Semana de la Seguridad 38: Los routers Cisco bajo ataque, un bug en AirDrop, y el arresto de especialistas en cifrado

Nuestro resumen semanal de noticias cubre tres historias sobre los errores que los codificadores cometen al programar robots, la manera en que otras personas explotan estos fallos del sistema, y luego el ajuste de cuentas.

“Tres billones de vidas humanas acabaron el 29 de agosto de 1997. Los sobrevivientes de la explosión nuclear lo llamaron el Día del Juicio Final. Solo sobrevivieron para enfrentarse a una nueva pesadilla: la guerra contra las Máquinas”.

Bueno, en realidad no. En ese entonces, en 1997, se estandarizó la primera especificación Wi-Fi (802.11b), Steve Jobs volvió a Apple, se inventó el .PNG, y un ordenador confrontó a un humano en una partida de ajedrez. Pero el hecho es que el Día del Juicio Final nunca llegó. Las máquinas no han evolucionado lo suficiente para empezar el apocalipsis. La inteligencia artificial capaz de destruir a la humanidad, sigue sin verse, pero eso no significa que estos últimos 18 años no hayan reflejado un cambio.

El cambio ha llegado. Y una vez que la definición de “robot” se extienda más allá de la imagen impuesta por Hollywood, veremos que los robots, en realidad nos rodean y los Armagedones locales suceden constantemente por todas partes.

Aunque los creamos para nuestro confort, cada vez están más fuera de control. Pero no ha sido su propia voluntad y la razón es muy simple: alguien hizo su trabajo mal a la hora de diseñarlos.

Nuestro resumen semanal de noticias cubre tres historias sobre los errores que los codificadores cometen al programar robots, la manera en que otras personas explotan estos fallos del sistema, y luego el ajuste de cuentas. Yo no iría tan lejos llamándolo el fin del mundo, pero en términos de peligro, código coral, repito, código coral, con una pizca de color calabaza. Siguiendo las reglas del camino, como siempre: el equipo de nuestro blog de noticias de Threatpost elige tres cada semana que suelo comentar sin piedad. El resto de episodios se pueden encontrar aquí.

En mi post anterior, he puesto una encuesta para saber cómo la gente utiliza los gestores de contraseñas, y los resultados son los siguientes: Un poco más de la mitad de los encuestados (62%), aceptaron que los gestores de contraseñas son fundamentales para mantener en orden las contraseñas únicas. La mitad de aquellos que contestaron la segunda pregunta (123 en total), utiliza tales gestores – Debo recalcar que esta cantidad es algo alta para la gente de la comunidad IT, mientras que para la gente común, este número constituye solo un 7%.

Una puerta trasera permanente en los routers de Cisco a través de un firmware modificado

Noticia. Investigación por FireEye.

Debo haber mencionado que los routers actuales son una caja negra secreta que suele estar empolvada en una esquina la mayor parte del tiempo y que nadie le pone atención. Bueno, esta suposición se aplica para ambos routers, caseros e industriales: los investigadores han descubierto la posibilidad de instalar puertas traseras a por lo menos tres modelos industriales de Cisco. Teniendo en cuenta el trato que suelen tener los routers, esto podría pasar de inadvertido por un largo tiempo.

El concepto del ataque, fácil a primera instancia pero difícil en realidad, es el siguiente: al obtener acceso al router vulnerable, uno podría cargar un firmware modificado, y una vez que el ataque consiga el acceso remoto al aparato, podría instalar plugins para mayor comprensión.

security-week-38-cisco

No es del todo malo la verdad. Los investigadores de FireEye identificaron solo tres modelos de vulnerabilidades: Cisco 1841, 2811 y 3825. Hasta donde yo sé, estos modelos llegaron a su fin y muy pronto dejarían de ser apoyados por los comerciantes. El vector de ataque inicial, no explota una vulnerabilidad en routers: aparentemente, el firmware podría ser modificado al obtener acceso directo al dispositivo a través de las credenciales de inicio de sesión por defecto, o de lo contrario, la contraseña única en manos de un atacante que resultaba saberla.

La situación en sí, en caso de ser factible, es un completo fiasco que crea una gran brecha en la seguridad corporativa. Robar la credenciales de inicio de sesión que tal vez nunca serían de interés para nadie, pero en nuestra situación, la modificación del firmware sí importa: le daría acceso permanente al aparato, y consecuentemente, a una red corporativa. En este caso, la línea de fondo es obvia: si vives en el mundo de la seguridad de la información, no confíes en nadie. Por cierto, el número total de routers infectados (al menos en su parte Ipv4), con trabajo apenas supera varias docenas.

Un bug importante en el sistema de intercambio de datos AirDrop

Noticia.

Por dónde iba… Cierto, el aumento de las máquinas. En el universo de ficción de Terminator II (odio Terminator III y las que siguen), la humanidad primero creó las máquinas y luego éstas se levantaron en contra de sus creadores. La razón inicial para construir las máquinas fue la de hacer la vida de los humanos (bueno, los militares) más fácil. Los robots fueron creados para atacar objetivos marcados en el mapa del mundo, o para luchar contra ciberataques, etc.

El modelo de ficción, aunque algo simplificado, está llevándose a cabo ahora en la vida real. Han pasados años desde que los humanos solo le dan a un botón para controlar gadgets, conectarse a redes o intercambiar información. Así cuando un usuario hace una pregunta (o incluso antes), la respuesta está programada automáticamente.

security-week-38-kitten

Así es como se ve la experiencia de usuario ideal

Bueno, de hecho eso es a lo que llamamos “progreso”, pero hay un fallo fundamental: No ejercemos ningún control sobre la interacción que existe entre nuestros dispositivos y la red. Por ejemplo la función de AirDrop. Era capaz de resolver un sinnúmero de problemas por su cuenta: el usuario no tiene que pensar en “emparejamiento” o “conexión al punto de acceso” o “autorización”, lo único que tenía que hacer, era elegir al destinatario en la cercanía y enviar los datos. Una vulnerabilidad estaba destinada a ser descubierta en este modelo de conexión demasiada perfecta, y eso es lo que sucedió.

Mike Dowd, un investigador australiano, demostró un ataque, el cual permitía sobreescribir datos en el dispositivo de la víctima de forma remota con la ayuda de AirDrop. Lo único que necesitas hacer es enviar un enlace, creado específicamente, a un dispositivo móvil (o incluso a un ordenador Mac). Tan pronto como aterrice en el dispositivo señalado, al usuario le salta la ventana de aceptar o rechazar los datos, pero eso ya no importa: el exploit ya ha hecho su trabajo (algo similar a StafeFright en Android).

Existe un cierto límite: el usuario debería optar por aceptar los datos de todos los dispositivos en proximidad con AirDrop. Por conveniencia, esto puede hacerse incluso en un dispositivo bloqueado. Entonces, una vez que el atacante tenga acceso físico al teléfono por un par de segundos, se acabó. Como resultado, un hacker podría ser capaz de instalar cualquier aplicación a un iPhone de manera remota. Pero claro, esas aplicaciones corruptas disfrutarían privilegios básicos y no podrían robar nada al momento, pero esta es la historia sobre de otros exploits que suelen ser utilizados para el jailbreak de dispositivos.

El bug fue parcheado en iOS 9.

Los creadores del ransomware CoinVault fueron arrestados

Noticias. La investigación de Kaspersky Lab. Otra investigación de CoinVault, incluyendo el concepto de descifrar sin ransom.

Mientras las máquinas no son lo suficientemente inteligentes para actos malvados, la gente se encuentra a gusto haciéndolas en su lugar. Los arrestos reales de casos en los que “alguien hackea a otra persona” se escuchan raramente, por desgracia. Por ejemplo, la historia de antes: los investigadores descubrieron el firmware de un router modificado con puertas traseras. Pero, ¿quién lo modificó y por qué?

Ni idea. Existe el conocimiento de que las tecnologías anónimas en Internet, realmente hacen que el trabajo de las fuerzas de seguridad, sean una misión tediosa y sin éxito. Ransomware es un gran ejemplo de tal situación. Tor es utilizado para anonimizar servidores C&C, y los rescates se pagan en Bitcoins – al parecer no hay nada más por hacer.

security-week-38-coinvault

Considerando lo antes mencionado, estamos muy contentos de que finalmente ganaran los chicos buenos. Dos hombres fueron arrestados en los Países Bajos por crear el cryptolocker de CoinVault. Los expertos de Kaspersky Lab también contribuyeron a la operación, investigando la tecnología detrás del ataque.

CoinVault no es el locker más conocido, pero refleja un ejemplo perfecto de un ataque complejo por investigar. El informe del año pasado demostró cómo las muestras de ransomware evaden el análisis: si ejecutas el Troyano en una máquina virtual o en un ordenador con WireShark, o algún software similar, la carga se bloquea.

Una vez publicado el informe de noviembre, al parecer, los cibercriminales detrás del ataque decidieron pasar desapercibidos por un tiempo, hasta que los investigadores de Panda Security compartieron un par de muestras. Al recopilar suficiente “evidencia” indirecta, los especialistas de Kaspersky Lab consiguieron descifrar la información de las víctimas de CoinVault sin pagar recompensa.

Un profundo análisis del código malicioso también ayudó a capturar a los culpables. Al principio, los expertos descubrieron líneas en un “holandés perfecto”, cuando en realidad la mayoría de códigos de malware están escritos en un inglés malo, lo que hace difícil encontrar al creador. Luego, con ayuda de la National High Tech Crime Unit (NHTCU, en español, Unidad Nacional de Delitos de Alta Tecnología), el servidor C&C fue detenido, y aquellos que lo controlaban fueron identificados.

Yo diría que el resultado de esta historia, es que ningún método de anonimato utilizado para actividades criminales, es impenetrable. En primer lugar, cualquier tecnología nueva tendría un método de venta libre. En segundo lugar, la razón principal de por qué los cibercriminales son ahora arrestados, no es un fallo en la tecnología, sino un factor humano que siempre estará presente.

Qué más ha pasado:

Un puñado de bugs fue descubierto en PayPal y otros servicios; permiten la autenticación (incluso 2FA) bypass. Y en cuanto a PayPal, la culpa es de una API móvil, la cual resultó ser menos segura de lo esperado.

La iniciativa “Let´s encrypt” está activa ahora, así, los dueños de las páginas web tienen otra manera de conseguir un certificado HTTPS con menos esfuerzo.

Google ha parchado un bug en Android, el cual permite introducir una contraseña muuuuuy laaaargaaaa.

Oldies:

Familias “Invader” y “Plastique”

Virus residentes, extremadamente peligrosos. Infectan archivos .com y .exe (excepto command.com) según el algoritmo “Jerusalén”, como también los sectores de arranque de la unidad de disquete y discos duros. Estos formatean una pista adicional en la unidad de disquete, y se inscriben en sectores próximos a MBR en discos duros. Dependiendo de sus contadores, son capaces de ejecutar un ciclo nulo al abortar de acuerdo al temporizador (int 8), eliminar datos de las unidades, reproducir música, descifrar y mostrar los siguientes textos:

“Invader” (Invasor, en español) – “de Invader, Feng Chia U. Advertencia: No ejecutes ACAD.EXE!”

“Plastique” – “PLASTIQUE 5.21 (explosivo plástico) Copyright 1988-1990 por Grupo ABT (en asociación con Hammer LAB) ADVERTENCIA: NO EJECUTES ACAD.EXE!”

También incluyen el texto: “ACAD.EXECOMMAND.COM.COM.EXE”. Hackean Int 8, 9, 13h, 21h.infosec-digest-32-book1

Citado de “Virus de ordenadores en MS-DOS”, de Eugene Kaspersky, 1992. Pág. 104.

Aviso legal: esta columna solo refleja la opinión personal del autor. Puede o no coincidir con la posición de Kaspersky Lab. Depende de la suerte.

 

Consejos