Esta semana en seguridad: ¿RSA finalmente se está derrumbando? El impulso de las cuentas en la nube, el DNS cifrado y más masacre móvil

Maya Lorenzo
Maya Lorenzo

¿Alguna vez te has preguntado cómo es la “guerra cibernética”? Aparentemente, se trata de adivinar problemas de seguridad y cambiar contraseñas. Es una lectura interesante por sí sola, pero hay algunas pistas interesantes si lee entre líneas. Un general conocido mencionó que Isis:

hicieron clic en algo o hicieron algo que luego nos permitió tomar el control y luego comenzar a movernos.

Esto suena muy similar a las historias que hemos tratado en el pasado, donde los días 0 se utilizan para comprometer a grupos o individuos. Quizás la NSA entregó tal explotación y se envió en un ataque de phishing. Por diversos medios, el equipo de EE. UU. Comprometió silenciosamente los sistemas y recopiló certificados.

El artículo menciona algo más interesante. Aparentemente, los objetivos de este pico digital también han comprometido máquinas de todo el mundo y las han utilizado para gestionar sus esfuerzos. El equipo de EE. UU. Tomó la decisión de comprometer también esas máquinas para encerrar al equipo de Isis. Este podría ser el elemento más controvertido de la historia. Los investigadores de seguridad han querido permiso para hacerlo durante años. ¿Cómo deberían ver los terceros estas incursiones?

El tercer elemento que encontré particularmente interesante fue el ataque de Fase 2. En lugar de eliminar, prohibir y romper directamente los dispositivos y cuentas de Isis, el equipo de EE. UU. Instaló malware constante que copiaba problemas inofensivos. La conexión a Internet es extremadamente lenta algunos días, algunos sitios web simplemente no se conectan y otros problemas. Estos son el tipo de gremlins que los profesionales en línea pasan todo el día tratando de resolver problemas. La idea de que sea intencional me preocupa más.

Superioridad cuantitativa y muerte de RSA

Quantitative Superiority ha dado novedades ya que Google ha anunciado que han alcanzado el hito en uno de sus proyectos de investigación. La superioridad cuántica es la expresión del punto máximo cuando las computadoras cuánticas finalmente superan a las computadoras clásicas. La computadora cuántica de Google hizo un cálculo en minutos y sugieren que una supercomputadora secular tardará miles de años en completar el mismo proceso.

Así que eso es todo, ¿verdad? Todas nuestras computadoras pueden retirarse, RSA está muerta y prepararse para lo extraordinario. No tan rapido. El problema resuelto fue el “problema de muestreo de circuitos aleatorios”. ¿No conoces ese desafío en particular? Podría considerarse como una autoprueba para una computadora cuántica. En el ámbito teórico, todavía importa, pero no significa nada en el mundo real. Aunque algunos han afirmado que este es el fin del cifrado, todavía quedan años de trabajo por hacer hasta que la computación cuántica entre en vigor en el mundo real.

El cifrado fue nuevamente declarado prematuramente fallecido por Crown Stirling, el creador de una técnica de cifrado completamente nueva, “Time AI”. Todo es predeciblemente falso. Estos son los tipos que alquilaron un horario patrocinado en Black Hat, silbaron durante su actuación y lanzaron una demanda contra los traficantes. Digamos que no son la empresa de seguridad más respetada.

Cuentas locales contra la nube

No estoy seguro de si ha instalado Windows recientemente, pero Microsoft ha dificultado la creación de cuentas locales con instalaciones de Windows 10. La razón declarada para la cuenta de Microsoft es la seguridad y la conveniencia. Puede ser más conveniente, pero mover la información de su cuenta a la nube ciertamente no es más seguro.

Para su recordatorio periódico de que la nube es una forma hipocrática de describir la computadora de otra persona: un ingeniero de Yahoo se declaró culpable de abusar de sus privilegios administrativos para acceder a las cuentas de los clientes, con la intención de obtener acceso a las imágenes comprometidas de los usuarios. Es un recordatorio aterrador de que hay personas potencialmente malintencionadas que trabajan en las grandes empresas en las que confiamos nuestros datos.

DNS encriptado

Google y Firefox comenzaron a lanzar DNS encriptados a través de HTTPS. Esto parece una victoria de seguridad obvia para todos, entonces, ¿por qué varios grupos se quejan y tratan de bloquear las acciones de Google? La razón dada es que Google está tratando de ser el único proveedor de DNS centralizado. Si bien el DNS de Google es en realidad uno de los más populares, la compatibilidad de DNS a través de HTTPS no aumentará materialmente el tráfico de DNS de Google.

Entonces, ¿por qué retroceder? La teoría más creíble es que el cifrado de DNS dificultará la extracción de datos para los ISP que actualmente utilizan búsquedas de DNS para verificar a los clientes. Parte de esta supervisión se debe a razones positivas, como la detección de infecciones de malware. Es posible que también se utilice para cosas como anuncios personalizados.

En una nota técnica, incluso con DNS sobre HTTPS, los nombres de dominio todavía se envían claramente como parte del protocolo de enlace HTTPS, en una extensión TLS conocida como Indicación de nombre de servidor o SNI. Esto sirve como una sugerencia para permitir que un servidor web proporcione el certificado HTTPS correcto en el caso de varios sitios web alojados en la misma máquina. El SNI cifrado es una solución experimental a este problema, que también se está desarrollando lentamente.

iOS Checkm8

[axi0mX] descartó la vulnerabilidad Checkm8 iOS en Twitter hace solo unos días. Esta vulnerabilidad existe en el lanzador de iOS, iBoot, hasta dispositivos iPhone X. La versión menciona que es un uso después de un error gratuito en la pila USB del cargador de arranque y depende de la condición de carrera.

La gran cantidad de dispositivos afectados por esta vulnerabilidad ha alarmado a algunos, pero esto es solo un ataque ligado, y por sí solo no rompe el enclave seguro. Checkm8 es útil para hacer jailbreak a iDevices. Apple diseñó sus dispositivos con cargadores de arranque codificados como parte de su pila de seguridad. No hay absolutamente ninguna forma de solucionar esta vulnerabilidad, por lo que ahora se puede acceder permanentemente a muchos dispositivos para realizar jailbreak. A esto se le ha llamado un renacimiento en la escena del jailbreak de iOS, y ciertamente veremos muchas consecuencias interesantes de esta vulnerabilidad.

VoIP Android

En el otro lado del panorama móvil, se acaba de lanzar un conjunto de vulnerabilidades de Android, todas en la pila de VoIP. El más serio, CVE-2018-9475, fue parcheado en 2018. Fue un simple desbordamiento de búfer: cuando el nombre de usuario o número de llamada tenía más de 513 bytes, se podía reemplazar una dirección de retorno, lo que permitía a un atacante omitir la ejecución por sí solo. código.

Otro problema interesante fue el de un nombre de glúteo muy largo. Este es el nombre que se mostraría en la pantalla para una llamada entrante. En ese momento, Android no verificó con prudencia la longitud de ese nombre, por lo que un valor bastante largo simplemente cubriría la interfaz y evitaría responder o rechazar la llamada entrante.

Los errores se han informado y solucionado, por lo que si su teléfono está ejecutando una versión de Android bastante nueva, todo debería estar bien. ¿Para aquellos dispositivos operativos que ya no reciben actualizaciones de seguridad? Tal vez sea hora de mirar LineageOS, o una de las otras ROM de terceros.

  • Cierto dice:

    DoH (DNS a través de HTTPS) es muy similar a preguntar en quién confía para iniciar sesión (y usar) el nombre y la hora cuando accede a todos los sitios web. Y todos los metadatos generados a partir de esos datos (por ejemplo, esta persona se levanta exactamente a las 6:20 am todas las mañanas y se va antes de las 7:00 am, …). Su ISP local o Alphabet Inc. (Google) o en otro lugar, es posible que esté ejecutando su propio servidor de caché de DNS local para ocultar la recopilación de metadatos temporales.

    Usar DoH y usar su ISP local es malo la mayor parte del tiempo.

    • Ostraco dice:

      Ejecute su propio servidor y, como mucho, el mundo verá cómo fluyen las direcciones sin procesar. El navegador es probablemente una filtración mayor que el DNS.

    • xorpunk dice:

      La mayoría de la gente ni siquiera sabe acerca de ciertas tiendas y letreros de raíz décadas después … Probablemente todo se les pase por la cabeza …

      Es probable que DoH genere monopolios de datos.

  • Ren dice:

    “La conexión a Internet es muy lenta algunos días”,
    Como Cliff Stoll balanceando su teclado a través de los cables Rx y Tx en The Cuckoo Egg “

  • Ostraco dice:

    “Para su recordatorio periódico de que la nube es una forma moderna de describir la computadora de alguien”. Que está casi en todo Internet. En el caso de la nube y el almacenamiento, la encriptación es amiga de alguien. Se está procesando una fecha encriptada, pero no sé qué tan bien funciona.

  • Mago negro dice:

    Microsoft obliga a las personas a usar cuentas en la nube contra las locales es un desastre de seguridad porque son mucho menos seguras por su naturaleza.

    • BobH dice:

      ¡Microsoft ciertamente sabe un par de cosas sobre desastres de seguridad!

      • qwert dice:

        Bueno, no sé si saben algo, pero ciertamente han sido el tema y la causa en innumerables ocasiones. Si supieran algo, dejarían de construir su gestión a lo largo de 40 años de errores.

        Pero han robado todos esos errores y son fundamentalmente incapaces de inventar nada nuevo o innovador. Probablemente no comprendan su propio sistema mucho mejor que sus usuarios potenciales. Está bien.

    • nik282000 dice:

      Ya he escuchado pesadillas sobre usuarios de cuentas de MS bloqueadas por una razón u otra (además de olvidar la contraseña) dejando su dispositivo funcionalmente inútil.

      La capacidad de desbloquearse desde una máquina de forma remota, ya sea aleatoriamente o por proyecto, no es una gran opción de proyecto. Incluso si pueden monopolizar los datos del usuario, podrían hacer que muchos usuarios domésticos se cambien a Apple o simplemente abandonen las computadoras por dispositivos móviles cuando haya un posible deshonor masivo.

      • mia2c dice:

        – Sí, ¿dar acceso a MS para desbloquearme de forma remota desde mi (s) propia (s) máquina (s)? No, gracias Incluso si lograron no estropearlo nunca. Desafortunadamente, esto puede comenzar a ser común, y en las tiendas compradas, los “usuarios básicos” probablemente no sabrán la diferencia o incluso qué es una cuenta local (de administrador o de otro tipo).
        ‘Cuanta menos nube, mejor. En su mayoría, todo es bueno para las empresas de software o la nube. Puede guardar sus oportunidades menores y requerir acceso a Internet para un trabajo que no debería tener necesidad.

      • Koplin dice:

        Es gracioso mencionar esto:
        Nuestra agencia utiliza O365 vinculado a nuestro sistema de AD de pago.

        Sin embargo, tuve un usuario que durante los últimos 6 meses o más llamaba todos los días a nuestra mesa de ayuda y tenía que desbloquear su cuenta. (Nadie me aumentó este número) No lo supe hasta hace 2 días.

        Así que me preguntaba cuánto tiempo va a pasar esto, etc., etc. Luego solo le pregunto si usa su teléfono para revisar su correo electrónico, él dice que sí, pero que no funcionó aproximadamente al mismo tiempo que la cuenta anterior. Bloqueo.

        Me tomó 2,5 segundos juntar los dos y preguntarle por su teléfono si descubríamos que un antiguo administrador había bloqueado las funciones de administrador del dispositivo, incluida la adición y el cambio de cuentas de cualquier persona que no fuera el antiguo empleado. No dejó información sobre cuál era el código de bloqueo, etc.

        El resultado final fue que hace unos 6 meses la contraseña de los usuarios se cambió a AD, no se actualizó por teléfono debido a que esta función la desbloqueó. administrador anterior. Su teléfono prueba automáticamente su contraseña anterior para bloquear inadvertidamente su cuenta de dominio. Y el servicio de asistencia técnica actual solo ha continuado desbloqueando su cuenta unas 3 a 5 veces al día durante meses.

        Sacó su simulador, lo puso en un teléfono nuevo sin tales restricciones, publicó resuelto. (Tuve que cortar y registrar el simulador para que coincida con el nuevo dispositivo).

        Si bien tuve un final feliz para nuestra pequeña pesadilla integrada en la nube, solo puedo imaginar si uno tuviera que confiar en Microsoft para mantener su cuenta segura, y tuviera que tener una conexión a Internet solo para instalar y usar su computadora. Quiero decir, esta es la misma compañía que aparentemente no puede hacer que una actualización de Windows funcione sin bloquear su propio hardware. (ver profesionales de superficie intactos con actualizaciones de MS)

    • Doblar dice:

      No estoy seguro de que realmente lo sean: las cuentas de MS están diseñadas para autenticarse desde el caché (así como las cuentas locales) cuando no están conectadas. Pero MS tomó algunas aplicaciones (incluida, desafortunadamente, la excelente aplicación OneNote) y las hizo efectivamente imposibles de usar sin OneDrive (que por supuesto requiere una cuenta en la nube de MS). Este es un problema mayor desde el punto de vista de que me impide hacer una copia de seguridad de mi información más crítica que cualquier otro aspecto de la nube. (Si alguien sabe cómo hacer una copia de seguridad de los datos de la aplicación OneNote, hágamelo saber …

  • Alexander Wikström dice:

    Ahora, con la noticia de Quantum Superiority, pronto es el momento de cambiar a una máquina que no tiene una cantidad visible de memoria, que no tiene soluciones de almacenamiento reales de las que hablar y que necesita una “computadora clásica” lo suficientemente fuerte como para simplemente administrarla y manipularla …

    No te diviertas con la computación cuántica. Pero, francamente, se necesitarán décadas, si no siglos, para que se convierta en algo más que una herramienta especial para cualquier cantidad de trabajo. No es realmente “óptimo” ejecutar las aplicaciones del molino, sin mencionar algunos requisitos normales del usuario en un sistema.

    Pero aquí me gustaría detenerme y más bien mirar las palabras “computadora clásica”.

    Mucha gente podría encogerse de hombros, pensando que seguramente x86 y ARM son buenas representaciones de lo que las computadoras de transistores son capaces de hacer. Pero no realmente.

    x86, ARM, incluso Z80, MC68000 y muchas otras arquitecturas son parte de un grupo llamado “arquitecturas de propósito general”, estas son arquitecturas diseñadas para alimentar casi todo lo que les arroje con una eficiencia razonable. En otras palabras, no están optimizados para ningún programa en particular. (Tienen más instrucciones específicas de la aplicación e incluso podrían resaltar algunas áreas de uso. Pero nada como la arquitectura específica de la aplicación).

    Luego, hay muchas arquitecturas que se enfocan específicamente en algunas cargas de trabajo, ya sea la administración de bases de datos, la conmutación / enrutamiento de paquetes, el cifrado, las imágenes en 3D, la codificación de video, la minería de cifrado, etc. Estas arquitecturas suelen fregar el suelo con otras arquitecturas de uso general en sus respectivos campos. (Las diferencias en el rendimiento y el efecto de poder en el gran orden no son desconocidas).

    Sin embargo, usar un DSP, GPU o ASIC de minería criptográfica como CPU principal no es una experiencia divertida para la mayoría de los usuarios, independientemente de su rendimiento y ventajas de eficiencia energética sobre x86, ARM u otras arquitecturas de propósito general cuando se trata de lo previsto. campo de la arquitectura específica de la aplicación. Y debido a que estas arquitecturas específicas de la aplicación son generalmente repugnantes cuando se trata de uso de propósito general, entonces el reemplazo de su CPU es aún menos lógico.

    En la actualidad, una computadora cuántica también es bastante específica para los programas, y ni siquiera todos los tipos de procesamiento se pueden realizar con ellos.

    Para simplificar enormemente aquí, una computadora cuántica puede hacer mucho trabajo en 1 ciclo, pero generalmente solo funciona a unos pocos KHz a unos pocos MHz (lo último que verifiqué), por lo que si su tarea es muy compatible con la computación cuántica. , entonces puede durar solo unos pocos ciclos. Si su tarea no coincide, podría tomar tantos ciclos como necesitaría una “computadora clásica”, o tal vez ni siquiera algo podría ser impulsado por una computadora cuántica, dejándolo solo con la computación clásica como una opción, y luego hacerlo. a mano eso es. Entonces, ¿la computación cuántica es más rápida? Bueno, eso depende.

    Aunque, hasta ahora, la computación cuántica todavía está en pañales, por lo que todo podría cambiar. Pero para responder a la vieja pregunta, “¿Funcionará Crysis?” Probablemente no, ya que un juego es generalmente una bolsa mixta con varias cargas de trabajo.

    • Doblar dice:

      FWIW, las computadoras cuánticas no son realmente suficientes para cifrar la ruptura a corto plazo. Las computadoras de ARN pueden serlo, pero es difícil obtener información sobre ellas, porque solo las tienen los espías, y obviamente no hablan …

    • iu dice:

      Lo más interesante de una computadora cuántica hoy en día es que su poder de cómputo está creciendo al doble de la tasa exponencial. Esto no significa e ^ (2x) sino más bien e ^ (e ^ x). Esta vez harán cosas interesantes muy pronto.

    • qwert dice:

      Hombre, vamos. El viejo tropo “si hay una pregunta en el titular, la respuesta suele ser no”. Vengan todos. Sé que tienes que hacer algunos clics, pero cuando escribes un título como ese y explicas que no, RSA es seguro durante muchos años después de unos pocos párrafos, eres parte del problema. Estás difundiendo información errónea porque las personas que probablemente comparten de manera impulsiva probablemente no leerán el artículo primero. Y sus espectadores en la red de conspiración tampoco lo leerán. Detener. Deja de aparecer en los titulares en forma de pregunta engañosa, que implica lo contrario de la verdad.

      • qwert dice:

        Oh, parece que te respondí en lugar de directamente al artículo. Mi error.

      • Jonathan Bennett dice:

        Era sarcasmo, no atraer a los clics.

  • Lirio dice:

    “¿RSA finalmente se ha roto?” https://eo.wikipedia.org/wiki/Betteridge%27s_law_of_headlines

  • Sheff dice:

    Checkm8, ¿ahora puedo hacer algo con el Apple TV 3 que acumule polvo?

  • Biomed dice:

    ¿Aún no lo tienes? Aquí tienes una pista: ve a ver un hámster en una rueda.

  • bosque eterno dice:

    Agregar más cifrado al DNS probablemente dificultaría el almacenamiento en caché de los enrutadores, dificultaría que los ISP y los enrutadores lo redireccionen a espejos locales y dificultaría la creación de sitios web de intranet.

    Supongo que puedes rendirte … Quizás …

    ¿Por qué no simplemente colocan el enrutamiento de cebolla directamente en Chrome y permiten que las personas que lo deseen tengan privacidad real fácilmente y que el resto de nosotros tenga un mejor rendimiento?

    • Dan dice:

      Si quisiera una privacidad real, no usaría un navegador creado por la mayor empresa de datos de minería.

  • murciélago dice:

    Los métodos de descubrimiento DOH / DOT aún se están discutiendo. Hasta ahora, la postura de Mozilla es que el cifrado resuelve todo lo que realmente no es la respuesta correcta. DOH descarta por completo la información auténtica en las respuestas (DNSSEC) y el proceso de descubrimiento actual (inexistente) está un poco desordenado, por lo que es mucho más fácil manejarlo mal y luego hacer sus trucos en su proxy DOH favorito que mágicamente convierte su falso. corresponde a completamente legítimo, porque … cifrado.
    todo es mucho más complicado que proporcionar una transferencia segura del dispositivo del usuario a un proxy DOH “confiable”. Si bien este proxy todavía usa DNS “normal” para resolver consultas, apenas tenemos un sistema hermético. Estoy de acuerdo con el hecho de que la parte más expuesta / comprometida del proceso de resolución de nombres es el dispositivo del usuario final (el sistema operativo / malware) y la red doméstica (donde el enrutador es un buen lugar para hacer cosas desagradables), y sí , DOH a nivel de aplicación mitigará la mayoría de estos vectores de ataque, pero hasta que el proceso de descubrimiento no se defina e2e de una manera creíble y segura, y todas estas condiciones previas se implementen en todos los niveles (RESINFO o HTTPSVC RR solo es aceptado por DNSSEC firmado zonas) no podemos decir que estamos mucho más seguros que nosotros.
    diciendo que DOH es superior (pero solo un truco) y que no tiene datos de validez de respuesta adecuados (¿quizás debido a un mayor tamaño de respuesta?) pero aún usa una representación de datos JSON absolutamente completa (fácil / divertido de leer / procesar, pero datos lentos eficiencia), y todo ello en 2019 …
    Odio decirlo, pero no importa cuán a prueba de balas sea su último kilómetro si saca las cosas del mismo charco de barro.

    Yo diría que hay diferentes países con diferentes comportamientos de ISP / gobierno. los “salvadores” globales son más o menos los mismos chacales que lo monetizan con los datos más recientes y, en general, están dispuestos a venderlos a ISP / Telcos. Leí la oferta de productos Cisco / Akamai / CF. en la mayoría de los casos, los tipos locales de SP bitpusher son 2-3 niveles menos ágiles para realizar una construcción de perfil de big data adecuada que podría afectar los anuncios / contenido que se le entrega. pero sus gobernantes están dispuestos a pagar dinero por cosas a los jugadores OTT que pueden asegurarse fácilmente de que nadie obtenga esos datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *