Esta semana en seguridad: exploradores de la censura, la muerte de OpenPGP, ceros diferenciales y Zoom te miran

La semana pasada, el horario de nuestra sección de seguridad semanal chocó con el Día de la Independencia. La ventaja es que esta semana obtendremos un trato de dos a uno porque estamos manejando dos semanas de noticias, ¡y hay mucho de qué lidiar!

[Petko Petrov], un investigador de seguridad en Bulgaria, fue arrestado la semana pasada por demostrar una debilidad que descubrió en un sitio web del gobierno local. En el video de demostración, afirmó que estaba tratando de revelar la vulnerabilidad tanto al proveedor de software como al gobierno local. Cuando sus advertencias fueron ignoradas, fue a Facebook para informar al mundo sobre el problema.

En el video, parece que se ha realizado un paso de validación en el navegador, que el usuario final puede manipular fácilmente. Una vez que se descubre una falla de este tipo, automatizar el proceso de extracción de datos del sitio vulnerable se vuelve trivial. La vulnerabilidad encontrada no es particularmente interesante, aunque la cantidad de datos expuestos es bastante crítica. La historia más importante es que, según los últimos informes, el gobierno local todavía tiene la intención de demandar [Petko] para descargar datos como parte de una visualización del ataque.

Censura de Youtube

En noticias relacionadas, Google ha comenzado a regañar videos sobre "Hacking y trampas instructivas". [Kody] del canal de Youtube de Null Byte se encontró bloqueado de su propio canal, después de recibir un aviso por un video que discutía la vulnerabilidad de Wifi.

La clave para desbloquear una película parece estar generando mucha atención social. Una protesta suficiente parece haber llevado a una revisión manual del video en cuestión, y generalmente resulta en la cancelación de la huelga.

Bomba Zip mejorada

Una bomba zip es un pequeño archivo zip que se descomprime en un archivo o colección de archivos ridículamente grande. Aunque obviamente hay malos usos para un archivo de este tipo, también se ha convertido en algo competitivo, creando la bomba zip más extrema. El campeón anterior era 42.zip, un archivo zip recursivo que cuando se extrae por completo pesa 42 petabytes. Es posible que un nuevo competidor haya tomado la corona y sin usar una recursividad de cremallera.

[David Fifield] descubrió un par de trucos ZIP. En primer lugar, se pueden crear muchos archivos a partir de un "núcleo" de datos comprimidos. La segunda es que los títulos de los archivos también pueden formar parte de archivos sin comprimir. Es un trabajo inteligente y mucho más fácil de entender, mirando los gráficos que armó. A partir de esos dos puntos, la única tarea sigue siendo optimizar. Usando el formato zip64, la relación de compresión final fue de aproximadamente 98 millones a uno.

Rompiendo servidores de claves OpenPGP

OpenPGP tal como lo conocemos está contra las cuerdas. OpenPGP es la técnica que permite el cifrado y verificación de correos electrónicos mediante firmas de cifrado. Es la abuela de la comunicación segura moderna y todavía se usa ampliamente en la actualidad. Una de las características de OpenPGP es que cualquiera puede cargar su clave pública a las pulsaciones de teclas alojadas en todo el mundo. Debido al clima político de principios de los 90, cuando se desarrolló por primera vez OpenPGP, se decidió que una función preconfigurada del servidor de teclado era que las claves cargadas nunca se podían eliminar.

Otra característica de las claves OpenPGP es que un usuario puede usar su clave para firmar la clave de otro usuario, certificando formalmente que es válida. Esto crea lo que se llama una "red de fe". Cuando un caso de OpenPGP valida una firma, también valida todos los certificados vinculados a esa firma. Alguien envió spam a un par de certificados OpenPGP con decenas de miles de firmas. Si su cliente OpenPGP actualiza esas firmas e intenta verificar las validaciones, se detendrá bajo carga. La carga del certificado actualizado envenena constantemente el almacén de claves fuera de línea. En algunos casos, solo se puede eliminar el certificado único, pero algunos usuarios han tenido que eliminar todo su almacén de claves.

Ahora se puede ver que partes de la infraestructura OpenPGP no se han mantenido bien durante bastante tiempo. [Robert J. Hansen] guió la respuesta pública a este ataque, sin mencionar a uno de los usuarios directamente atacados. En una publicación posterior, aludió a la necesidad de reescribir el servidor de claves de OpenPGP y a la falta de recursos para hacerlo.

No está claro qué será de la infraestructura OpenPGP. Seguramente la antigua red de servidores de claves tendrá que ser abandonada por completo. Un servidor de claves experimental está disponible en keys.openpgp.org, que ha eliminado las firmas de spam.

Presta atención a los códigos QR

Los atajos de enlace son una forma útil de evitar escribir una URL larga, pero tienen una desventaja: no sabe a qué URL se dirige. Afortunadamente hay enlaces, como unshorten.it. Pegue un enlace corto y obtenga la URL completa, para que no visite accidentalmente un sitio sospechoso porque hizo clic en un enlace abreviado. [Nick Guarino] en cofense.com suena una nueva alarma: los códigos QR pueden conducir de manera similar a sitios web maliciosos u objetables, y son menos fáciles de examinar antes de escanear. Su atención se centra principalmente en cómo se puede utilizar un código QR para evitar productos de seguridad y lanzar un ataque de pesca.

La mayoría de los escáneres QR tienen la opción de navegar automáticamente a la página web en el código. Desactive esta opción. El escaneo de códigos QR no solo puede conducir a un sitio web malicioso, sino que las URL también pueden iniciar acciones en otros programas. Este problema potencial de los códigos QR es muy similar al problema de los enlaces acortados: la carga útil real no se puede leer antes de interactuar con él, cuando puede que sea demasiado tarde.

Diferentes consejos para la diversión y el beneficio

El día 10, el blog de Eset, [welivesecurity], cubierto de escalada privada local de Windows 0 días explotado activamente de forma salvaje. La explotación enfatiza varios conceptos, uno de los cuales no hemos tratado antes, a saber, cómo usar una no referencia de puntero cero en la explotación.

En C, un puntero es simplemente una variable que contiene una ubicación de memoria. En esa ubicación de memoria puede haber una estructura de datos, una cadena o incluso una función invocable. Por convención, cuando los punteros no están relacionados con nada, se establecen en NULL. Esta es una forma útil de verificar rápidamente si un puntero muestra datos en vivo. El proceso de interactuar con los datos del puntero es una conocida no referencia del puntero. Por lo tanto, una desreferencia de puntero NULL accede a los datos a los que alude un puntero establecido en NULL. Esto nos coloca en el peligroso territorio del comportamiento indefinido.

Diferentes compiladores, arquitecturas e incluso sistemas operativos pueden mostrar un comportamiento diferente al hacer algo indefinido. En el caso del código C en Windows 7 de 32 bits, NULL es indistinguible de cero, y la ubicación de memoria cero es una ubicación completamente válida. En este caso no estamos hablando de la ubicación física cero, sino de una dirección lógica cero. En los sistemas modernos, cada proceso tiene una memoria caché común dedicada, y el sistema operativo administra el desplazamiento y la asignación de memoria, lo que permite que el proceso utilice el direccionamiento de memoria lógica más simple.

Windows 7 tiene una función, "NtAllocateVirtualMemory", que permite que un proceso solicite acceso a ubicaciones de memoria arbitrarias. Si se pasa NULL, o cero, a esta función como la ubicación de la memoria, el sistema operativo simplemente selecciona una ubicación para asignar esa memoria. Muchos consideran un error que esta función redondee de manera efectiva las pequeñas ubicaciones de memoria. Es muy posible asignar memoria en la dirección lógica 0 / NULL, pero se considera un mal comportamiento. El inconveniente importante aquí es que en Windows 7, un programa puede asignar memoria en una ubicación aludida por un puntero nulo.

¡Sobre la vulnerabilidad! El programa malicioso configura un menú emergente y un submenú como parte de su GUI. Mientras este menú aún se está inicializando, el programa malicioso cancela la solicitud para configurar el menú. Al cronometrar con precisión la solicitud de cancelación, es posible que el submenú aún se cree, pero sea un puntero nulo en lugar del objeto esperado. Luego, un segundo proceso puede activar el proceso del sistema para llamar a una función que se espera que forme parte del objeto. Debido a que Windows permite la asignación de una página de memoria a cero, esto transmite efectivamente la ejecución del sistema al atacante. Vale la pena comprobar el registro completo.

Amplíe su vulnerabilidad

Zoom es un popular programa de reuniones en línea, dirigido a empresas, con el principal punto de venta de lo fácil que es unirse a una reunión. Aparentemente, trabajaron un poco duro para facilitar las conexiones de emparejamiento, ya que cargar un sitio web malicioso en una Mac provoca el emparejamiento automático con un micrófono y una cámara web habilitados, siempre que la máquina estuviera previamente conectada a una reunión de Zoom. Pensaría que desinstalar el cliente Zoom sería suficiente para detener la locura, pero la instalación de Zoom también instala un servidor web local. Sorprendentemente, la desinstalación de Zoom no elimina el servidor web, pero fue diseñado para escuchar siempre un nuevo intento de reunión de Zoom. Si eso le suena a troyano, no se equivoca.

El grito por la respuesta oficial de Zoom fue suficiente para informarles del error de sus caminos. Han promovido una actualización que elimina el servidor oculto y agrega la interacción del usuario antes de unirse a una reunión. Además, Apple ha promovido una actualización que elimina el servidor oculto si está presente y solicita antes de unirse a una reunión de Zoom.

Teclados inalámbricos que te decepcionan

¿Alguna vez ha escrito su contraseña en un teclado inalámbrico y se preguntó si simplemente la estaba transmitiendo claramente a cualquiera que estuviera escuchando? Teóricamente, los teclados y ratones inalámbricos usan cifrado para escuchar a escondidas, pero al menos los dispositivos Logitech tienen algunos problemas en su esquema de cifrado.

Parte del problema parece ser el sistema inalámbrico "Unifying" de Logitech y el énfasis en la compatibilidad. Un receptor puede admitir varios dispositivos, lo que es útil para eliminar el desorden de cables, pero también debilita el esquema de cifrado. Un atacante solo debería poder monitorear las señales de radio durante el emparejamiento, o incluso monitorear las señales mientras también observa las pulsaciones de teclas. De cualquier manera, unos momentos de procesamiento y un atacante tiene acceso de lectura y escritura al equipo inalámbrico.

Sin embargo, se han solucionado varios problemas aún más graves con las actualizaciones de firmware en los últimos años. [Marcus Mengs], el investigador en cuestión, descubrió que el hardware recién comprado aún no contiene el firmware actualizado. Peor aún, algunos de los dispositivos implementados no tienen una herramienta oficialmente compatible para actualizar el firmware.

¡Quizás los dispositivos laterales con cable son el camino a seguir, después de todo!

  • bluecat57 dice:

    ¡Quién! Espera un minuto. Acabo de descubrir OpenPGP y ahora desaparecerá.

    • David dice:

      Así que empieza a contribuir a ello.

      • aasdw dice:

        Sí, supongamos que cualquier comentarista de la-tecnologia promedio es capaz de codificar un programa de encriptación y escribirle comentarios aproximados, gran idea, terminaremos increíblemente seguros.

        • Ren dice:

          Quizás [David] significaba Patreon, o algún otro apoyo financiero.

  • denis dice:

    youtube se ha desbordado, creo, muchos canales interesantes se desmonetizan o se eliminan, y eso ni siquiera queda sin control debido a la discriminación sensible contra cualquier contenido con música con derechos de autor, independientemente del uso legítimo o el contexto. Es de esperar que surja otra plataforma, pero desafortunadamente se perderá una gran cantidad de buen contenido mientras youtube se estropea.

    • ioaen dice:

      python -m youtube_dl

    • Ren dice:

      Realmente corté mi visualización de YouTube cuando comenzó a insertar anuncios en los videos y también eliminó el botón "Omitir anuncio" en algunos videos.
      Me molesta que difuminen algunos videos que no coinciden con su punto de vista político, quiero decir, una búsqueda general no mostrará el video, tienes que especificarlo por nombre.
      IIRC, nunca me he suscrito a la comida de nadie en YouTube, es posible que haya obtenido una cuenta en "los primeros días", pero no he iniciado sesión en años.

      • Lobo dice:

        "Cómo realizar la maniobra de Heimlich".

        Avance de película indeleble de 2 minutos.
        1/4 paso a través del video ...
        Anuncio incontrolable de 30 segundos para un restaurante local.
        A mitad del video ...
        Anuncio incontrolable de 30 segundos para capacitación local en primeros auxilios.
        3/4 entre videos ...
        Anuncio incontrolable de 30 segundos para una funeraria local.
        Fin del video ...
        Haga clic en el anuncio de YouTube Red.

        • macsimski dice:

          ¿Nunca has oído hablar del origen de ublock? Hace meses que no veo un anuncio (ya no veo televisión)

        • Douglas Coulter dice:

          Entre el origen de ublock y el algo molesto ad block plus, no veo anuncios en YT ni en ningún otro lugar, excepto en la colocación / soporte de productos en video. Los menos molestos, supongo.
          Sí, YT es una especie de prohibición en la sombra, básicamente para cualquiera que no piense como Jen Gennai (ver la filtración de Google del proyecto Veritas, se censuró a sí misma y luego la devolvió, también en Vimeo y Bitchute) y eso es muy molesto. Pero recuerda a la línea clásica de Star Wars, y al "Streisand Effect" de Mike Masnicks, cuanto más fuerte es el agarre, más se desliza entre los dedos.

          Todos los sitios web dignos que he visto demolidos han seguido adelante y han ganado más subniveles, etc., que antes; lo que perdieron fue la monetización, que no es exactamente apropiada; cree su propio sitio web como cualquier periódico si lo desea. Y pagas por los servidores.

          Yo, me alegro de que me dejaran crear mis estúpidos videos de ciencia / té / nicet / experimentales y transmitirlos a mis amigos de forma gratuita, así que comenzaron, casi, eso es todo lo que quiero de todos modos.

      • GotNoTime dice:

        Culpe a las personas que hacen los videos si no le gustan los anuncios durante los videos o si no se pueden cambiar. El creador del contenido define el número, la ubicación (antes, durante o después) y el tipo de anuncios (ventanas emergentes cortas, transitables largas o intransitables largas). Si quieren obtener el máximo beneficio de sus espectadores, pueden configurarlo como frecuente y molesto.

        • Ren dice:

          ¡No sabía eso, gracias!

  • jme dice:

    ¡Realmente me gustan estos artículos para niños! ¡Sigan así!

  • piotr_go dice:

    Nada nuevo.

    • Rogan Dawes dice:

      Este video muestra un simple ataque MouseJack que de hecho se demostró en 2015-2016.

      Marcus ha avanzado significativamente en el estado más moderno, mediante la ingeniería inversa del algoritmo de emparejamiento, el algoritmo de cifrado / descifrado AES, inyectando en presentadores inalámbricos que filtran activamente las pulsaciones de teclas inyectadas, y así sucesivamente.
      También de manera significativa, implementó el acceso al canal RAW HID (HID ++) utilizado por los receptores de Unity para transmitir cosas como Macros y otros programas persistentes al mouse / teclado, y lo puso a disposición de un atacante como una canalización para datos binarios arbitrarios.

      Esto significa que una víctima que usa una máquina con craquelado por aire (es decir, sin interfaces de red) y un teclado inalámbrico Logitech puede verse comprometido de modo que genere un caparazón secreto en su máquina, recibiendo sus instrucciones y transmitiendo su salida a través del archivo sin procesar. Canal HID, completamente invisible para la víctima. Y solo se necesitan entre 10 y 15 segundos de "acceso inadvertido" a una máquina desbloqueada (donde "acceso inadvertido" significa que el operador puede estar presente, pero no mirando activamente su pantalla desbloqueada) para escribir una carga útil inicial. Después de eso, todo pasa por el canal HID sin procesar.

  • Alexander Wikström dice:

    El sistema de servidor de claves automatizado en OpenPGP parece una broma ridícula, porque ¿cómo no anticiparon los desarrolladores tal problema?

    Autenticar que alguien es como dicen es mucho más fácil si uno solo mira las piezas auténticas en cuestión, no todas las piezas auténticas existentes .....

    • K dice:

      Como ya sabía esto, ¿por qué no le advirtió al grupo OpenPGP antes de que todo esto explotara?

  • xorpunk dice:

    Resumen de esta publicación: ¡¡¡Oye !!! ¡Se supone que el desbordamiento del búfer es imposible!

  • ratStomper dice:

    ¿Qué sucede realmente si intentas desactivar la "bomba"?

    ¿La computadora se congela y falla o ya sabe que es demasiado grande para descomprimirla?

    • Elliot Williams dice:

      Depende de su sistema operativo. Una forma de averiguarlo ...

  • SeattleFed (@SeattleFed) dice:

    Cadena de bloques algo algo algo

  • Gregg Eshelman dice:

    ¿Windows 7 es donde Dios divide 0 por CERO?

  • Adobe / Flash Hate dice:

    Me encantaría encontrar un buen sitio de ofertas que al menos no le guste cómo son los videos, sin la necesidad de un guión primero.
    Youtube
    (¿CDN?) Simplemente parece empeorar (búfer) con cada nuevo cambio
    Una vez que YouTube comenzó a recortar todos los videos antiguos de 4 × 5 para que coincidieran con el aspecto de un teléfono móvil de 16 × 9, o incluso peor, un aspecto de teléfono móvil de poco más de 400 píxeles de alto (¿wtf? Arghhhh) Casi pierden mi interés. Realmente apesta cuando el proyecto o punto de discusión se ha cortado junto con el tercio inferior del video.

    {Picoteando esto en la pantalla de una tableta, por lo que algunos errores tipográficos simplemente se niegan a permitirme corregirlos. Pido disculpas.)

  • hastaorly dice:

    Una breve historia, es decir, la técnica está condenada al fracaso.

    Nos vemos en alguna granja Amish ...

Miguel Vidal
Miguel Vidal

Deja una respuesta

Tu dirección de correo electrónico no será publicada.