Select Page
Liderazgo cuántico

Liderazgo cuántico

Sorprende el avance en tecnologías cuánticas en China. Esto ha puesto a dicho país en posición de liderazgo cuántico, específicamente en lo que se refiere a distribución de claves por medios cuánticos.

En notas anteriores (Jugando con qubits parte 1, parte 2 y parte 3) hablaba sobre los avances en computación cuántica en los últimos años, y de cómo las principales empresas tecnológicas de Estados Unidos se están sacando los ojos por lograr la Supremacía Cuántica.

En la charla de la Eko 2020 (Keep calm and play with qubits) nos preguntábamos con Luciano qué estarían haciendo los chinos en la materia. En ese momento se contaba con poca información sobre el grado de desarrollo de la cuántica china.

Sin embargo, de acuerdo con las últimas noticias, hoy podemos decir que están mucho más avanzados que el resto del mundo en algunas de las ramas cuánticas, específicamente en comunicación y distribución de claves por medios cuánticas. En occidente, compañías como IBM, Google o Microsoft están invirtiendo enormes sumas de dinero en tecnologías cuánticas. Esto no es diferente en el caso de China, donde empresas como Alibaba, Baidu y Tencent son los principales inversores en cuántica en el gigante de oriente.

QKD:

Ya mencionamos QKD en Jugando con qubits parte 1. La sigla significa Quantum key distribution, o Distribución de claves por medios cuánticos. Esta tecnología permite distribuir a emisor y receptor de un mensaje una clave codificada en qubits que hace casi imposible que un interceptor pueda intentar leerla sin que sea detectado.

Dos de las limitaciones más importantes de esta tecnología son: 1) la distancia a la que se pueden enviar las claves y 2) el costo del equipamiento que pueda lograrlo.

Es en el punto 1) donde los chinos parecen estar muy por delante del resto del mundo. El 29 de julio pasado, China anunció que su último nano satélite cuántico había sido lanzado y se encuentra en órbita y  operativo. El propósito de dicho satélite, desarrollado por la Universidad de Ciencia y Tecnología de China (USTC) es el de llevar a cabo experimentos de QKD con estaciones en tierra.

Los desarrollos de QKD hasta el momento, dependen del medio en el que se efectúe la transmisión. Respecto a las distancias, se logró una comunicación a 300m al aire libre en un experimento llevado a cabo en 2021 por el Indian Space Research Organization. Por otra parte, con el predecesor del nanosatélite chino denominado Micius, se lograron comunicaciones hasta 7500 km. Con el Micius se efectuó la primer video llamada “cuántica segura” en 2016.

Liderazgo cuántico

Fig 1. – Diagrama del satélite Micius (cortesía http://www.china.org.cn)

Es importante aclarar lo que esto significa. La denominada “llamada cuántica” no es más que una llamada de video convencional encriptada con algún algoritmo de cifrado simétrico, normalmente AES. Sólo que con una clave generada por medios cuánticos y enviada desde los satélites a emisor y receptor (Alice y Bob…) volviéndose imposible para quien quiera interceptar esa clave (Eve) hacerlo sin alterar la misma, y sin que Alice y Bob se den cuenta.

Debido a la decoherencia, es muy difícil que una vez que se entrelazan qubits, éstos permanezcan en ese estado por mucho tiempo o a lo largo de grandes distancias si lo hacen en instalaciones en tierra. Esto se debe a la contaminación de radiación y a la presencia de átomos con los que chocan los qubits en su camino.

Uno de los avances chinos en esta tecnología, consiste en utilizar satélites para generar qubits a base de fotones, que son altamente resistentes a la decoherencia. De esta forma, se envían qubits enlazados desde el espacio, con mucha menor interferencia y donde sólo sus estados se degradan al ingresar en la atmósfera. De esta forma, los chinos dieron un importante paso en la creación de lo que llaman una “Internet segura”, que se logra enviando desde el espacio, claves generadas cuánticamente a emisor y receptor de un mensaje.

La tecnología cuántica se china se viene desarrollando muy fuertemente desde la llegada de quien se considera el padre de la cuántica en dicho país, Jian-Wei Pan. quien ha predicho que en los próximos 5 años se producirá un avance disruptivo en estas tecnologías.

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Hackeando máquinas air-gapped con la USB Rubber Ducky

Hackeando máquinas air-gapped con la USB Rubber Ducky

 …cuando no nos queda otra…

Supongamos que tenemos acceso físico por unas cuantas horas a un equipo Windows hardenizado que queremos ownear. Un ejemplo de esto es cuando el equipo es del tipo air-gapped. Eso significa que está en modo stand-alone sin conexión a ninguna red. El plan habitual de pruebas, sería:

  1. entrar con algún usuario no privilegiado al que tenegamos acceso,
  2. comprobar los parches y actualizaciones aplicadas,
  3. encontrar vulnerabilidades,
  4. copiar o descargar algunas herramientas de seguridad o exploits,
  5. con ellas, escalar privilegios, romper protecciones,
  6. y convertirse en admin… bingo!

Pero ¿qué se puede hacer si el equipo está mucho más hardenizado de lo esperado? Por ejemplo, con todas esta condiciones: 

    • Hardware: OTS
    • Gabinete: Cerrado y sellado
    • Dispositivos de red: deshabilitados
    • Dispositivos de almacenamiento USB: deshabilitados
    • Dispositivos de red USB: desactivados
    • Dispositivo de booteo externo: desactivado
    • BIOS: protegida con password (que no tenemos)
    • Sistema operativo: Windows 10 (aunque también podrían ser otros…)
    • Servicios de red: deshabilitados

¿Qué es lo que sí tenemos?

    • Acceso físico al equipo por varias horas
    • Se puede bootear el sistema en Safe Mode
    • El usuario que bootea en Safe Mode tiene powershell habilitado
    • Dispositivos USB HID: habilitados

En estas condiciones, no es posible copiar nada, ni desde un pendrive ni por red. Entonces, en teoría no se podría ejecutar nada fuera de lo que ya está instalado en la máquina.

Ok, pero lo que sí se puede hacer es tipear…

Digamos que se descubre que el sistema es vulnerable. Y se está en posesión de un archivo .exe (recuerden que en este caso estamos en Windows) de un exploit de esa vulnerabilidad para ejecutarlo dentro de la máquina. ¿Cómo se pasa el archivo .exe a la máquina hardenizada para que se pueda ejecutar? ¿y sólo tipeando…?

 

 

USB Rubber Ducky

Bueno, aquí es donde entra la USB Rubber Ducky.
Con este dispositivo es posible programar y emular miles de tecleos en lugar de tipearlos manualmente.
Pero lo que en teoría no se puede escribir en forma directa con un teclado, es un archivo binario.

USB RUbber Ducky
Fig. 1. USB Rubber Ducky

Bueno, después de investigar un poco y probar mucho, se logró usar la USB Rubber Ducky para transferir ejecutables y otros binarios a una máquina en la que sólo es posible tipear.

En la seccion Tutoriales les dejo las dos versiones del tutorial para que jueguen, en Castellano y en Inglés.

Si lo hacen, por favor cuenten cómo les fue @ch4r1i3b.

Espero que les sirva.

Hasta la próxima!

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Y otra vez el ganador es: Signal!

Y otra vez el ganador es: Signal!

Un conjunto de vulnerabilidades descubiertas en Telegram recientemente, vuelve a demostrar que Signal es el mensajero más seguro.

Hace unos dos meses, escribí esta nota en la que analizaba la privacidad y la seguridad de las tres aplicaciones de mensajería más populares:Whatsapp, Telegram y Signal. Se ve que el análisis gustó, ya que 3 días después Clarín publico esta nota.

Mi veredicto en ese momento fue que Signal se llevaba todos los premios. Lo que ocurre de nuevo, es que un grupo de investigadores de la ETH Zürich (Escuela Politécnica Federal de Zúrich), más precisamente el Grupo de Criptografía Aplicada de dicha universidad, descubrió 4 vulnerabilidades en el protocolo de transmisión de Telegram. Esto agrega serias vulnerabilidades a una de las aplicaciones analizadas y refuerza la idea de que Signal sigue siendo el ganador de la batalla… al menos por ahora.

 

MTProto

El protocolo en cuestión es el MTProto. un protocolo de cifrado tanto de datos como de transmisión creado para Telegram por Nikolái Dúrov. Este protocolo fue creado para mejorar la seguridad del protocolo XMPP incorporando capacidades multisesión y multiplataforma. El protocolo es abierto. fue anunciado en 2013 y forma parte de la aplicación Telegram.

 

Criptoanálisis

El grupo mencionado de la universidad ETH Zúrich, efectuó un análisis del mismo que fue publicado durante el presente mes. En el mismo anuncian ‘buenas’ y ‘malas’ noticias. Las buenas son que demostraron que “(el protocolo) consigue seguridad en un modelo de canal seguro bidireccional adecuado, aunque bajo supuestos no estudiados“. Indica demás que “…este modelo en sí mismo avanza el estado del arte de los canales seguros.

Las malas son que hallaron 4 vulnerabilidades mediante las cuales se puede atacar la comunicación de Telegram de diferentes formas, algunas triviales y algunas muy complejas de implementar.

Vuln #1: crime-pizza

Esta vulnerabilidad consiste en alterar la secuencia de los mensajes enviados. Se la llamó crime-pizza porque utilizaron como ejemplo burdo el que un usuario haya enviado el mensaje {“I say yes to”, “all the pizza”, “I say no to”, “all the crimes”} y si alguien alterara su secuencia, el receptor podría leer {“I say yes to”, “all the crimes”, “I say no to”, “all the pizza”}.

Vuln #2: cliente o servidor?

Otra de las vulnerabilidades consiste en descubrir, dados dos  mensajes, cuál fue cifrado en el server y cuál en el cliente.

Vuln #3: descifrar mensajes

Esta vulnerabilidad es casi imposible de explotar. Sin embargo, de poder hacerse permitiría en teoría descifrar mensajes enviados por Telegram.

Vuln #4: MITM

Otra vulnerabilidad casi imposible de explotar como la anterior ya que requiere (como la anterior) enviar millones de mensajes y analizar las respuesta. Sin embargo, otra vez en forma teórica, sería posible interceptar la negociación de claves entre cliente y servidor y hacerse pasar por el servidor.

 

Whatsapp vs. Telegram vs. Signal

Las vulnerabilidades halladas no tienen aún CVEs que se sumarían a Telegram. De hecho no son estrictamente de Telegram, sino del protocolo con el que funciona Telegram, es decir MTProto. Sin embargo, podríamos regenerar el gráfico de la nota anterior, agregando 4 vulnerabilidades nuevas a Telegram. Por lo que quedaría de esta forma:

 

Vulnerabilidades Whatsapp vs. Telegram vs. Signal

 

Y desde el punto de vista de seguridad… el ganador es…… otra vez Signal!

 

Update del 6-sept-2021

Como para seguir en esta linea, Kaspersky acaba de publicar en su blog una nota con los mismos conceptos.

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Kali 2021.2 + RPi 4: una pareja perfecta

Kali 2021.2 + RPi 4: una pareja perfecta

La unión de la última versión de Kali (2021.2) con la última versión de la Rapsberry Pi (4 Model B) crean la pareja perfecta para tener un dispositivo portátil de pentest.

Todos los profesionales de seguridad necesitamos, en algún momento, desplegar un dispositivo portátil que nos permita probar o analizar vulnerabilidades. Una de las opciones más lógicas es la de usar mini motherboards. Hoy en día existen muchas SBC’s (Single Board Computers) en el mercado. La mayoría de ellas se basan en procesadores ARM. Para la gran mayoría de ellas, existen diferentes distros de Linux, incluyendo Kali.

