3 abr. 2020

7 vulnerabilidades criticas en Safari permitían controlar la cámara/micrófono de iPhone y MacBook

Apple recientemente pagó una recompensa de recompensa de U$S 75.000 al hacker Ryan Pickren, quien demostró el hack y ayudó a la compañía a reparar un total de siete nuevas vulnerabilidades antes de que cualquier atacante real pudiera aprovecharlas.

Resulta que al visitar un sitio web, no solo sitios maliciosos sino también legítimos que también cargan anuncios maliciosos sin saberlo, el uso del navegador Safari podría haber permitido que atacantes remotos accedieran en secreto a la cámara, el micrófono o la ubicación del dispositivo y, en algunos casos, también a las contraseñas guardadas. "Si el sitio web malicioso quería acceso a la cámara, todo lo que tenía que hacer era hacerse pasar por un sitio web confiable de videoconferencia como Skype o Zoom", dijo Pickren.

Las correcciones se publicaron en una serie de actualizaciones de Safari que abarca las versiones 13.0.5 (lanzadas el 28 de enero de 2020) y Safari 13.1 (publicado el 24 de marzo de 2020).

Cuando se encadenaban, tres de los defectos de Safari podrían haber permitido que sitios maliciosos se hicieran pasar por cualquier sitio legítimo en el que la víctima confía y acceda a la cámara o al micrófono al abusar de los permisos que, de otra manera, la víctima otorgaría explícitamente solo al dominio de confianza.

Una cadena de exploits para abusar de los permisos por sitio de Safari

El navegador Safari otorga acceso a ciertos permisos como cámara, micrófono, ubicación y más por sitio web. Esto facilita que los sitios web individuales, digamos Skype, accedan a la cámara sin pedir permiso al usuario cada vez que se inicia la aplicación.

Pero hay excepciones a esta regla en iOS. Si bien las aplicaciones de terceros deben requerir el consentimiento explícito del usuario para acceder a la cámara, Safari puede acceder a la cámara o a la galería de fotos sin ninguna solicitud de permiso.

Específicamente, el acceso incorrecto es posible al aprovechar una cadena de exploits y múltiples fallas en la forma en que el navegador analizaba los esquemas de URL y manejaba la configuración de seguridad por sitio web. Este método solo funciona con sitios web que están actualmente abiertos.

"Una observación más importante fue que el esquema de la URL se ignora por completo", señaló Pickren. "Esto es problemático porque algunos esquemas no contienen un nombre de host significativo, como file:, javascript:, o data:."

Dicho de otra manera, Safari no podía verificar si los sitios web se adhirieron a la política del mismo origen, otorgando así acceso a un sitio diferente que no debería haber obtenido permisos en primer lugar. Como resultado, un sitio web como "https://example.com" y su contraparte maliciosa "fake: //example.com" podría terminar teniendo los mismos permisos.

Por lo tanto, era posible usar un URI "file:" (por ejemplo, file:///path/to/file/index.html) para engañar al navegador para que cambie el nombre de dominio usando JavaScript.


La investigación encontró que incluso las contraseñas de texto sin formato se podían robar de esta manera, ya que Safari utiliza el mismo enfoque para detectar sitios web en los que se debe aplicar el llenado automático de contraseñas.

Además, se pueden evitar las precauciones de descarga automática abriendo primero un sitio confiable como una ventana emergente y luego usándolo para descargar un archivo malicioso.

Del mismo modo, se puede explotar un URI "blob:" (por ejemplo, blob://skype.com) para ejecutar código arbitrario de JavaScript, utilizándolo para acceder directamente a la cámara web de la víctima sin permiso.

En total, la investigación descubrió siete vulnerabilidades 0-Day en Safari:
  • CVE-2020-3852: un esquema de URL puede ignorarse incorrectamente al determinar el permiso multimedia para un sitio web
  • CVE-2020-3864: un contexto de objeto DOM puede no haber tenido un origen de seguridad único
  • CVE-2020-3865: un contexto de objeto DOM de nivel superior puede haberse considerado incorrectamente seguro
  • CVE-2020-3885: la URL de un archivo puede procesarse incorrectamente
  • CVE-2020-3887: el origen de una descarga puede estar asociado incorrectamente
  • CVE-2020-9784: un iframe malicioso puede usar la configuración de descarga de otro sitio web
  • CVE-2020-9787: un esquema de URL que contiene guión (-) y punto (.) Adyacentes se ignora incorrectamente al determinar el permiso multimedia para un sitio web
Apple recomienda que se mantenga el navegador Safari actualizado y se asegure de que los sitios web tengan acceso solo a las configuraciones que son esenciales para que funcionen.

Fuente: THN

OpenVPN: acceder a tu empresa desde el sofá de forma segura

Aún hay ahí fuera muchas empresas de diverso tamaño que no han establecido el teletrabajo por diferentes razones; algunas de ellas, entendemos, que por el desconocimiento de cómo implementarlo. Este problema afecta, sobre todo, a pequeñas empresas que no tienen un equipo de IT. Hablamos de PyMES que bastante tienen ya con sobrevivir en el mundo en el que vivimos, y no han tenido tiempo o necesidad de adaptar sus redes al trabajo remoto. Es sobre todo por ellas por las que estamos publicando estos posts últimamente.

En el último post sobre VPNs, nuestro compañero Nico nos habló de tres conceptos imprescindibles para implementar el trabajo remoto en una organización: VDI, VPN y RDP. En el post de hoy, os hablaremos sobre una solución abierta para poder montar una VPN dentro de vuestra organización: OpenVPN.

OpenVPN es un protocolo Open Source que está entre nosotros desde el año 2001. Conceptualmente, su funcionamiento es muy sencillo: los equipos remotos (clientes OpenVPN) se conectarán a un equipo dentro de la red de la organización (servidor OpenVPN), establecerán un túnel cifrado seguro y redirigirán todo el tráfico que generen a través de él. De esta forma, el servidor OpenVPN introducirá a los equipos clientes dentro de la red de la organización, por lo que a efectos prácticos serán un equipo interno más, accediendo a los mismos recursos y saliendo a Internet por el mismo punto de acceso que si estuvieran conectados desde dentro de la empresa.

Debe diferenciarse OpenVPN de los servicios VPN que vemos en Internet (como NordVPN, ExpressVPN, ProtonVPN o HideMyAss). Con estos servicios VPN (incluso aunque usen el protocolo OpenVPN por detrás) lo único que se consigue es salir a Internet a través de un equipo de estas empresas (sin que se pueda saber el origen real de la conexión), sin tener visibilidad de otros equipos o recursos.

Existen múltiples alternativas para configurar un servidor OpenVPN dentro de la organización. A continuación, os presentamos algunas alternativas:
  • Configurar un servidor para que levante un servicio OpenVPN. Esta es la opción que os recomendamos, aunque también es la más compleja de realizar. Requiere seguir un procedimiento de forma rigurosa para configurar de forma segura el servicio. Recomendamos este tutorial de DigitalOcean.
  • Si vuestra empresa cuenta con un firewall pfSense, en este enlace tenéis un tutorial con el que configurar el firewall para dar servicio OpenVPN. Además, podréis generar certificados de acceso para los clientes de forma sencilla siguiendo este tutorial.
  • Si os gusta trastear y tenéis un modelo compatible, podréis modificar el firmware de vuestro router para que use el sistema OpenWRT en lugar del proporcionado. Entre otras funcionalidades, OpenWRT permite establecer un servidor OpenVPN, siguiendo este tutorial. No obstante, no os garantizamos que el rendimiento del router sea el mismo que con el firmware oficial.
  • En una empresa pequeña, se podría usar una Raspberry Pi para levantar el servicio OpenVPN, teniendo en cuenta que el rendimiento de estos equipos es limitado. En este caso nos encontramos ante un procedimiento sencillo, pero la seguridad del mismo no está del todo garantizada (no siempre es recomendable confiar en cosas que nos vienen dadas). Como podéis ver en https://www.pivpn.io/, es tan facil como lanzar un comando y seguir el proceso de instalación.
  • Existe otra opción que simplifica el proceso de configuración, que es utilizar contenedores Docker siguiendo este tutorial. No obstante, y al igual que en el caso anterior, no os recomendamos dejar la seguridad de vuestra empresa en manos de una solución que ha implementado otra persona.
Fuente: Flu-Project

