T3 Ep135: Administrador de sistemas de día, extorsionador de noche

T3 Ep135: Administrador de sistemas de día, extorsionador de noche

Sello de tiempo: 18 de mayo de 2023 2:48 p.m.
Nodo de origen: 2662163
by

UN ATAQUE INTERIOR (DONDE EL PERP FUE ATRAPADO)

¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.  Trabajos internos, reconocimiento facial y la "S" en "IoT" todavía significa "seguridad".

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás hoy?

PATO.  Muy bien, Doug.

¿Conoces tu eslogan, "Vamos a vigilar eso"?

DOUG.  [RISA] ¡Jo, jo, jo!

PATO.  Lamentablemente, hay varias cosas esta semana que hemos estado “vigilando”, y todavía no han terminado bien.

DOUG.  Sí, tenemos una especie de alineación interesante y no tradicional esta semana.

Vamos a entrar en eso.

Pero primero, comenzaremos con nuestro Esta semana en la historia de la tecnología segmento.

Esta semana, el 19 de mayo de 1980, se anunció el Apple III.

Se enviaría en noviembre de 1980, momento en el que se retiraron los primeros 14,000 Apple III de la línea.

La máquina se volvería a introducir en noviembre de 1981.

Para resumir, el Apple III fue un fracaso.

El cofundador de Apple, Steve Wozniak, atribuyó la falla de la máquina a que fue diseñada por personas de marketing en lugar de ingenieros.

¡Ay!

PATO.  No sé qué decir a eso, Doug. [RISA]

Estoy tratando de no sonreír, como una persona que se considera un tecnólogo y no un marketeroide.

Creo que el Apple III estaba destinado a verse bien y a la moda, y estaba destinado a capitalizar el éxito del Apple II.

Pero tengo entendido que Apple III (A) no podía ejecutar todos los programas de Apple II, lo que fue un poco un golpe de compatibilidad con versiones anteriores, y (B) simplemente no era lo suficientemente ampliable como lo era Apple II.

No sé si esto es una leyenda urbana o no...

…pero he leído que los primeros modelos no tenían sus chips asentados correctamente en la fábrica, y que a los destinatarios que informaban problemas se les decía que levantaran la parte frontal de la computadora de su escritorio unos centímetros y la dejaran caer.

[LA RISA]

Esto colocaría las fichas en su lugar, como deberían haber estado en primer lugar.

Lo que aparentemente funcionó, pero no fue el mejor tipo de publicidad para la calidad del producto.

DOUG.  Exactamente.

Muy bien, entremos en nuestra primera historia.

Esta es una historia de advertencia sobre lo mal amenazas internas puede ser, y tal vez lo difícil que puede ser lograrlo también, Paul.

¿Quién no? Ciberdelincuente condenado a 6 años por rescatar a su propio empleador

PATO.  De hecho lo es, Douglas.

Y si estás buscando la historia en desnudaseguridad.sophos.com, es el que está subtitulado, “¿Quién no? El ciberdelincuente obtiene 6 años por rescatar a su propio empleador”.

Y ahí tienes las tripas de la historia.

DOUG.  No debería reírme, pero… [RISAS]

PATO.  Es un poco divertido y sin gracia.

Porque si miras cómo se desarrolló el ataque, básicamente fue:

“Oye, alguien ha entrado; no sabemos cuál fue el agujero de seguridad que usaron. Pongámonos en acción e intentemos averiguarlo”.

"¡Oh, no! ¡Los atacantes han logrado obtener poderes de administrador de sistemas!”

"¡Oh, no! ¡Han absorbido gigabytes de datos confidenciales!”.

"¡Oh, no! ¡Se han metido con los registros del sistema para que no sepamos qué está pasando!

"¡Oh, no! Ahora están exigiendo 50 bitcoins (que en ese momento eran alrededor de $ 2,000,000 USD) para mantener las cosas en silencio... obviamente no vamos a pagar $ 2 millones como un trabajo de silencio".

Y, bingo, el ladrón fue e hizo lo tradicional de filtrar los datos en la web oscura, básicamente engañando a la empresa.

Y, desafortunadamente, la pregunta "¿Quién no?" fue respondido por: Uno de los propios administradores de sistemas de la empresa.

De hecho, una de las personas que habían sido reclutadas en el equipo para tratar de encontrar y expulsar al atacante.

Así que literalmente pretendía luchar contra este atacante durante el día y negociar un pago de chantaje de $ 2 millones por la noche.

Y peor aún, Doug, parece que, cuando empezaron a sospechar de él…

…lo que hicieron, seamos justos con la empresa.

(No voy a decir quién era; llamémoslos Company-1, como lo hizo el Departamento de Justicia de los EE. UU., aunque su identidad es bastante conocida).

Su propiedad fue registrada y aparentemente se apoderaron de la computadora portátil que luego resultó ser utilizada para cometer el crimen.

Lo interrogaron, por lo que siguió un proceso de "ofensa es la mejor forma de defensa", y fingió ser un denunciante y se puso en contacto con los medios de comunicación bajo algún alter ego.

Dio toda una historia falsa sobre cómo se había producido la infracción: que se trataba de una seguridad deficiente en los servicios web de Amazon, o algo por el estilo.

Así que hizo que pareciera, en muchos sentidos, mucho peor de lo que era, y el precio de las acciones de la empresa se desplomó bastante.

Podría haber caído de todos modos cuando hubo noticias de que habían sido violados, pero ciertamente parece que hizo todo lo posible para que pareciera mucho peor para desviar las sospechas de sí mismo.

Lo cual, afortunadamente, no funcionó.

Él *fue* condenado (bueno, se declaró culpable) y, como dijimos en el titular, recibió seis años de prisión.

Luego tres años de libertad condicional, y tiene que pagar una multa de $1,500,000.

DOUG.  ¡No puedes inventar estas cosas!

Gran consejo en este artículo... hay tres consejos.

Me encanta este primero: Divide y conquistaras.

¿Qué quieres decir con eso, Pablo?

PATO.  Bueno, parece que, en este caso, este individuo tenía demasiado poder concentrado en sus propias manos.

Parece que fue capaz de hacer que sucediera cada pequeña parte de este ataque, incluido entrar después y jugar con los registros y tratar de hacer que pareciera que otras personas de la empresa lo habían hecho.

(Entonces, solo para mostrar lo terriblemente amable que era, también trató de coser a sus compañeros de trabajo, para que se metieran en problemas).

Pero si hace que ciertas actividades clave del sistema requieran la autorización de dos personas, idealmente incluso de dos departamentos diferentes, como cuando, por ejemplo, un banco está aprobando un gran movimiento de dinero, o cuando un equipo de desarrollo está decidiendo, "Veamos si esto el código es lo suficientemente bueno; haremos que alguien más lo mire de manera objetiva e independiente”…

…eso hace que sea mucho más difícil para un infiltrado solitario realizar todos estos trucos.

Porque tendrían que confabularse con todos los demás para que necesitaran coautorización en el camino.

DOUG.  DE ACUERDO.

Y en la misma línea: Mantenga registros inmutables.

Esa es buena.

PATO.  Sí.

Aquellos oyentes con mucha memoria pueden recordar unidades WORM.

Eran bastante populares en el pasado: escribe una vez, lee muchas.

Por supuesto, se promocionaron como absolutamente ideales para los registros del sistema, porque puedes escribir en ellos, pero nunca puedes *reescribirlos*.

Ahora, de hecho, no creo que hayan sido diseñados de esa manera a propósito... [RISAS] Simplemente creo que nadie sabía cómo hacerlos regrabables todavía.

Pero resulta que ese tipo de tecnología era excelente para guardar archivos de registro.

Si recuerda los primeros CD-R, CD-Recordables, podría agregar una nueva sesión, por lo que podría grabar, digamos, 10 minutos de música y luego agregar otros 10 minutos de música u otros 100 MB de datos más tarde, pero no podía regresa y reescribe todo.

Entonces, una vez que lo encerró, alguien que quisiera meterse con la evidencia tendría que destruir todo el CD para que estuviera visiblemente ausente de la cadena de evidencia, o dañarlo de otra manera.

No podrían tomar ese disco original y reescribir su contenido para que apareciera de manera diferente.

Y, por supuesto, hay todo tipo de técnicas mediante las cuales puede hacerlo en la nube.

Si lo desea, esta es la otra cara de la moneda de "divide y vencerás".

Lo que está diciendo es que tiene muchos administradores de sistemas, muchas tareas del sistema, muchos demonios o procesos de servicio que pueden generar información de registro, pero se envían a algún lugar donde se necesita un verdadero acto de voluntad y cooperación para hacer esos los registros desaparecen o se ven diferentes de lo que eran cuando se crearon originalmente.

DOUG.  Y por último, pero ciertamente no menos importante: Mide siempre, nunca asumas.

PATO.  Absolutamente.

Parece que la Compañía-1 en este caso logró al menos algunas de todas estas cosas, en última instancia.

Debido a que este tipo fue identificado e interrogado por el FBI... Creo que dentro de unos dos meses de haber realizado su ataque.

Y las investigaciones no ocurren de la noche a la mañana: requieren una orden judicial para el registro y requieren una causa probable.

Así que parece que hicieron lo correcto, y que no continuaron ciegamente confiando en él solo porque seguía diciendo que era digno de confianza.

Sus delitos salieron a la luz, por así decirlo.

Por lo tanto, es importante que no considere a nadie por encima de toda sospecha.

DOUG.  OK, avanzando a lo largo.

