Esta semana en seguridad: Vulnerabilidades de Unicode, Truecrypt y NPM

Unicode, la maravillosa extensión a ASCII que nos da gemas como «», «», y «», ha tenido algunas ramificaciones de seguridad inesperadas. Los problemas más comunes con Unicode son problemas de seguridad visual, como la confusión de caracteres entre letras. Por ejemplo, la «M» inglesa (U+004D) es indistinguible de la «М» cirílica. (U+041C). ¿Puedes notar la diferencia entre IBM.com y IBМ.com?

Este bicho, descubierto por [John Gracey] pone de cabeza el problema común. Conocida como colisión de mapeo de casos, es la historia de diferentes personajes Unicode que se mapean con el mismo equivalente en mayúsculas o minúsculas.

$0027ß$0027.toLowerCase() === $0027SS$0027.toLowerCase() // true

// Nótese el punto sin puntos turco i

$0027John@Gıthub.com$0027.toUpperCase() === $0027John@Github.com$0027.toUpperCase()

GitHub almacena todas las direcciones de correo electrónico en su forma minúscula. Cuando un usuario envía un restablecimiento de contraseña, la lógica de GitHub funciona así: Toma la dirección de correo electrónico que solicitó el restablecimiento de la contraseña, conviértela a minúsculas y busca la cuenta que utiliza la dirección de correo electrónico convertida. Esto no sería un problema por sí mismo, pero el restablecimiento se envía a la dirección de correo electrónico que se solicitó, no a la que está en el archivo. En retrospectiva, esto es un fallo obvio, pero sin la presencia de Unicode y la posibilidad de una colisión del mapeo de casos, sería una práctica perfectamente segura.

Esta falla parece haber sido arreglada hace bastante tiempo, pero sólo fue revelada recientemente. También es un problema novedoso que afecta a Unicode y que no hemos cubierto. Curiosamente, mi investigación ha revelado un problema casi idéntico en Spotify, en 2013.


TrueCrypt y secretos alemanes

TrueCrypt es una increíble pieza de software que literalmente cambió el mundo, dando a cada usuario de computadora una solución gratuita y disponible en origen para el cifrado de discos duros. Mientras que el código fuente del programa se hizo disponible libremente, la licencia era tan extraña y restrictiva que técnicamente no es ni Software Libre, ni Software de Código Abierto. Esto impidió que se incluyera en muchas de las principales distribuciones del sistema operativo. Aún así, TrueCrypt ha sido usado por muchos, y por muchas razones, desde lo inocente hasta lo reprobable. TrueCrypt fue tan popular, que una campaña de crowdfunding recaudó suficiente dinero para financiar una auditoría profesional del código TrueCrypt en 2013.

La historia da un giro extraño a mitad de la auditoría del código fuente. Justo después de que la auditoría inicial terminara, y justo antes de que comenzara la auditoría en profundidad de la fase II, los desarrolladores de TrueCrypt anunciaron repentinamente que estaban terminando el desarrollo. El sitio web de TrueCrypt todavía muestra el anuncio: «ADVERTENCIA: El uso de TrueCrypt no es seguro, ya que puede contener problemas de seguridad no solucionados». Muchos usuarios pensaron que el momento era extraño, y especularon que había una puerta trasera de algún tipo que sería descubierta por la auditoría. La auditoría en profundidad se terminó, y aunque se descubrieron algunos problemas menores, no se descubrió nada particularmente grave.

Uno de los usuarios más sorprendentes de TrueCrypt es el gobierno alemán. Recientemente se descubrió que la BSI, la rama de seguridad de la información del gobierno alemán, realizó una auditoría sobre TrueCrypt en 2010.

Muchos gobiernos tienen ahora leyes que establecen la libertad de información, otorgando el «derecho a saber» a sus ciudadanos. Bajo estas leyes, un ciudadano puede hacer una solicitud oficial de documentación, y si tal documentación existe, el gobierno está obligado a proporcionarla, salvo unas pocas excepciones. Un ciudadano alemán hizo una solicitud oficial de información sobre TrueCrypt, particularmente en lo que se refiere a las puertas traseras conocidas del software. Sorprendentemente, ¡esa documentación sí existía!

¿El gobierno alemán había respaldado en secreto a TrueCrypt? ¿Eran parte de una conspiración? Probablemente no. Después de algunos trámites burocráticos y discusiones legales, el texto de la auditoría fue finalmente liberado y autorizado para su publicación. En 2010 se encontraron algunos problemas que todavía estaban presentes en la fuente de TrueCrypt/Veracrypt, y que se solucionaron como resultado de la publicación de este informe.


NPM Binary Planting

El Node Package Manager, ese amado repositorio de todo lo que es Javascript, recientemente sacó una actualización y anunció un par de vulnerabilidades. Las vulnerabilidades, simplemente indicadas, se debieron a la falta de cualquier comprobación de cordura al instalar los paquetes.

En primer lugar, la ruta de instalación binaria no se limpió durante la instalación, lo que significa que un paquete podría intentar interactuar con cualquier archivo del sistema de archivos de destino. Particularmente cuando se ejecuta la CLI del NPM como root, el potencial de abuso es enorme. Mientras que este primer problema se solucionó con el lanzamiento de la versión 6.13.3, un segundo problema similar aún estaba presente en ese lanzamiento.

Las rutas de instalación se desinfectan en 6.13.3, pero el segundo problema es que un paquete puede instalar un binario sobre cualquier otro archivo en su ubicación de instalación. Un paquete puede esencialmente inyectar código en otros paquetes instalados. La solución para esto fue permitir solamente que un paquete sobreescriba los archivos binarios que son propiedad de ese paquete.

El lado positivo es que el usuario debe instalar un paquete comprometido para que le afecte. El efecto también se mitiga en gran medida al ejecutar NPM como usuario no root, lo que parece ser una buena práctica.


Google Cloud Shell

Google proporciona un montón de servicios en torno a su oferta en la nube y ofrece la muy útil interfaz Cloud Shell basada en la web para la gestión de esos servicios. Un investigador de Offensi pasó algún tiempo buscando vulnerabilidades, y se le ocurrieron 9 de ellas. El primer paso fue identificar el entorno de ejecución, que en este caso era una imagen docker. Un socket que apuntaba al sistema anfitrión se dejó expuesto, permitiendo al investigador escapar fácilmente del contenedor Docker. A partir de ahí, fue capaz de arrancar algunas herramientas de depuración, y ponerse a trabajar en la búsqueda de vulnerabilidades.

Las vulnerabilidades que se detallan son interesantes por sí mismas, pero el proceso de buscar y encontrarlas es el más interesante para mí. Google incluso patrocinó un video de YouTube que detalla la investigación, incrustado a continuación:


Probabilidades y extremos

¿Usar un iPhone para romper la seguridad de una máquina de Windows? El controlador del iPhone establece los permisos para un determinado archivo cuando se conecta un iPhone a la máquina. Ese archivo podría ser un enlace directo a un archivo de sistema importante, y el controlador del iPhone puede hacer que ese archivo arbitrario se pueda escribir sin querer.

El servidor web de Nginx está siendo retenido actualmente como rehén. Aparentemente los programadores que originalmente escribieron Nginx estaban trabajando para una compañía de tecnología en ese momento, y ahora que el proyecto Nginx ha sido adquirido, esa compañía ha reclamado la propiedad del código. Es probable que sólo sea una reclamación fraudulenta, pero las repercusiones podrían ser de gran alcance si esa reclamación se mantiene.

OpenBSD ha arreglado una simple escalada de privilegios, donde se llama a un binario setuid con un LD_LIBRARY_PATH muy extraño – un solo punto, y muchos dos puntos. Esto engaña al cargador para que cargue una biblioteca propiedad del usuario, pero con privilegios de root.

Cómo imprimir en 3D su gemelo idéntico

Cómo imprimir en 3D su gemelo idéntico

Es posible pasar un fin de semana agradable recorriendo una ciudad con un recorte de cartón robado de algún expositor ...
Leer Más
La radio definida por software obtiene el control físico

La radio definida por software obtiene el control físico

La Radio Definida por Software (SDR) es una gran tecnología, pero hay algo muy satisfactorio en girar una perilla física ...
Leer Más
Recocido de impresiones 3D: Un enfoque científico

Recocido de impresiones 3D: Un enfoque científico

A todos nos han enseñado el método científico: Formar una hipótesis, hacer algunos experimentos, reunir algunos datos, y probar o ...
Leer Más
Esta CPU sólo tiene una instrucción

Esta CPU sólo tiene una instrucción

La mayoría de nosotros estaremos familiarizados en algún nivel con el funcionamiento de un CPU básico, normalmente a través de ...
Leer Más
Jonas Salk, virólogo y vanguardia de la vacunación

Jonas Salk, virólogo y vanguardia de la vacunación

A principios de la década de 1950, lo único que daba más miedo que la amenaza de una guerra nuclear ...
Leer Más
Ruedas de robot pequeñas Super Easy

Ruedas de robot pequeñas Super Easy

Cualquiera que haya profundizado en las ruedas de bricolaje sabe que son más complicadas de lo que parece, especialmente si ...
Leer Más
Electrodos usados de electroerosión repotenciados como cojinetes de aire para máquinas herramientas de precisión

Electrodos usados de electroerosión repotenciados como cojinetes de aire para máquinas herramientas de precisión

Si alguna vez ha jugado al hockey sobre aire, sabe cómo los pequeños chorros de aire que salen de los ...
Leer Más
Las simples placas de acrílico hacen que la fotografía de Kirlian sea una brisa

Las simples placas de acrílico hacen que la fotografía de Kirlian sea una brisa

Lo sabemos, lo sabemos - "Fotografía Kirlian" es un término cargado de bagaje pseudocientífico. Los investigadores de lo paranormal han ...
Leer Más
Barcaderator es un arcade de monedas arriba y Kegerator abajo

Barcaderator es un arcade de monedas arriba y Kegerator abajo

Es común en nuestra comunidad que un gabinete de arcada que ha expirado su vida sea reutilizado como un gabinete ...
Leer Más
Elegante y sofisticado clasificador de bolos

Elegante y sofisticado clasificador de bolos

Clasificar los dulces por color es un problema clásico que tiene sus raíces en los contratantes de las estrellas de ...
Leer Más
Escucha tus pies, tienen mucho que decirte

Escucha tus pies, tienen mucho que decirte

[Umar Qattan] está en sintonía con su suela y se esfuerza por escuchar lo que tiene que decir. En un ...
Leer Más
Motorizar un cortador de plasma en el barato

Motorizar un cortador de plasma en el barato

Un cortador de plasma manual es una excelente herramienta para tener si usted está trabajando con láminas de metal, pero ...
Leer Más
Sustancias Raras: Baba de Pez Bruja

Sustancias Raras: Baba de Pez Bruja

En los fríos y oscuros recovecos de los fondos marinos de todo el mundo, los peces brujos se deslizan como ...
Leer Más
Hoja de cálculo del DSP: Hablar con uno mismo usando IQ

Hoja de cálculo del DSP: Hablar con uno mismo usando IQ

Hemos hecho bastante con Google Sheets y el procesamiento de señales: hemos generado señales, creado filtros y calculado señales de ...
Leer Más
Un novato toma el desafío de SMD en Supercon

Un novato toma el desafío de SMD en Supercon

Los que visitan por primera vez Disneyworld suelen pensar ingenuamente que van a "hacer" el parque en tres días: un ...
Leer Más
Ted La Tostadora Parlanchina

Ted La Tostadora Parlanchina

El equipo detrás de [8 Bits and a Byte] ha construido una tostadora parlante. Más exactamente, han actualizado su tostadora ...
Leer Más
Está ayudando a Santa Claus a matar este año

Está ayudando a Santa Claus a matar este año

Conocemos al menos a una persona que debería estar en la lista de los "buenos" de Santa este año. Probablemente ...
Leer Más
NET a FPGA con Hastlayer

NET a FPGA con Hastlayer

Hay muchas maneras de usar las FPGAs. Una de ellas es convertir el software de computación en hardware. Esto puede ...
Leer Más
Restaurando un radio de garganta dorada de 1949

Restaurando un radio de garganta dorada de 1949

El Sr. Carlson tiene una hermosa radio antigua de 1949 que debe restaurar y pueden verlo hacerlo en un video ...
Leer Más
Llevando el Cartucho de NES a la era USB

Llevando el Cartucho de NES a la era USB

Un cartucho de NES en su forma más básica es un dispositivo sorprendentemente simple, contiene dos ROMs que albergan todo ...
Leer Más
La aplicación de teléfono de AI aprende las señales de béisbol

La aplicación de teléfono de AI aprende las señales de béisbol

Ver un deporte puede ser un poco extraño si no estás familiarizado con él. La mayoría de los estadounidenses, por ...
Leer Más
InstaBeat comenzó con un respiro

InstaBeat comenzó con un respiro

[Tom] enseña electrónica con este pequeño reproductor de MP3 programable, pero no se inició como una herramienta de enseñanza. Como ...
Leer Más
Entrenando murciélagos en el bosque al azar con la matriz de confusión

Entrenando murciélagos en el bosque al azar con la matriz de confusión

Cuando se explora el ámbito del Aprendizaje Automático, siempre es bueno tener algunos datos reales e interesantes con los que ...
Leer Más
Control de los temblores en el momento en que ocurren

Control de los temblores en el momento en que ocurren

Algunos trastornos neurológicos, como el mal de Parkinson, pueden causar temblores musculares que pueden empeorar con el paso del tiempo ...
Leer Más
Cultivando guisantes: Cómo plantar, cultivar y cosechar guisantes verdes

Cultivando guisantes: Cómo plantar, cultivar y cosechar guisantes verdes

¡Los guisantes verdes son la bomba absoluta! ¿Por qué lo preguntas? Bueno, porque cuando se pueden plantar guisantes verdes, eso ...
Leer Más
El flash se carga en 40 segundos gracias a los supercondensadores

El flash se carga en 40 segundos gracias a los supercondensadores

Todos hemos cometido el pecado de hacer un pequeño robot arduino y hacerlo funcionar con pilas AA. Little Flash es ...
Leer Más
La Guía de Jóvenes Ingenieros para los Proyectos Finales de la Universidad

La Guía de Jóvenes Ingenieros para los Proyectos Finales de la Universidad

Las carreras de ingeniería son tan amplias y variadas como las carreras potenciales que se ofrecen en el mundo real ...
Leer Más
Te veo en el lado oscuro de la luna: Observatorio de la Radio Lunar de China

Te veo en el lado oscuro de la luna: Observatorio de la Radio Lunar de China

Durante casi todo el tiempo que ha habido radio, ha habido antenas entrenadas en el cielo, mirando el universo de ...
Leer Más
Aviso de contenido copiado - Consejos para mi huerto

Aviso de contenido copiado – Consejos para mi huerto

Message for [email protected] in English: This image and this website belong to www.consejosparamihuerto.com. All the existing content at https://zovabassu.tk/ has ...
Leer Más
Inyecte las pulsaciones de teclas como quiera con este inyector de pulsaciones de teclas Bluetooth

Inyecte las pulsaciones de teclas como quiera con este inyector de pulsaciones de teclas Bluetooth

[Amirreza Nasiri] envía este genial inyector de pulsaciones de teclas USB. El dispositivo consiste en un Arduino, un módulo Bluetooth ...
Leer Más

Deja un comentario