2 abr. 2020

Vollgar: malware que se instala en MS-SQL con contraseñas débiles

Los investigadores de ciberseguridad de Guardicore Labs descubrieron hoy una campaña maliciosa que data de mayo de 2018 que apunta a servidores MS-SQL para implementar puertas traseras y otros tipos de malware, incluidas herramientas de acceso remoto multifuncionales (RAT) y criptomineros.

Los investigadores lo nombraron "Vollgar" por la criptomoneda Vollar que extrae y su modus operandi "vulgar" que utiliza un ataque de fuerza bruta de contraseña para violar los servidores SQL expuestos a Internet y con credenciales débiles.

Los investigadores afirman que los atacantes lograron infectar con éxito casi 2.000-3.000 servidores de bases de datos diariamente durante las últimas semanas, con víctimas potenciales pertenecientes a los sectores de salud, aviación, informática y telecomunicaciones y educación superior en China, India, Estados Unidos, Corea del Sur y Turquía.

Afortunadamente para los interesados, los investigadores también han lanzado un script para permitir que los administradores de sistemas detecten si alguno de sus servidores MS-SQL de Windows se ha visto comprometido con esta amenaza en particular.

Cadena de ataque Vollgar: MS-SQL al malware del sistema

El ataque de Vollgar comienza con intentos de inicio de sesión de fuerza bruta en servidores MS-SQL, que, cuando tienen éxito, permiten al intruso ejecutar una serie de cambios de configuración para ejecutar comandos MS-SQL maliciosos y descargar binarios de malware.

"Los atacantes [también] validan que ciertas clases COM están disponibles: WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 y Windows Script Host Object Model (wshom). Estas clases admiten tanto la secuencia de comandos WMI como la ejecución de comandos a través de MS-SQL, que luego se usará para descargar el binario inicial de malware", dijeron los investigadores.

Además de garantizar que los ejecutables cmd.exe y ftp.exe tengan los permisos de ejecución necesarios, el operador detrás de Vollgar también crea nuevos usuarios de puerta trasera para la base de datos MS-SQL, así como en el sistema operativo con privilegios elevados.
Una vez completada la configuración inicial, el ataque procede a crear scripts de descarga (dos VBScripts y un script FTP), que se ejecutan "un par de veces", cada vez con una ubicación de destino diferente en el sistema de archivos local para evitar posibles fallas.

Una de las cargas iniciales, denominada SQLAGENTIDC.exe o SQLAGENTVDC.exe, primero elimina una larga lista de procesos con el objetivo de asegurar la máxima cantidad de recursos del sistema, así como eliminar la actividad de otros actores maliciosos y eliminar su presencia del máquina infectada

Además, actúa como un instalador para diferentes tipos de RAT y un criptominero basado en XMRig que extrae Monero y una moneda alternativa llamada VDS o Vollar.

Infraestructura de ataque alojada en sistemas comprometidos

Guardicore dijo que los atacantes mantenían toda su infraestructura en máquinas comprometidas, incluido su servidor primario de comando y control ubicado en China, que, irónicamente, fue encontrado comprometido por más de un grupo de ataque.