El fabricante de gadgets Belkin está en problemas, básicamente diciendo: "El fin de la vida significa el fin de las actualizaciones" para uno de sus populares enchufes inteligentes.

Belkin Wemo Smart Plug V2: el desbordamiento de búfer que no se parcheará

PATO.  Parece haber sido una respuesta bastante pobre de Belkin.

Ciertamente, desde el punto de vista de las relaciones públicas, no les ha ganado muchos amigos, porque el dispositivo en este caso es uno de esos llamados enchufes inteligentes.

Obtiene un interruptor habilitado para Wi-Fi; algunos de ellos también medirán el poder y otras cosas por el estilo.

Entonces, la idea es que puedas tener una aplicación, una interfaz web o algo que encienda y apague un enchufe de pared.

Por lo tanto, es un poco irónico que la falla esté en un producto que, si se piratea, podría hacer que alguien básicamente encienda y apague un interruptor que podría tener un dispositivo conectado.

Creo que si yo fuera Belkin, podría haber dicho: "Mira, en realidad ya no apoyamos esto, pero en este caso... sí, lanzaremos un parche".

Y es un desbordamiento de búfer, Doug, simple y llanamente.

[RISAS] Oh, querido...

Cuando conecta el dispositivo, debe tener un identificador único para que se muestre en la aplicación, digamos, en su teléfono... si tiene tres de ellos en su casa, no quiere que se llamen a todos. Belkin Wemo plug.

Quieres ir y cambiar eso, y poner lo que Belkin llama un "nombre amigable".

Entonces ingresas con la aplicación de tu teléfono y escribes el nuevo nombre que deseas.

Bueno, parece que hay un búfer de 68 caracteres en la aplicación en el propio dispositivo para tu nuevo nombre... pero no hay verificación de que no ingreses un nombre de más de 68 bytes.

Quizás, tontamente, las personas que construyeron el sistema decidieron que sería lo suficientemente bueno si simplemente verificaban cuánto tiempo era el nombre *que escribiste en tu teléfono cuando usaste la aplicación para cambiar el nombre*: "Evitaremos enviar nombres que son demasiado largos en primer lugar.”

Y, de hecho, en la aplicación del teléfono, aparentemente ni siquiera puedes poner más de 30 caracteres, por lo que están siendo muy súper seguros.

¡Gran problema!

¿Qué pasa si el atacante decide no usar la aplicación? [RISA]

¿Qué pasa si usan un script de Python que escribieron ellos mismos...

DOUG.  ¡Hmmmmm! [IRÓNICO] ¿Por qué harían eso?

PATO.  …que no se moleste en comprobar el límite de 30 o 68 caracteres?

Y eso es exactamente lo que hicieron estos investigadores.

Y descubrieron que, debido a que hay un desbordamiento del búfer de pila, podían controlar la dirección de retorno de una función que se estaba utilizando.

Con suficiente prueba y error, pudieron desviar la ejecución a lo que se conoce en la jerga como "shellcode" de su propia elección.

En particular, podían ejecutar un comando del sistema que ejecutaba el wget comando, que descargó un script, hizo que el script fuera ejecutable y lo ejecutó.

DOUG.  Bueno está bien…

…tenemos algunos consejos en el artículo.

Si tienes uno de estos enchufes inteligentes, Mira eso.

Supongo que la pregunta más importante aquí es, suponiendo que Belkin cumpla su promesa de no arreglar esto... [RISA FUERTE]

…básicamente, ¿qué tan difícil es arreglar esto, Paul?

¿O sería bueno para las relaciones públicas simplemente tapar este agujero?

PATO.  Bueno, no lo se.

Puede haber muchas otras aplicaciones que, oh, querido, tienen que hacer el mismo tipo de arreglo.

Entonces, es posible que simplemente no quieran hacer esto por temor a que alguien diga: "Bueno, profundicemos más".

DOUG.  Una pendiente resbaladiza…

PATO.  Quiero decir, esa sería una mala razón para no hacerlo.

Habría pensado, dado que esto ahora es bien conocido, y dado que parece una solución bastante fácil...

…simplemente (A) vuelva a compilar las aplicaciones para el dispositivo con la protección de pila activada, si es posible, y (B) al menos en este programa de cambio de “nombre descriptivo” en particular, ¡no permita nombres de más de 68 caracteres!

No parece una solución importante.

Aunque, por supuesto, esa solución debe codificarse; tiene que ser revisado; tiene que ser probado; una nueva versión tiene que ser construida y firmada digitalmente.

Entonces tiene que ofrecerse a todo el mundo, y mucha gente ni siquiera se dará cuenta de que está disponible.

¿Y si no se actualizan?

Sería bueno si aquellos que están al tanto de este problema pudieran solucionarlo, pero queda por ver si Belkin esperará que simplemente actualicen a un producto más nuevo.

