La semana pasada no hubo noticias sobre la seguridad de la información digna de una descripción detallada en el resumen. Esto no significa que no haya pasado nada; tal situación parece ser completamente imposible. Quien simplemente no pirateó. Bueno, en compensación por la
obra anterior sobre una red teórica de un ataque similar a Spectre hoy hablaremos de dos ataques reales y un circo con caballos con la participación de John McAfee.
Reddit fue pirateado simplemente. Es decir, no, no es así. Reddit, como una comunidad bastante específica y bastante popular al mismo tiempo, probablemente esté expuesta a absolutamente todos los tipos posibles de ataques cibernéticos y en realidad está bastante bien protegida. Esta conclusión puede extraerse tanto de una historia absolutamente honesta sobre un ataque exitoso reciente, como del hecho de que en el pasado parece que no hubo tales historias. El ataque fue complicado, pero es fácil describir la razón del hack exitoso: eludieron la autenticación de dos factores.
Reddit publicó una descripción detallada del incidente (¡Capitán!)
En Reddit .
Aquí puedes leer el recuento en ruso. Los empleados de la compañía se enteraron del ataque el 19 de junio. Del 14 al 18 de junio, los atacantes tuvieron acceso parcial a la infraestructura interna de la organización, rompiendo en varias cuentas de empleados. Todas las cuentas con acceso a información importante estaban protegidas por 2FA, pero lograron evitarlo mediante la intercepción de SMS.
Los detalles de esta intercepción no fueron revelados, aunque una nota en el sitio web de Wired
sugirió que había una tarjeta SIM duplicada. Tal ataque podría detectarse más rápidamente, especialmente si se robaron varias cuentas. De una forma u otra, los crackers obtuvieron acceso parcial al almacenamiento en la nube. Allí, accedieron a una base de datos con inicios de sesión, direcciones y contraseñas de usuarios de Reddit hasta 2007 (Reddit se lanzó en 2005). Todos los mensajes de los usuarios se almacenaron allí, incluidos los mensajes privados, pero solo en los primeros dos años de existencia del sitio.
Por lo tanto, los primeros usuarios de Reddit fueron los que más sufrieron. Además, se obtuvo acceso a los registros del servidor de correo. De ellos puede averiguar quién recibió la lista de correo del sitio del 3 al 17 de junio de 2018. El problema es que estos registros se pueden usar para asociar un nombre de usuario en Reddit con una dirección de correo: esta información se puede usar más tarde, por ejemplo, para ataques de phishing. ¿Qué se ha hecho? Se han tomado medidas para evitar un nuevo ataque, incluida la transición a la autenticación de dos factores mediante tokens físicos. Gracias a la autorización con tokens, desde principios de 2017, Google
no registró un solo ataque de phishing exitoso.
200 mil enrutadores MikroTik están infectados por un minero→
NoticiasEn abril de este año, se
descubrió y cerró una vulnerabilidad de día cero
en los enrutadores MikroTik. Un error en la implementación del sistema de control remoto Winbox hizo posible extraer una base de datos de usuarios en la que había suficiente información para obtener un control completo sobre el enrutador. La vulnerabilidad en ese momento ya era explotada por los atacantes, pero la escala del ataque era pequeña. El parche que cubre el problema se lanzó dentro de las 24 horas, pero todos saben con qué
rapidez los propietarios de los enrutadores, incluso los profesionales, actualizan el software.
La semana pasada, el sitio web BleepingComputer recopiló información de tres fuentes diferentes y contó hasta doscientos mil enrutadores Mikrotik pirateados utilizando la vulnerabilidad de abril e incrustando el código minero de criptomonedas Coinhive en páginas web. Es decir, todos los usuarios conectados al enrutador pirateado comienzan a arrendar su potencia informática en alquiler para la minería. El ataque funciona en ambos sentidos: si un sitio web está alojado "detrás del enrutador", sus visitantes también reciben una carga perjudicial en el código del sitio. En algunos casos, el código minero no se insertó en todas las páginas web, sino solo en las generadas por el enrutador, por ejemplo, mensajes de error sobre el acceso al sitio. El motor de búsqueda IoT de Shodan indexa 1,7 millones de enrutadores Mikrotik visibles desde la web. Según esta figura, se puede observar una parte bastante seria de dispositivos ya infectados y oportunidades para expandir la botnet de criptomonedas.