"Entre los archivos [en el servidor C&C] estaba la herramienta de ataque MS-SQL, responsable de escanear rangos de IP, forzar la base de datos de destino y ejecutar comandos de forma remota. Además, encontramos dos programas CNC con GUI en chino, una herramienta para modificar los valores hash de los archivos, un servidor de archivos HTTP portátil (HFS), un servidor Serv-U FTP y una copia del mstsc.exe ejecutable (Microsoft Terminal Services Cliente) solía conectarse con las víctimas a través de RDP".

Fuente: THN

Estudios para CISOs. Maneras de cerrar la brecha de talento de ciberseguridad

Como CISO, usted se enfrenta al doble desafío de la proliferación de amenazas junto con una escasez de talento de ciberseguridad capacitado y calificado. La necesidad de expertos en seguridad está aumentando, pero la demanda es mucho mayor que la oferta.

Según el Estudio sobre trabajadores de seguridad informática en el mundo 2017, [PDF] dos tercios de las organizaciones encuestadas carecían del número de profesionales de la ciberseguridad necesarios en el actual clima de amenazas. Más recientemente, Cybersecurity Ventures estima que el número de puestos no ocupados en la industria de la seguridad será de hasta 3,5 millones para 2021.

¿Cómo aborda la brecha de talento de su organización a corto y largo plazo? ¿Cuáles son las tareas que la tecnología puede asumir para ayudar a una organización con poco personal? ¿Qué rasgos de personalidad o estilo de trabajo son los más adecuados para trabajar en el campo de la IA y la automatización? ¿Qué cambios debe hacer en la administración del talento de ciberseguridad con el fin de aumentar la retención del personal que tiene?

Las respuestas a estas preguntas consisten en tener una visión paralela y multifacética tanto del talento humano como de la tecnología inteligente. Es hora de pensar creativamente sobre las personas a quienes contrata y la forma de hacerlo. Al mismo tiempo, considere la forma en que la tecnología inteligente puede asumir las tareas comunes de alerta y respuesta que inducen la fatiga en las operaciones de seguridad. Siga leyendo para conocer cuatro formas de buscar y reclutar más allá de los sospechosos habituales, además de cuatro maneras de reducir la presión con la IA.

Informe completo disponible en fuente original: Microsoft Securiy Team

YubiKey 5 NFC, nueva llave FIDO2

Hace unos días Google mencionaba que quería reforzar la seguridad de nuestras cuentas on-line con sus Titan Keys, ahora llega YubiKey 5, una llave una llave muy similar y que, como la de Google, proporciona una autenticación segura y resistente ante cualquier intento de phising durante el proceso de inicio en nuestras cuentas.

En este sentido, merece la pena destacar el hecho que al igual que Google, Yubico es co-autor de los estándares FIDO2 y U2F y es miembro fundador de la FIDO Alliance. Su último modelo es la YubiKey 5 NFC, modelo que como principal novedad con respecto al dispositivo anterior es la incorporación de una conectividad NFC, lo que facilita su integración en dispositivos móviles.

El nuevo modelo cuenta además con nuevas medidas de seguridad para proteger las claves que almacenamos en el dispositivo, siendo compatible con los principales algoritmos de encriptación, esto es: RSA 4096, ECC p256 y ECC p384. Además es compatible con los principales sistemas operativos del mercado (Windows, macOS, Linux, Android y iOS) y los principales navegadores de Internet.

Un punto que merece la pena hacer hincapié es que la compatibilidad de YubiKey con los distintos servicios y aplicaciones on-line es superior a la que nos ofrecen otros productos similares. En este sentido, la aproximación de Yubico se dirige a un terreno muy profesional, con soporte para empresas como Citrix, DocuSign, IBM Secure, RSA, SAP, Dropbox o la propia Google…además de tener soporte para los principales sistemas de gestión de contraseñas, como pueden ser KeePass, LastPass o Password y como método de identificación en conexiones VPN.

