Esta semana en seguridad: apariencia de robots, VPN inseguras, graboides y fallas biométricas

Una cadena de hoteles japonesa utiliza robots para casi todo. Registro, acceso a la habitación y, lo más importante, servicio de cabecera. ¿Qué podría salir mal al insertar dispositivos Android integrados, con micrófonos y cámaras, directamente en cada habitación de hotel? Si bien podría imaginarme a los robots de la cama terminando mal de muchas maneras, hoy estamos viendo la posibilidad de que un huésped anterior haya instalado un programa que pueda espiar la habitación. El modo kiosco utilizado por estos dispositivos ha dejado mucho que desear. Cada programa de robot tiene un lector NFC, y solo necesita una URL leída por ese lector para salir del quiosco de la prisión. Desde allí, un usuario tiene acceso completo al sistema Android que se muestra a continuación y puede instalar cualquier aplicación que desee.

[Lance Vick] descubrió este posible problema en julio, y después de 90 días de inactividad liberó la vulnerabilidad. Se están lanzando más de estos hoteles para los Juegos Olímpicos de 2020, y este tipo de vulnerabilidad seguramente estará presente en otros dispositivos de quiosco similares.

Compromiso de VPN

En marzo de 2018, un servidor de un centro de datos finlandés se vio comprometido por un sistema de gestión remota. Probablemente se trataba de un controlador de gestión regular (BMC), que es tanto peligroso como beneficioso. La mayoría de los BMC tienen su propio adaptador Ethernet, no controlado por la computadora host, y permiten que un usuario remoto acceda a la máquina como si tuviera un monitor y un teclado conectados. Este servidor en particular fue alquilado a NordVPN, que aparentemente no fue notificado del centro de datos.

Entonces, ¿qué fue capturado por este servidor? Aparentemente, los certificados OpenVPN se almacenan en ese servidor, así como una clave TLS válida. (Document Mirror a través de TechCrunch) Se ha observado que esta clave ha caducado, lo que significa que no se está explotando activamente. Sin embargo, transcurrieron alrededor de 7 meses entre la violación del servicio y la expiración del certificado, tiempo durante el cual podría usarse para ataques de medio humano.

NordVPN confirmó la infracción y trató de mitigar el impacto potencial. Este informe no parece ser totalmente coherente con los certificados filtrados. Un atacante con estos datos y acceso de root al servidor probablemente habría podido descifrar el tráfico VPN de inmediato.

Graboide

Nombrado en honor a cierto gusano de ciencia ficción, Graboid es un género malvado inusual dirigido a los casos de Docker. Es un verdadero gusano, ya que los hosts comprometidos están acostumbrados a lanzar ataques contra otras máquinas vulnerables. Graboid no tiene como objetivo la vulnerabilidad de Docker, sino que simplemente busca un demonio de Docker inseguro expuesto a Internet. El software descarga imágenes de base de datos defectuosas, una de las cuales se utiliza para la minería de criptomonedas, mientras que otra intenta comprometer otros servidores.

Graboid tiene un capricho inusual, el capricho que le valió su nombre: no mina constantemente ni trata de extenderse, sino que espera más de un minuto entre explosiones de acción. Probablemente fue un intento de enmascarar la presencia de malware de minería. Cabe destacar que hasta que se descubrió, las imágenes maliciosas de Docker estaban alojadas en Docker Hub. Preste atención a las imágenes en las que confía y busque la etiqueta "Imagen oficial de Docker".

Irán y la mala dirección

¿Recuerda hace unas semanas cuando hablamos de la dificultad de la atribución de ataques? Parece que una buena dosis de esa paranoia podría estar justificada. La NSA estadounidense y la NCSC británica han revelado que ahora sospechan que los actores rusos han comprometido la infraestructura iraní y han desplegado malware creado por codificadores iraníes. El propósito de esto parece ser la redirección: comprometer los objetivos y culpar a Irán. Hasta ahora no es seguro que esta táctica en particular haya engañado a algunos espectadores, pero probablemente este no sea el único esfuerzo de este tipo.

Biometría de Android

Los nuevos teléfonos móviles con Android han tenido una semana difícil. Primero, el Samsung Galaxy S10 tenía un problema con los protectores de pantalla que impedían el lector de huellas dactilares de la pantalla secundaria. Este problema en particular solo parece afectar las huellas digitales registradas después de que se haya aplicado un protector de pantalla. Con el protector aún en su lugar, cualquier huella dactilar puede desbloquear el dispositivo. Lo que está sucediendo aquí parece obvio. El escáner ultrasónico de huellas dactilares no puede penetrar el protector de pantalla, por lo que registra una huella dactilar esencialmente vacía. Se ha lanzado un parche para reconocer estas impresiones en blanco en dispositivos en el país de origen de Samsung, Corea del Sur, y el resto del mundo pronto lo seguirá.

El segundo auricular nuevo es el Google Pixel 4, que incluye una nueva función de Desbloqueo facial. Si bien muchos han elogiado el rasgo, hay un problema en el paraíso. Pixel Face Unlock funciona incluso cuando el usuario está dormido o parado. Para su crédito, el Face ID de Apple también monitorea la atención del usuario, tratando de evitar el desbloqueo a menos que el usuario lo haga intencionalmente.

El escenario de la broma es un niño o cónyuge que desbloquea su teléfono mientras duerme, pero una posibilidad más tranquila es que su cara se esté usando contra usted de mala gana, o incluso mientras está inconsciente o muerto. Basado en las filtraciones, probablemente hubo un modo de "ojos abiertos" planeado pero cortado antes del lanzamiento. Es de esperar que los errores funcionen con esa función y se puedan agregar en una actualización futura. Hasta entonces, probablemente sea mejor no usar Google Face Unlock en dispositivos Pixel 4.

  • Dave dice:

    ¿Qué pasa con el desbloqueo facial y la biometría que no es una buena idea para la seguridad?
    Y si alguna vez lo serán, recuerde la escena del Hombre Demolición con el globo ocular.
    Puede que no funcione, pero la gente lo intentará.

    • Rog Fanther dice:

      No hay necesidad de ir tan lejos. Conozco a muchas personas aquí que no pueden usar esas máquinas expendedoras que solo ofrecen inicios de sesión con huellas dactilares porque debido a la edad / condición de la piel / lo que sea, sus huellas digitales son demasiado pálidas.

      Luego, tienen que hacer una línea muy grande en el único cajero automático que aún conserva los inicios de sesión con PIN.

      Y hay algunas agencias que ni siquiera tienen esas máquinas expendedoras de estilo antiguo, solo esas desagradables huellas dactilares.

    • Ostraco dice:

      O la escena de Avengers con Loki en Alemania.

  • Miroslav dice:

    ¿Qué ganaría Rusia atacando a Estados Unidos con Irán?
    Rusia no quiere que Estados Unidos ataque a Irán. Alguien más está haciendo ...

    Pregúntese "¿quién se beneficia?", Y el verdadero culpable será obvio.

    • Joel B dice:

      En este punto, creo que a Putin le gusta trolear a quien puede.

      En caso de duda, siga el dinero. Hay dinero en la guerra, al menos para las personas que fabrican el equipo.

    • JE Carter II dice:

      Rusia se beneficiaría directamente si Estados Unidos entrara en conflicto con Irán. Irán, como Corea del Norte, es un sustituto. Los estados proxy tienen muchos usos. Puedes usarlos para atacar a tu enemigo, atraer a tu enemigo a una posición vulnerable, agotar a tu enemigo, obligar a tu enemigo a lanzar su última tecnología y métodos de combate contra alguien a quien puedes observar y ayudar cuidadosamente sin mucho daño directo a ti mismo. Rusia suministra a Irán una culata de munición métrica. Cualquier conflicto iraní pone dinero en el bolsillo del Kremlin.

  • solipso dice:

    Tal vez piense que Estados Unidos será considerado un país pacífico al eliminar mi comentario crítico de la "política" estadounidense. No no.

    • Jonathan Bennett dice:

      No tengo ningún problema con su crítica de la política estadounidense. Sin embargo, los insultos raciales no son algo que permitimos en la sección de comentarios. Si apuntas tu cosa sin el insulto, no desaparecerá.

  • Adobe / Cloudflare Hate dice:

    ¿Sobre un enfoque biométrico? Por fin te quedarás dormido.
    https://www.complex.com/life/2016/12/kid-buys-250-dollars-pokemon-items-with-moms-thumbprint

  • xorpunk dice:

    Tienes que amar [almost everyone] que no se dan cuenta de que una VPN es solo una conexión encriptada a un proxy desconocido. No confunda con [almost everyone] que no saben hacer "ojos" ...

    Sabes que lo que estás usando es seguro, porque los proveedores de big data prohíben las direcciones IP rápidamente por eso ... Como TOR y para el que todavía usa túneles SOCKS 4 & 5

Ricardo Prieto
Ricardo Prieto

Deja una respuesta

Tu dirección de correo electrónico no será publicada.