5 ago. 2021

ChatControl: la muerte de la privacidad en Europa

El 6 de julio de 2021 el Parlamento Europeo aprobó la Derogación de privacidad electrónica, que permite a los proveedores de servicios de correo electrónico y mensajería buscar automáticamente todos los mensajes personales de cada ciudadano en busca de contenido presuntamente sospechoso e informar los casos sospechosos a la policía. En la votación 537 diputados al Parlamento Europeo aprobaron ChatControl, con 133 votos en contra y 20 abstenciones.

Según datos policiales, en la gran mayoría de los casos, ciudadanos inocentes son sospechosos de haber cometido un delito debido a procesos poco fiables. En una encuesta representativa reciente, el 72% de los ciudadanos de la UE se opuso al seguimiento general de sus mensajes.

Si bien los proveedores inicialmente tendrán la opción de registrar o no las comunicaciones, la legislación de seguimiento, que se espera para el otoño, obligará a todos los proveedores de servicios de comunicaciones a realizar una selección indiscriminada.

La Comisión Europea ya ha anunciado un reglamento de seguimiento para que el Chat Control sea obligatorio para todos los proveedores de correo electrónico y mensajería. Los servicios de mensajería cifrados de extremo a extremo que antes eran "seguros", como Whatsapp o Signal, se verían obligados a instalar una puerta trasera.

¿Pero qué es ChatControl?

La UE quiere que todos los chats, mensajes y correos electrónicos privados se busquen automáticamente en busca de contenido sospechoso, de manera general e indiscriminada.

El objetivo declarado: perseguir la pornografía infantil. El resultado: vigilancia masiva a través de mensajería en tiempo real totalmente automatizada y control de chat y el fin del secreto de la correspondencia digital.

En 2020, la Comisión Europea propuso una legislación "temporal" destinada a permitir la búsqueda de todos los chats privados, mensajes y correos electrónicos en busca de representaciones ilegales de menores y el intento de inicio de contactos con menores.

Esto es para permitir a los proveedores de Facebook, Messenger, Gmail, etc., Escanear cada mensaje en busca de texto e imágenes sospechosas. Esto se lleva a cabo en un proceso totalmente automatizado y utilizando una "inteligencia artificial" propensa a errores.

Si un algoritmo considera que un mensaje es sospechoso, su contenido y metadatos se divulgan automáticamente y sin verificación humana a una organización privada con sede en EE.UU. Y de allí a las autoridades policiales nacionales de todo el mundo. No se notifica a los usuarios informados.

Algunos proveedores de servicios de EE. UU., Como Gmail y Outlook.com, ya están realizando dichos controles automatizados de mensajería y chat. Mediante una segunda ley, la Comisión de la UE tiene la intención de obligar a todos los proveedores de servicios de chat, mensajería y correo electrónico a implementar esta tecnología de vigilancia masiva.

¿Cómo nos afecta a todos?

  • Todas sus conversaciones de chat y correos electrónicos se buscarán automáticamente en busca de contenido sospechoso. Nada permanece confidencial o secreto. No se requiere una orden judicial o una sospecha inicial para buscar sus mensajes. Ocurre siempre y automáticamente.
  • Si un algoritmo clasifica el contenido de un mensaje como sospechoso, el personal y los contratistas de las corporaciones internacionales y las autoridades policiales pueden ver sus fotos privadas o íntimas. Además, sus fotos privadas de desnudos pueden ser vistas por personas que no conoce, en cuyas manos sus fotos no están seguras.
  • El personal y los contratistas de las corporaciones internacionales y las autoridades policiales pueden leer coqueteos y mensajes de texto sexuales, ya que los filtros de reconocimiento de texto que buscan "acicalamiento infantil" frecuentemente señalan falsamente las conversaciones íntimas.
  • Puede ser denunciado e investigado falsamente por supuestamente difundir material sobre explotación sexual infantil. Se sabe que los algoritmos de mensajería y control de chat marcan fotos de vacaciones completamente legales de niños en una playa, por ejemplo.
  • Según las autoridades de la policía federal suiza, el 86% de todos los informes generados por máquinas resultan sin fundamento. El 40% de todos los procedimientos de investigación penal iniciados en Alemania por "pornografía infantil" se dirigen a menores.
  • En su próximo viaje al extranjero, puede esperar grandes problemas. Es posible que los informes generados por máquinas sobre sus comunicaciones se hayan transmitido a otros países, como EE. UU., Donde no hay privacidad de datos, con resultados incalculables.
  • Los servicios de inteligencia y los piratas informáticos pueden espiar sus chats y correos electrónicos privados. La puerta estará abierta para que cualquier persona con los medios técnicos pueda leer sus mensajes si se elimina el cifrado seguro para poder filtrar los mensajes.
  • Este es sólo el comienzo. Una vez que se ha establecido la tecnología para la mensajería y el control del chat, resulta muy fácil utilizarlos para otros fines. ¿Y quién garantiza que estas máquinas de incriminación no se utilizarán en el futuro en nuestros teléfonos inteligentes y portátiles?

Información y argumentos adicionales

  • Todos los ciudadanos son puestos bajo sospecha, sin motivo, de posiblemente haber cometido un delito. Los filtros de texto y fotos monitorean todos los mensajes, sin excepción. No se requiere que ningún juez ordene tal monitoreo – a diferencia al mundo analógico que garantiza la privacidad de la correspondencia y la confidencialidad de las comunicaciones escritas. Según sentencia del Tribunal de Justicia de las Comunidades Europeas, el análisis automático permanente y generalizado de las comunicaciones privadas vulnera derechos fundamentales (caso C-511/18, párr. 192). Sin embargo, la UE ahora tiene la intención de adoptar dicha legislación. Para que la corte lo anule puede llevar años. Por lo tanto, debemos evitar la adopción de la legislación en primer lugar.
  • Se sacrifica la confidencialidad de la correspondencia electrónica privada. Los usuarios de los servicios de mensajería, chat y correo electrónico corren el riesgo de que se lean y analicen sus mensajes privados. Las fotos y el contenido de texto sensibles podrían enviarse a entidades desconocidas en todo el mundo y caer en las manos equivocadas. Según los informes, el personal de la NSA ha hecho circular fotos desnudas de ciudadanos y ciudadanas en el pasado. Se ha informado que un ingeniero de Google acecha a menores.
  • La mensajería indiscriminada y el control del chat incrimina indebidamente a cientos de usuarios todos los días. Según la Policía Federal Suiza, el 90% del contenido informado por máquinas no es ilegal, por ejemplo, fotos inofensivas de vacaciones que muestran a niños desnudos jugando en la playa.
  • La comunicación cifrada de forma segura está en riesgo. Hasta ahora, los algoritmos no pueden buscar mensajes cifrados. Para cambiar eso, las puertas traseras deberían estar integradas en el software de mensajería. Tan pronto como eso suceda, esta laguna de seguridad puede ser explotada por cualquier persona con los medios técnicos necesarios, por ejemplo, por los servicios de inteligencia extranjeros y los delincuentes. Se expondrían las comunicaciones privadas, los secretos comerciales y la información gubernamental confidencial. Se necesita un cifrado seguro para proteger a las minorías, las personas LGBTQI, los activistas democráticos, los periodistas, etc.
  • Se está privatizando la justicia penal. En el futuro, los algoritmos de corporaciones como Facebook, Google y Microsoft decidirán qué usuario es sospechoso y cuál no. La legislación propuesta no contiene requisitos de transparencia para los algoritmos utilizados. En virtud del estado de derecho, la investigación de los delitos penales está en manos de jueces independientes y funcionarios públicos bajo la supervisión de los tribunales.
  • La mensajería indiscriminada y el control del chat crean un precedente y abren las compuertas. Implementar tecnología para monitorear automáticamente todas las comunicaciones en línea es peligroso: se puede usar muy fácilmente para otros propósitos en el futuro, por ejemplo, violaciones de derechos de autor, abuso de drogas o "contenido dañino". En estados autoritarios, esta tecnología sirve para identificar y arrestar a opositores al gobierno y activistas por la democracia. Una vez que la tecnología se implementa de manera integral, no hay vuelta atrás.
  • La legislación temporal sobre la mesa es ineficaz. Contrariamente a su intención, no permitirá que Facebook et al continúen con el monitoreo masivo de la correspondencia privada. Limita la directiva ePrivacy. Sin embargo, el control del chat continuará violando el Reglamento General de Protección de Datos (DSGVO) porque carece de base legal y viola el principio de proporcionalidad. La Agencia Irlandesa de Protección de Datos está examinando una denuncia presentada por Patrick Breyer.
Fuente: Internautas | Patrick Breyer [1] | [2]

4 ago. 2021

Zoom pagará U$S 85 millones por mentir sobre el cifrado E2E

Zoom ha acordado pagar 85 millones de dólares para resolver las reclamaciones de que mintió sobre ofrecer cifrado de extremo a extremo y dio datos de usuario a Facebook y Google sin el consentimiento de los usuarios. El acuerdo entre Zoom y los declarantes de una demanda colectiva también cubre los problemas de seguridad que llevaron a "Zoombombings" desenfrenados.

El acuerdo propuesto generalmente daría a los usuarios de Zoom $ 15 o $ 25 cada uno y fue presentado el sábado en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California. Se produjo nueve meses después de que Zoom aceptara mejoras de seguridad y una "prohibición de tergiversaciones de privacidad y seguridad" en un acuerdo con la Comisión Federal de Comercio, pero el acuerdo de la FTC no incluyó una compensación para los usuarios.

La FTC dijo queZoom afirmaba que ofrecía cifrado de extremo a extremo en sus guías de cumplimiento de HIPAA de junio de 2016 y julio de 2017, en un documento técnico de enero de 2019, en una publicación de blog de abril de 2017 y en respuestas directas a consultas de clientes y clientes potenciales. En realidad, "Zoom no proporcionó cifrado de extremo a extremo para ninguna reunión de Zoom que se llevara a cabo fuera del producto 'Connecter' de Zoom (que están alojados en los propios servidores de un cliente), porque los servidores de Zoom, incluidos algunos ubicados en China, mantienen las claves criptográficas que permitirían a Zoom acceder al contenido de las reuniones de Zoom de sus clientes", dijo la FTC. En el cifrado real de extremo a extremo, solo los propios usuarios tienen acceso a las claves necesarias para descifrar el contenido.

El nuevo acuerdo de demanda colectiva se aplica a los usuarios de Zoom en todo el país, independientemente de si usaron Zoom de forma gratuita o pagaron por una cuenta. Si el acuerdo es aprobado por el tribunal, "los miembros de la clase que pagaron por una cuenta serán elegibles para recibir el 15 por ciento del dinero que pagaron a Zoom por su suscripción principal a Zoom Meetings durante ese tiempo [del 30 de marzo de 2016 al 30 de julio de 2021] o $ 25, lo que sea mayor", dijo el acuerdo. "Los miembros del grupo que no son elegibles para presentar un reclamo de suscripción pagada pueden hacer un reclamo por $ 15. Estos montos pueden ajustarse, proporcionalmente, hacia arriba o hacia abajo, dependiendo del volumen de reclamos, el monto de cualquier premio de honorarios y gastos, los pagos de servicios a los representantes de la clase, los impuestos y los gastos de impuestos, y los gastos de administración de la liquidación".

Los abogados de la clase recibirían honorarios de abogados de hasta el 25 por ciento de los U$S 85 millones y hasta U$S 200,000 para el reembolso de los gastos. Alrededor de una docena de demandantes nombrados están buscando la aprobación de los pagos de U$S5.000 cada uno. Una audiencia sobre la moción de los demandantes para la aprobación preliminar del acuerdo está programada para el 21 de octubre de 2021.

Además de los pagos, Zoom "acordó más de una docena de cambios importantes en sus prácticas, diseñados para mejorar la seguridad de las reuniones, reforzar las divulgaciones de privacidad y salvaguardar los datos de los consumidores", dijo el acuerdo.

Con la pandemia impulsando su negocio de videoconferencias, Zoom cuadruplicó con creces sus ingresos anuales de 622.7 millones de dólares a 2.7 mil millones de dólares en los 12 meses que terminaron el 31 de enero de 2021. Zoom también reportó $ 672 millones en ingresos netos para el período de 12 meses, en lugar de $ 25.3 millones el año anterior. Zoom está en camino de obtener resultados aún mejores este año, después de haber reportado ingresos del 1T (febrero-abril) de $ 956.2 millones e ingresos neto$ de $ 227.5 millones.

Fuente: Arstechnica

Troyano FatalRAT utiliza Telegram para propagarse

AT&T Alien Labs ha publicado un informe que brinda detalles del nuevo troyano FatalRAT que circula en línea y cuyo objetivo es distribuir enlaces comprometidos en los canales de Telegram.

Un RAT es un troyano que obtiene acceso remoto y generalmente irrestricto sobre un objetivo. El objetivo principal de este tipo de malware es la exfiltración de datos.

Este nuevo malware, denominado FatalRAT, se puede ejecutar de forma remota, utiliza técnicas de evasión de defensa, obtiene persistencia del sistema, registra las pulsaciones de teclas del usuario, recopila información del sistema y exfiltra datos a través de un canal de comando y control cifrado de Telegram. FatalRAT realiza las siguientes acciones:

  • En la etapa inicial del ataque, FatalRAT realiza varias pruebas para determinar si se está ejecutando sobre una máquina virtual o no, cantidad de procesadores físicos y verificar el espacio en disco.
  • El punto en el que inicializa su tarea maliciosa es cuando la máquina pasa las pruebas de AntiVM.
  • Las cadenas de configuración que contienen la dirección C2, el nuevo malware y el nombre del servicio se descifran por separado.
  • Si un usuario quiere usar la clave de registro DisableLockWorkstation para bloquear el dispositivo a través de CTRL + ALT + DELETE, no puede hacerlo. En este momento, FatalRAT activa un keylogger.
  • La información de la víctima se envía al servidor C2, pero antes de llegar a los servidores, utiliza una técnica de evasión de defensa para identificar los productos de seguridad del sistema.
  • Los datos enviados al C2 se cifran y se distribuyen a través del puerto 8081.
  • Los canales de Telegram se utilizan para transmitir mensajes a una gran audiencia. Pero a diferencia de los grupos de Telegram, solo los administradores pueden enviar mensajes a través del canal.

Como técnica de evasión de defensa, el malware identifica todos los productos de seguridad que se ejecutan en la máquina iterando a través de todos los procesos en ejecución y buscando la existencia de una lista predefinida de productos de seguridad. Para comunicarse de nuevo con el C2, el malware utiliza una rutina para cifrar los datos enviados entre la víctima y el atacante. Este cifrado incluye una clave XOR de un byte y la adición de una constante al valor obtenido.

El malware también se propaga en la red de la víctima mediante la fuerza bruta de contraseñas débiles. Luego se copia a sí mismo en la carpeta dedicada %Folder%hackshen.exe y ejecuta el archivo copiado de forma remota. Los comandos de FatalRAT incluyen funciones como keylogger, cambiar resolución, desinstalar UltraViewer, descargar e instalar AnyDesk, ejecutar comandos, modificar las claves de registro y descargar y ejecutar un archivo.

En otro ejemplo reciente de atacantes que aprovechan Telegram, la empresa de seguridad Cofense descubrió en febrero una campaña de phishing que intentaba robar las credenciales de las víctimas abusando de la API de Telegram.

En septiembre de 2020, la empresa de seguridad Malwarebytes descubrió que los estafadores estaban usando Telegram para barrer los datos de las tarjetas de pago de las víctimas usando cadenas de codificación Base64 junto con un bot.

FatalRAT, Toxic Eye, macOS y tal vez muchos más malware aprovechan la aplicación Telegram.

Fuente: BankinfoSecurity

3 ago. 2021

Nueva APT Hacking apunta a Microsoft IIS Servers con exploits ASP.NET

Un nuevo actor de amenazas ha estado apuntando a las principales entidades públicas y privadas de alto perfil en los EE.UU. Como parte de una serie de ataques de intrusión dirigidos y mediante la explotación de servidores de Microsoft Internet Information Services (IIS).

ULa firma israelí de ciberseguridad Sygnia, que identificó la campaña, está rastreando al avanzado y sigiloso adversario bajo el sobrenombre de "Mantis religiosa" o "TG2021". "Esta nueva APT utiliza un framework de malware personalizado, construido alrededor de un núcleo común, hecho a la medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados", el dijeron los investigadores. El actor de amenazas también utiliza una puerta trasera sigilosa adicional y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes.

Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección al interferir activamente con los mecanismos de registro y evadir con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), se sabe que el actor de amenazas aprovecha un arsenal de exploits de aplicaciones web ASP.NET para obtener un un punto de apoyo inicial y una puerta trasera de los servidores mediante la ejecución de un implante sofisticado llamado "NodeIISWeb" que está diseñado para cargar archivos DLL personalizados, así como para interceptar y manejar las solicitudes HTTP recibidas por el servidor.

Las vulnerabilidades que aprovecha el actor incluyen:

Curiosamente, la investigación de Sygnia sobre las Tácticas, Técnicas y Procedimientos (TTP) de TG1021 ha descubierto "superposiciones importantes" con las de un actor patrocinado por la nación llamado "Copy-Paste Compromises", como se detalla en un aviso publicado por el Centro Australiano de Seguridad Cibernética ( ACSC) en junio de 2020, que describió una campaña dirigida a la infraestructura de cara al público principalmente a través del uso de fallas sin parches en los servidores IIS y UI de Telerik. Sin embargo, aún no se ha realizado una atribución formal.

"Praying Mantis, que se ha observado apuntando a entidades públicas y privadas de alto perfil en dos mercados occidentales importantes, ejemplifica una tendencia creciente de ciberdelincuentes que utilizan métodos de ataque sofisticados de estado-nación para atacar organizaciones comerciales", dijeron los investigadores.

Fuente: THN

Riesgos a la privacidad en dispositivos IoT

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales de México (INAI) alertó hoy del riesgo a la privacidad [PDF] que provoca el uso de aparatos electrónicos que utilizan la tecnología denominada Internet de las Cosas (IoT, por sus siglas en inglés) dado que utilizan datos personales.

Actualmente, existen timbres que permiten hablar con la persona que toca y abrir, sin estar en casa; aspiradoras que comienzan a limpiar cuando el celular se los indica, aun a kilómetros de distancia; también hay cepillos dentales que pueden detectar caries, como ejemplos de la infinidad de dispositivos que utilizan sensores de red, bluetooth o Wifi, para conectarse en cualquier momento y mantener un monitoreo y control total de los procesos que cada uno realiza.

Al mismo tiempo, prosiguió el INAI, estas máquinas pueden detectar, almacenar, procesar o transmitir información personal, a través de una interconexión de internet, como el estado de salud, datos biométricos, hábitos y consumos, entre otros.

Hasta ahora, subrayó, no se encuentran definidos los requisitos mínimos de seguridad que deben cumplir los fabricantes de equipos IoT, por ello, la información que almacenen puede ser utilizada para generar patrones de conducta o consumo, pero también puede ser captada por ciberdelincuentes, si no se siguen las medidas de seguridad adecuadas.

Con base en ello, el INAI recomendó a los usuarios de aparatos con tecnología IoT las siguientes medidas:

  1. Verificar el tipo y cantidad de datos que obtienen los dispositivos inteligentes.
  2. Modificar la configuración en función de las necesidades del usuario, conservando siempre las medidas de seguridad instaladas por defecto.
  3. Revisar quién o quiénes tienen acceso a la información recabada o si existe la posibilidad de un acceso remoto a ellos, configurando los parámetros de seguridad convenientes.
  4. Leer las condiciones de uso y almacenamiento de la información, considerando que pueden recoger datos, procesarlos y compartirlos.
  5. Informarse antes de comprar un dispositivo y adquirir los que resulten más seguros, por ejemplo: aquellos que permitan actualizaciones de seguridad, y faciliten el borrado de datos personales cuando sean desechados o transferidos a otro propietario.
  6. Cambiar las contraseñas de fábrica y establecer unas seguras, que contengan más de 8 caracteres en letras minúsculas y mayúsculas, dígitos y caracteres especiales.
  7. Habilitar el acceso a internet solo cuando sea necesario y en redes que sean seguras.
  8. Instalar aplicaciones desde los canales oficiales facilitados por los fabricantes.
  9. Mantener actualizado el software del dispositivo, para contar con los parches más recientes, provistos por el fabricante y asegurar que sean remediadas las vulnerabilidades conocidas.
  10. Evitar vincular el dispositivo inteligente a otros aparatos de los que se desconoce su nivel de seguridad.

Fuente: INAI

1 ago. 2021

Curso Bootcamp #CISSP gratis... La historia

Ha pasado mucho tiempo desde la obtención de mi certificación CISSP. Corría 2007 y nueve meses de estudio junto a otros profesionales invaluables, fueron literalmente, un parto. Obtener CISSP no es fácil, tampoco imposible. En esos sábado y noches de estudio aprendí muchas cosas, pero una es las más importante: el apoyo de los otros no tiene precio.

Diez años después (finales de 2017), junto a, primero un profesor, luego un colega, luego un amigo, Ezequiel Sallis (aka @simubucks), decidimos dar un pasito más y comenzar a dictar el Bootcamp CISSP de forma remota. Ya teníamos la experiencia de brindarlo de forma presencial en varios países, pero esto ponía la vara aún más alta:

  • ¿Cómo se interactúa con estudiantes de todo el mundo sin verles la cara?
  • ¿Cómo saber si un concepto fue explicado de forma correcta o si el participante lo entendió?
  • ¿Cómo hacer una broma sin conocer la sonrisa cómplice del otro lado?
  • ¿Cómo explicar esas preguntas de la certificación que no son blanco ni negro? Son grises, muy finos y es en dónde radica la diferencia entre el 70% ("FELICITACIONES") o el 69,9% ("Inténtalo de nuevo").

La plataforma y campus virtual AULA25 de la Universidad Tecnológica Nacional de Argentina (UTN) era quien nos desafiaba a publicar nuestro curso de Bootcamp CISSP, 40 horas de curso de video online. ¡Vaya para ellos nuestro más profundo agradecimiento por confiar!

Y sí, dijimos que sí. Y fueron tres años de innumerables asistentes y alumnos de habla hispana que también confiaron y compraron el curso. Algunos se animaron al curso en video, otros se animaron al examen final del curso y, otros ¡se animaron a rendir la certificación y aprobaron!. Y ahí estábamos nosotros, siendo un pedacito de su historia personal y profesional.

Porque eso era lo que yo había aprendido en 2007, el apoyo de otros que ya hicieron el camino o de quienes lo hacen contigo no tiene precio. Mi certificación CISSP fue eso, el tener gente que, sin pedir nada a cambio te brindada su conocimiento para enriquecer mi profesión.

Eso es lo que ponemos a disposición hoy: el Curso Bootcamp CISSP completamente gratuito para todos, en español y en línea.

Para asistir no tienes que hacer nada, simplemente ingresar a Youtube o Vimeo y suscribirte, cada semana publicaremos un módulo, sí gratis. Antes de iniciar te recomiendo veas este video, donde explico todo.

Que lo disfrutes, y luego de finalizar el curso te animamos a rendir la certificación de (ISC)2 CISSP. VALE EL ESFUERZO.


Lic. Cristian Borghello (@seguinfo), CISSP - CCSK - CSFPC
Director Segu-Info - Segu-Kids - Antiphishing - ODILA

31 jul. 2021

Vulnerabilidad crítica en NodeJS

Node.js ha publicado actualizaciones para una vulnerabilidad de alta gravedad que los atacantes podrían aprovechar para corromper el proceso y provocar comportamientos inesperados, como fallos de la aplicación y ejecución de código potencialmente remoto (RCE).

La vulnerabilidad use-after-free, identificada como CVE-2021-22930, tiene que ver con la forma en que se manejan las transmisiones HTTP2 en este lenguaje de programación. Las vulnerabilidades de uso después de la liberación ocurren cuando un programa intenta acceder a un recurso en una dirección de memoria que se ha liberado previamente y ya no contiene el recurso. A Eran Levin se le ha atribuido el mérito de informar sobre esta vulnerabilidad.

Esto puede provocar daños en los datos o comportamientos inesperados como fallas de la aplicación o incluso ejecución remota de código (RCE) en algunos casos.

Las correcciones son para la última versión 16.6.0 de Node.js y también para las versiones anteriores 12.22.4 (LTS) y 14.17.4 (LTS).

El lanzamiento de la actualización se explica por el hecho de que las discusiones sobre la vulnerabilidad ya eran públicas: "Normalmente nos gusta avisar con anticipación y proporcionar versiones en las que los únicos cambios son correcciones de seguridad, pero dado que esta vulnerabilidad ya era pública, sentimos que era más importante obtener esta corrección rápidamente en versiones que ya estaban planificadas", anunció Daniel Bevenius, ingeniero de software principal y miembro del Comité Directivo Técnico (TSC) de NodeJS.

La vulnerabilidad se desencadena en los casos en que Node.js analiza los marcos entrantes RST_STREAM, sin código de error o un código de cancelación. En aplicaciones basadas en el protocolo HTTP/2, la trama RST_STREAM es enviada por cualquiera de los hosts con la intención de terminar una conexión. Por ejemplo, en una arquitectura cliente-servidor, si una aplicación cliente desea finalizar la conexión, enviaría una trama RST_STREAM al servidor.

Al recibir la trama, el servidor dejará de responder al cliente y eventualmente abortará la conexión. Cualquier trama de "DATOS" que el servidor estuviera a punto de enviar al cliente, podría descartarse.

Pero en el caso de las versiones vulnerables de Node.js, cuando el servidor recibe una trama RST_STREAM con un código de "cancelación" (nghttp2_cancel), el receptor intenta "forzar la purga" de los datos recibidos. Y, una vez hecho esto, una devolución de llamada automática ejecutaría adicionalmente la función "close", intentando liberar la memoria por segunda vez, que ya se había liberado en el último paso.

Este error, que antes se consideraba un "error" en lugar de una vulnerabilidad explotable, fue informado el 8 de junio de 2021 por Matthew Douglass en un hilo público. Douglass pudo reproducir el error el 100% del tiempo en su sistema, lo que provocó fallas en la aplicación.

Los usuarios de Node.js deben actualizar a la última versión 16.6.0, o una versión actualizada parcheada.

Fuente: BC

29 jul. 2021

Top 30 de vulnerabilidades críticas explotadas in-the-wild

Las Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el Centro Australiano de Seguridad Cibernética (ACSC), el El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y la Oficina Federal de Investigaciones (FBI) emitieron un aviso conjunto el miércoles que detalla las vulnerabilidades más explotadas en 2020 y 2021, demostrando una vez más cómo los actores de amenazas pueden convertir en armas las fallas reveladas públicamente en su beneficio rápidamente.

"Los actores maliciosos continúan explotando vulnerabilidades de software conocidas públicamente, y a menudo anticuadas, contra un amplio conjunto de objetivos, incluidas las organizaciones del sector público y privado en todo el mundo", señalaron las Agencias. "Sin embargo, las entidades de todo el mundo pueden mitigar las vulnerabilidades enumeradas en este informe aplicando los parches disponibles a sus sistemas e implementando un sistema de administración de parches centralizado".

Las 30 vulnerabilidades principales abarcan una amplia gama de software, incluido el trabajo remoto, las redes privadas virtuales (VPN) y las tecnologías basadas en la nube, que cubren un amplio espectro de productos de Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5. Big IP, Atlassian y Drupal.

Las fallas más explotadas de forma rutinaria en 2020 son las siguientes:

  • CVE-2019-19781 (CVSS score: 9.8) - Citrix Application Delivery Controller (ADC) and Gateway directory traversal vulnerability
  • CVE-2019-11510 (CVSS score: 10.0) - Pulse Connect Secure arbitrary file reading vulnerability
  • CVE-2018-13379 (CVSS score: 9.8) - Fortinet FortiOS path traversal vulnerability leading to system file leak
  • CVE-2020-5902 (CVSS score: 9.8) - F5 BIG-IP remote code execution vulnerability
  • CVE-2020-15505 (CVSS score: 9.8) - MobileIron Core & Connector remote code execution vulnerability
  • CVE-2020-0688 (CVSS score: 8.8) - Microsoft Exchange memory corruption vulnerability
  • CVE-2019-3396 (CVSS score: 9.8) - Atlassian Confluence Server remote code execution vulnerability
  • CVE-2017-11882 (CVSS score: 7.8) - Microsoft Office memory corruption vulnerability
  • CVE-2019-11580 (CVSS score: 9.8) - Atlassian Crowd and Crowd Data Center remote code execution vulnerability
  • CVE-2018-7600 (CVSS score: 9.8) - Drupal remote code execution vulnerability
  • CVE-2019-18935 (CVSS score: 9.8) - Telerik .NET deserialization vulnerability resulting in remote code execution
  • CVE-2019-0604 (CVSS score: 9.8) - Microsoft SharePoint remote code execution vulnerability
  • CVE-2020-0787 (CVSS score: 7.8) - Windows Background Intelligent Transfer Service (BITS) elevation of privilege vulnerability
  • CVE-2020-1472 (CVSS score: 10.0) - Windows Netlogon elevation of privilege vulnerability
La lista de vulnerabilidades que han estado bajo ataque activo hasta ahora en 2021 se enumeran a continuación:

"El aviso pone en manos de cada organización corregir las vulnerabilidades más comunes, como los dispositivos de puerta de enlace VPN sin parches", dijo el Director de Operaciones de NCSC, Paul Chichester, al tiempo que instaba a priorizar el parcheo riesgo de ser explotado por actores malintencionados.

Fuente: THN

28 jul. 2021

Browser fingerprint: lo que tu navegador cuenta de ti

En el debate sobre la seguridad, se habla mucho de cookies, pero se suele olvidar la huella del navegador, también conocida como browser Fingerprint y Agent Fingerprint. Lo primero es comprensible, puesto que las cookies han evolucionado considerablemente, al punto de que con ellas se puede trazar un perfil absolutamente personal de cada usuario de Internet. Y no es solo que puedan almacenar bastante información, es que además la cantidad de las mismas que llegan a emplear algunas webs es, sencillamente, abrumador.

Usuarios y reguladores son conscientes del abuso que se puede llegar a hacer de las cookies y, en consecuencia, se han ido adoptando medidas de todo tipo para limitar su uso, intentando evitar que sirvan para no solo identificar al usuario, sino para trazar un perfil exhaustivo del mismo, comprometiendo de esa manera su privacidad. Los controles de las cookies se han intensificado, y es ahí donde entra en juego la huella del navegador.

¿Y qué elementos son esos? ¿Acaso estoy diciendo que simplemente el navegador empleado, la zona horaria y el idioma ya son suficiente para identificarnos? No, obviamente no, esos datos solo son el principio, el problema es que los navegadores pueden proporcionar bastante más información, y datos aparentemente inocentes, como la resolución de pantalla o los parámetros de configuración de WebGL, agregados, permiten una segmentación mucho más definida de lo que parece. La suma de todos esos elementos, la huella del navegador, es la que puede servir para identificarnos. No con nombre y apellidos, claro, pero sí como perfil único. Y es que, cuando hablamos del navegador, en muchas ocasiones no somos conscientes de que no hablamos de una aplicación más, ni mucho menos. Como interfaz principal de acceso a Internet, es una de las aplicaciones a las que más tiempo dedicamos y, por lo tanto, una de las más susceptibles a contar con más elementos identificatorios de los que pensamos normalmente. Detalles como qué navegador usamos, nuestra zona horaria, idioma predeterminado y más, conforman la huella del navegador, que puede acabar con nuestra privacidad.

Soy consciente de que, en primera instancia, puede sonar exagerado, y es por ello que antes de seguir hablando de la huella del navegador, te propongo que hagas la prueba tú mismo. La web AmIUnique ofrece un test rápido, con el que puedes comprobar toda la información que puede facilitar el navegador a una web, y hasta qué punto, solo con la misma, ya puede ser posible identificarte entre una multitud. Si quieres hacer la prueba tan solo haz click aquí.

Browser fingerprint: lo que tu navegador cuenta de ti

Como habrás visto, si has llevado a cabo la prueba, ésta extrae un enorme conjunto de información. Datos que, por separado, pueden resultar bastante genéricos, pero que al combinarse entre sí, definen un perfil muchísimo más específico. Recuerdo, de mi infancia, un juego muy popular llamado Quién es quién. En el mismo, había que identificar a una persona a partir de datos como su sexo, el color de su pelo, sus ojos, etcétera. Cada dato, por separado, dejaba una lista tremendamente amplia, pero la combinación de los mismos, era lo que permitía averiguar la respuesta correcta. La huella del navegador funciona de igual modo.

Y hay un problema adicional, y es un problema bastante serio. Las cookies, como comentaba al principio, cuentan con importantes regulaciones, al punto de que los ciudadanos de la Unión Europea podemos rechazar el uso de las mismas al acceder a una página web. Sin embargo no existe regulación alguna con respecto a la huella del navegador. Cualquier web que lo desee puede emplear scripts para recopilar dichos datos, crear una Id única para nuestro navegador y, de esta manera, identificarnos siempre que lo desee.

Ahora es posible que te estés preguntando por los riesgos de que una única web sea capaz de identificarte. No va mucho más allá de que emplee una cookie no compartida con otros sitios web para dicho fin, ¿no? El problema es que, al igual que ha ocurrido con las cookies durante años, a día de hoy ya hay webs y redes publicitarias que comparten bases de datos de la huella del navegador con el fin de rastrear a los usuarios, pese a no contar con el consentimiento de los mismos, que en la mayoría de los casos ni siquiera saben que esto está ocurriendo.

¿Emplear la huella del navegador sin conocimiento del usuario es éticamente reprobable? Sin duda alguna. ¿Es legal? Desgraciadamente también. Y aunque en primera instancia pueda parecer que su único uso es ofrecer publicidad personalizada al usuario, no debemos olvidar que hablamos de información privada y que puede ser sensible y, por lo tanto, puede ser empleada con fines menos "disculpables", como por ejemplo ajustar precios de productos en base al perfil del usuario. Nuestra huella del navegador puede indicar que seremos propensos a pagar 120 euros por un producto o servicio por el que otros solo pagarían 80.

La situación es indudablemente mala, pero hay buenas noticias. La primera es que algunos reguladores ya son conscientes de la existencia de la huella del navegador, y se han iniciado trabajos para establecer regulaciones con respecto a su uso. En un primer momento, por ejemplo, se planteó la posibilidad de promulgar, simultáneamente, la GDPR y el reglamento de privacidad electrónica, que sí que contemplaría los derechos de los usuarios frente a la toma de la huella del navegador. Todavía estamos a la espera del segundo, pero cabe esperar que algún día se materialice.

La otra buena noticia es que, aunque con menos celeridad de la que cabría esperar, los responsables de los navegadores web poco a poco van tomando medidas para evitar este abuso. Hace algunos años, por ejemplo, Mozilla empezó a bloquear la huella de navegador que se puede obtener mediante los lienzos (canvas) de HTML 5. Con un poco de suerte, cabe esperar que todos los desarrolladores pisen el acelerador en este sentido, y eviten que las webs pueden hacerse con la información necesaria como para identificarnos de manera clara, en silencio y en contra de nuestra voluntad.

Fuente: Muy Seguridad

Investigadores logran ocultar malware en una red neuronal

Una prueba de concepto muestra cómo unos investigadores han logrado insertar malware en los nodos de una red neuronal sin afectar al rendimiento del modelo.

Un estudio presentado [PDF] por los investigadores Zhi Wang, Chaoge Liu, y Xiang Cui han mostrado cómo esta técnica permite incluir malware en una arquitectura como AlexNet. Dicha arquitectura, una red neuronal convolucional (CNN), se compone de millones de parámetros y múltiples capas de neuronas, incluyendo capas "ocultas" totalmente conectadas. El estudio concluye que modificar algunas neuronas no tiene un gran impacto en la precisión del modelo.

Utilizando muestras reales de malware, las pruebas afirman que un modelo de AlexNet con normalización por lotes o "batch normalization" puede incluir hasta 36.9MB de malware en un fichero de modelo de 178MB, perdiendo menos del 1% de la precisión del modelo, pasando inadvertido por el usuario que lo implemente. Esto hace además que sea indetectable por motores de antivirus, aunque esto se debe también al factor de que no hay analistas que hayan desarrollado un framework de detección para este tipo de modelos.

El algoritmo desarrollado por los investigadores para incrustar el malware se basa en leer 3 bytes del mismo cada vez y convertirlos en números flotantes válidos con formato big-endian tras añadir los prefijos adecuados a los bytes. Estos números se convierten en tensores antes de ser incrustados en el modelo. Dado un modelo de red neuronal y una capa, se modifican las neuronas secuencialmente reemplazando los pesos o "weights" y el sesgo o "bias" en cada una. Se utilizan los pesos de cada neurona para almacenar los bytes de malware convertidos y el sesgo para almacenar la longitud y el hash del malware.

En el proceso inverso, para verificar la integridad del malware, el receptor necesita extraer los parámetros de la neurona en cada capa, convertir los parámetros a números flotantes, luego a bytes en formato big-endian y eliminar los prefijos de los bytes para obtener el flujo de bytes binario. Con la longitud almacenada en el "bias" de la primera neurona se puede ensamblar de nuevo el malware. Este proceso de extracción se puede verificar comparando el hash del malware con el hash almacenado en el "bias".

Escenarios de ataque

La presentación de esta técnica no supone un gran riesgo actualmente, dado que se trata más de un ejercicio de esteganografía que de un escenario real que puedan aprovechar los actores maliciosos. En el momento en el que el malware es ensamblado y ejecutado puede seguir siendo detectado mediante técnicas tradicionales como el análisis estático o dinámico.

No obstante, hay que considerar que las redes neuronales también pueden llegar a ser maliciosas. Probablemente en un futuro, con la adopción generalizada de modelos de "machine learning" en el desarrollo de aplicaciones, aparezcan nuevos vectores de ataque que empleen este tipo de técnicas.

Fuente: Hispasec | EvilModel: Hiding Malware Inside of Neural Network Models