 

Experimentos

Si bien he experimentado con algunas otras, la placa que más suelo usar es la Raspberry Pi. Ya escribí sobre algunos experimentos que hice basándome en la RPi. Además de este trabajo, experimenté probando diferentes usos.

Uno de ellos fue el de reemplazar la notebook en un viaje, con algún dispositivo más pequeño y liviano que pudiera entrar el el bolsillo de la mochila. Este es uno de los kits que usé.

 

Kit de viaje con la RPi3

Fig. 1 – Mini set de viaje con la RPi3 😉

Ustedes dirán que falta el display, si! obvio! pero hoy en día no encontré hoteles donde no hay aun televisor con entrada HDMI… Así que si bien sólo la podía usar en el hotel, tenía toda la potencia de un Linux en el bolsillo.

Otro de mis experimentos fue el de instalar el Kali completo en la RPi 3. Bueno, se puede, pero no es muy fácil de usar. Recuerden que esta versión, aún la Model B, viene con un máximo de 1GB de RAM. Esto hace que sea algo difícil hacer correr las X. Entonces, si además cargamos alguna aplicación pesada, se vuelve imposible. Memory exhaust por todos lados o, en el mejor de los casos, tiempos de respuesta larguísimos. En especial si la dejamos conectada en un sitio remoto, y queremos acceder a las X vía VNC.

 

Openvas

Ustedes se preguntarán, qué aplicación necesito sí o sí correr en este hardware sobre las X? Bueno, una de ellas es el Openvas. Los que lo instalaron saben lo quisquilloso que es respecto al acceso remoto. Y si tienen que resolver algo rápido, no pueden estar días instalando, desinstalando y cambiando configuraciones para que funcione.

Por si les interesa, les paso una alternativa para no utilizar el Openvas desde un browser en la misma RPi, sino usando por SSH los comandos de línea del Openvas: el OMP. Como verán, correr un scan desde OMP es un chino. Pero si no hay otra forma de hacerlo, es una solución posible.

 

Raspberri Pi 4 Model B

Respecto a las limitaciones de hardware, todo se solucionó con la Raspberri Pi 4. El modelo salió a fines de 2018 y con una característica fundamental, la máxima configuración de RAM pasó de los humildes 1GB a 4GB. Además de muchas otras mejoras, en este modelo sí se podían correr aplicaciones un poco más pesadas. Y como verán, mi kit de viaje no cambió mucho…

Kit de viaje con la RPi3

Fig. 2 – Mini set de viaje con la RPi4 😉

El salto final, hasta hoy, obvio… se dió con la Raspberry Pi 4 Model B. En este caso, la máxima configuración de RAM con la que se puede comprar la placa es de 8GB. Ahora sí!

La empresa, además, apostó a una nueva mejora con la Raspberry Pi 400. Un modelo en el que implantan la RPI4 Model B en un case de teclado logrando esto:

Kit de viaje con la RPi3

Fig. 3 – Nuevo modelo: RPi400

El lado oscuro

Dependiendo de cómo la vayamos a usar y dónde la vayamos a instalar físicamente, una característica que obligatoriamente debemos tener en cuenta para esta versión es la temperatura. En términos simples, la RPi4 calienta. Es que es pura lógica, una gran velocidad viene con un gran consumo de energía, por lo tanto de disipación de calor.

Es por eso que los mejores gabinetes incluyen coolers, además de ser de aluminio para poder disipar mejor el calor. Yo tengo una Flirc case que, la verdad que disipa bastante bien. En la ofi también probamos la Argon One, que además de disipar bien, viene con un adaptador para sacar todos los conectores por detrás y convierte las 2 salidas de video de mini HDMI a HDMI.

 

Kali 2021.2

Es muy interesante que este año, todavía no llegamos a la mitad, y ya se liberaron dos versiones, Kali 2021.1 en febrero pasado y Kali 2021.2 el 1 de junio último.

Siendo la distro de seguridad más usada, se puede encontrar que hay versiones de Kali para muchas plataformas:

Kit de viaje con la RPi3

Fig. 5 – Plataformas de Kali.

 

La que ahora nos interesa en particular es la de ARM:

Kit de viaje con la RPi3

Fig. 6 – Descargar Kali para ARM.

Esta versión viene con muchas mejoras en general, pero particularmente las que me interesan son las relacionadas con la RPi.

Kit de viaje con la RPi3

Fig. 7 – Mejoras de Kali 2021.2 relacionadas con la Raspberry Pi.

 

Una de las que quiero destacar es la de kalipi-config. Si bien hasta ahora existía un raspi-config portado a Kali, estaba bastante limitado y se perdían muchas configuraciones del hardware en esta herramienta. El haber incorporado el raspi-config en forma nativa, nos da muchas más posibilidades.

La otra mejora que incorporan, es la configuración para displays TFT. No se si usar este tipo de displays es muy útil en este tipo de aplicaciones, pero bueno, la posibilidad está.

 

A probar!

Lo que yo veo como más interesante es que ahora la RPi tiene verdaderamente una potencia superior. Por un lado, la Raspberry Pi 4 Model B es bastante más rápida que la Raspberry Pi 3 Model B. Acá pueden ver los benchmarks. Por otro lado, el incremenetar la memoria máxima de 1GB a 8GB ya va dando otras posibilidades interesantes.

Por el lado de Kali 2021.2 para ARM, al mejorar los drivers para el hardware, juran que su performance sobre RPi subió 1500%… y que el booteo inicial pasó de 20 minutos a 15 segundos…

Bueno, esta pareja parece prometer, así que no queda otra que probar. Trataré de hacer algunas pruebas y pasaré los resultados como update de esta nota.

Hasta la próxima!

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Eludiendo al Hermano Mayor

Eludiendo al Hermano Mayor

Respondiendo nuevamente a la pregunta: ¿cuál es la aplicación de mensajería instantánea que mejor cuida nuestra privacidad? ¿Whatsapp, Telegram o Signal?

Por ser especialistas en seguridad, no podemos evitar que quienes nos conocen, o nos acaban de conocer, nos hagan una serie de preguntas casi de manual. Por ejemplo: ¿cuál es el mejor antivirus? o… ¿dónde guardo mis contraseñas? o… ¿cuál es la app de mensajería que más cuida mi privacidad? ¿Whatsapp, Telegram o Signal?

Dada la insistencia con la que me han preguntado esto últimamente, sumo mi análisis a todos los que ya están online.

 

El Hermano Mayor

George Orwell en ‘1984’, imaginó un futuro distópico, con gobiernos dictatoriales y reescritores dinámicos de la historia, que necesitaban mantener ese poder controlando a la gente. En ese futuro, aparecía la figura del ‘Hermano Mayor‘*, una organización estatal que, mediante dispositivos instalados en todos lados, vilgilaba constantemente a los ciudadanos, de forma absolutamente autoritaria y coercitiva. En la novela, a los ciudadanos no les queda otra que aceptar esa vigilancia. Y algunos rebeldes la resisten, pero hasta a costa de sus propias vidas.

Es extraño decirlo, pero parte de las predicciones de Orwell se cumplieron. La vigilancia existe hoy en día y de muchas formas. Lo que él nunca imaginó, es que no sólo todos nosotros la aceptamos felices, sino que los dispositivos capaces de vigilarnos no nos están impuestos a la fuerza. Sino que los buscamos, los compramos y a veces pagamos fortunas por ellos.

