viernes, 7 de noviembre de 2014

Metodologías de explotación de vulnerabilidades que nunca pasan de moda

El 25 de junio de 2012, Apple cambiaba ligeramente la página oficial de su sistema operativo OS X de un “Inmune a los virus de PC” a un “Diseñado para ser seguro”. Una batalla que llevaba años creando controversia, y que fue una de las principales razones del mito de que los dispositivos de Apple eran inmunes a ataques informáticos.


WireLurker, la nueva familia de malware descubierta por Palo Alto Networks, viene con idea de seguir aprovechándose del desconocimiento general. Ataca dispositivos iOS y OS X de la manera tradicional (aplicaciones fraudulentas, enlaces que descargan el malware, fallos en las extensiones utilizadas al visitar una web, conexión por USB a otro dispositivo comprometido,...), y es capaz de instalar aplicaciones saltándose el sandbox de estas plataformas (sin jailbreak en iOS, por ejemplo).

Precisamente el surgimiento de toda esta nueva oleada de malware es lo que ha llevado a una institución como INCIBE, la antigua INTECO, a desarrollar su propio analizador de aplicaciones, Merovingio. En el artículo explican los retos de partir de un desarrollo de cero, así como algunos de sus módulos, que serán utilizados para el análisis en tiempo real y automatizado de nuevos riesgos.

Los móviles se han convertido en el blanco de los ciberatacantes, y entre sus tácticas, el ransomware vuelve a ser de las más “rentables”. Por Ontinet analizan el funcionamiento de uno de ellos, basado en una aplicación para Android que promete contenido adulto, y que al instalar pide permiso para bloquear la pantalla (supuestamente para evitar ataques infecciosos…). Después de mostrar unas cuantas imágenes subiditas de tono, envía un anuncio aparentemente del FBI acusando al usuario de haber consumido pornografía infantil, y pidiendo que se pague una compensación para desbloquear el terminal.

Las contraseñas son otro de los males que azotan negativamente la experiencia en el mundo tecnológico. Tanto que algunos usuarios acaban por utilizar las que vienen por defecto. Si a esto le unimos el uso de cámaras IP con página web, nos encontramos que con una simple búsqueda de Google hay al menos en EEUU once mil cámaras desprotegidas. Cámaras de locales de diversa índole con las que cualquier interesado puede saciar su curiosidad con tan solo conocer las credenciales de acceso por defecto que tiene el fabricante.

Los servidores web pueden ser atacados de muchas maneras, incluso aprovechando huevos de pascua que los propios desarrolladores dejan en sus productos. PHP, uno de los lenguajes de programación en servidor más extendidos, cuenta con medidas suficientes como para evitar ofrecer información sensible que permita al atacante conocer la versión y por tanto las vulnerabilidades disponibles. Pero precisamente uno de los huevos de pascua documentados de PHP, que consiste en mostrar una imagen del logotipo con diferentes fondos, suele estar por defecto pública, y permite conocer ese mismo dato, ya que cada versión la cambian.

Y terminamos con otra estrategia, a veces improvisada, pero que en malas manos puede transformarse en un vector de ataque más. Se trata de los buffer overflow (desborde de memoria), un fallo habitual en desarrollos amateur, de bajo nivel (que afecta a la forma que tiene el hardware de comunicarse con el software),  acaparando ya no solo la memoria que el sistema ha asignado a la herramienta, sino también la contigua. Un atacante podría aprovechar esta debilidad para realizar escalada de privilegios y saltarse algunas de las protecciones que sí deberían afectarle.

0 comentarios:

Publicar un comentario