Corregidas múltiples vulnerabilidades en Trend Micro OfficeScan

Se han hecho públicas ocho vulnerabilidades en Trend Micro OfficeScan11.0 y XG (12.0) que podrían causar diferentes impactos, desde la revelación de información hasta la ejecución de código remoto y elevación de privilegios.

Trend Micro OfficeScan es un sistema de protección frente a amenazas para servidores de archivos, PC’s, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad ‘in situ’ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

Los problemas de seguridad son los siguientes:

CVE-2017-14083: La ruta al archivo ‘crypt.key’ utilizado en el proceso de cifrado se encuentra definida en ‘config.php’ y un atacante remoto no autenticado podría descargar dicho fichero a través de una petición simple:


CVE-2017-14084: Las peticiones CURL usadas por la función ‘send’ en ‘HttpTalk.php’establecen los parámetros de verificación ‘CURLOPT_SSL_VERIFYPEER’ y‘CURLOPT_SSL_VERIFYHOST’ a falso, lo que podría permitir la realización de ataquesMITM.

CVE-2017-14085: Un atacante no autenticado podría revelar información sensible acerca de los dominios presentes en las redes, y las versiones y módulos de PHP a través de ‘analyzeWF.php’.

CVE-2017-14086: Una falta de validación permite la ejecución remota de procesos como‘fcgiOfcDDA.exe’ o ‘cgiRqUpd.exe’ por parte de un atacante no autenticado que podrían aprovecharse para causar una denegación de servicio por elevado consumo de recursos (espacio en disco ocupado por los volcados o dumps generados) por múltiples ejecuciones o corrupción del INI.


CVE-2017-14087: Existe un problema de inyección en las cabeceras de host al basarse en$_SERVER[‘HTTP_HOST’] (que puede ser falsificado por el cliente) en lugar de$_SERVER[‘SERVER_NAME’], por ejemplo en ‘db_controller.php’. Esto podría permitirgenerar enlaces arbitrarios que apunten a sitios web maliciosos al cachearse peticiones con cabeceras envenenadas.


CVE-2017-14088: Un error de falta de validación al manejar ‘IOCTL 0x220008’ en ‘tmwfp.sys’podría podría ser aprovechado por un atacante para elevar sus privilegios.

CVE-2017-14089: Determinadas peticiones al ser procesadas en ‘cgiShowClientAdm.exe’podrían causar problemas de corrupción de memoria.

Adicionalmente existe una vulnerabilidad, sin identificador CVE asignado, debida a la posibilidad de realizar solicitudes HTTP arbitrarias en servidores internos o externos a través de ‘help_proxy.php’.

Las vulnerabilidades has sido descubiertas por John Page (aka hyp3rlinx) de ApparitionSec, Leong Wai Meng y zer0b4by en colaboración con Zero Day InitiativeTrend Micro ha publicado las actualizaciones XG CP 1708 y 11.0 SP1 CP 6426 disponibles  respectivamente desde los siguientes enlaces:

http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1708.exe
http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6426.exe

macOS High Sierra: Una pista de contraseña demasiado explícita…

‘mypassword’ es realmente la contraseña. Extraída de medium.com

Apple lo ha vuelto a hacer. Esta vez afectando a volúmenes cifrados desde su utilidad de discos. Matheus Mariano, un desarrollador de software brasileño, se topó con esta ¿vulnerabilidad? cuando creaba un nuevo volumen cifrado en elnuevo sistema de ficheros APFS. La vulnerabilidad, CVE-2017-7149, es de lo más absurda: la contraseña que se especifica en la creación del volumen se muestra en la pista de contraseña, en vez de la pista de contraseña especificada.

Afecta a los Mac’s con SSD’s, ya que si bien hay maneras de poner APFS a discos duros tradicionales, Apple parece que no se termina de decidir y pone y quita soporte a éstos. APFS fue desarrollado con los SSD’s en mente, y enfocado al cifrado, lo que es irónico vista esta vulnerabilidad… Aunque realmente no es un fallo del sistema de archivos APFS, sino de la utilidad gráfica de disco que viene con el sistema operativo. Se puede utilizar la utilidad de disco en su versión de consola, que no presenta este fallo.