Saga de billetera irrompible de criptomonedaBien, esto no es una saga, sino una broma. Cualquier área de la economía nacional se vuelve más divertida si John McAfee está involucrado en ella. El 27 de julio, el fundador de McAfee Security, quien recientemente dirigió toda su atención de la seguridad de la información a las criptomonedas, anunció una recompensa de $ 100 mil por piratear la billetera de criptomonedas Bitfi.
La billetera Bitfi se anuncia como absolutamente segura, pero también es un dispositivo conveniente para almacenar y trabajar con claves de acceso de criptomonedas. Y el propio John McAfee está promoviendo activamente Bitfi como un dispositivo absolutamente irrompible, de ahí la recompensa. La declaración de McAfee causó, digamos, una mayor frustración entre la comunidad de expertos en seguridad, por dos razones. En primer lugar, decir que algo no puede ser pirateado son malos modales. En segundo lugar, las condiciones propuestas por el fabricante de billeteras Bitfi están lejos del programa estándar Bug Bounty. Se
invita a los
participantes a comprar Bitfi con una clave "vertida" sobre ella, que les da acceso al dinero. Si se puede robar esta clave, una criptomoneda "robada" y cien mil dólares de arriba también se consideran como una recompensa.
¡Pero la seguridad real no tiene nada que ver con eso! Puede cifrar datos, ponerlos en una unidad flash USB y nadie puede descifrarlos sin una clave. La conclusión es qué tan confiablemente funciona el dispositivo en la práctica al acceder a datos confidenciales. ¿Es posible interceptar un secreto durante la transmisión? ¿Puedo robar un PIN para acceder a mi billetera? En teoría, es necesario responder a la pregunta de cómo funcionará el dispositivo en condiciones reales y no qué tan bien se cifrará el dinero cifrado cifrado en él.
No es que John McAfee y Bitfi en su conjunto lo detuvieran. Unos días después del anuncio, la recompensa por romper la billetera se incrementó a 250 mil dólares manteniendo las condiciones. Los investigadores de PenTestPartners en Twitter los han culpado por competir con los reclamos de PenTestPartners. En respuesta a esto, PenTestPartners
compró el dispositivo y lo desarmó. En el interior se encontró una plataforma de teléfonos inteligentes MediaTek ligeramente despojada con Android modificado, con todas las puertas traseras incorporadas "casi"
típicas de un teléfono inteligente chino barato. Cuando un
investigador holandés independiente encontró una forma bastante simple de obtener derechos de superusuario en el dispositivo, la cuestión de la seguridad de la billetera podría considerarse cerrada. Pero Bitfi no se rindió:
Luego tenemos un dispositivo en el que no hay software ni memoria. Entonces, los derechos de la raíz no le permiten romper la billetera. Debemos rendir homenaje: en algún momento, Bitfi se disculpó por el comportamiento de cierto empleado responsable de los tweets, dejó de responder a todos de acuerdo con la plantilla de "engañarse a sí mismo", pero no mejoró. En el momento de la publicación, la historia continúa evolucionando: los investigadores desmantelan la billetera criptográfica y encuentran nuevos problemas, Bitfi y McAfee viajan en un carro exagerado en un círculo.
Todo esto, por supuesto, es increíblemente ridículo si no fuera un poco triste bajar la calidad de la discusión sobre seguridad al nivel de una discoteca rural. Los estándares de seguridad de los dispositivos, desde las criptomonedas hasta
las cerraduras inteligentes y los automóviles, no están particularmente definidos por nadie. Aunque la mayoría de los involucrados en la seguridad de la información cumplen con los estándares de decencia, a veces aparecen billeteras "irrompibles", cerraduras "ultra confiables" y otros frutos de fantasías de marketing. Sin embargo, la realidad generalmente pone todo en su lugar.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.