Me refiero al dispositivo que llevamos todo el tiempo en nuestro bolsillo, permanentemente conectado. Y que además, está equipado con un GPS, una cámara (bueno, más de una!) y un micfrófono. Y nosotros mismos nos bajamos, instalamos y usamos felices aplicaciones ‘gratuitas’ que recolectan nuestros datos personales y los almacenan en masa vaya uno a saber para qué. El Hermano Mayor perfeccionado.

En nuestra realidad, el Hermano Mayor no es un conjunto de estados totalitarios mundiales como en la novela, sino que son diferentes organizaciones de algunos Estados, algunas empresas o alguna corporaciones. La vigilancia actual está diluida, distribuida, sin un fin único. Pero es vigilancia al fin.

 

Eludiendo al Hermano Mayor

A todos nos gusta disfrutar de las ventajas y facilidades que nos da la tecnología y de estar siempre conectados. Sin embargo, no creo que a ninguno de nosotros nos guste que nos vigilen. Pero el contrato implícito que todos firmamos cuando le damos al botón de “Acepto” sin leer, es que usamos las aplicaciones sin pagar con dinero, pero pagando con nuestros datos. Es el modelo que se ha instalado, y no podemos hacer mucho… o si?

Hay algunas cosas que sí podemos hacer para que la injerencia de la vigilancia sea menor. Existe una gran cantidad de prácticas de privacidad que podemos implementar, como la de restringir permisos en las aplicaciones que tenemos instaladas, usar VPNs cuando sea posible, navegar a través de TOR, etc.

Pero otra de las medidas que podemos tomar, es la de tratar de no utilizar herramienas que sabemos positivamente que recolectan nuestros datos y reemplazarlas por otras menos invasivas… si las encontramos.

 

Whatsapp vs. Telegram vs. Signal

El tema de la privacidad de los datos personales lo traté varias veces en este blog [1, 2, 3]. Particularmente, sobre este punto posteé también en linkedin algún comentario hace tiempo. Pero como la pregunta de cuál de las 3 aplicaciones usar me la siguen haciendo, quise escribir un breve análisis sobre los tres servicios.

Si lo googlean, van a ver una interesante cantidad de entradas que tiene esta pregunta. Lo más interesante es que las respuestas de todas las notas son las mismas. [Spoiler Alert!] …que es Signal es el que más mantiene la privacidad, la que recolecta menos datos, muy diferente que las otras. Sin embargo, la cantidad de usuarios al día de hoy de cada plataforma es la siguiente:

Cantidad de Usuarios

 Fig. 1 – en las tres plataformas al 30/mayo/2021. Fuente: Google.

Como pueden ver, la adopción de Signal es la menor de todas. Una aclaración sobre el gráfico. No hice la versión de torta porque llevaría a confusión. La cantidad de usuarios de cada plataforma no es mutualmente excluyente. Hay usuarios que están registrados en 2 o en 3 servicios al mismo tiempo (como es mi caso). Por eso creí que era mejor el gráfico de barras.

 

La Privacidad

Existen muchas notas online donde se describen la características de privacidad de ambas plataformas. Por ejemplo en esta de Iván Ramírez, en esta de Tetiana Hanchar, o la de Luis Miguel Paredes, o la de Cecilia Pastorino, o la directa recomendación de The Guardian. Se suma también la decisión de varias organizaciónes de la Unión Europea sobre dejar de usar Whatsapp y reemplazarlo por Signal.
Les doy mis 5 centavos y les hago un resumen.

 

Datos personales recolectados

Tabla 1 – Datos personales que recolecta cada plataforma.

Como podrán ver, si de privacidad se trata, no hay absolutamente ningina duda. Signal se lleva todos los premios.

 

La Seguridad

Respecto a los diferentes aspectos de seguridad, se podrían considerar entre otros estos tres: los permisos de las diferentes aplicaciones, los protocolos de comunicación y cifrado y las vulnerabilidades de cada sistema.

Respecto a los permisos en los smartphones, los tres requieren permisos similares.

Respecto al cifrado, algunas de las referencias que les pasé analizan esto bastante.

Lo que no encontré que nadie analice, es una comparativa sobre las vulnerabilidades que las tres aplicaciones tienen publicadas. Les paso el análisis, obviamente, sacado de la lista de CVE’s de MITRE.

 

Whatsapp

Estas son las vulnerabilidades reportadas de Whatsapp, por año y por tipo.

Vulnerabilidades de Whatsapp

Fig. 2 – Vulnerabilidades reportadas de Whatsapp. Fuente: MITRE.

Vulnerabilidades de Whatsapp por tipo

Fig. 3 – Distribución de vulnerabilidades reportadas por tipo de Whatsapp. Fuente: MITRE.

Como pueden ver, para Whatsapp, están reportadas 30 vulnerabilidades en total, de las cuales el 65% son graves. Esto lo pueden comprobar viendo que 24 de ellas está calificadas con el CVSS en 7.5. El año en el que más vulnerabilidades se encontraron, fue el 2020… habrá tenido algo que ver el Covid…?

Telegram

Estas son las vulnerabilidades reportadas de Telegram, por año y por tipo.

Vulnerabilidades de Telegram

Fig. 4 – Vulnerabilidades reportadas de Telegram. Fuente: MITRE.

 

Vulnerabilidades de Telegram

Fig. 5 – Distribución de vulnerabilidades reportadas por tipo de Telegram. Fuente: MITRE.

Telegram parece estar un poco mejor. Sólo se reportaron 19 Vulnerabilidades de Telegram por tipo y la gravedad no es tanta como en el caso de Whatsapp. La de mayor score CVSS es de 5.0.

 

Signal

Estas son las vulnerabilidades reportadas de Signal, por año y por tipo.

Vulnerabilidades de Signal

Fig. 6 – Vulnerabilidades reportadas de Signal. Fuente: MITRE.

Vulnerabilidades de Signal por tipo

Fig. 7 – Distribución de vulnerabilidades reportadas por tipo de Signal. Fuente: MITRE.

Es raro ver esto. La aplicación casi soñada para los especialistas en ciberseguridad, casi sin defectos de seguridad! Sólo 3 vulnerabilidades reportadas, 2 locales, 2 remotas y en este caso también, la de mayor score CVSS es de 5.0. Nada mal.

 

Comparación

Para cerrar el tema de vulnerabilidades, les dejo la comparativa entre las tres aplicaciones.

Vulnerabilidades Whatsapp vs. Telegram vs. Signal

Fig. 8 – Vulnerabilidades reportadas para los tres servicios. Fuente: MITRE.

 

Los números hablan. Supongo que no hay dudas sobre quién gana la pulseada esta vez. Signal, la aplicación que menos datos privados recolecta y la que tiene menos vulnerabilidades. ¿Alguna duda de cuál elegirían?

Espero que este pequeño análisis les sirva. Nos vemos en la próxima.

 

* Hermano Mayor:

En ‘1984’, Orwell nombra a la figura que vigila a todos los ciudadanos como “Big Brother”. La traducción correcta de Big Brother es “Hermano Mayor”. Esto es porque este término posee la connotación referida a que el hermano mayor de una familia tenía tácitamente una misión: la de cuidar a los hermanos menores ya que, éstos, por ser más chicos, no saben, no tienen experiencia, no entienden, son más vulnerables. Alguien tradujo hace años incorrectamente Big Brother al castellano como “Gran Hermano”. Como en muuuuchos otros casos, esa traducción incorrecta se difundió, instaló y perduró y hoy se acepta como correcta. Pero no lo es.

Permítanme en esta nota, utilizar entonces el término correcto. Gracias!

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Dark waters

Dark waters

Un ciberatacante intentó envenenar el agua de una planta de distribución en Florida interceptando Teamviewer.

La noticia sobre un hecho con el que hace rato se viene fantasando pero hasta ahora no se había concretado es del 8 de Febrero pasado. Un ciberatacante, aparentemente tratando simplemente de probar una vulnerabilidad, incrementó los niveles de Hidróxido de Sodio (para los del barrio, soda cáustica), de 100 partes por millón (100 ppm) a 11.100 partes por millón.

La acción fue descubierta por un operador que veía azorado cómo el cursor de la pantalla se movía “solo”. El sistema atacado fue el de control de los productos químicos que se les agrega al agua para mantener su nivel de potabilidad. En este caso, el Hidróxido de Sodio en bajas cantidades se utiliza para estabilizar el pH del agua a distribuir. Sin embargo, en las proporciones con las que el atacante configuró el sistema, en 24 a 36 hs hubiera llegado a la población produciendo serias lesiones en quienes estuvieran en contacto.

Sobre este incidente me parece oportuno hacer algunos comentarios. Uno de ellos es que de la lectura de la información, estoy de acuerdo con los analistas que coinciden en que fue alguien que simplemente se encontró con un sistema abierto y jugando pasó un valor de 100 a 11.100. Esto lo debe haber hecho simplemente agregando algunos unos delante del valor preseteado. Por esto me inclino a pensar (quiero creer) que no tenía idea de lo que estaba haciendo.

Por el otro lado, oooootra vez tenemos que hablar de TeamViewer. Es obvio que siempre hay un balance entre seguridad y facilidad de uso. A los que trabajamos en seguridad muchas veces nos odian por exagerar en las medidas de seguridad que hace que algunas aplicaciones sean engorrosas de utilizar. TeamViewer viene a facilitar la operación de una máquina que tenemos en la LAN de nuestra empresa, desde nuestra casa, sin usar VPN’s… Hay empresas en las que se utilizan sistemas de control de contenido o sistemas de protección de endpoints (EDR’s) para bloquear los accesos a herramientas de este tipo. Pero lo que más llama la atención es que sea la propia empresa la que haya decidido utilizar esta peligrosísima herramienta para una aplicación tan crítica como la distribución de agua.

Los responsables de la planta de distribución de agua de la ciudad de Oldsmar, indicaron que ya habían dejado de utilizar la aplicación. Sin embargo, al parecer, una máquina habia permanecido conectada y un atacante logró hacerse del acceso para ingresar a la misma.Y ¿cómo lo hizo?, bueno, no hacía falta ser un 1337 para esto. Hace poco, una enorme lista publicada de usuarios y contraseñas conocida como COMB incluía usuarios de la planta de Oldsmar. Eso significa que si el atacante tuvo acceso a la lista, le fue muy fácil probar contraseñas hasta entrar.

Para probarlo, lo que se puede hacer es usar (por ejemplo) theHarvester para buscar correos electrónicos de la planta de Oldsmar de esta forma:

$ theHarvester -d oldsmar.fl.us -l 500 -b all

Esto va a traer, entre otras, direcciones de email del dominio que se pasó como parámetro.  Esas direcciones se pueden ingresar en el sitio que cybernews creó para verificar si la dirección de email se encuentra dentro de los registros de COMB. En el caso de las direcciones obtenidas por theHarvester, el resultado es este:

 

Como puede verse, la dirección de email que se encontró con theHarvester, está en la base de datos ‘leakeados’ de COMB.

Cabe aclarar que otra falla muy común en las empresas, es la de dejar instalados sistemas legacies no inventariados, antiguos y vulnerables. Estos sistemas suelen ser fácilmente hallados por los atacantes y logran ingresar a los sistemas a través de ellos. En este caso en particular, se informó que la planta tiene instaladas versiones de Windows 7, sistema operativo vulnerable y obsoleto.

Tomando en cuenta esto último, vaya uno a saber cuántos de nuestros sistemas críticos están montados sobre sistemas vulnerables… Y cuántos de ellos son accedidos remotamente por los operadores via TeamViewer… Y cuánto falta para que un atacante genere un verdadero desastre a través de estos sistemas….

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.