Security on my pocket - 1

Hace unos meses, después de escribir el artículo ¿por qué a los desarrolladores no les preocupa la seguridad? comencé a preparar una charla sobre el tema y me acostumbré a almacenar artículos de seguridad en mi Pocket.

Sigo manteniendo esa costumbre y como resultado, mi lista de marcadores crece y crece haciéndose algo inmanejable. Se me ha ocurrido compartir esa lista sobre vulnerabilidades en un artículo que posiblemente se transforme en una serie a lo largo del tiempo al mismo tiempo que aprovecho para hacer limpieza.

Estos artículos son los que he encontrado estas últimas semanas, por supuesto no están todos los que son, simplemente los que más me han llamado la atención.

Ataques a empresas

Una de las últimas empresas que ha saltado a las noticias por perder datos de sus clientes ha sido Equifax. Y siguen surgiendo noticias sobre el tema

• Equifax Was Warned: lo habitual: avisas a una empresa de un fallo en el sistema y nadie te hace caso.

• Equifax reportedly used ‘admin’ as password in Argentina: que como digo siempre, al menos no era ‘1234’.

Botnets, bots y similares

Desde que apareció Mirai y se liberó su código fuente en Internet, las botnets sobre dispositivos IoT se han convertido en un problema preocupante.

Ahora tenemos aquí IoT reaper que no sólo busca dispositivos con claves por defecto como Mirai si no que además busca vulnerabilidades conocidas en los dispositivos logrando una red de botnet incluso más extensa:

• New Mirai-Linked IoT Botnet Emerges
• Researchers warn of new botnet that could take down the internet
• Botnet IoT crece en las sombras durante el mes de septiembre
• Attackers Use DDoS Pulses to Pin Down Multiple Targets

Y hablando de bots y siguiendo con el temita de los rusos influyendo en las votaciones apareció esta otra noticia:

Descubren una red de bots en Twitter que podría haber influido en la votación del Brexit

Móviles, redes y ataques a usuarios

Las redes móviles no dejan de darnos disgustos, aparte de KRACK para WPA2, aparece DUHK, un sistema para atacar routers a partir de las contraseñas almacenadas en el código.

• WPA2: Broken with KRACK. What now?
• Attack of the week: DUHK

Y por supuesto no podían faltar los clásicos enlaces de aplicaciones vulnerables:

• Tinder, Ok Cupid, Badoo y otras apps para ligar podrían exponer mensajes y ubicaciones

• XNSPY: Un Spyware para iOS nuevo en la ciudad

• Lo que faltaba, apps en Android y botnets que nos quieren usar para minar criptomonedas

• Hackers Can Steal Windows Login Credentials Without User Interaction: los archivos SCF de nuevo.

• ‘Combosquatting’ attack hides in plain sight to trick computer users

• A surge of sites and apps are exhausting your CPU to mine cryptocurrency

Una nota sobre la charla de seguridad: en ella surgió el tema de los ataques a dispositivos móviles suplantando una WiFi abierta. Surgieron dudas sobre si esto era posible o no y si el móvil almacenaba además del SSID la mac address del router. Bueno, pues desgraciadamente y si no me equivoco, sí se puede:

• Rogue AP en Windows con Intel My Wifi
• Montando un Rogue AP con Kali

El mundo físico

La separación entre mundo virtual / físico cada vez es más fina y desgraciadamente me voy acostumbrando a este tipo de noticias:

• Security flaw could have let hackers turn on smart ovens: y no sólo eso, si revisamos las noticias veremos neveras, televisores, coches e incluso aviones.

• The U.S Power Grid Isn’t Prepared for Cyberattacks

• Sistemas de comunicación marítima con vulnerabilidades típicas de hace una década: ¿alguien adivina? Inyección SQL y ejecución de código con privilegios de administración con una cuenta ‘oculta’ de administrador.

Para desarrolladores

Esta semana me he encontrado con una Web muy interesante que lista los errores de software más comunes que pueden dejar abiertas brechas de seguridad, por ejemplo podemos encontrar el ranking del 2011 2011 CWE/SANS Top 25 Most Dangerous Software Errors.

Desgraciadamente parece que se quedaron sin ganas de continuar editando el ranking en el 2013 o bien soy incapaz de encontrarlo. Si alguien tiene más información sobre el tema se lo agradecería.

Y siguiendo con el tema de ’las librerías no actualizadas son un problema de seguridad en el desarrollo’ me he encontrado con esta noticia sobre JavaScript Security vulnerabilities in JavaScript libraries are hard to avoid, que por cierto no me sorprende.

Los enlaces tontos de la semana

Por mucho que hablemos de seguridad, también hay ciertas noticias que nos hacen sonreir de cuando en cuando:

• Trabajador de la NSA filtra software espía a los rusos por estar pirateando Office: para que nos demos cuenta que en todas partes cuecen habas. Al parecer alguien buscaba un keygen para Office y acabó entregando su sistema a los rusos. Cosas que pasan.

• What Would It Look Like If We Put Warnings on IoT Devices Like We Do Cigarette Packets?: la web de Troy Hunt siempre es una mina para encontrar artículos interesantes sobre seguridad. Esta vez se pregunta que pásaría si en los dispositivos IoT pusiéramos fotos como en los paquetes de cigarrillos.

Y eso es todo por ahora, prometo seguir limpiando mi Pocket de vez en cuando, aún queda mucho en el fondo de la bolsa.