Configuración y puesta en marcha

Comenzar a trabajar con la solución de Yubico es sencillo. Todo lo que tenemos que hacer es introducir en la barra de direcciones de nuestro navegador la dirección yubico.com/start y escoger nuestro modelo. A partir de aquí accederemos a un enorme catálogo de servicios y aplicaciones con los que YubiKey 5 es compatible y que podremos filtrar en función de parámetros como protocolo de seguridad deseado, categoría de producto, o directamente, buscar la empresa o el servicio que nos interesa.

Al pulsar sobre el servicio que nos interesa configurar, Yubico nos dirigirá a una página específica en la que se nos informará de los requisitos con los que debemos cumplir y los pasos que debemos seguir para registrarla correctamente, con lo cual no hay pérdida posible. Hay que tener en cuenta que no existe ningún hub central en el que se registran nuestras cuentas (que permanecen almacenadas únicamente en la llave), por lo que si en un momento determinado ya no queremos utilizar esta llave, deberemos ir uno por uno a todos los servicios en que la hemos registrado para proceder a eliminarla.

Una vez finalizado el proceso, cada vez que queramos entrar en nuestra cuenta de Google deberemos introducir la YubiKey 5 en nuestro ordenador y pulsar a continuación el botón superior, o no podremos iniciar sesión. Si por lo que sea no queremos tener que hacerlo siempre (por ejemplo porque es un equipo que tenemos en casa y no lo vamos a llevar a otro sitio) podemos incluirlo entre los "equipos de confianza" de modo que no deberemos volver a introducir la llave. En el caso de los dispositivos móviles, seguiremos un procedimiento similar al anterior, utilizando en este caso la conectividad NFC.

Fuente: Muy Seguridad

1 abr. 2020

Vulnerabilidad en Zoom para Mac permite el uso de la cámara web y el micrófono

La popularidad de Zoom se ha disparado, pero también ha llevado a un mayor enfoque en las prácticas de seguridad y las promesas de privacidad de la compañía. Pisando los talones a dos investigadores de seguridad que encontraron un error que permite robar contraseñas de Windows, otro investigador de seguridad encontró dos nuevos errores que pueden usarse para apoderarse de la Mac de un usuario, incluido el uso de la cámara web y el micrófono. Este error es parecido a uno ya solucionado en 2019 o estos otros.

Patrick Wardle, un ex-hacker de la NSA y ahora investigador principal de seguridad en Jamf, dejó caer los dos 0-Day en su blog hace unos días, y luego los compartió con TechCrunch.
Wardle dijo que los dos errores pueden ser lanzados por un atacante local, que es cuando alguien tiene el control físico de una computadora vulnerable. Una vez explotado, el atacante puede obtener y mantener un acceso persistente a la computadora de la víctima, lo que le permite instalar malware o spyware.

El primer error de Wardle se basa en un hallazgo anterior. Zoom utiliza una técnica medio "sombría", una que también utiliza el malware de Mac, para instalar la aplicación de Mac sin interacción del usuario. Wardle descubrió que un atacante local con privilegios de usuario de bajo nivel puede inyectar al instalador de Zoom código malicioso para obtener el nivel más alto de privilegios de usuario ("root").

Esos privilegios significan que el atacante puede acceder al sistema operativo macOS subyacente, que generalmente está prohibido para la mayoría de los usuarios, lo que facilita la ejecución de malware o spyware sin que el usuario lo note.

El segundo error explota una falla en cómo Zoom maneja la cámara web y el micrófono en Macs. Zoom, como cualquier aplicación que necesita la cámara web y el micrófono, primero requiere el consentimiento del usuario. Pero Wardle dijo que un atacante puede inyectar código malicioso en Zoom para engañarlo y darle al atacante el mismo acceso a la cámara web y al micrófono que Zoom ya tiene. Una vez que se carga el código malicioso, "heredará automáticamente" alguno o todos los derechos de acceso de Zoom, dijo, y eso incluye el acceso a la cámara web y al micrófono.

Debido a que Wardle publicó los detalles de las vulnerabilidades en su blog, Zoom aún no ha proporcionado una solución ni ha brindado comentarios.

Actualización 02/04: El CEO de Zoom, Eric Yuan, ha pedido perdón por la gran cantidad de problemas de seguridad y privacidad descubiertos en su app en los últimos días. Durante los próximos 90 días la compañía parará el desarrollo de nuevas funciones, y se centrará exclusivamente en encontrar y arreglar vulnerabilidades de seguridad y privacidad.

Fuente: TechCrunch

Vulnerabilidad en Zoom para Windows permite robar credenciales (y solución temporal)

El cliente Zoom de Windows es vulnerable a la inyección de ruta UNC en la función de chat. Este error podría permitir a los atacantes robar las credenciales de Windows de los usuarios que hacen clic en el enlace. Todas las versiones para Windows hasta la 4.6.8 (19178.0323) son vulnerables.


Al enviar un mensaje de chat, las URL que se envían se convierten en hipervínculos para que otros miembros puedan hacer clic en ellas para abrir una página web en su navegador predeterminado. El problema es que el investigador de seguridad @_g0dmode descubrió que el cliente Zoom convertirá también las rutas UNC de red de Windows en un enlace cliqueable (video).

Al hacer esto, de manera predeterminada, Windows enviará el nombre de inicio de sesión del usuario y su hash de contraseña NTLM, que se puede descifrar utilizando herramientas gratuitas como Hashcat. El investigador Matthew Hickey (@HackerFantastic) probó la inyección UNC en Zoom y, como puede ver a continuación, pudo capturar los hashes de contraseña NTLM que se envían a un servidor que aloja el recurso compartido al que se hizo clic.

Este comportamiento es similar en macOS al usuar smb://UNC_path.

Lo que hace que esto sea particularmente problemático es que con la potencia actual de nuestras tarjetas gráficas y CPU, un programa como Hashcat puede obtener rápidamente las contraseñas.
Además del robo de credenciales de Windows, Hickey le dijo a BleepingComputer que las inyecciones UNC también se pueden usar para iniciar programas en una computadora local cuando se hace clic en un enlace.

Por ejemplo, al hacer clic en una ruta UNC como \\127.0.0.1\C$\windows\system32\calc.exe, se intentará ejecutar el ejecutable de la Calculadora de Windows en la computadora. Afortunadamente, Windows le pedirá al usuario que permita que el programa se ejecute antes de que se ejecute.

Para solucionar este problema, Zoom debe evitar que el sistema de chat convierta las rutas UNC en hipervínculos en los que se puede hacer clic.

Solución temporal

Para aquellos que no desean esperar una solución, hay una Política de grupo que se puede habilitar que evita que sus credenciales NTML se envíen automáticamente a un servidor remoto al hacer clic en un enlace UNC.

Esta política se llama 'Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers' y se encuentra en la siguiente ruta en el Editor de políticas de grupo.

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers.

Si esta política está configurada para "Denegar todo", Windows ya no enviará automáticamente sus credenciales NTLM a un servidor remoto cuando acceda a un recurso compartido. Cabe señalar que cuando esta política se configura en máquinas unidas a un dominio, puede causar problemas al intentar acceder a los recursos compartidos. Se puede ver este artículo para obtener más información sobre cómo agregar excepciones a la política anterior.

Si es usuario de Windows 10 Home, no tendrá acceso al Editor de directivas de grupo pero se puede usar el Registro de Windows para configurar esta directiva.

Esto se puede hacer creando el valor:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictSendingNTLMTraffic"=dword:00000002
Al configurar esta política, no es necesario reiniciar su computadora.

Para volver al comportamiento predeterminado de Windows al enviar sus credenciales NTLM, puede deshabilitar la política eliminando el valor RestrictSendingNTLMTraffic.

Actualización 02/04: El CEO de Zoom, Eric Yuan, ha pedido perdón por la gran cantidad de problemas de seguridad y privacidad descubiertos en su app en los últimos días. Durante los próximos 90 días la compañía parará el desarrollo de nuevas funciones, y se centrará exclusivamente en encontrar y arreglar vulnerabilidades de seguridad y privacidad.

Fuente: BC

Marriott pierde 5,2 millones de registros personales (de nuevo)

Marriott International dijo ayer que la información personal de al menos 5,2 millones de huéspedes podría haber sido obtenida por personas no autorizadas en dos de sus hoteles, durante más de un mes a principios de este año.

La información accesible incluía nombres completos, direcciones de correo electrónico y postales, números de teléfono, números de cuenta y saldo de puntos, fecha de nacimiento, sexo y cualquier afiliación de lealtad vinculada, como con las aerolíneas. Los números de identificación y pasaporte, la información de la tarjeta de crédito y las contraseñas de las cuentas no se vieron afectadas, dijo la compañía.

En un correo electrónico a clientes potencialmente afectados, Stephanie Linnartz, presidenta de Marriott de su grupo de consumidores, dijo que la compañía estaba creando un portal en el que podían ver si su información estaba involucrada y ofreció un año de un servicio de monitoreo personal gratuito de Experian.

Es la segunda vez en tantos años que la compañía revela un lapso de seguridad de datos. En 2018, la compañía dijo que se había accedido incorrectamente a los datos de 500 millones de clientes de su subsidiaria Starwood en un evento que también incluía los detalles de la tarjeta de crédito de algunos huéspedes. La brecha sigue siendo una de las más grandes de la historia.

Si bien las pequeñas brechas de datos, especialmente de información no crítica, tienden a ser pequeñas señales en el radar, las malas noticias del martes no podrían llegar en peor momento para Marriott y la industria hotelera en general. "El impacto en nuestra industria ya es más severo que cualquier cosa que hayamos visto antes, incluido el 11 de septiembre y la gran recesión de 2008 combinados", dijo este mes el presidente y CEO de la American Hotel & Lodging Association, Chip Rogers.

Fuente: BussinessInsider

A pesar del marketing, Zoom no utiliza cifrado End-to-End

Zoom, el servicio de videoconferencia cuyo uso se ha disparado en medio de la pandemia de Covid-19, afirma implementar un cifrado de Extremo a Extremo (E2E), pero parece que está utilizando su propia definición del término, una que le permitiría acceder a video y audio sin cifrar de las reuniones.

El negocio está en auge para Zoom, atrayendo más atención sobre la compañía y sus prácticas de privacidad. Primero fue el envío de datos a Facebook y ahora una política de privacidad, más tarde actualizada, que parece brindarle a la compañía permiso para extraer mensajes y archivos compartidos durante las reuniones con el objetivo de crear anuncios orientados.

En el sitio web de Zoom dice "Siempre y cuando se asegure de que todos en una reunión de Zoom se conecten usando 'audio de computadora' en lugar de llamar por teléfono, la reunión está asegurada con cifrado de extremo a extremo". Pero a pesar de este marketing engañoso, el servicio en realidad no admite el cifrado E2E para contenido de video y audio, al menos como se entiende comúnmente el término.
En cambio, ofrece lo que generalmente se llama cifrado de transporte. El cifrado que Zoom usa para proteger las reuniones es TLS, la misma tecnología que usan los servidores web para proteger los sitios web HTTPS.

En el documento técnico de Zoom, hay una lista de "capacidades de seguridad previas a la reunión" que están disponibles para el organizador de la reunión que comienza con "Habilitar una reunión cifrada de extremo a extremo (E2E)". Más adelante en el documento técnico, enumera "Asegurar una reunión con cifrado E2E" como una "capacidad de seguridad en la reunión" que está disponible para los anfitriones de la reunión. Cuando un anfitrión inicia una reunión con la opción "Requerir cifrado para puntos finales de terceros" habilitada, los participantes ven un candado verde que dice: "Zoom está utilizando una conexión cifrada de extremo a extremo" cuando pasan el mouse sobre él.
Pero cuando se contactó para comentar si las videoconferencias están realmente cifradas de extremo a extremo, un portavoz de Zoom escribió: "Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las reuniones de video con zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se realizan mediante TLS y las conexiones UDP se cifran con AES mediante una clave negociada a través de una conexión TLS".

El cifrado de transporte, que es diferente del cifrado E2E porque el servicio Zoom en sí mismo puede acceder al contenido de video y audio no cifrado de las reuniones de Zoom. Entonces, cuando tenga una reunión de Zoom, el contenido de video y audio se mantendrá privado de cualquiera que espíe su Wi-Fi, pero no se mantendrá privado de la compañía.

Para que una reunión de Zoom esté cifrada extremo a extremo, el contenido de video y audio debería estar cifrado de tal manera que solo los participantes en la reunión tengan la capacidad de descifrarlo. El servicio Zoom en sí podría tener acceso al contenido cifrado de la reunión, pero no tendría las claves de cifrado necesarias para descifrarlo porque solo los participantes de la reunión tendrían estas claves y, por lo tanto, no tendría la capacidad técnica de escuchar sus reuniones privadas. Así es como funciona el cifrado E2E en aplicaciones de mensajería como Signal.

Matthew Green, un criptógrafo y profesor de ciencias de la computación en la Universidad Johns Hopkins, señala que las videoconferencias grupales son difíciles de cifrar de extremo a extremo. Esto se debe a que el proveedor de servicios necesita detectar quién está hablando para actuar como una centralita, lo que le permite enviar solo una videostream de alta resolución de la persona que está hablando en ese momento, o que un usuario selecciona al resto del grupo, y para enviar videostreams de baja resolución de otros participantes.

Este tipo de optimización es mucho más fácil si el proveedor de servicios puede ver todo porque no está cifrado. Si todo está cifrado de extremo a extremo, debe agregar algunos mecanismos adicionales para asegurarse de que puede hacer ese tipo de cambio de 'quién está hablando', y puede hacerlo de una manera que no filtre mucha información. Se debe llevar toda esa lógica a los equipos del usuarios. Sin embargo, esto no es imposible, dijo Green, como lo demostró FaceTime de Apple, que permite la videoconferencia grupal cifrada E2E. "Es factible. Simplemente no es fácil".

La única característica de Zoom que parece estar cifrada de extremo a extremo es el chat de texto en la reunión. "El cifrado de chat Zoom E2E permite una comunicación segura donde solo el destinatario puede leer el mensaje seguro".

Como si fuera poco, expertos también informaron sobre una falla de seguridad que permitiría a los atacante exponer credenciales para usar en ataques adicionales mediante el uso de rutas UNC en la versión de Zoom de Windows. Las rutas UNC son utilizadas para identificar servidores, impresoras y otros recursos en una red, y aparecen como barras dobles o barras invertidas.

Fuente: The Intercept

31 mar. 2020

Juramento del "Día Mundial del #Backup"

Hoy 31 de marzo es el Día Mundial de la Copia del Backup. No solo es un buen día para hacer una copia de seguridad de los datos personales, sino también un día para hablar sobre la enorme tarea de preservar nuestra herencia cada vez más digital y nuestros trabajos culturales para las generaciones futuras.
Un backup es una segunda copia de sus archivos más importantes, por ejemplo sus fotos y videos familiares, documentos y correos electrónicos.

En lugar de guardarlos en un solo lugar (como puede ser en la misma computadora o disco), la copia debe estar en otro lado, un lugar seguro.

"Juro solemnemente hacer una copia de seguridad de mis documentos importantes así como mis recuerdos más preciados cada 31 de Marzo"