cuando no tienes experiencia en la industria, no puedes evaluar con propiedad la importancia de algunos sucesos relacionados con la seguridad o puedes incluso pasar por alto algunos detalles críticos.

Intentaré explicar en la medida de lo posible la importancia de estos sucesos con ejemplos tangibles, para que nadie lo interprete de manera diferente, ya que el subcontexto es vago y flexible. Así que siéntate y relájate con esta nueva edición de la Semana de la seguridad, titulada “Rompiendo capas”. Como siempre, nuestro equipo editorial de Threatpost ha seleccionado tres noticias de las más importantes de la semana, y que ahora comentaré sin piedad. Si quieres ver las ediciones anteriores puedes hacerlo aquí.

La búsqueda de colisiones en SHA-1, ahora mucho más barato

Noticias. Las predicciones que hizo Jesse Walker hace tres años. Las nuevas investigaciones que han cambiado la opiniones sobre la seguridad de este algoritmo.

Los que han avanzado en su exploración de Linux, un poco más allá de la configuración automática de Ubuntu, saben que el sistema le pide a uno que lea cuidadosamente las instrucciones. Quiero decir, yo por supuesto, en primer lugar trataría de buscar en Google un documento con una secuencia de comandos, pero en algunos casos, todo dejaría de funcionar correctamente y se vendría abajo.

Esta noticia es similar: sin una mínima explicación al menos, el tema no es tan fácil de entender. Considerando que es, hasta la fecha, sin duda el tema más complejo de todas nuestra serie de Semana de la seguridad, intentaré explicarlo de la forma más sencilla posible.

SHA-1 es un algoritmo criptográfico de hash. Este algoritmo podría alimentarse de secuencias ilimitadadas y producir un ejemplar de datos a 160 bits, que podría usarse para identificar la matriz de datos inicial. Esto es imposible si no tienes esa matriz de datos inicial, ya que de lo contrario no podrías restaurar la información de manera sencilla desde el hash, igual que no puedes convertir la carne picada en un bistec.

De hecho, DEBERÍA ser imposible, incluso si tuvieras una contraseña tan simple como “123456”. Hay dos requisitos para este tipo de algoritmos: la imposibilidad de obtener los datos iniciales si sólo se tiene el hash, y la imposibilidad de conseguir cuadrarlo con la matriz de datos de modo que ambos tengan el mismo hash.

Para ser precisos, ES POSIBLE hacer ambas cosas. Pero eso supondría muchos años de trabajo pesado de computación, que realmente no vale la pena intentarlo. Y aunque pudieras comprar una supercomputadora y confiarle la tarea de fragmentar el mensaje cifrado, 240 años más tarde, cuando te dijeran que la respuesta es 42, ya no te importaría en absoluto.

Sin embargo, ahí está el problema. En primer lugar, las computadoras cada vez tienen más potencia de cálculo. En segundo lugar,  los investigadores están buscando constantemente derivaciones para romper los algoritmos criptográficos. Es mucho más sencillo encontrar una colisión con un algoritmo de cifrado que descifrar la matriz de datos inicial.

Mientras tanto, SHA- 1 se utiliza en diferentes sistemas de cifrado y en varias soluciones de autorización, y su tarea consiste en asegurarse de que los datos de dos agentes diferentes coinciden. En cuanto se descubren dos o más matrices de datos con el mismo hash en un proceso algo menos pesado y costoso, no se puede confiar en el algoritmo nunca más.

Permíteme que me detenga aquí para evitar un discurso sobre cálculo AP. En resumen: los investigadores compilan un algoritmo en busca de una colisión, y el algoritmo es capaz de encontrar la colisión con mucho menos esfuerzo que con los métodos corrientes. O, siendo más precisos, estamos hablando de un ataque de cumpleaños (¡Error!).

Bueno, después de todo no lo expliqué todo de forma tan simple.

Posteriormente, los investigadores mejoran el algoritmo y así reducen el número de operaciones de descifrado. Como resultado, el ataque que normalmente habría tardado 240 años, podría resolverse en tan solo 120 años, posteriormente, en sólo 12 años, y luego sólo en 2 años. Por lo tanto, en el momento en que descubres que el ataque podría llevarse a cabo, no en dos años, sino en dos meses, deberías empezar a preocuparte.

Así que la historia es la siguiente: Hace tres años el experto en cifrado de Intel, Jesse Walker, supuso que en 2015 un ataque práctico de colisión SHA- 1 llevaría 2 años de servicio (una unidad rara de estimación corriente basada en un servidor típico).

Gracias a los servicios en la nube como en Amazon EC2, podrías calcular incluso el equivalente en efectivo de la infraestructura necesaria para descifrar el hash. Con 700,000 dólares, puedes obtener teóricamente, el método para falsificar una firma digital en poco tiempo.

Pero esta estimación se remonta al 2012. Eso significa que incluso entonces no se consideraba que SHA- 1 fuera muy fiable y sólo los agentes gubernamentales con dinero podían afrontar el costo del descifrado del algoritmo.

No es de extrañarse que estas organizaciones no tengan prisa para informar públicamente de su éxito en la lucha contra el cifrado. Por lo tanto, es de suma importancia evaluar ahora cuándo tendrán acceso a esta “herramienta” los ciberdelincuentes que buscan hacer dinero, que seguro que existen.

security-week-42-dog

 

Recientemente, un grupo de investigadores de distintas universidades de los Países Bajos, Singapur y Francia, publicó un libro blanco donde se recogían los métodos de optimización del proceso necesarios para el cálculo de la colisión. Si un atacante utilizara estos hallazgos, el ataque de colisión costaría 75,000 dólares (en unidades de Amazon) y se llevaría a cabo en tan solo 49 días.

Podría suceder aún más rápido si se cuenta con los fondos suficientes. Bruce Schneier, un experto de renombre en criptografía, supuso que la estimación de 2012 considera únicamente la Ley de Moore, que en ningún momento tuvo en cuenta la mejora del algoritmo de ataque (como por ejemplo usando GPUs para el cálculo, debido a su alta capacidad de procesamiento y su asequibilidad). Es imposible presentar una estimación precisa de los efectos que la optimización algorítmica acarrearía.

Aquí llegamos a la pregunta más recurrente: ¿hacer esta investigación y calcular su estimación es sinónimo de una amenaza real? Bueno, no necesariamente. ¿Cómo son de explotables estas “vulnerabilidades” en un entorno no controlado? Hay un buen ejemplo que se basa en un algoritmo MD5 menos seguro: agarramos dos archivos diferentes (en este caso, fotos de estrellas de rock), realizamos una serie de modificaciones en una de ellas y, como consecuencia, obtenemos dos hashes totalmente idénticos para dos imágenes absolutamente diferentes.

¿Existe algún ejemplo en la vida real? La notoria cibercampaña, Flame, utilizó este método para firmar un archivo malicioso con un certificado digital de Microsoft válido en ese momento. O, siendo más precisos, la firma fue falsificada, pero los hashes coincidieron. Algunas estimaciones independientes demuestran que este truco, que explotaba un algoritmo aún menos fiable, habría costado entre 200,000 y 2,000,000 de dólares, que es ¡carísimo!

Por lo tanto, ¿qué pasa con SHA- 1? El algoritmo ha existido desde 1995. Ya en 2005, estaba claro que el algoritmo no era el más fiable de todos. Teniendo en cuenta las últimas estimaciones, los exploit de colisiones SHA- 1 todavía pertenecen a un futuro muy lejano, mientras que SHA- 1 se elimina de manera constante como una tecnología con vida útil y se sustituye por algoritmos de hash más fiables.

Para el 2017 los principales desarrolladores de navegadores dejarán obsoleto el SHA- 1. Es hora de que se pongan las pilas: ya que el costo de un posible ataque de colisión ha bajado de 2,770,000 a 100,000 dólares en sólo tres años. ¿Qué podría suceder en el plazo de un año?

Mientras tanto, la investigación de las vulnerabilidades SHA- 1 tiene puro valor científico. Averiguar las posibles consecuencias es un proceso tan ambiguo como el de enterarse que un ser humano voló al espacio basándose en una sola noticia que dice “El 12 de abril de 1961, 250 toneladas de combustible para cohetes combustionaron sobre el desierto de Kazajstán”. Viviremos para contarlo.

Un dato curioso: el nombre apropiado de lo que llamamos “Hash ” es “resumen” o “resumen del mensaje”. Pues resulta que lo que acabas de leer es el resumen del resumen. ¡Bienvenido!

Una vulnerabilidad en los routers Netgear prácticamente explotable

Noticias. Descripción de la vulnerabilidad.

La vulnerabilidad fue encontrada en los routers Netgear N300. Aquí tenemos, de nuevo, otro agujero de seguridad en un router, bastante diferente pero observándolo, bastante parecido. Ya hemos hablado un par de errores en los routers Belkin en una de nuestras ediciones anteriores. Pero en el caso de Netgear, la situación es bastante peligrosa.

Abramos la interfaz web del router,  introduzcamos la contraseña (una errónea, ya que no es nuestro router y no lo sabemos).  Luego somos redireccionados a la página de acceso denegado. Si intentas abrir la página BRS_netgear_success.html…no llegarías a ninguna parte, pero sólo por un par de veces. Ya que una vez que pruebes este truco varias veces, lo habrás conseguido.

security-week-42-netgear

 

Por supuesto, sería conveniente que estuvieras conectado en una red local lo que hace que la aventura sea más complicada. Sin embargo, si el router se alimenta del WiFi público en un café, no hay ningún problema en meterte dentro de la red. Y si el propietario decide, inesperadamente, abrir el acceso a la interfaz web, todo se vuelve muchísimo más fácil.

Por cierto, ¿por qué deberíamos dar acceso libre a la web a un extraño? Y con esto nos referimos al acceso a un router en sí mismo y no en algunos casos a la red local. Creo que no hay absolutamente ninguna razón para hacerlo y en cambio existen muchas razones para NO hacerlo.

Sin embargo, lo ocurrido con el router de Belkin evolucionó bastante a nivel legal: el proveedor fue notificado, y en dos meses la compañía ofreció una versión beta del nuevo firmware. Parecía que todo estaba bien, cuando llegó la mala noticia: la vulnerabilidad ya había sido explotada.

Compass Security, una empresa de seguridad suiza, descubrió un router fraudulento con una configuración diferente: el servidor DNS no pertenecía a un proveedor de servicios, como de costumbre, sino a quien sabe quién. Ese agente desconocido había recibido todas las peticiones DNS. Cuando se investigó el servidor de ataque, ya había servido a más de 10,000 routers hackeados.

Un dato curioso: Compass Secutiry  intentó por todos los medios conseguir una respuesta de Netgear durante mucho tiempo. Cuando por fin consiguieron conversar, la compañía ya tenía incluso la versión beta del nuevo firmware preparada para realizar pruebas. Pero entonces, de repente, emergió un nuevo actor, una compañía llamada Shellshock Labs, publicó su investigación sin consultar a nadie (esto es bastante negativo).

Por supuesto, es interesante nombrar a una compañía de investigación después de un fallo conocido en bash, pero eso no te exime de la regla “no hacer daño”. Sin embargo, la investigación realizada por los “shellshokers” ayudó a entender de donde venía el fallo. Digamos que el código de firmware te permite acceder a la interfaz web sin contraseña una sola vez, en el primer lanzamiento. Para desactivar esta opción, el indicador tenía que estar ahí, pero no fue así. Y sí, por fin el firmware fue actualizado.

El 87 % de los dispositivos Android son inseguros.

Noticias. La página web de los investigadores, incluyendo la calificación que mide la seguridad de los dispositivos por proveedores.

security-week-42-lemur

¡De ninguna manera!  ¡Nunca llegó a ocurrir pero aquí está otra vez! Estamos hablando de otra investigación científica (por suerte, no tan hardcore como la de SHA- 1). Investigadores de la Universidad de Cambridge hicieron algo fascinante: Recopilaron datos críticos sobre 32 vulnerabilidades Android, entonces seleccionaron 13 de las más importantes y examinaron una enorme cantidad de dispositivos de diferentes fabricantes para averiguar si eran vulnerables.

Así es cómo lo hicieron: Desarrollaron la aplicación Device Analyzer para recopilar los datos telemétricos de los dispositivos que participaron en el experimento, incluyendo la versión del sistema operativo y el número de compilación. Por consiguiente, los investigadores consiguieron recopilar los datos de más de 20,000 smartphones.

Al contraponer la versión del sistema operativo y la vulnerabilidad de los datos, los investigadores pudieron evaluar las dimensiones del problema y llegaron a la siguiente conclusión:

Los resultados se estandarizaron mostrando que el 87 % de los dispositivos eran susceptibles a algunas vulnerabilidades críticas (en algunos casos, con más de un bug) en un momento determinado. Hay que hacer hincapié en la palabra “potencialmente”: como vimos en el caso de Stagefright, incluso la vulnerabilidad más peligrosa no puede llegar a obtener el máximo efecto debido a algunas limitaciones prácticas.

Sin embargo, los investigadores fueron aún más lejos y desarrollaron un sistema de puntuación para evaluar el nivel de “peligrosidad” entre los diferentes proveedores, la llamada Puntuación FUM. Ésta se basa en el tiempo que tarda un proveedor en reaccionar a la divulgación de un nuevo bug y el tiempo que se tarda en presentar un parche final.

Por supuesto, los ganadores son los dispositivos Nexus: estos obtienen parches de seguridad muchos más rápidos que el resto de marcas. LG ocupó el segundo lugar y Motorola el tercero en este ranking. Bueno, no es que podamos considerarlos ganadores, ya que todos ellos tienen fallos de seguridad.

Este sistema de puntuación tiene en cuenta la proporción de dispositivos actualizados, es decir, además de que el proveedor emita el parche, también hay que tener en cuenta que el usuario tiene que actualizar el dispositivo. Cuanto más antiguo sea el dispositivo, peor: se clasifican en otra categoría aparte los dispositivos con una antigüedad de 2 a 3 años, en estos casos, la puntuación es mucho peor. ¿Por qué es así? Los propietarios de estos dispositivos no suelen actualizarlos, aunque todavía los utilizan.

Bueno, este enfoque tiene un par de supuestos bastante discutibles, está basado en bastantes conjeturas y los resultados son muy evidentes. Los investigadores dicen que uno de sus objetivos es motivar a los proveedores a mejorar la forma en que entregan los parches de seguridad. Sin embargo, lo importante es cómo darse cuenta de que el ecosistema no puede ser 100% seguro.

Android, está muy segmentado y se le puede considerar como el ejemplo perfecto de un ecosistema inseguro, aunque estos abundan. Puede que consideres que iOS es más seguro, pero una de las primeras noticias que publicamos en nuestro boletín semanal sobre seguridad informática, demuestra que ningún sistema es seguro al 100%, debido a las limitaciones presupuestarias. Este es un elemento vital a la hora de elegir la estrategia de seguridad.

Qué más ha ocurrido:

Apple limpió la App Store de muchas aplicaciones que facilitaban a los hackers la exposición, el interceptado y modificación del tráfico cifrado a través de la instalación de certificados raíz, para el bloqueo de adware o cosas peores. Por lo que tengo entendido, las aplicaciones nuevas ya no pueden hacer esto. ¿Por qué podían hacerlo antes?

La Agencia Europea de Seguridad Aérea (AESA) reveló un bug en el sistema ACARS (Aircraft Adressing and Reporting), el sistema utilizado para el intercambio entre el avión y la estación terrestre. No es necesario decir que es bastante sencillo enviar un falso mensaje a través del sistema ya que no presupone ningún tipo de verificación de paquetes.

Por supuesto, la vulnerabilidad no permite el secuestro de los controles de vuelo, sin embargo, podría utilizarse para enviar un mensaje erróneo a los pilotos. Las discusiones (en varios archivos PDF) sobre el bug del sistema ACARS se remontan a 2013, pero exclusivamente en el contexto de los investigadores de seguridad; esta vez, ha sido un organismo regulador quien ha planteado la cuestión. ¡Son buenas noticias!

Oldies:

Indicador-734

Un virus residente muy peligroso. Infecta a los archivos .COM, ya que se cargan en la memoria. El virus cifra el inicio del archivo usando 10h bytes de BIOS. Por lo tanto, los archivos podrían ser descifrados y ejecutarse solamente en un equipo con la misma versión de la BIOS. Si el inicio del archivo no se puede descifrar, el virus bloquea las operaciones del archivo (en ejecución int 20h), tras haber lanzado sus contadores. Dependiendo del estado de este último (aproximadamente una vez por hora), el virus muestra una cruz roja en la pantalla con la palabra “VINDICATOR” en su interior. El virus secuestra int 1Cr, 21h.infosec-digest-32-book1

Citas de “Virus informáticos en MS-DOS”, de Eugene Kaspersky, 1992. Pág. 70.

Aviso legal: Este artículo refleja únicamente la opinión personal del autor. Usted puede coincidir con la posición de Kaspersky Lab, o no. Depende de la suerte.

Consejos