DOUG.  Bien, sobre el tema de las actualizaciones...

…hemos estado atentos, como decimos, a esta historia.

Hemos hablado de ello varias veces: Clearview AI.

Zut alors! ¡Raclage crapuleux! Clearview AI en un 20% más de problemas en Francia

Francia tiene a esta empresa en la mira por repetidos desafíos, y es casi risible lo mal que se ha puesto esto.

Entonces, esta compañía extrae fotos de Internet y las asigna a sus respectivos humanos, y las fuerzas del orden usan este motor de búsqueda, por así decirlo, para buscar personas.

Otros países también han tenido problemas con esto, pero Francia ha dicho: “Esto es PII. Esta es información de identificación personal”.

PATO.  Sí.

DOUG.  "Clearview, por favor deja de hacer esto".

Y Clearview ni siquiera respondió.

Así que les multaron con 20 millones de euros y siguieron adelante...

Y Francia dice: “Está bien, no puedes hacer esto. Te dijimos que te detuvieras, así que vamos a ser aún más duros contigo. Te vamos a cobrar 100,000€ todos los días”… y lo han retrotrazado hasta el punto de que ya sube a 5,200,000€.

Y Clearview simplemente no responde.

Ni siquiera es reconocer que hay un problema.

PATO.  Ciertamente parece ser así como se está desarrollando, Doug.

Curiosamente, y en mi opinión bastante razonable y muy importante, cuando el regulador francés investigó Clearview AI (en ese momento decidieron que la empresa no iba a jugar a la pelota voluntariamente y les impuso una multa de 20 millones de euros)...

…también descubrieron que la empresa no solo recopilaba lo que ellos consideran datos biométricos sin obtener el consentimiento.

También estaban dificultando de manera increíble, innecesaria e ilegal que las personas ejerzan su derecho (A) a saber que sus datos han sido recopilados y se están utilizando comercialmente, y (B) a que se eliminen si así lo desean.

Esos son derechos que muchos países han consagrado en sus reglamentos.

Ciertamente, creo, todavía está en la ley en el Reino Unido, a pesar de que ahora estamos fuera de la Unión Europea, y es parte de la conocida regulación GDPR en la Unión Europea.

Si no quiero que conserves mis datos, entonces tienes que eliminarlos.

Y aparentemente Clearview estaba haciendo cosas como decir: "Oh, bueno, si lo hemos tenido durante más de un año, es demasiado difícil eliminarlo, por lo que solo son datos que hemos recopilado durante el último año".

DOUG.  Aaaaargh. [RISAS]

PATO.  ¿Entonces, si no te das cuenta, o solo te das cuenta después de dos años?

¡Demasiado tarde!

Y luego decían: "Oh, no, solo puedes preguntar dos veces al año".

Creo que cuando los franceses investigaron, también descubrieron que la gente en Francia se quejaba de que tenían que preguntar una y otra vez antes de que lograran refrescar la memoria de Clearview para que hiciera algo.

Entonces, ¿quién sabe cómo terminará esto, Doug?

DOUG.  Este es un buen momento para escuchar a varios lectores.

Por lo general, hacemos nuestro comentario de la semana de un lector, pero usted preguntó al final de este artículo:

Si fueras {reina, rey, presidente, mago supremo, líder glorioso, juez principal, árbitro principal, alto comisionado de privacidad} y pudieras solucionar este problema con un {movimiento de la varita, trazo de la pluma, movimiento del cetro , un truco mental Jedi}…

…¿cómo resolvería este enfrentamiento?

Y para extraer algunas citas de nuestros comentaristas:

  • "Afuera con sus cabezas."
  • “Pena de muerte corporativa”.
  • “Clasificarlos como una organización criminal”.
  • “Los superiores deberían ser encarcelados hasta que la empresa cumpla”.
  • “Declarar a los clientes como co-conspiradores”.
  • “Hackea la base de datos y borra todo”.
  • “Crear nuevas leyes”.

Y luego James desmonta con: “Me tiro un pedo en tu dirección general. Tu madre era una 'amster, y tu padre olía a bayas de saúco. [MONTY PYTHON Y EL SANTO GRIAL ALUSIÓN]

Lo cual creo que podría ser un comentario en el artículo equivocado.

Creo que había una cita de Monty Python en "¿Quién no?" artículo.

Pero, James, gracias por intervenir al final...

PATO.  [RISAS] Realmente no debería reír.

¿No dijo uno de nuestros comentaristas: “Oye, solicita una notificación roja de Interpol? [UNA ORDEN DE ARRESTO INTERNACIONAL]

DOUG.  ¡Sí!

Bueno, genial… como solemos hacer, estaremos pendientes de esto, porque les puedo asegurar que esto aún no termina.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leer en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @NakedSecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda