Esta semana en seguridad: HaveIBeenPwned y Facebook atacan a sus clientes

Somos fanáticos de haveibeenpwned.com aquí, pero una historia extraña se encontró con mi escritorio proverbial esta semana: [Troy Hunt] escribió una inyección SQL maliciosa en uno de sus correos electrónicos. Esa línea de ataque fue simple ';--

Espera, ¿no te parece familiar? ¿Recuerda el encabezado de la página web haveibeenpwned? sí lo es ';--have i been pwned?. Es una broma inteligente sobre la inyección SQL que forma parte de la marca de la empresa. Se envió un anuncio automático a una empresa que utilizó accidentalmente el programa de servicio de escritorio GLPI. Esa empresa, que no se nombrará por razones obvias, ha ejecutado una instalación GLPI algo desactualizada. Ese correo electrónico generó un ticket de soporte automático que comenzó con la colección mágica de símbolos. Cuando técnicamente se asignó el ticket en sí, el error de inyección SQL comenzó a funcionar y se eliminó toda la base de datos de tickets. La historia termina felizmente, gracias a un buen respaldo, y la empresa ha aprendido una valiosa lección.

Entonces aparentemente un @haveibeenpwned El correo electrónico eliminó todo el sistema de tickets debido a la plantilla de inyección SQL que inserté en su contenido 🤣 https://t.co/orhcCA05RO

– Troy Hunt (@troyhunt) 3 de junio de 2020

Cuando el descifrador de ransomware es más malware

Hemos visto varios casos de programas de descifrado lanzados para malware ransomware. En algunos casos, el autor del ransomware ha manipulado su criptografía y, en otros, se liberan las claves de descifrado. Una vez que se conocen las claves (o el defecto), los investigadores de seguridad a menudo elaboran un programa de descifrado automático.

Los malos quieren evitar que los controles. Extremadamente a diferencia de un decodificador real, algunos hombres solo quieren ver arder el mundo. Usando el nombre Zorab, este malware dice que es un descifrador, pero en realidad solo agrega una segunda capa de cifrado. Toque, por ahora.

Imágenes de Docker

Siempre he tenido algunas dudas sobre las imágenes de Docker, especialmente las publicadas por un tercero poco confiable. Parece que se ha tenido cuidado, al menos según un nuevo informe sobre la seguridad de las imágenes de Docker (pdf). La mayoría de los resultados son los que cabría esperar: las imágenes oficiales son más seguras, JavaScript y Python son los lenguajes donde aparecen la mayoría de las vulnerabilidades y los paquetes de Python2 son los más problemáticos.

En noticias relacionadas, hay un nuevo escáner vulnerable específicamente para imágenes de Docker.

Facebook, Hack y Predator

Las herramientas modernas de seguridad y privacidad como la distribución Tor y Tails son increíbles y pueden ser extremadamente útiles. Periodistas, manifestantes e incluso denunciantes encuentran un uso legítimo para el equipo. Sin embargo, de vez en cuando una historia nos obliga a mirar directamente a la cara fea del lado oscuro de la red. En este caso, es un depredador que usó a Tor para acosar y acosar a las adolescentes en Facebook y obligarlas a sacar fotos comprometidas.

La razón por la que estamos hablando de este caso es que Facebook ha contratado a una empresa de seguridad para desarrollar un exploit específicamente para su acosador anónimo. Encontraron zero-day en el videojuego Tails y desarrollaron un ataque completamente anónimo. Luego, Facebook entregó el ataque al FBI, que lo usó para finalmente capturar a Buster Hernández.

Todavía no se sabe qué fue la explotación de día cero, ya que nunca se produjo una revelación. Aparentemente, Tails finalmente eliminó el defecto a través del proceso de actualizaciones normales y nunca se identificó públicamente como una vulnerabilidad. No está del todo claro cuánto tiempo el FBI fue propietario de la herramienta antes de que se reparara el daño. Es razonable sospechar que se ha utilizado en otros casos, aunque no es probable que lo averigüemos pronto.

¿Fue Facebook, con razón, tan extremo al ayudar a atrapar a un criminal que abusó de su plataforma? Como decisión comercial, era importante que no permitieran que ese tipo de actividad quedara sin control. Sin embargo, colaborar para piratear a uno de sus usuarios es un duro golpe para la confianza que sus usuarios tienen en la plataforma. Me pregunto qué piensan nuestros lectores de la decisión de Facebook aquí.

Netgear

¿Necesita comprometerse con un dispositivo Netgear? Los chicos de GRIMM te respaldan. Recientemente publicaron una entrada sobre el desbordamiento del búfer en el servicio HTTP de Netgear que se ejecuta en muchos de sus dispositivos SOHO. 28 dispositivos, de hecho.

Este defecto específico también ha sido descubierto de forma independiente por [d4rkn3ss] e informado por Zero-Day Initiative.

El desbordamiento se puede explotar antes de la autenticación del usuario, por lo que posiblemente sea un problema desagradable y molesto. Definitivamente, pero no exponga el servicio HTTP de su enrutador a Internet.

Errata

La semana pasada tratamos con un extraño truco usando cmd.exe y formas relativas de ejecutar comandos. Me olvidé de creer [Julian Horoszkiewicz] para encontrar el truco primero.

  • mrehorst dice:

    Con todas las cosas que han sucedido (que conocemos) en los últimos años, ¿por qué alguien con medio cerebro confiaría completamente en Facebook? ¿Por qué alguien con cerebro medio todavía tendría una cuenta de Facebook?

    • Ren dice:

      1 ++

    • Piotrsko dice:

      Aparentemente, la mitad de un cerebro sigue siendo un listón alto

      • ChipMaster dice:

        1 ++

    • dbtx dice:

      > por qué alguien con cerebro medio …
      Me refiero a tantas cosas, pero se las dejaré a Feynman

      • desagradable dice:

        Por desgracia, no había visto eso antes, pero ese entrevistador ciertamente estaba completamente perdido después de eso y lamentó haber hecho una pregunta tan básica a una de las mentes más brillantes que jamás haya existido. Me encanta la forma en que Feynman explica las cosas y nunca entendí realmente la gravedad hasta que escuché una de sus conferencias de una serie de relatividad. Siempre pensé que entendía la gravedad, pero después de su conferencia supe que no tenía rastro.

        • dbtx dice:

          No es del todo obvio a partir de ahí, pero esta es una parte de una serie muy divisible (aparentemente) llamada Fun to Imagine.

          • Jonathan Bennett dice:

      • Jonathan Bennett dice:

        Cada vez que pregunta por qué, la respuesta es mucho más complicada de lo que pensaba. Recuerdo esto constantemente cuando escribo esta columna y cuando trato de hablar con la gente cara a cara. Gran clip.

    • Dan dice:

      Porque comprometemos nuestra seguridad y anonimato en cada interacción que hacemos en la vida: ir de compras, caminar, defecar (estoy seguro de que hay datos que se considerarían “sensibles” según la GDRP, ¡lo que envías a las alcantarillas!). Así que tenemos que decidir cuánto estamos dispuestos a renunciar por lo que nos devuelve. Esa decisión puede estar desinformada o puede estar desinformada; pero el hecho de que no pueda extraer un valor significativo del uso de FB no significa que otros no puedan.

      • Neil dice:

        Bien dicho, aunque me gustaría pensar que mis aportes al laberinto metropolitano han quedado anonimizados cuando llegan a la calle.

    • Cierto dice:

      > ¿Por qué alguien con cerebro medio todavía tendría una cuenta de Facebook?
      “Piensa en lo estúpida que es una persona promedio y date cuenta de que la mitad de ellos son más estúpidos que eso”. – George Carlin.

    • Mate dice:

      Yo mismo no publico absolutamente nada mientras todavía tenga acceso a las publicaciones de mi abuela de 90 años.

      • RW versión 0.0.1 dice:

        Yo también, mantengo un perfil para mantener las relaciones. A veces, algo similar al papel de una enfermera cibernética.

  • alemán dice:

    Fakebook tiene un extraño grupo de “Estándares”. Cuando todavía tenía una cuenta, “Reporté” algunas publicaciones FALSAS obvias que indicaban que tenía un premio “Ganado”. El engaño fue, envíe mi información bancaria y el dinero se me enviará directamente a mí.
    Claramente un engaño. Así que lo informo y Fakebook responde: “No contra los estándares de nuestra comunidad”. WTF?

    • Libro de publicidad dice:

      Facebook es principalmente una plataforma publicitaria. Duro en eso.

  • mm dice:

    Este problema de cmd.exe no funciona en XP
    ¿Quién hubiera llamado?

    • Neil dice:

      “Thunk”. Veo lo que hiciste allí: https://en.wikipedia.org/wiki/Thunk#Interoperability

  • Marioneta Sok dice:

    Puedes discutir si Facebook debería desarrollar ese truco.

    Sin embargo, han hecho dos cosas que son ABSOLUTAMENTE INACEPTABLES.

    Primero, se dieron la vuelta y le dieron la herramienta (y presumiblemente conocimiento del error y la explotación) al FBI, quien podría haberla usado y probablemente la haya usado en los casos en que Facebook no sabía nada y pudo haberla compartido muy bien con otros agencias gubernamentales. NO permite que esta herramienta se escape de sus propias manos y, en particular, NO se la entrega a una organización que sepa cómo hacer varias cosas turbias en el pasado. Los propios informes del FBI muestran que no puede disciplinarse para seguir siendo legal.

    En segundo lugar, no informaron sobre la vulnerabilidad. No hay absolutamente ningún rastro de excusa para eso. DEBEN reportarlo tan pronto como lo encuentren, incluso si planearon explotarlo. No informarlo en absoluto es mucho, mucho más allá de la palidez.

    • Miroslav dice:

      Aprenderán su lección después de que alguien use esas herramientas en su contra.

    • Dan dice:

      Eso supone que el FBI no entregó el truco de su gran biblioteca …
      Y ese FB no fue responsable de que se corrigiera con “actualizaciones normales”.

      También están bajo presión comercial para reprimir a los malos actores, por lo que tal vez alguna ayuda les esté comprando un buen favor en otra región.

      Simplemente no lo sabemos. Pero estoy de acuerdo, todavía no nos gusta.

      • Marioneta Sok dice:

        > Eso supone que el FBI no entregó el truco de su gran biblioteca …

        Bueno, dijeron que contrataron a un consultor que lo encontró. Si eso es una mentira, es la mentira según la cual han elegido ser juzgados. Pero dudo que sea mentira.

        > Y ese FB no era responsable de que se arreglara con “actualizaciones normales”.

        No importa si Facebook escribió el parche, lo envió, lo defendió y lo rastreó hasta el final de la edición. Todavía tienen la culpa si no lo llamaron específicamente un problema de seguridad explotable.

        La gente está menos * instalando * “actualizaciones normales” que actualizaciones de seguridad. Es menos probable que las horquillas posteriores las recojan. Es menos probable que la gente aprenda de ellos. Y si el proyecto no sabe que se trata de una actualización de seguridad, es probable que la “actualización normal” sea mucho más lenta.

        > También están bajo presión comercial para reprimir a los malos actores, así que tal vez alguien la amabilidad les compra un buen favor en otra región.

        Eso ni siquiera sonaría como una excusa válida para nada de esto.

  • Leonard dice:

    ¿Tenía razón Facebook?

    ¿Fue Facebook, con razón, tan extremo al ayudar a atrapar a un criminal que abusó de su plataforma?

    Supongo que la respuesta está en la pregunta.

    Algunos monos no se portan bien en el grupo.

  • ChipMaster dice:

    Amo a Netgear. Especialmente me encantan los enrutadores Netgear. YO * NO * ejecuto su programa. La razón por la que me encantan los enrutadores Netgear es que me animan a piratearlos. https://www.myopenrouter.com/ Parecen pequeñas computadoras geniales sin cabeza en una caja con un precio de etiqueta bastante bajo. Siempre reemplazo su firmware con otra cosa. 😉

  • TerryMatthews dice:

    No hagas nada malo en línea y no tienes nada de qué preocuparte. Me alegro de que hayan atrapado el rastreo. No tengo ningún problema en que las plataformas de redes sociales ayuden a la policía a deshacerse de pedos, terroristas y malos actores. Quiero que más empresas activen más ayuda.

  • zoobab dice:

    Las bases de datos comprimidas en formato Zstandard con una herramienta Zgrep se desplazan por la red.

    La próxima versión de “haveibeenpwned” será una página web oscura que le dará la contraseña de su objetivo.

  • saabman dice:

    “Es un duro golpe para la confianza que sus usuarios tienen en la plataforma”.

    que en relación a FB es lo más divertido que leí hoy

Alana Herrero
Alana Herrero

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *