Esta semana en seguridad: escaneo de códigos, reunión de información y costura en la nube

GitHub ha habilitado el análisis de código gratuito en repositorios públicos. Este es el fruto de la compra de Semmle, hace casi exactamente un año. Cualquiera con permisos escritos para un repositorio puede ingresar a la configuración y habilitar el escaneo. Además del caso de uso obvio de encontrar vulnerabilidades, una opción interesante es analizar automáticamente las solicitudes de tracción y marcar los posibles problemas de seguridad automáticamente. Ciertamente espero ver esta herramienta en acción.

La opción de escaneo de código se encuentra en la pestaña Seguridad, y el proceso para habilitarlo toma solo unos segundos. Hice clic en el interruptor de uno de mis embargos y encontré un puñado de temas que valía la pena investigar. Una nota importante es que cualquiera puede operar la herramienta con un golpe de horquilla y ver los resultados. Si CodeQL encuentra un problema, básicamente está disponible públicamente para cualquiera que se interese en buscarlo.

Escaneo de código más simple

Por otro lado, [Will Butler] escribió una guía para buscar logros con grep. Un ejemplo simple, si raw aparece en el código, a menudo indica una operación insegura. Los términos fixme o todo, a menudo en los comentarios, puede indicar un problema de seguridad conocido que aún no se ha solucionado. Otro ejemplo es unsafe, que es una palabra clave eficaz en algunos idiomas, como Rust. Si un proyecto de Rust tiene vulnerabilidades, probablemente estarán en unsafe cuadra. Hay algunos otros consejos que dependen del idioma y otros buenos consejos, así que échale un vistazo.

Acecho en Google

Los ataques del mundo real, al menos los ataques dirigidos, involucran a muchos espías en el objetivo. Hay muchos datos disponibles en plataformas abiertas como Facebook y Google, pero a veces es difícil reunir esos datos. [mxrch] publicó una herramienta dirigida específicamente a las cuentas de Google. Proporcione una dirección de correo electrónico y GHunt intentará recopilar cualquier información pública disponible sobre esa cuenta.

¿Qué información podría estar disponible? Primero, busca actividad de esa cuenta en otros servicios de Google. YouTube, Google Maps y Google Photos pueden ser excelentes fuentes de información. Lo que no es obvio sobre esto es la información adicional disponible de esas fuentes. Las imágenes compartidas en Google Maps parecen tener sus metadatos borrados, pero las imágenes publicadas en Google Photos no. Los datos locales, el hardware de la cámara y más información interesante están ahí, siempre que sepa dónde buscar. Sería interesante configurar un ejemplo de GHunt y ejecutarlo en su propia cuenta de Google, solo para ver qué información hay.

Nuevo software malicioso, software malicioso antiguo

Emotet existe desde 2014 y ha demostrado ser el regalo que sigue dando. Ars tiene un breve historial de malware y es una carrera impresionante. Parece que cualquiera que esté detrás de Emotet ha seguido desarrollando el malware. El desarrollo más enigmático es el de cinco meses a principios de este año, cuando Emotet guardó silencio, solo para regresar con una agresiva presencia de spam. Tal vez incluso los ciberdelincuentes se tomaron un tiempo libre por Coronavirus.

Ha reaparecido una campaña de malware aún más antigua con un trasfondo más claro. FinSpy fue creado por FinFisher como una herramienta de espionaje empresarial. Amnistía Internacional informa sobre campañas de espionaje lanzadas contra activistas políticos durante bastante tiempo y, a menudo, sus informes incluyen técnicas interesantes. Esta no es una excepción, ya que anuncian que FinSpy ahora apunta a máquinas MacOS y Linux. El binario de Linux observado se llama simplemente PDF, lo que me hace sospechar que el principal mecanismo infeccioso es el phishing.

Atacando las costuras en la nube

Nuestros amigos del Project Zero de Google vieron el proyecto Vault de HashiCorp (es de código abierto). Vault parece un proyecto realmente útil porque se ocupa del cifrado de datos para bases de datos compartidas. ¿Desea crear un servicio en línea complejo donde los datos estén encriptados correctamente en reposo, pero accesibles para muchos usuarios? Vale la pena echarle un vistazo a Vault.

No todo es perfecto en el paraíso. Uno de los lugares comunes para encontrar problemas de seguridad es la interfaz entre los elementos del servicio. En ese caso, [Felix] encontró un problema en el que Vault interactúa con el servicio de autenticación de AWS. Un usuario puede solicitar acceso a un objeto, y Vault dará la vuelta y reenviará esa solicitud al mecanismo de autenticación de Amazon. La función que maneja esa respuesta acepta codificación XML o JSON. Resulta que esta función también acepta mensajes que incluyen * ambos * tipos de codificación. El truco consistía en encontrar una manera de hacer que el servicio de Amazon reflejara una solicitud auténtica que incluyera un JSON entregado por el usuario. La respuesta prevista está en XML: "Sí, esta persona existe". También en ese mensaje hay una respuesta JSON falsa: "Esta persona es un superusuario".

Hay otro vector de ataque detallado en el artículo, así que tome la pala completa si lo desea. Se observa que, si bien las aplicaciones en la nube se están volviendo más comunes, este tipo de vulnerabilidad también se verá con más frecuencia. Es otro paradigma, que analiza la seguridad en la nube en comparación con la seguridad informática convencional.

Prisionero Mac

La comunidad carcelaria ha estado haciendo agujeros en el hardware de los teléfonos móviles de Apple durante años. ¿Qué pasa con el hardware de escritorio? ¿Los defectos utilizados en los jailbreak de iOS también funcionan en Mac? Algunos de ellos, sí. Un investigador de IronPeak Services ha elaborado un resumen del estado actual de los ataques de hardware contra las máquinas MacOS. La buena noticia es que esta familia de ataques requiere acceso físico y, debido a que el elemento vulnerable tiene firmware inamovible, el ataque no dura. La mala noticia es que el firmware inmutable no se puede parchear y todo lo que se necesita para comprometerlo es un dispositivo USB.

Los Mac actuales con coprocesador, el T2. Este chip es básicamente el ARM A10 de los teléfonos móviles de Apple y maneja bastantes características del sistema, incluida una informática confiable que utiliza el procesador Secure Enclave (SEP) integrado. Si bien el firmware T2 se puede actualizar, el firmware SEP solo es legible y no puede verse afectado. El hardware común también significa errores comunes, y algunos de esos errores existen en ese firmware SEP inalterable. Nombre Checkm8 / Checkra1n. Un dispositivo USB puede activar el jailbreak y habilitar el modo inactivo. El resultado final es un control raíz completo sobre el coprocesador T2 y suficiente control sobre todo el sistema.

La necesidad de un dispositivo USB físico significa que no se utilizará en ataques maliciosos generalizados, pero puede ser útil para los propietarios de máquinas. El autor afirma que vendrán más en las próximas semanas. Seguiremos la historia y te informaremos sobre ella.

  • Ian dice:

    RE: Vulnerabilidad Mac T2 de IronPeak.

    Tenía la intención de vincularlo públicamente a Apple porque ignoró a un investigador de seguridad que claramente tenía un exploit funcional. La divulgación responsable puede ser un baile crudo para adaptarse. A veces DEBE hacer una divulgación pública si cree que el problema es lo suficientemente grande y no obtiene una respuesta.

    ... Luego miré su línea de tiempo.

    18/08/2020 Me puse en contacto con Seguridad de productos de Apple con detalles vulnerables
    ..
    07/09/2020 Pedí una respuesta, falta de comentarios
    16/09/2020 Pedí respuesta, falta de feedback
    22/09/2020 Pedí respuesta, falta de feedback
    30/09/2020 Pedí una respuesta, falta de comentarios, cc Tim Cook

    ¿Me estás engañando? ¡6 malditas semanas! ¿Qué diablos le pasa a esta persona? !!

    6 MES es difícilmente aceptable. E incluso mucho mejor sería GRANDE. Como 'Oh, gran día 0 en Cisco iOS' o 'Uh oh, ataque utilizable en TLS'

    "... Podrías argumentar que no estoy siguiendo una divulgación responsable ..." ¡Jodiste REALMENTE que podemos discutir! ¿Tiene dolor porque no obtiene una respuesta después de algunas semanas? Unas pocas semanas durante la desagradable tormenta, ¿eso es 2020?

    Aquí hay algunos comportamientos sobre antorchas y tenedores aquí ...

    • águila pescadora dice:

      "¿Estás jodidamente MARAVILLOSO?" ¡6 malditas semanas! ¿Qué diablos está mal con esta persona? !! ”...

      ¡Tienes toda la razón! ¿Cómo puede alguien esperar que una pequeña empresa como Apple (con recursos tan limitados) envíe un correo electrónico diciendo "gracias, lo estamos investigando" en menos de 6 meses?

      Personalmente (y probablemente no soy el único aquí), habría sospechado que una manzana no quería poner en marcha el reloj cuando sabía del problema.

    • Ben dice:

      Project Zero es siempre de 3 meses ...

  • Ian dice:

    NUNCA amo a Apple. Ni siquiera uno.
    Pero ser grande no significa de repente que puedan hacer las cosas rápidamente. Todo mal.
    Primero, deberían verlo. Y Apple ciertamente está recibiendo tanta basura en sus canales oficiales que lleva mucho tiempo examinar las piezas importantes del barro.
    Entonces tiene que ser evaluado realmente.
    Luego, consulte con el equipo legal y probablemente también con el equipo de ingeniería / seguridad.

    Y todo esto antes de que NUNCA respondan.

    ¿Cuánto más de lo "normal" cree que dura esto durante una pandemia?

    No estoy seguro de cuál es su ubicación, pero aquí todavía no podemos comer en restaurantes, las tiendas solo tienen 1-2 registros abiertos a la vez, por lo que todos ordenamos con valentía con anticipación y lo recogemos en el estacionamiento. mucho, e incluso cosas básicas como obtener una cita. una llamada de 60 minutos con un abogado a través de Zoom lleva de 3 a 6 semanas.

    Pero no conocemos toda la historia. Esto podría ser TOTALMENTE como cuando Cisco se demoró durante un año y usó los tribunales para silenciar a los investigadores de seguridad en lugar de corregir un error crítico.

    Pero también podría ser un explorador irracional que saltó el arma ... Demonios, si se tomaran el tiempo para mencionar que lo que hicieron podría no ser una revelación responsable, tal vez deberían haber intentado recorrer algunos canales más antes de lanzarse.

    • águila pescadora dice:

      ¡Lo siento, pero estás hablando mierda limpia!

      "Apple obtiene alrededor de $ 70,000 en ganancias cada 60 segundos" ¡¡¡Eso es una ganancia NO una facturación !!! Esto significa que puede permitirse traer 2 nuevos desarrolladores de alta calidad cada cinco minutos para hacer frente a cosas nuevas. Y ni siquiera me inicie con "deberían encontrar espacio para ellos" ... ¿Ha visto la sede corporativa de Apple, todos los 2.800.000 pies cuadrados?

      Ser genial no es excusa para evitar problemas. Si algo es importante, podrá abordar mejor los problemas cuando surjan.

      Según su criterio, esperemos un mejor servicio de las empresas más pequeñas que tienen infinitamente menos recursos para resolver los problemas que tiene Apple.

      "NUNCA amo a Apple. Ni una sola pieza" ...

      Empiezo a preguntarme si esto no es exactamente lo contrario. ¿Es usted uno de esos empleados a los que se les paga para engañar deliberadamente al público?

      "Pero también podría haber un explorador insensato que saltó el arma ..." ...

      Ni siquiera han recibido reconocimiento en 6 semanas y son los villanos, dame un respiro. Entonces, si alguien se hace cargo de su Mac (mientras trabaja desde casa debido a COVID-19) y envía un correo electrónico falso como proveniente de Apple, ¿tal vez debería pagar una compensación a Apple por cualquier inconveniente?

      Honestamente, la gente como tú solo quiere que me llame

  • Marcin dice:

    Me pregunto si ese exploit T2 podría usarse para eludir el bloqueo SSD primario ...

Pedro Molina
Pedro Molina

Deja una respuesta

Tu dirección de correo electrónico no será publicada.