• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

OpenBSD inhabilitará el Hyper-threading en las CPU de Intel para evitar Spectre

OpenBSD es un sistema operativo muy enfocado en la seguridad, y con el fin de reforzar ese punto lo máximo posible, sus desarrolladores han tomado una decisión que sin duda generará controversia: la desactivación del soporte de Hyper-threading en las CPU de Intel.

Para los que anden perdidos, Hyper-threading es la implementación propietaria de la tecnología SMT de Intel, que permite sacar dos núcleos virtuales de cada núcleo físico. Eso explica el porqué en muchos modelos de CPU se pueden ver en los monitores de sistema el doble de núcleos que los indicados en las características oficiales, ya que se cuenta la cantidad de núcleos virtuales presentes. Siendo una característica incorporada sobre todo a partir de los procesadores de gama media-alta, lo que se consigue con su utilización es aprovechar mejor la potencia de los procesadores para sacarles más rendimiento, lo que puede venir muy bien en contextos de “producción pesada”. Para poner un ejemplo de lo que estamos explicando sobre SMT, mostraremos el AMD Ryzen 7 1700, que cuenta con 8 núcleos físicos y 16 virtuales.

AMD Ryzen 7 1700 con sus 8 nucleos fisicos y 16 nucleos virtuales

Si tan buenos son sobre el papel SMT e Hyper-threading, ¿por qué los desarrolladores de OpenBSD han decidido inhabilitar el soporte para esta característica en su sistema operativo? La razón viene en intentar evitar la explotación de las vulnerabilidades asociadas a Spectre, el vector de ataque del que no se paran de descubrir nuevas vulnerabilidades para ejecutarlo.

Los encargados de OpenBSD justifican su decisión en que el Multi-threading no tiene por qué redundar siempre en una mejora del rendimiento, ya que eso depende de la carga de trabajo. Por otro lado, muchas placas base modernas ya no dan opción de desactivarlo, por lo que no queda otra que hacerlo desde la configuración del sistema operativo. Sin embargo, posiblemente surjan personas diciendo que OpenBSD no aprovecha de esta manera todo el potencial de las CPU modernas, aunque por suerte esto es algo que se podrá activar si el usuario así lo desea.

¿Es esto un palo contra Intel? Pues al parecer no, ya que detrás del gigante con sede en Santa Clara podrían venir AMD y otros fabricantes y arquitecturas que soporten SMT, así que este movimiento podría ser solo el principio.

Fuente: The Hacker News

por Eduardo Medina Fri, 22 Jun 2018 16:29:49 +0000

Los desafíos a nivel de seguridad de los centros de datos modernos

No solo en los productos de consumo cambia la informática a gran velocidad, sino que también se han visto grandes cambios en las estructuras corporativas en los últimos años, sobre todo desde la irrupción del cloud computing, que ha cambiado de forma radical la forma de entender los centros de datos.

En un mundo cada vez más competitivo, los centros de datos están siendo adaptados para las nuevas arquitecturas de software dominantes y las metodologías de DevOps, que se crean utilizando nuevas tecnologías. Actualmente, las infraestructuras computacionales de las grandes corporaciones se apoyan fuertemente tanto en la nube pública como la privada (dando como resultado una nube híbrida cuando se combinan), algo que está siendo impulsado mediante la virtualización y las tecnologías basadas en contenedores. Estas nuevas infraestructuras prometen una mayor escalabilidad y elasticidad, una mejor integración en la estructura de las aplicaciones mediante microservicios distribuidos, la reducción de los costes y ciclos de desarrollo más rápidos.

Sin embargo, no todo es de color rosa en la implementación y utilización de estas tecnologías en los centros de datos, ya que también conllevan retos a nivel de seguridad. En MuySeguridad hemos visto cómo el malware y los ciberdelincuentes han diversificado sus objetivos con el paso de los años. Si antes los usuarios finales eran casi la única prioridad, ahora las empresas, que manejan una gran cantidad de datos de interés y computadoras de mayor capacidad, se han convertido en un objetivo prioritario. Además de robar, también cabe la posibilidad de que su potencia computacional pueda acabar aprovechada para tareas como el minado malicioso de criptodivisas.

Los componentes a tener en cuenta en el entorno de virtualización y las aplicaciones

El fomentar las buenas prácticas de seguridad en los centros de datos es algo que va mucho más allá de ser algo recomendado por expertos de seguridad, sino que es un tema de interés público. El Instituto Nacional de Estándares y Tecnología (NIST/National Institute of Standards and Technology), una división del Departamento de Comercio de Estados Unidos, ha publicado una extensa guía sobre la seguridad de las aplicaciones contenedorizadas, de la que se puede extraer como primera recomendación “adaptar la cultura y procesos técnicos operacionales de la organización para soportar las nuevas vías de desarrollo, ejecución y soporte de aplicaciones mediante contenedores”. Además, el NIST también analiza los riesgos únicos que presentan.

Pero más allá de las recomendaciones, el NITS identifica diversas áreas en las que los contenedores han introducido nuevos elementos en los centros de datos, y cada uno de ellos conlleva sus propios riesgos a nivel de seguridad:

  • Las imágenes, que se componen de todos los ficheros incluidos en todos los componentes usados para ejecutar la aplicación.
  • El registro, compuesto por el servicio que permite a los desarrolladores almacenar las imágenes como las han creado, etiquetándolas e identificándolas para su identificación, control de versión, descubrimiento y reutilización.
  • El orquestador, que es el servicio que permite a los DevOps o las herramientas de automatización trabajar a su favor para tirar (pull) de las imágenes desde los registros, implementando dichas imágenes en contenedores y gestionando los contenedores en ejecución. Un ejemplo de software de orquestación de contenedores es Kubernetes, que además es la gran referencia dentro de su sector tras “derrotar” a Docker Swarm.
  • El entorno de ejecución de los contenedores es la capa de virtualización que se encarga de aislar los componentes de la aplicación y del sistema operativo anfitrión (sobre el cual se ejecutan los contenedores), a la vez que habilita la utilización de recursos locales como la CPU, la memoria y las interfaces de red.
  • El mismo sistema operativo anfitrión, que ya hemos definido en el punto anterior.

Las aplicaciones críticas del centro de datos

Tanto la arquitectura de los centros de datos modernos como las aplicaciones que ejecutan están inherentemente distribuidas, haciendo muy importante la interacción de los distintos componentes a través de la red. Aunque los riesgos son aparentemente bien conocidos, estos pueden quedar agravados en la implementación de entornos de virtualización.

En los centros de datos modernos se pueden encontrar diferentes aplicaciones compartiendo la misma red virtual. Al mismo tiempo, en la mayoría de los contenedores y entornos de virtualización, se puede acceder a los componentes de una aplicación individual y al sistema operativo anfitrión a través de red. Un ejemplo de esto podría ser la utilización de un servidor web que funciona de cara al público y una base de datos interna que trabajan en la misma red virtual, una situación que podría dejar información sensible expuesta a los atacantes en caso de que el servidor web estuviera comprometido. El ataque podría extenderse al resto de la red virtual compartida, exponiendo los datos internos de la compañía al alcanzarse los componentes del cluster que no trabajan de cara al público. En consecuencia, no solo hay que implementar una defensa perimetral en torno al centro de datos, sino también a nivel de las aplicaciones críticas debido a que el tráfico de red puede llegar a través de elementos dentro de la misma red que están expuestos.

Una buena práctica a nivel de seguridad para corregir este problema es creando una segmentación de red a través de las políticas que prohíban la conectividad entre diferentes conjuntos de aplicaciones. Sin embargo, esto presenta una serie de inconvenientes, ya que resulta difícil identificar y hacer un seguimiento de los miles de servicios de aplicaciones que se están añadiendo, eliminado o modificando a la velocidad que se espera de los equipos de DevOps. Las máquinas virtuales y los contenedores que no pasan los controles pertinentes pueden convertirse en algo común, sobre todo en los entornos de desarrollo, en los cuales los desarrolladores suelen probar su código. En caso de que esos componentes no sean debidamente comprobados para ver si contienen vulnerabilidades o están mal configurados, pueden terminar volviéndose susceptibles a los exploits. Cabe la posibilidad de que persistan en el entorno computacional sin que desarrolladores y administradores se percaten de ello, ofreciendo así un punto débil a los atacantes interesados o que descubran que pueden ir contra la organización.

La complejidad de la gestión del filtrado del tráfico de salida en un entorno virtualizado es mayor que en los centros de datos tradicionales, debido a que muchos conexiones entre las aplicaciones también están virtualizadas. Esto hace que el tráfico procedente de un contenedor sea simplemente paquetes encapsulados en la red sin indicar directamente la fuente, el destino o la carga final. Hay que tener en cuenta que las herramientas y los procesos operacionales son capaces de identificar el contexto, por lo que no pueden determinar qué tráfico representa una amenaza.

Los cambios a implementar en términos de seguridad no son tan dramáticos

Aunque los contenedores, sobre su todo su masificación a través de tecnologías como Docker, han cambiado la forma en que se construyen y despliegan las aplicaciones, tampoco es que haga falta una transformación radical de la seguridad para mantener este apartado a unos niveles altos, a pesar de la necesidad de tener que aplicar cambios y actualizaciones para adaptar las políticas al nuevo contexto tecnológico.

Un aspecto importante es que la seguridad debe ser tan portable como los propios contenedores y las máquinas virtuales, por lo que la organización deberá tomar medidas que funcionen a través de distintos entornos y plataformas.

Fuente: The New Stack

por Eduardo Medina Thu, 21 Jun 2018 15:33:06 +0000

Están intentando robar las tarjetas de crédito almacenadas en instalaciones de Magento

Los datos almacenados por las tiendas electrónicas se han convertido en algo muy codiciado por hackers y cibercriminales, que buscan debilidades y fallos de seguridad en ese tipo de CMS para hacerse, sobre todo, con los datos de pago y las contraseñas de los usuarios.

Eso es lo que está pasando con Magento, e-commerce que según la empresa de ciberseguridad Sucuri está captando la atención de hackers que intentar robar datos como tarjetas de crédito y credenciales de PayPal. Siendo más concretos, hay un agente que se dedica a infectar sitios web Magento con un ladrón de tarjetas de crédito.

Uno de los métodos empleados por los hackers para conseguir los datos mencionados en el párrafo anterior consiste en añadir código adicional en la instalación del CMS. Los investigadores de Sucuri han descubierto una función sospechosa llamada “patch()” en el fichero “includes/config.php”, que nunca debe ser modificado de forma directa por el usuario por cuestiones de seguridad. Las invocaciones a la mencionada función se dedican a escribir contenido obtenido de fuentes externas en archivos específicos relacionados con el proceso de pago o el control de los usuarios.

/app/code/core/Mage/Payment/Model/Method/Cc.php
/app/code/core/Mage/Payment/Model/Method/Abstract.php
/app/code/core/Mage/Customer/controllers/AccountController.php
/app/code/core/Mage/Customer/controllers/AddressController.php
/app/code/core/Mage/Admin/Model/Session.php
/app/code/core/Mage/Admin/Model/Config.php
/app/code/core/Mage/Checkout/Model/Type/Onepage.php
/app/code/core/Mage/Checkout/Model/Type/Abstract.php

Los atacantes recurren a distintas vías para esconder enlaces externos de forma que no sean fáciles de detectar para las personas que carecen de los conocimientos necesarios. El código malicioso introducido ofusca enlaces externos de manera que una simple decodificación de reemplazo de variables en conjunto con la función base64 puede hacerlos legibles.

Un ejemplo de esto sería lo siguiente. Este es el código legítimo:

$link_a = $link.'YTGgAnrv'

Que pasaría a ser este otro, apuntando a Pastebin:

$link_a = 'hxxp://pastebin[.]com/raw/YTGgAnrv';

Esto quiere decir que el código malicioso ejecutado por el CMS atacado procede de Pastebin, una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general. Los expertos de Sucuri informan que se está usando este método para mantener un perfil bajo en los ataques y hacer su detección más difícil. Para dificultar la detección, los hackers incluyen la invocación “error_reporting(0);” para evitar el reporte de errores y así exponer la infección.

El código alojado en Pastebin forma parte del proceso de robo de información comprometedora como las tarjetas de crédito o las contraseñas de los usuarios, datos que luego son enviados a dominios externos para su procesamiento o venta.

Los expertos de Sururi recomiendan verificar el fichero “/includes/config.php” lo antes posible, algo a lo que hay sumar la comprobación de otros malware que puedan estar afectando a la instalación de Magento y que pueden incluir puertas traseras.

por Eduardo Medina Wed, 20 Jun 2018 13:48:53 +0000

Google ha mejorado la seguridad de los APK de Android, abriendo más posibilidades de distribución

No todas iban a ser malas noticias para Android en términos de seguridad. A pesar de que su expansión y la creciente fragmentación han terminado por convertirlo en un sistema atractivo para los desarrolladores de malware y los cibercriminales, Google no se está quedando quieta y está implementando mejoras para garantizar su seguridad.

El gigante de Mountain View está añadiendo una pequeña cantidad de metadatos adicionales en los APK (formato de los paquetes instaladores de Android) para verificar que están siendo distribuidas mediante Google Play. Esta medida está dirigida sobre todo a los usuarios de zonas en las que no tienen un buen acceso a Internet, donde la compartición de aplicaciones es algo común debido a limitaciones técnicas y económicas.

Estas modificaciones permitirán determinar la autenticidad de una aplicación mientras el dispositivo está fuera de línea, pudiendo ser luego añadidas a la biblioteca de aplicaciones instaladas en Play Store para así recibir las actualizaciones desde la tienda oficial de Google. Esto dará más seguridad a los usuarios cuando se instalan cosas mediante P2P y no los canales estándares.

Pero no solo los usuarios de zonas con mala conexión se benefician de esto, sino también los desarrolladores al proporcionales un canal de distribución sin conexión autorizado por la Play Store. Al estar la aplicación compartida mediante P2P convalidada y añadida al catálogo de cosas instaladas, el soporte que obtendrán esos usuarios será el mismo que usando directamente la tienda oficial.

Google está implementando esta nueva medida de forma desatendida mediante el aumento del tamaño máximo de los APK en la Play Store

por Eduardo Medina Wed, 20 Jun 2018 10:54:16 +0000

Chromecast tiene un fallo que permite extraer la ubicación del usuario

El Chromecast es un dispositivo sencillo que permite hacer streaming al televisor (o monitor) en el que se encuentra conectado desde Android, el navegador web Chrome y Chrome OS, ofreciendo así una interfaz sencilla para enviar la señal de vídeo.

Según el investigador en seguridad Craig Young, que trabaja para Tripwire, el mencionado dispositivo de Google tiene un fallo que puede terminar filtrando la ubicación del usuario. Para ello se utilizan datos extraídos de los dispositivos con los que interacciona el Chromecast, pudiendo determinar la ubicación física con gran precisión.

Young descubrió que podía utilizar el navegador web de un PC para alcanzar el dispositivo como Chromecast o Google Home que estaba conectado al mismo router, consiguiendo recolectar información sobre su propia localización para enviarla mediate el Chromecast. Consiguió ejecutar el ataque de forma remota, aunque para ello la computadora y el dispositivo de Google tuvieron que encontrarse en la misma red. Básicamente, se trata de un abuso de una característica legítima presente en muchos servicios, sistemas y aplicaciones, por lo que hay que tener mucho cuidado a la hora de conceder ciertos permisos.

Entrando en aspectos técnicos, lo que ha hecho el investigador ha sido abrir un sitio web con software maliciosos en su ordenador. Dicho software malicioso es un programa dedicado a detectar el Chromecast que necesariamente tiene que estar conectado al mismo router. En caso de obtener una respuesta positiva en la comprobación, el sitio web envía una petición al Chromecast para extraer los datos de localización. La ventajas tanto de la web como del dispositivo de Google es que ofrecen soporte multipltaforma, por lo que Young ha sido capaz de ejecutar el ataque con éxito a través de Windows, macOS y Linux usando Chrome o Firefox. Lo recopilado puede terminar siendo utilizado en campañas de estafas, pudiendo los timadores hacer los mensajes mucho más convincentes.

Google recopila datos con los que puede mostrar mediante Google Maps la ubicación en la que se encuentra el router, obteniendo además unos resultados muy precisos en caso de conceder el correspondiente permiso al navegador. Ese dato es enviado desde el PC a través Chromecast o Google Home en caso que se lo soliciten. El gigante de Mountain View ha reconocido el problema de privacidad, que será parcheado en el mes de julio.

Fuente: CNet

por Eduardo Medina Tue, 19 Jun 2018 15:31:42 +0000

LineageOS incorpora Trust, una característica para reforzar la seguridad

Android es un sistema operativo con fama de ser poco seguro. Esa circunstancia ha forzado a Google a tener que ir implementando nuevas características que reforzasen la seguridad de su sistema operativo móvil. Sin embargo, a día de hoy se siguen arrastrando muchos problemas derivados, sobre todo, del fragmentado ecosistema, con cientos de millones de dispositivos que no reciben actualizaciones por parte su fabricante.

Al ser Android derivado de AOSP, que básicamente es software libre, existen diversas ROM que pueden ayudar a mitigar algunos de los problemas que arrastran las implementaciones de los OEM de Google. La ROM más conocida es LineageOS, que permite a dispositivos Android antiguos recibir una versión más o menos reciente del sistema operativo con todos los parches de seguridad, convirtiéndolo en una opción a tener en cuenta para alargar su vida útil.

Aprovechando las desventajas de las implementaciones distribuidas por los OEM, LineageOS ha presentado Trust, una interfaz de configuración que se encuentra en los Ajustes del sistema operativo. Desde ahí el usuario podrá tener una vista general del estado de las principales características de seguridad, abarcando SELinux, el acceso a root y Privacy Guard. Con el fin de mejorar la experiencia de usuario, Trust se hace visible mediante la barra de estado para informar que las acciones de los usuarios se han hecho de forma correcta y sin conceder permisos falsos, abarcando también el phishing y otros tipos de ataques, además de acciones ilegítimas.

Interfaz de Trust en LineageOS 15.1 Interfaz de Trust en LineageOS 15.1 Interfaz de Trust en LineageOS 15.1

Trust también avisa al usuario cuando su dispositivo se ha vuelto inseguro, mostrando el punto sin configurar o mal configurado con el fin de que sea corregido cuantos antes. A esto se suma la situación de una aplicación que esté usando activamente acceso a root (el administrador de Linux).

La nueva característica de LineageOS está disponible desde la semana pasada en la versión 15.1 de la ROM.

Fuente: XDA Developers

por Eduardo Medina Tue, 19 Jun 2018 10:35:52 +0000

Un fallo hallado en GnuPG abre la puerta a falsificar firmas digitales

Un fallo de seguridad hallado en GnuPG, Enigmail, GPGTools y python-gnupg permite a los hackers falsificar firmas digitales con una clave pública o la identificación de clave de un usuario, pudiendo hacer esto sin tener a disposición las claves privadas o públicas involucradas.

La vulnerabilidad (CVE-2018-12020), que fue descubierta por el investigador Marcus Brinkmann, ha sido descrita de la siguiente manera: “La rutina de verificación de firma en Enigmail 2.0.6.1, GPGTools 2018.2 y python-gnupg 0.4.2 analiza la salida de GnuPG 2.2.6 con una opción “–status-fd 2” que permite a los atacantes remotos falsificar firmas de forma arbitraria a través del parámetro “filename” (nombre de archivo) incrustado en los paquetes de datos literales de OpenPGP si el usuario tiene la opción ‘verbose’ establecida en su fichero gpg.conf.”

Esto quiere decir que el protocolo OpenGPG permite incluir el parámetro “filename” en el fichero de entrada original en los mensajes firmados o cifrados, combinándolo con los mensajes de estado de GPG (incluyendo la información de la firma) en un único canal de datos (por donde se transmite los paquetes de datos literales), añadiendo luego una palabra clave predefinida para separarlos. Werner Koch, principal encargado de GnuPG, ha dicho que esos “mensajes de estado son analizados por los programas para obtener información de GPG sobre la validez de una firma y otros parámetros.”

Durante el descifrado del mensaje que llega al destinatario, la aplicación del cliente divide la información utilizando la palabra clave y muestra el mensaje con una firma válida en caso de que el usuario tenga habilitada la opción “verbose” en el fichero de configuración gpg.conf. El investigador ha descubierto que el nombre del fichero incluido, que puede tener hasta 255 caracteres, no se sanitiza adecuadamente, permitiendo a un atacante incluir líneas adicionales u otros caracteres de control. El agujero de seguridad puede ser utilizado para inyectar mensajes de estado falsos y arbitrarios de GPG en un analizador de aplicaciones para falsificar la verificación de firmas y los resultados del proceso de descifrado del mensaje.

Es importante tener en cuenta que GPG no solo se utiliza para cifrar correo, sino que es empleado en muchos contextos y por muchas tecnologías, como herramientas de copias de seguridad, actualizaciones en distribuciones e incluso sistemas de control de versiones como Git. El investigador ha presentado tres pruebas de concepto en los que se muestra cómo se pueden falsificar firmas en Enigmail y GPGTools.

Para obtener las correcciones, hay que actualizar a GnuPG 2.2.8 o GnuPG 1.4.23, Enigmail 2.0.7, GPGTools 2018.3 y python-gnupg 0.4.3. En caso de ser desarrollador, se recomienda encarecidamente añadir “–no-verbose” en todas las invocaciones de GPG, mientras que las aplicaciones que usan GPGME como motor de cifrado son seguros, además de las aplicaciones que han sido compilados con el flag “–status-fd” establecido y “–verbose” sin establecer.

Fuente: The Hacker News

por Eduardo Medina Mon, 18 Jun 2018 15:30:13 +0000

Un grupo de hackers chino se dedica a atacar centros de datos de gobiernos de Asia Central

Kaspersky Lab ha publicado un informe en el que muestra que un grupo de hackers chino ha atacado el centro nacional de datos un país de Asia Central sin concretar. Los ataques, según la compañía de ciberseguridad, han sido llevados a cabo por un grupo llamado LuckyMouse, que también ha actuado bajo otros nombres como Iron Tiger, Threat Group-3390, EmissaryPanda y APT27.

Los ciberataques empezaron en 2017 y al menos en un principio fueron inyecciones de scripts maliciosos contra los sitios web oficiales de la administración pública para realizar una campaña de agujero de agua a nivel estatal. Kaspersky Lab dice que el grupo ha utilizado el troyanos de administración remota HyperBro para esquivar las soluciones antimalware entre diciembre de 2017 y enero de 2018. La compañía detectó el ataque en marzo del presente año y ha decidido no decir el nombre del país en público, posiblemente para evitar un efecto llamada que atraiga a más grupos de hackers.

El por qué se ha vinculado a LuckyMouse con una Amenaza Persistente Avanzada viene derivado de que el dominio empleado por el servidor de mando y control, update.iaacstudio[.]com, estuvo implicado en campañas anteriores realizadas por los otros nombres mencionados en el primer párrafo (recordamos que se trata del mismo grupo que ha actuado con distintos nombres). Por otro lado, el troyano HyperBro ha sido utilizado por diversos actores maliciosos de origen chino y el mismo cifrador, shikata_ga_nai, por el mismo grupo en anteriores ocasiones.

Kaspersky Lab ha determinado que LuckyMouse actúa siempre contra gobiernos, sobre todo de Asia Central. Mediante ataques de agujero de agua contra los sitios web de las entidades gubernamentales, se sospecha que el objetivo es acceder a las páginas web mediante los centros de datos para inyectarles JavaScript. Sin embargo, de momento no se tiene una información precisa sobre cómo ha manejado LuckyMouse el ataque contra los sitios web para llevar a cabo la campaña.

El servidor de mando y control principal empleado en esta campaña es bbs.sonypsps[.]com, que fue resuelto por una dirección IP que pertenecía a la red de una ISP ucraniana y estaba asignada a un router Mikrotik con la versión 6.34.4 del firmware (publicada en marzo de 2016) y SMBv1 activado. Sospechamos que este router fue hackeado como parte de la campaña para procesar las solicitudes HTTP del malware. El dominio Sonypsps[.]com fue actualizado mediante GoDaddy desde el 5 de mayo de 2017 hasta el 13 de marzo de 2019.

La compañía de ciberseguridad de origen ruso cree que LuckyMouse ha estado muy activo en los tiempos recientes. Las tácticas empleadas en esta campaña suelen ser normales cuando se trata de actores maliciosos de origen chino, que generalmente ofrecen nuevas envolturas, como el lanzador y el descompresor protegido con shikata_ga_nai, alrededor del RAT HyperBro.

Aunque de momento no se ha comentado nada sobre ataques patrocinados por un estado, es una posibilidad que no se puede descartar viendo los objetivos principales de esta Amenaza Persistente Avanzada.

Fuente: BetaNews

por Eduardo Medina Mon, 18 Jun 2018 10:11:29 +0000

Apple eliminará el acceso USB del iPhone para dificultar su hackeo por la policía

Apple ha dicho que en la próxima actualización de su sistema operativo móvil, iOS, se eliminará el soporte de acceso al iPhone mediante USB, un movimiento que se lo pondrá más difícil a los hackers, y aquí se apunta sobre todo a los que trabajan para las fuerzas de la ley que tienen como misión acceder a dispositivos bloqueados a través del puerto físico.

El gigante de Cupertino confirmó que las nuevas configuraciones por defecto inhabilitarán el puerto Lightning, utilizado para transmisión de datos datos, sonido para cascos y recarga del dispositivo, una hora después de que el iPhone haya sido bloqueado. Apple, tras anunciar este movimiento, ha dicho que pone al cliente en el centro todo lo que hace, por lo que está investigando constantemente para reforzar la seguridad de sus productos con el fin de que puedan ser más resistentes ante hackers, ladrones de identidad e intrusiones para acceder y posiblemente obtener datos personales.

Una vez que el iPhone haya quedado bloqueado, el puerto Lightning permitirá la recarga del dispositivo, pero no la transmisión de datos hasta que se introduzca un código de acceso. Todo esto viene a rebufo del conocido caso de San Bernardino, en el que Apple se resistió a los intentos de FBI por forzarla a colaborar en el desbloqueo del iPhone 5c de Syed Farook.

Además de esto, existen dispositivos conocidos (que se conoce el nombre, cómo es y lo que hace) como GrayKey, que es capaz de desbloquear iPhones y iPads utilizando el puerto Lightning para instalar un software que se encarga de descifrar el código de acceso a los dispositivos. Todo parece indicar que fue el utilizado por el FBI para desbloquear el iPhone de Syed Farook. Otro frente contra el cual se habrían implementado los cambios serían las herramientas forenses de la compañía israelí Cellebrite, que permiten hacer cosas similares.

El acceso por USB mediante el puerto Lightning era prácticamente una especie de vulnerabilidad que Apple sabía que podía ser explotada, así que tras siete años, y junto con el lanzamiento de iOS 11.4, se incluirá una característica llamada USB Restricted Mode, que inhabilita el acceso USB mediante el mencionado conector. Con este movimiento, la seguridad de los dispositivos iOS se verá reforzada, algo a lo que se ha añadido mitigaciones adicionales para eliminar el USB como superficie de ataque.

Diversos expertos creen que, al menos desde el punto cubierto en esta entrada, la relación entre Apple y las fuerzas de la ley se volverá más tensa. Bien por Apple de cara a sus clientes en Estados Unidos, aunque habrá que ver si es igual de contundente a la hora de defender los de otros países.

Fuentes: ThreatPost y MuyComputer

por Eduardo Medina Fri, 15 Jun 2018 15:15:40 +0000

Un fallo hallado en Cortana abría la puerta a elevaciones de privilegios en Windows 10

Una de las vulnerabilidades más curiosas que Microsoft parcheó el martes fue una que permitía hacer una elevación de privilegios utilizando Cortana, el asistente personal digital de la compañía que un principio iba a estar disponible sus últimos sistemas, pero luego se volvió multiplataforma tras confirmarse el fracaso de Windows Phone.

El fallo de seguridad (CVE-2018-8140) explotado mediante Cortana, que solo afecta a Windows 10, fue descubierto en el mes de abril por Cedric Cochin, Arquitecto de Ciberseguridad e Ingeniero Senior Principal en McAfee, y ha sido considerada como de gravedad importante. El experto decidió reportar de forma privada sus hallazgos a Microsoft, que afortunadamente consiguió arreglarlo para el conjunto de parches de seguridad publicado este mes.

Cochin dice que el problema estuvo presente debido a ciertas peculiaridades en la forma en que Cortana permite a los usuarios interaccionar con Windows 10 mientras está bloqueado. Cuando el usuario pronuncia la orden “Hola Cortana” (Hey Cortana en inglés), se abre una ventana emergente de búsqueda especial con diversas características. Luego se puede escribir texto en la ventana emergente para buscar el índice de aplicación del ordenador y en el sistema de ficheros. En caso de escribir ciertas palabras como “pas” (de password, contraseña en inglés), se pueden obtener ficheros cuyo nombre o contenido incluye esa cadena de caracteres junto con la ruta en la que se encuentra alojado, algo que se hace poniendo el ratón encima de cada resultado de búsqueda.

Un fallo hallado en Cortana abría la puerta a elevaciones de privilegios en Windows 10

En el siguiente paso el atacante (suponemos que es alguien malintencionado) tiene diversas posibilidades a su disposición. Puede hacer clic con el botón secundario del ratón para realizar acciones como abrir la ubicación del fichero, copiar la ruta completa, ejecutar como administrador o incluso ejecutar con PowerShell.

Un fallo hallado en Cortana abría la puerta a elevaciones de privilegios en Windows 10

Después el atacante podría utilizar órdenes de voz de Cortana para ejecutar ficheros u órdenes de PowerShell.

A partir aquí se abren diversas posibilidades de poder llevar a cabo un ataque. Por ejemplo, se puede simplemente ir probando hasta hallar algún fichero con contenidos comprometedores, como contraseñas almacenadas en texto plano. Otras posibilidades son la de introducir una unidad USB que contenga un script malicioso de PowerShell o una carga útil maliciosa y la de acceder a un dispositivo bloqueado sin interacción del usuario. El experto en ciberseguridad ha publicado todos los detalles de forma detallada en una entrada publicada en la web de McAfee.

Para resolver este problema de seguridad el usuario solo tiene que actualizar su instalación de Windows 10 con los parches publicados por Microsoft en el presente mes de junio. Por otro lado, los asistentes por voz se están mostrando como una potencial amenaza para los usuarios debido a que abren más puertas de las necesarias, teniendo como precedente el de la familia que envió de forma involuntaria conversaciones privadas mediante Amazon Echo.

por Eduardo Medina Fri, 15 Jun 2018 10:09:20 +0000