El malware no cerró en agosto
Agosto ha venido marcado, como no podía ser de otra forma, por las múltiples investigaciones presentadas durante la celebración de los dos eventos de seguridad informática más importantes del año en los que el equipo laboratorio de ESET estuvo presente.
Estamos hablando de BlackHat y Defcon celebrados un año más en Las Vegas y a las que volvimos a asistir para contar de primera mano aquellas presentaciones más interesantes que pudimos ver en directo.
Los coches conectados de nuevo a examen
De nuevo los coches cobraron protagonismo en esta edición con Charlie Miller y Chris Valasek presentando su investigación sobre cómo tomar el control remotamente de un Jeep Cherokee. Gracias a haber descubierto como acceder a varios sistemas del vehículo a través del sistema de radio y navegación del vehículo, los dos investigadores demostraron poder tomar el control de, por ejemplo, el aire acondicionado, el GPS, la radio o incluso abrir el vehículo a distancia.
Hasta este momento, Miller y Valasek habían demostrado en conferencias anteriores cómo tomar el control del vehículo conectándose directamente al mismo. En esta ocasión demostraron cómo, no solo era posible hacerlo desde una distancia de 16 km sino que también, y debido a que la comunicación se hace a través de un sistema que utiliza una operadora móvil que no revisa las comunicaciones, sería posible afectar a cualquier vehículo que con ese sistema integrado y que estuviese dentro del alcance de la cobertura de esa operadora.
Pero Miller y Valasek no fueron los únicos protagonistas en lo que a descubrir vulnerabilidades en automóviles se refiere. Investigadores de la universidad de California en San Diego demostraron que era posible tomar el control de algunos de los sistemas de un Corvette tan solo enviando un mensaje de texto. Esto fue posible gracias a la modificación de un dispositivo de los muchos existentes en el mercado que se conectan al puerto de diagnóstico del vehículo y permiten conocer su estado en nuestro móvil, por ejemplo.
Además, otro investigador consiguió desarrollar un control remoto universal capaz de abrir tanto automóviles modernos como puertas de garaje. Esto es posible gracias a que el dispositivo puede interceptar el código de apertura generado antes de que llegue al vehículo o puerta de garaje, lo que le permitiría el acceso a posteriori. Son varios los fabricantes afectados aunque ninguno ha hecho declaraciones al respecto.
El Internet de las cosas y las cosas del Internet
También en Defcon y BlackHat vimos investigaciones interesantes sobre el Internet de las cosas, además de los coches conectados. Pudimos ver cómo otra pareja de investigadores conseguía tomar el control de una avanzada mira telescópica utilizada en un fusil de precisión de alta gama y modificar la información enviada al tirador para que fallase el tiro o diese a otro objetivo cercano al original.
Además, pudimos comprobar cómo hasta un electrodoméstico aparentemente inofensivo puede utilizarse para robarnos las credenciales de Google debido a una mala configuración del mismo. Está muy bien que podamos sincronizar nuestro Google Calendar con nuestra nevera para que nos sirva de recordatorio pero el fabricante debería ir con cuidado con la manera que transmite las credenciales de acceso a través de la red doméstica.
Como representación española pudimos ver al investigador José Selvi explicándonos los múltiples fallos de seguridad que aparecen cuando modificamos el reloj del sistema y lo hacemos avanzar o retroceder en el tiempo. Utilizando su herramienta DeLorean, nos demostró cómo se podría utilizar para espiar conexiones seguras o utilizar vulnerabilidades corregidas en sistemas y aplicaciones actualizados.
Mes nefasto para la seguridad en Android
Este agosto ha sido uno de los peores meses que se recuerdan en la historia de Android. En apenas 31 días hemos podido ver numerosas vulnerabilidades críticas sucediéndose una tras otra. Gracias a las ponencias ofrecidas en BlackHat y Defcon pudimos ver en directo como los investigadores presentaban alguna de estas vulnerabilidades. Es el caso de Stagefright, una grave vulnerabilidad en la librería de medios del mismo nombre que permitiría a un atacante ejecutar código malicioso con tan solo enviar un mensaje MMS. Sin embargo este es solo uno de los posibles vectores de ataques puesto que el investigador dijo que había muchos más y que sería difícil que la mayoría de usuarios de Android pudiesen solucionar.
Pero Stagefright solo fue el principio ya que, en las semanas siguientes pudimos ver un goteo constante de vulnerabilidades que permitían denegaciones de servicio en dispositivos Android, la obtención del control del dispositivo por parte de aplicaciones maliciosas gracias al Certifi-Gate o la escalada de privilegios hasta obtener permisos de root usando la vulnerabilidad OpenSSLX509Certificate, por mencionar solo unas cuantas.
Al menos, esta avalancha de vulnerabilidades ha hecho que tanto Google como alguno de los principales fabricantes de dispositivos Android (como Samsung) se empiecen a tomar más en serio la seguridad del sistema y hayan prometido que empezarán a lanzar actualizaciones de seguridad de forma más frecuente, algo que, sin embargo, llega tarde para la mayoría de usuarios actuales de Android.
Sin afectar únicamente a Android, sino a la mayoría de smartphones que usan las huellas dactilares de los usuarios como medida de autenticación biométrica, otra de las investigaciones presentadas en BlackHat y Defcon demostró cómo muchos terminales de varios fabricantes y usando diferentes sistemas operativos almacenaban las huellas dactilares de sus usuarios sin cifrar, permitiendo a un atacante obtener las mismas y desbloquear el teléfono.
El terremoto Ashley Madison
Otra de las noticias destacadas de agosto ha sido la publicación de datos robados del ataque sufrido por Ashley Madison y que conocimos el pasado mes de julio. Estos datos pertenecen principalmente a los millones de usuarios de este servicio, aunque también se pueden observar correos internos de usuarios de la empresa.
Con esta masiva publicación de datos no sólo se compromete la privacidad de los usuarios de este servicio de búsqueda de relaciones extramatrimoniales sino que también se les expone de forma pública, sin pensar en las consecuencias que sus parejas o incluso empleadores podrían tomar al identificar a alguno de los afectados.
De hecho, los primeros análisis demostraron que existían muchas direcciones de correo utilizadas por los usuarios al registrarse que pertenecen a empresas y organismos oficiales como ayuntamientos, gobiernos e incluso asociados a dominios militares. Tristemente, también supimos de las noticias de al menos un par de suicidios en los que la filtración de estos datos podría ser un factor determinante.
Vulnerabilidades de todo tipo
Respecto a vulnerabilidades presentes en diferentes sistemas y aplicaciones, en agosto vimos como Microsoft publicaba las primeras actualizaciones de seguridad para el recién lanzado Windows 10, incluyendo una para el navegador Microsoft Edge que permitía la ejecución remota de código tan solo con visitar una web maliciosa.
Además, Microsoft publicó una actualización fuera de ciclo para una vulnerabilidad crítica en el navegador Internet Explorer (los usuarios de Edge no se vieron afectados). Este fallo de seguridad estaría provocado por la forma en la que Internet Explorer almacena objetos en memoria. Si un usuario visitase una web especialmente diseñada por un atacante o abriese un correo con contenido HTML malicioso, se podría ejecutar código de forma remota.
Adobe también aprovechó agosto para solucionar un total de 35 agujeros de seguridad, la mayoría de ellos en Adobe Flash. Las últimas vulnerabilidades en Flash ha hecho que muchas empresas importantes como Amazon o incluso Google en su navegador Chrome empiecen a dejar de usar Flash a favor de otras alternativas como HTML5.
La fundación Mozilla también publicó actualizaciones de seguridad para su navegador Firefox y solucionar así una vulnerabilidad que estaba siendo utilizada activamente por varios atacantes. Esta vulnerabilidad permitía a un atacante saltear la política same-policy y ejecutar código JavaScript de forma remota pero que sería interpretada como un archivo local, permitiendo leer y escribir ficheros en la máquina atacada y subirlos a un servidor remoto.
Tampoco el conocido reproductor multimedia VLC se libró de tener agujeros de seguridad en su código. Un investigador descubrió e informó a la empresa de que VLC tenía un fallo a la hora de manejar ciertos archivos en formato 3GP y en las insuficientes medidas que aplicaba en ciertos buffers con permisos de escritura. Esto podría provocar la ejecución de código malicioso si un atacante propagase un fichero 3GP modificado.
Apple y sus problemas con la seguridad
Hace tiempo que los problemas de seguridad de los sistemas de Apple dejaron de ser noticia y el pasado mes no fue una excepción. Además de actualizaciones de todo tipo para varios sistemas operativos como diferentes versiones de Mac OS X o iOS también se publicaron actualizaciones para el navegador Safari.
A pesar de estas actualizaciones, Mac OS X tuvo vulnerabilidades graves durante el mes de agosto, como un fallo a la hora de manejar punteros nulos y que permitiría que un atacante evadiese las protecciones del sistema y ejecutase código malicioso.
Además, Apple solucionó a finales de mes la vulnerabilidad Insomnia cuando actualizó iOS a la versión 8.4.1. Esta vulnerabilidad permitía a un atacante ejecutar una aplicación maliciosa en segundo plano por un tiempo ilimitado y hacer que ésta siguiese asociada al sistema operativo incluso después de haber sido borrada.
El spam sigue siendo eficaz adaptándose a los nuevos tiempos
Los mensajes usados para engañarnos utilizando métodos tradicionales como el correo electrónico o más modernos como WhatsApp también fueron usados durante agosto para obtener los datos de los usuarios en varias campañas de propagación de falsos premios. Primero fue un supuesto premio de 500€ ofrecido por Mercadona para después camuflarse de premio de Starbucks. Ambos engaños tenían la misma finalidad: robar nuestros datos personales.
Por medio de uno de nuestros usuarios vimos como una estafa clásica en portales de venta de artículos de segunda mano seguía de actualidad. Este usuario sospechó de un supuesto comprador de un vehículo que puso en venta y, preocupado, nos comentó el caso. Tras recopilar toda la información pudimos verificar como este comprador era en realidad un estafador que pretendía obtener dinero fácil a su costa.