Semana de la seguridad nº32: Android, Stagefright, los nuevos hackeos de coches, Do Not Track 2.0

Hace apenas 23 años, Microsoft lanzó el sistema operativo Windows 3.1, Apple sacó su primer iPhone PDA y Linus Torvalds lanzó Linux bajo la licencia de GNU. Eugene Kaspersky publicó un libro en el que describía de forma detallada los virus conocidos que estaban por llegar y las formas de eliminarlos, entre ellas, mediante el uso de un programa conocido entonces como “V”. El panorama de las amenazas informáticas aún no era muy grave: todos los virus conocidos se podían recopilar en un libro relativamente pequeño que era bastante relevante incluso un par de años más tarde.

Hace apenas 23 años, Microsoft lanzó el sistema operativo Windows 3.1, Apple sacó su primer iPhone PDA y Linus Torvalds lanzó Linux bajo la licencia de GNU. Eugene Kaspersky publicó un libro en el que describía de forma detallada los virus conocidos que estaban por llegar y las formas de eliminarlos, entre ellas, mediante el uso de un programa conocido entonces como “V”. El panorama de las amenazas informáticas aún no era muy grave: todos los virus conocidos se podían recopilar en un libro relativamente pequeño que era bastante relevante incluso un par de años más tarde.

Libro EK

Catálogo completo de malware, escrito por Eugene Kaspersky,en 1992

Aquellos eran buenos tiempos. En la actualidad tenemos 325.000 nuevos malware que llegan a diario, y la industria se enfrenta, casi cada semana, a nuevas pruebas y fallos de seguridad en sus sistemas: ya sean coches, monopatines o centrales eléctricas nucleares. Esto es algo tanto positivo como negativo: cuantas más personas se preocupen por la seguridad de sus datos, negocios y sus propias vidas, que actualmente depende en gran medida de los ordenadores, mayor probabilidad de que la situación mejore.

Ahora, siéntate y relájate, observa lo que sucede. Todos los lunes de aquí en adelante os presentaremos las tres noticias más importantes de la semana, con extensos comentarios e indagaciones. Elegiremos entre las noticias diarias de la web Threatpost y el blog diario de Kaspersky Lab.

Stagefright: un defecto de Android que no ha cambiado nada aún

La historia Threatpost, la crítica de Google, la advertencia de CERT, los consejos del blog de Kaspersky Lab, todos nos aconsejan sobre cómo prevenir la infección.

La revista Wired lo considera como una de las “peores vulnerabilidades de Android descubiertas hasta la fecha“, pero están equivocados: puede ir a peor. La principal diferencia entre esta vulnerabilidad y la de Heartbleed o Shellshock, reside en que, para Stagefright no han tenido que inventar un nombre estrafalario, ya que se trata del nombre de una herramienta de Android para reproducir audio y vídeo, como parte del proyecto de código abierto de Android . Técnicamente, se trata de un completo conjunto de vulnerabilidades (los expertos de Zimperium, que descubrieron esta vulnerabilidad, reservaron siete identificadores en la base CVE), relacionados, en su mayoría, con el desbordamiento de búfer.

La tarea de esta herramienta es la de reproducir varios sonidos y videos y, como afirma ZDNet, está hecha de tal forma que reproduce el vídeo “antes de siquiera pensar en verlo”. Por alguna extraña razón, todas sus opciones tienen acceso a todos los niveles. Bueno, en realidad no son extrañas razones: era más sencillo codificarlo de esta forma. De todas maneras, no fue muy complicado burlar la Sandbox de Android, que está predispuesto a este tipo de trucos.

El resultado ya se ha probado: te envían un MMS al teléfono y ya estás infectado. Ni siquiera es necesario abrir el MMS recibido: el teléfono lo abre por defecto, ya que está fabricado de esa forma para la comodidad de los usuarios. ¿Es todo tan malo? No exactamente. En primer lugar, en el Android 4.1 y las versiones posteriores, se utiliza la tecnología Address Space Layout Randomization (ASLR) (“Selección aleatoria del diseño del espacio de direcciones”, en español) que evita que el desastre ocurra o, al menos, lo minimiza parcialmente.

En segundo lugar, siguiendo las normas de divulgación responsable de las vulnerabilidades, Zimperium retuvo el código del exploit. Aunque, gracias a los parches publicados, está todo muy claro.

La reacción del Google fue interesante. Aquí está el breve resumen que se publicó en el blog oficial de Android sobre esta importante noticia: “Todo va bien. Nuestra Sandbox es increíble. Sólo el 0,15% de los dispositivos basados ​​en Android tienen la aplicación maliciosa (aquí van un montón de asteriscos, cláusulas y letra pequeña). Pero para que vaya todo bien, los dispositivos Nexus recibirán actualizaciones de seguridad mensuales”.

Esto es estupendo pero, ¿qué pasa con el resto de smartphones y tablets basados ​​en Android? La iniciativa de Google no ayuda con el problema de fragmentación de Android, los constantes retrasos en la actualización de los nuevos dispositivos a la versión más reciente del sistema operativo y la terminal no actualizan el hardware antiguo.

Afortunadamente, HTC, Samsung, Sony, LG y unos cuantos desarrolladores más, se han comprometido a actualizar sus smartphones y tablets con mayor frecuencia que antes. Sin embargo, hay muchas cosas que quedan en el tintero, lo único que sabemos es qué algunos dispositivos recibirán actualizaciones. Algún día. Quizá. Si nos portamos bien.

Pero, de todas formas, es una buena señal. Tarde o temprano Android tendrá un mecanismo de actualización similar al de los “martes de parches” de Microsoft. Hace apenas un año, Adrian Ludwig, el jefe de seguridad de Android en Google, dijo que todo iba bien en temas de seguridad y que sólo faltaba arreglar pequeñas cosas en Google Play. Por lo menos, Stagefright provocará algunos cambios significativos. Al menos, eso es lo que creemos y esperamos. Al fin y al cabo, ¿qué más se puede hacer?

Siguiendo con el hackeo de coches

La noticia de Threatpost. La noticia de Threatpost anterior a ésta. El informe del blog diario de Kaspersky Lab sobre la conferencia Black Hat. Y otro informe sobre DEF CON.

La semana pasada vivimos un hecho histórico: el lanzamiento del primer parche crítico para coches. O, más específicamente, para el sistema de infoentretenimiento, Uconnect, que utilizan los Fiat Chrysler que, a) permitió el control de otras funciones que no se limitaban al entretenimiento (en concreto, pudieron enviar el coche a una zanja), y b) recibió conexiones entrantes a través de redes móviles. No puedo evitar el volver a publicar esto:

Sí, pero esto fue la semana pasada. Esta semana se ha descubierto otro defecto, no tan grande, pero también muy interesante. Imagina que viajas a España. O Bulgaria. O Grecia, no importa el país. Alquilas un coche, vas a la playa y nadas un rato. Mientras tanto, alguien podría robarte las llaves del coche. En una situación normal esto no es de gran ayuda para un ladrón: intenta encontrar el coche entre todos los demás. Pero, como llevas un coche de alquiler, aparecen los números de la matrícula en el llavero.

En otras palabras, utiliza la piscina del hotel. Samy Kamkar, el investigador de seguridad independiente, descubrió que se podría dar esta situación en la vida real utilizando OnStar RemoteLink, que permite conocer la ubicación del coche, e incluso, en el caso de los coches de General Motors, también permite abrir sus puertas. Kamkar fabricó rápidamente un dispositivo milagroso que puede interceptar las conexiones entre la aplicación móvil y el coche en cuestión, colocándose al lado del propietario simplemente.

No es tan malo como parece: el investigador afirma que el problema está en la aplicación, no en los propios coches, y que se podría solucionar el problema con una simple actualización. Hay otra cosa importante al respecto. Muchos están familiarizados con los sistemas multimedia en los coches modernos: Son casi como los sistemas operativos de Android e iOS, tienen pantalla táctil, algunos tienen acceso a Internet y varios servicios multimedia. El problema es que son mucho, mucho peores, son lentos, con errores y sosos. Citando a Wired de nuevo: “En comparación con Android, el sistema multimedia propio de los fabricantes de coches es una basura”.

¿Por qué? Porque todas las pequeñas cosas de infoentretenimiento evolucionan demasiado rápido para los fabricantes de automóviles que son más bien conservadores, por lo que van con retraso. Afortunadamente, hay excepciones.

La industria automovilística también se queda atrás en temas de seguridad. Para un profesional de la seguridad, un error en el Unconnect es un error de novatos. Además de querer hacer algo nuevo, la seguridad no es lo que más les preocupa, porque el código “no seguro” es barato y fácil de hacer. Y ahí es donde empiezan los ataques. El relativo aislamiento de las tecnologías para automóviles con respecto al mundo de la informática los ha mantenido a salvo hasta ahora, pero con el tiempo se convertirá en su punto más débil: les hackearán donde menos se lo esperen, y no tendrán seguridad, a ver qué harán.

Cómo evitar que te rastreen y empezar a disfrutar de la vida

Noticia de Treatpost y artículo de EFF.La herramienta Do Not Track tiene el apoyo de todos los navegadores más conocidos, pero por desgracia, no funciona. Realmente es una buena idea: si los usuarios no quieren que los banners, las redes sociales, los investigadores de Internet, Google, etc., lleven un seguimiento de sus acciones en la red, podrían marcar una casilla y disfrutar de su recién adquirida privacidad.

Sí, bueno, olvidémoslo. La idea lleva promoviéndose desde hace ya 10 años, y no ha evolucionado. Seguirás viendo anuncios de los productos que ya has comprado y de la tienda en la que los has comprado. El problema está en que la industria no se pone de acuerdo sobre los usos prácticos de Do Not Track y el respeto a los usuarios que no quieren ser rastreados.

Electronic Frontier Foundation ve la solución en un nuevo estándar que endurezca las exigencias de no rastreado en las páginas web. Por ejemplo, si un usuario declara que no desea ser rastreado, no se agregarán los botones de redes sociales que violan estos principios. Si hay una necesidad técnica para el seguimiento de las actividades del usuario (para comprar o autorizar algo, etc.) se le deberá pedir permiso.

Sin embargo, las nuevas demandas, son involuntarias, no existe control ni ejecución. EEF se basa en el hecho de que (en algunos países) la violación de obligaciones asumidas voluntariamente puede dar lugar a una demanda. Pero no es obligatorio. Por lo tanto, el nuevo anuncio de estas políticas afirma con franqueza que puede ayudar con los anuncios dirigidos a un público determinado, pero, con el fin de garantizar el anonimato navegando en Internet, VPN y TOR son las únicas herramientas útiles.

El problema se agrava aún más con el hecho de que a la mayoría de las personas no les importa si están siendo observados o no. Sólo un pequeño grupo de activistas debate sobre las normas de Do Not Track, a parte de este grupo, el resto de usuarios no se molestarían en comprobar este aspecto en su configuración. Esto no está bien. Y no se trata sólo de las grandes y malignas compañías dispuestas a hacer el seguimiento de todos tus datos.

Las nuevas tecnologías, como la búsqueda mediante el asistente de voz de Cortana de Microsoft, Google Now, o Siri de Apple, con el fin de ser útiles, recopilan y procesan una gran cantidad de información sobre el usuario del dispositivo, porque es necesario para su funcionamiento. Recomendamos a los paranoicos que no lean las Condiciones de uso de Windows 10, donde todos estos matices se expresan en un riguroso lenguaje jurídico. Es normal que nuestros dispositivos necesiten muchos de nuestros datos para nuestra propia comodidad.

Pero cuantos más datos nuestros recojan las empresas, más importante se vuelve el trabajo de esos pocos, que se toman en serio, y sin ningún celo, la posibilidad de ofrecer limitaciones en la recopilación de datos o de reducirla al mínimo necesario.

¿Qué más?

La BIOS de Mac ha sido hackeada, aunque no es la primera vez que ocurre.

Unos delincuentes envían ransomware en lugar de una actualización de Windows 10.

Se descubre un servicio VPN en China, que, aparte de su propio servidor , utiliza ordenadores hackeados para abaratar costes en actividades delictivas.

Noticias menos recientes

Los malware del tipo “Proteger”

Los peligrosos virus residentes, que tienen como objetivo las .com y los archivos .exe en ejecución. Interceptados en int 21h y Int 1Ch o int 33h, dependiendo de la versión. Tienen nombres como: “Protección de archivos”, “Proteger-1157” y eliminan los atributos de archivos y bloquean el ratón. “Protect -1355 ” aparece en las pantallas EGA y VGA con un pequeño parpadeo que resulta muy molesto.

Citas del libro Virus informáticos en MS-DOS, escrito por Eugene Kaspersky, 1992.

Descargo de responsabilidad: este artículo refleja únicamente la opinión personal del autor. Puede coincidir con la posición de Kaspersky Lab, o no. Dependiendo de la suerte.

Consejos