Este tipo de vulnerabilidades da que pensar sobre los controles de calidad que pasa el software hoy día. Lo cierto es que es un fallo de programación tan simple que no deja lugar a elucubraciones sobre su origen: es seguramente un despiste en la programación de la interfaz gráfica. Uno puede imaginar que el programador tenía que extraer información de varias cajas de texto, entre ellas las de la contraseña y la pista de contraseña. Para no escribir varias veces casi la misma línea de código que extraería el texto de cada una de ellas, la copias varias veces y luego retocas cada una. Pero se te olvida cambiar la referencia de la pista de contraseña y la dejas apuntando a la contraseña…

Apple ya ha publicado un documento de soporte para esta vulnerabilidad, donde expone que la solucion es básicamente reformatear el volumen (previa copia de seguridad) tras haber instalado la actualización que corrige la vulnerabilidad. Esta actualizacion, llamada macOS High Sierra 10.13 Supplemental Update, además corrige la vulnerabilidad CVE-2017-7150 también relacionada con la revelación de contraseñas, que ya cubrimos en su día aquí.

 

Más información:
 
New macOS High Sierra vulnerability exposes the password of an encrypted APFS container
https://hackernoon.com/new-macos-high-sierra-vulnerability-exposes-the-password-of-an-encrypted-apfs-container-b4f2f5326e79

Apple Support Document HT208168
https://support.apple.com/en-us/HT208168

macOS High Sierra 10.13 Supplemental Update
https://support.apple.com/en-us/HT208165

Varias vulnerabilidades descubiertas en dnsmasq

El equipo de seguridad de Google ha descubierto varias vulnerabilidades en dnsmasq, algunas de las cuales podrían permitir la ejecución de código arbitrario de forma remota.

dnsmasq provee tecnología de infraestructura de red como DNS y DHCP con soporte a IPv6. Gracias a su ligera implementación, es ideal para dispositivos con recursos limitados (por ejemplo routers y dispositivos IoT), aunque también puede encontrarse en la mayoría de las distribuciones Linux. También se usa en dispositivos Android, donde aporta funcionalidades para ejercer como punto de acceso Wi-Fi.

Fuente de la imagen

Ha sido precisamente el equipo de seguridad de Google quien ha descubierto y notificado un total de 7 vulnerabilidades que afectan a las funcionalidades de DNS y DHCP de dnsmasq en su versión 2.78. Según Simon Kelley, autor del software, algunas de estas vulnerabilidades están presentes desde “tiempos prehistóricos” y han pasado inadvertidas en varias auditorias de código previas.

Las tres vulnerabilidades de mayor gravedad, con identificadores CVE-2017-14491, CVE-2017-14492 y CVE-2017-14493, permiten la ejecución de código remoto aprovechando diversos tipos de desbordamiento. Especial mención merece la vulnerabilidad CVE-2017-14491 que, aunque solucionada, sigue permitiendo un desbordamiento de 2 bytes. Anteriormente a la versión 2.76 era posible un desbordamiento sin restricciones.

La vulnerabilidad CVE-2017-14494, por su parte, produce una fuga de información que puede ser utilizada en combinación con CVE-2017-14493 para saltar el sistema ASLR y ejecutar código arbitrario de forma remota.

Las tres vulnerabilidades restantes (CVE-2017-14495, CVE-2017-13704 y CVE-2017-14496) pueden ser aprovechadas para provocar una denegación de servicio. la tercera de ellas afecta los sistemas Android, y puede ser explotada por un atacante local o conectado al punto Wi-Fi del teléfono.

El equipo de seguridad de Google ha publicado en su artículo diversas pruebas de concepto e instrucciones para que los propios usuarios comprueben si son vulnerables a estos fallos.

Estas vulnerabilidades ya han sido solucionadas en la ultima versión de dnsmasq (2.78) disponible a través de su repositorio. Los usuarios de Android afectados también han recibido la actualización a través del boletín de seguridad de octubre.

Multiples vulnerabilidades en JanTek JTC-200

vo.

El dispositivo JTC-200 es un convertidor TCP/IP a RS-232/485/422, half/full duplex, que presenta soporte para TCP, IP, UDP server/cliente y ademas cuenta con una interfaz web de gestión. Es un dispositivo ampliamente utilizado en el sector industrial y de telecomunicaciones.

En el primer problema, con CVE-2016-5789, en el que debido a un error de validación, un atacante remoto con los mismos permisos que la víctima, podría inducir a la víctima con sesión activa la ejecución de peticiones maliciosas (CSRF).

Como hemos comentado en otras ocasiones, CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación, puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir esto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida.

En el segundo problema, con CVE-2016-5791, en el que un atacante remoto podría valerse de un error de autenticacion para ejecutar código arbitrario a través de una shell de Busybox Linux accesible desde Telnet.

Las dos vulnerabilidades han sido reportadas por Karn Ganeshan y afectan a todas las versiones de JanTek JTC-200.

En la página web del fabricante este producto figura como discontinuado, de hecho para finales de este año se espera el lanzamiento del nuevo modelo JTC-300, desconocemos si por ahora se van a tomar medidas para paliar estas fallas de seguridad.

Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:

  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:

JanTek JTC-200

KRACKs: grave vulnerabilidad en el protocolo WPA2

El investigador en seguridad informática, Mathy Vanhoef perteneciente al grupo de investigación IMEC-DISTRINET de la universidad Belga KU Leuven, ha demostrado públicamente, cómo el protocolo WPA2/WPA (tanto Personal como Enterprise) es vulnerable a un nuevo tipo de ataque, provocando que se pueda comprometer la comunicación segura e incluso inyectar código, mediante un ataque MitM al mecanismo de autenticación.

Logotipo de KRACK. Fuente krackattacks.com

Según Vanhoef (@vanhoefm), la vulnerabilidad residiría en el propio diseño del protocolo WPA2, no en la implementación que utilice el sistema operativo, estando de facto afectados, todos aquellos dispositivos o sistemas que tengan WIFI habilitado.

Ahondando en la vulnerabilidad, ésta se basaría en la capacidad de forzar la reutilización del ‘nonce‘ o número arbitrario de un solo uso, utilizado durante el inicio de autenticación de una comunicación cifrada entre el cliente (supplicant) y servidor (AP), generalmente mediante un vector de iniciación (IV). Esto ocurre durante el protocolo de autenticación 4-way handshake, cuando se negocian las claves compartidas y el Pairwise Master Key (PMK), para iniciar el cifrado de la comunicación (norma IEEE 802.11i).

Con este nuevo método, denominado Key Reinstallation Attacks (KRACKs),el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key) según el escenario utilizado en su demostración para Android 6.0, como Linux, reenviando ‘handshakes‘ especialmente modificados.

KRACK Attacks: Bypassing WPA2 against Android and Linux

Mediante esta nueva técnica, los impactos pueden ser bastante graves, dado que se consigue modificar la comunicación segura e incluso inyectar código para, por ejemplo, modificar el tráfico y descargar aplicaciones maliciosas en el cliente (como un troyano o ransomware).

Todo esto depende de la combinación de protocolos utilizados durante la comunicación:

  • Si se usa AES-CCMP, un atacante podría responder y descrifrar los paquetes.
  • Pero si se usa WPA-TKIP o GCMP, se podría incluso falsificar los mismos, siendo el ataque con mayor impacto.

Este tipo de ataque se basa en diferentes técnicas y un conjunto de vulnerabilidades sobre el protocolo, por lo que ha recibido hasta 10 CVEs distintos (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088).

Por ahora, se han publicado parches para hostapd and wpa_supplicant bajoLinux, y se prevé que durante esta semana se vayan actualizando las demás implementaciones, pero debido al numeroso volumen de dispositivos WIFI, recomendamos encarecidamente aplicar los mismos en cuanto estén disponible ya que es la única medida viable por el momento.

José Mesa
@jsmesa

Más información:

Key Reinstallation Attacks: Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
http://papers.mathyvanhoef.com/ccs2017.pdf

A man-in-the-middle vulnerability has been found in OpenBSD’s wireless stack.
https://marc.info/?l=openbsd-announce&m=148839684520133&w=2

hostapd and wpa_supplicant Security Updates
https://w1.fi/security/2017-1/

Cryptographic nonce
https://en.wikipedia.org/wiki/Cryptographic_nonce

 

Por noreply@blogger.com (José Mesa Orihuela)

16/10/17

Vulnerabilidad de denegación de servicio en ImageMagick

Se ha reportado una vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.

Como ya hemos comentado anteriormente, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión dAñadir nuevae imágenes.

En el problema reportado, con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’ en determinados archivos podría causar un salto en memoria debido a valores no inicializados. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio (cierre de la aplicación) a través de archivos especialmente manipulados.

Este problema afecta a las versiones anteriores a la 7.0.7-6

Se recomienda actualizar a versiones superiores.

https://www.imagemagick.org/download/beta/ 

 

Más información:

ImageMagick

www.imagemagick.org

Conditional Statement depends on uninitialized value #832

https://github.com/ImageMagick/ImageMagick/issues/832

AMD revela la nueva serie Radeon E9170

Se trata de la primera GPU discreta con una arquitectura basada en Polaris disponible en el formato compacto de módulo multi-chip (MCM) para diseños eficientes en energía. Es ideal para ambientes con restricciones térmicas, como juegos de casino, imágenes médicas, señalización digital, militar y aeroespacial, y control industrial y automatización.

Los mercados verticales están evolucionando para requerir gráficos de alta calidad, bajo consumo de energía y complejas capacidades de cómputo debido a las tecnologías avanzadas y expectativas. AMD está atendiendo directamente a estas demandas con su más nueva serie E9170.

Según afirmó el fabricante, esta flamante serie brinda rendimiento revolucionario por vatio y una flexibilidad de múltiples pantallas con gráficos de 4K. Es ideal para ambientes con restricciones térmicas como juegos de casino, imágenes médicas, señalización digital, militar y aeroespacial, y control industrial y automatización.

Desde AMD destacan que la GPU de la serie E9170 es ideal para dispositivos que requieren gráficos de primera calidad y capacidades de visualización ampliadas, al tiempo que cumplen con exigentes demandas de potencia y eficiencia térmica.

La GPU AMD Embedded Radeon E9173, basada en la arquitectura “Polaris”, aprovecha un proceso de fabricación FinFET optimizado de 14nm para proporcionar hasta 3 veces el rendimiento por vatio sobre las generaciones anteriores de GPUs AMD incorporadas, informó.

Al ofrecer TDP sub-40W en un paquete pequeño, AMD permite una gama más amplia de productos, agregando un nuevo nivel de escalabilidad a la cartera de GPU de AMD Radeon Power-Efficient Embedded. Con soporte para hasta cinco pantallas 4K simultáneas, la GPU Serie E9170 elimina virtualmente la necesidad de procesadores adicionales. Además, la opción de seleccionar entre módulos MCM, MXM y PCI Express aumenta la flexibilidad de diseño y minimiza la complejidad.

“Los desarrolladores continúan imponiendo los límites de lo que es posible para sistemas embebidos, exigiendo más rendimiento, más características y más opciones de diseño, todo ello reduciendo significativamente el consumo de energía. En el nivel de la GPU, es fundamental proporcionar soluciones versátiles que no comprometan el rendimiento gráfico o las capacidades de visualización múltiple 4K “, dijo Colin Cureton, director of Product Management, AMD Enterprise Solutions.

Descripción del producto

  • FinFET de 14nm de alto rendimiento: HEVC, HDMI 2.0, DisplayPort 1.43
  • Ocho unidades de cómputo (CUs) y perfil de potencia sub-40W
  • 35W de potencia total de placa y 1,2 TFLOPS de pico de precisión simple
  • Brinda hasta 3X de rendimiento por vatio en comparación con los productos heredados de AMD en esta categoría
  • Diseño MCM permite más dispositivos integrados de baja potencia
  • Perfil de potencia sub-40W y puede alimentar hasta cinco pantallas independientes con gráficos 4K nítidos
  • La longevidad planificada de siete años asegura la continuidad de soporte para los productos de ciclo de vida largo

Oracle anunció su Servicio de Nube de Plataforma de IA

En el marco del Oracle Oracle OpenWorld, que se está llevando a cabo en San Francisco, presentó la expansión de su oferta de Inteligencia Artificial (IA). El objetivo es ayudar a los desarrolladores a “crear e implementar rápidamente servicios empresariales innovadores”.

“Con este anuncio, Oracle permite a los desarrolladores y científicos de datos configurar un entorno escalable y seguro para nuevos modelos de aprendizaje profundo en la Nube de manera más rápida y fácil”, afirma la compañía.

Oracle Cloud se diseñó especialmente para optimizar el entrenamiento a través de modelos al aprovechar los datos empresariales esenciales de los clientes y operar en una red de alta velocidad, almacenaje de objetos y GPU líderes en la industria.

Las instancias de la Nube de Plataforma de IA de Oracle tienen preinstalados marcos de aprendizaje profundo, herramientas y bibliotecas de IA familiares como Caffe, Jupyter Notebook, Keras, NymPy, scikit-learn y TensorFlow, entre otros. Los practicantes del aprendizaje automático también tienen acceso al Almacenamiento de Objetos de la compañía y pueden conectarse fácilmente a clusters de Spark/Hadoop existentes.

“La IA tiene el poder de ser más transformativa para la empresa que cualquier otra tecnología en la historia reciente”, comentó Amit Zavery, vicepresidente sénior de desarrollo de productos de la Plataforma de Oracle Cloud. “Oracle se encuentra en la posición única de proporcionar IA en todas las capas de la Nube, empoderando a los clientes para descubrir y liberar patrones de negocios críticos en sus datos empresariales con el fin de transformar la productividad, eficiencia y perspectivas de la organización”.

La compañía comunicó que este Servicio de Nube de Plataforma de IA opera en Infraestructura de Oracle Cloud de clase mundial optimizada para el mejor rendimiento y proporción precio-rendimiento para ejecutar aplicaciones especializadas de aprendizaje profundo. La capa de infraestructura diferenciada incluye almacenamiento flash NVMe y las mejores GPU de su clase en una red de 25 gigabits para un rendimiento extremo.

Según informó, en una prueba comparativa estándar de la industria, Oracle tuvo un rendimiento 2x mejor que la instancia de GPU más grande de Azure y mostró una relación precio-rendimiento 2.4x mejorar que su equivalente más cercano en AWS. (1) El Servicio de Nube de Plataforma de IA incluye una forma de GPU en el disco duro: 2x GPU P100 de Tesla con base en la Arquitectura Nvidia Pascal y pronto soportará los nuevos GPU Volta con hasta 8 GPU.

Aplicaciones Inteligentes Adaptivas

Oracle también anunció nuevas Aplicaciones Inteligentes Adaptivas que permiten a los usuarios comerciales de toda la organización aprovechar las aplicaciones comerciales modernas basadas en IA.

“Al integrar capacidades de IA directamente dentro de las Aplicaciones existentes de Oracle Cloud, que incluyen la Nube de Planificación de Recursos Empresariales, la Nube de Gestión de Capital Humano, la Nube de Gestión de Cadena de Suministro y la Suite de Nube de Experiencia del Cliente de Oracle, eliminamos la necesidad de más integraciones y otros procesos costosos y prolongados”, aseguró.

Otras nuevas soluciones y servicios basados en IA que se develaron o expusieron en Oracle OpenWorld incluyen la Nube Móvil de Oracle que incluye IA conversacional a través de bots para automatizar las interacciones humanas utilizando lenguaje natural, sentimientos, habla, imágenes y aprendizaje automático; la Nube de Base de Datos Autónoma que incluye aprendizaje automático para permitir almacenamiento y OLTP de datos autogestionado y autoreparador para mejorar la seguridad y la escalabilidad; la Nube Analítica, que permite a los analistas utilizar técnicas de aprendizaje automático para visualizar mejor los datos y comprender patrones sin tener que convertirse en científicos de datos; y la Nube de Gestión y Seguridad de Oracle, que incluye aprendizaje automático integrado para automatizar la detección, prevención y respuesta a fallas de seguridad, anomalías en el rendimiento y vulnerabilidades.

Mas información
https://www.oracle.com/artificial-intelligence/index.html
https://www.oracle.com/openworld/index.html

Google forzará HSTS en los TLD con los que opere

Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.

 All requests use HTTPS when HSTS is enforced

HSTS (HTTP Strict Transport Security) fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la estrategia de cifrado web.

Esta politica de seguridad web establecida para evitar ataques que puedan interceptar comunicaciones, no solo fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario utiliza HTTP-, sino que también previene otros ataques como el secuestro de cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto.

Google avisó que comenzaría a aplicar esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto, aquellos que registren con Google un TLD con HSTS implementado contarán con seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD seguro y un certificado SSL.

El uso de HSTS es importante porque inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes experimentados degradar las conexiones SSL a estados más vulnerables. Por ejemplo, Logjam permite rebajar la seguridad del grado de exportación del certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico supuestamente seguro en dicha conexión. Por su parte, Poodle ataca implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano las comunicaciones de red.

Ya en agosto de 2016, Google forzó en su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.

Google to enforce HSTS on TLDs:

Try Catch Stack Overflow

Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.

Todo aquel que ha tenido que tirar alguna que otra línea de código (programar), se habrá encontrado en una situación en la que necesitaba la ayuda de alguien para soslayar un problema determinado. “¿Cómo implemento una conexión SSL?”, “¿Cómo hago para comprobar la validez de un certificado x.509?”, “¿Por qué no estudié gastronomía en vez de informática?”.

A menudo, un golpe de buscador nos arroja un listado de recursos sobre los que indagar en la implementación que “encaje” en nuestro código y lo haga funcionar. Sobre esta suerte de mecanismo de consultoría exprés se ha abusado tanto que incluso algunos gestores han llegado a creer que programar se reduce a buscar un trozo de código y pegarlo en un editor de texto (naturalmente, el Notepad).

Esa creencia, tanto por parte de la dilatada imaginación de algunos gestores como de la poca pericia de algunos junta-palabras-reservadas, hace que se construya una falsa concepción de lo que significa el sacro arte del diseño y programación de computadores digitales basados en la arquitectura Von Newmann (o en la Harvard). Es tan de chiste la cosa, que incluso existen libreríasque atrapan una excepción y te buscan la traza en StackOverflow para que directamente copies la mejor respuesta. Verlo para creerlo.

Imagen de: https://github.com/gautamkrishnar/tcso

¿Cuál es el problema?

Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.

Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.

No nos confundamos. StackOverflowes un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En el puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.

Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.

Más información:

Secure Coding Practices in Java: Challenges and Vulnerabilities:

[PDF] https://arxiv.org/pdf/1709.09970.pdf

El nuevo sistema operativo macOS ‘High Sierra’ se estrena con una grave vulnerabilidad

El fallo en cuestión permite a cualquier aplicación robar las contraseñas del ‘keychain’ sin conocimiento del usuario.

El descubridor de esta brecha de seguridad ha sido el experto informático ‘Patrick Wardle’, el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.

‘Patrick’ trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma ‘Synack’.

En su Twitter explica que cualquier aplicación instalada en el sistema  puede acceder al llavero haciendo un ‘bypass’ sobre cualquier componente de seguridad que tenga nuestro equipo.

Normalmente ninguna aplicación puede acceder al contenido del ‘keychain sin que el usuario introduzca la contraseña principal.

Tweet de ‘Patrick Wardle’ mostrando las evidencias de la vulnerabilidad

El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de ‘Gatekeeper’ para mantener un mayor control de estas aplicaciones que instalamos.

Tweet recomendando el uso de ‘Gatekeeper’
Wardle’ además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.
Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.


Más información:
 
Perfil de Twitter de ‘Patrick Wardle’: