T3 Ep140: ¿Crees que conoces el ransomware?

¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

DOUG.  Problemas con el enrutador, Megaupload en megaproblemas y más caos de MOVEit.

Todo eso y más en el podcast Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás?

---

PATO.  Solo una desambiguación para nuestros oyentes británicos y de inglés de la Commonwealth, Doug...

---

DOUG.  "Enrutador". [ESTILO DEL REINO UNIDO PRONUNCIADO COMO 'ROOTER', NO AL ESTILO DE EE. UU. COMO 'ROWTER']

---

PATO.  Supongo que no te refieres a las herramientas para trabajar la madera.

---

DOUG.  ¡No! [RISAS]

---

PATO.  ¿Te refieres a las cosas que permiten a los delincuentes entrar en tu red si no se reparan a tiempo?

---

DOUG.  ¡Sí!

---

PATO.  ¿Dónde el comportamiento de lo que llamaríamos un 'ROOTER' le hace a su red más como lo que le haría un 'ROWTER' al borde de su mesa? [RISAS]

---

DOUG.  ¡Exactamente! [RISAS]

Llegaremos a eso en breve.

Pero primero, nuestro Esta semana en la historia de la tecnología segmento.

Paul, esta semana, el 18 de junio, allá por 1979: un gran paso adelante para la informática de 16 bits cuando Microsoft lanzó una versión de su lenguaje de programación BASIC para los procesadores 8086.

Esta versión era compatible con versiones anteriores de procesadores de 8 bits, lo que hacía que BASIC, que había estado disponible para los procesadores Z80 y 8080, y ya se encontraba en unas 200,000 computadoras, fuera una flecha en la aljaba de la mayoría de los programadores, Paul.

---

PATO.  ¡Lo que se convertiría en GW-BASIC!

No sé si esto es cierto, pero sigo leyendo que GW-BASIC significa "GEE WHIZZ!" [RISAS]

---

DOUG.  ¡Ja! [RISA]

---

PATO.  No sé si eso es cierto, pero me gusta pensar que lo es.

---

DOUG.  Muy bien, entremos en nuestras historias.

Antes de que lleguemos a lo que está en las noticias, nos complace, más aún, nos emociona, anunciar el primero de los tres episodios de ¿Crees que conoces el ransomware?

Esta es una serie documental de 48 minutos de tus amigos de Sophos.

“The Ransomware Documentary”: ¡una nueva serie de videos de Sophos que comienza ahora!

El primer episodio, llamado Orígenes del ciberdelito, ya está disponible para su visualización en https://sophos.com/ransomware.

El episodio 2, que se llama Cazadores y Cazados, estará disponible el 28 de junio de 2023.

Episodio 3, armas y guerreros, caerá el 5 de julio de 2023.

Compruébalo en https://sophos.com/ransomware.

He visto el primer episodio, y es genial.

Responde a todas las preguntas que puedas tener sobre los orígenes de este flagelo que seguimos combatiendo año tras año, Paul.

---

PATO.  Y se alimenta muy bien de lo que los oyentes habituales sabrán que es mi dicho favorito (espero no haberlo convertido en un cliché a estas alturas), a saber: Los que no pueden recordar la historia están condenados a repetirla.

¡No seas esa persona! [RISAS]

---

DOUG.  Muy bien, sigamos con el tema del crimen.

Tiempo en prisión para dos de los cuatro fundadores de Megaupload.

¿Infracción de derechos de autor en cuestión aquí, Paul, y alrededor de una década en proceso?

El dúo de Megaupload finalmente irá a prisión, pero Kim Dotcom sigue luchando...

---

PATO.  Sí.

¿Recuerdas la semana pasada cuando parafraseé ese chiste sobre “Oh, sabes cómo son los autobuses? ¿Ninguno viene por mucho tiempo, y luego llegan tres a la vez? [RISA]

Pero tuve que convertirlo en "dos llegan a la vez"...

…y apenas lo dije llegó el tercero. [RISA]

Y esto está fuera de Nueva Zelanda, o Aotearoa, como se le conoce alternativamente.

Megaupload fue uno de los primeros servicios infames llamados "bloqueo de archivos".

Eso no es un "bloqueador de archivos" como en ransomware que bloquea sus archivos.

Es un "casillero de archivos" como un casillero de gimnasio... el lugar en la nube donde subes archivos para que puedas obtenerlos más tarde.

Ese servicio fue eliminado, principalmente porque el FBI en los EE. UU. recibió una orden de eliminación y alegó que su propósito principal en realidad no era tanto ser un mega servicio de *carga* sino un megaservicio de *descarga*, el modelo comercial de los cuales se basaba en fomentar e incentivar la infracción de los derechos de autor.

El fundador principal de este negocio es un nombre bien conocido: Kim Dotcom.

Y ese realmente es su apellido.

Cambió su nombre (creo que originalmente era Kim Schmitz) a Kim Dotcom, creó este servicio y ha estado luchando contra la extradición a los EE. UU. y continúa haciéndolo, a pesar de que los tribunales de Aotearoa han dictaminado que no hay razón no ser extraditado.

Uno de los otros cuatro, un tipo llamado Finn Batato, lamentablemente murió de cáncer el año pasado.

Pero dos de los otros individuos que fueron los principales impulsores del servicio Megaupload, Mathias Ortmann y Bram van der Kolk...

…lucharon contra la extradición (usted puede entender por qué) a los EE. UU., donde potencialmente enfrentaron grandes sentencias de prisión.

Pero finalmente parecían haber llegado a un acuerdo con los tribunales de Nueva Zelanda [Nueva Zelanda/Aotearoa] y con el FBI y el Departamento de Justicia de los Estados Unidos.

Acordaron ser procesados ​​en Nueva Zelanda, declararse culpables y ayudar a las autoridades estadounidenses en su investigación en curso.

Y terminaron con penas de prisión de 2 años 7 meses y 2 años 6 meses respectivamente.

---

DOUG.  El juez en ese caso tenía algunas observaciones interesantes, creo.

---

PATO.  Creo que tienes razón, Doug.

En particular, que no se trataba de que el tribunal dijera: "Aceptamos el hecho de que estas megacorporaciones masivas en todo el mundo perdieron miles y miles de millones de dólares".

De hecho, el juez dijo que hay que tomar esas afirmaciones con pinzas y citó pruebas para sugerir que no se puede decir simplemente que todos los que descargaron un video pirateado habrían comprado el original.

Así que no se pueden sumar las pérdidas monetarias de la forma en que les gusta hacerlo a algunos de los megacuerpos.

Sin embargo, dijo, eso no lo hace correcto.

Y lo que es más importante, dijo: "Realmente también lastimaste a los pequeños, y eso es igual de importante".

Y citó el caso de un desarrollador de software independiente de la Isla Sur de Nueva Zelanda que había escrito a la corte para decir: “Me di cuenta de que la piratería estaba haciendo mella en mis ingresos. Descubrí que 10 o 20 veces tuve que apelar a Megaupload para que eliminara el contenido infractor; me tomó mucho tiempo hacer eso, y nunca hizo la más mínima diferencia. Así que no estoy diciendo que ellos sean completamente responsables por el hecho de que ya no podía ganarme la vida con mi negocio, pero estoy diciendo que hice todo este esfuerzo para que eliminaran las cosas que dijeron que haría, pero nunca funcionó.”

En realidad, eso salió en otra parte del juicio... que tiene 38 páginas, por lo que es una lectura bastante larga, pero es muy legible y creo que vale la pena leerlo.

En particular, el juez les dijo a los acusados ​​que tenían que asumir la responsabilidad por el hecho de que admitieron que no querían ser demasiado duros con los infractores de derechos de autor porque “El crecimiento se basa principalmente en la infracción”.

Y también señaló que idearon un sistema de eliminación que, básicamente, si había varias URL para descargar el mismo archivo...

…mantuvieron una copia del archivo, y si te quejabas de la URL, eliminarían *esa URL*.

---

DOUG.  ¡Ah, ja!

---

PATO.  Entonces uno pensaría que habían eliminado el archivo, pero dejarían el archivo allí.

Y lo describió de la siguiente manera: “Sabías, y tenías la intención, de que los derribos no tendrían ningún efecto material”.

Que es exactamente lo que este desarrollador de software indie Kiwi había afirmado en su declaración ante el tribunal.

Y ciertamente deben haber ganado mucho dinero con eso.

Si miras las fotos de la controvertida incursión en Kim Dotcom en 2012...

…tenía esta enorme propiedad, y todos estos autos llamativos con matrículas extrañas [etiquetas de vehículos] como GOD y GUILTY, como si estuviera anticipando algo. [RISAS]

El derribo de Megaupload aparece en los titulares y las olas cuando el Sr. Dotcom solicita la libertad bajo fianza

Entonces, Kim Dotcom todavía está luchando contra su extradición, pero estos otros dos han decidido que quieren acabar con todo.

Así que se declararon culpables y, como algunos de nuestros comentaristas han señalado en Naked Security, "Dios mío, por lo que parece que hicieron cuando lees la sentencia en detalle, parece que su sentencia fue leve".

Pero la forma en que se calculó es que el juez pensó que las sentencias máximas que deberían recibir según la ley de Aotearoa deberían ser de unos 10 años.

Y luego pensó, basándose en el hecho de que se declaraban culpables, que iban a cooperar, que iban a devolver $10 millones, y así sucesivamente, que deberían obtener un 75% de descuento.

Y tengo entendido que eso significa que van a acabar con este temor de que serán extraditados a los EE. UU., porque tengo entendido que el Departamento de Justicia ha dicho: "Está bien, dejaremos que la condena y la sentencia se lleven a cabo en otro país". .”

Más de diez años después, ¡y todavía no ha terminado!

Será mejor que lo digas, Doug...

---

DOUG.  ¡Sí!

Estaremos atentos a esto.

Gracias; Vamonos.

Si tiene un enrutador ASUS, es posible que tenga que hacer algunos parches, aunque aquí hay una línea de tiempo bastante turbia para algunas vulnerabilidades bastante peligrosas, Paul.

ASUS advierte a los clientes de enrutadores: Parche ahora o bloquee todas las solicitudes entrantes

---

PATO.  Sí, no está muy claro cuándo salieron estos parches para los diversos modelos de enrutadores que se enumeran en el aviso.

Algunos de nuestros lectores están diciendo: “Bueno, fui y eché un vistazo; Tengo uno de esos enrutadores y está en la lista, pero no hay parches *ahora*. Pero hace un tiempo recibí algunos parches que parecían solucionar estos problemas... entonces, ¿por qué el aviso *ahora*?

Y la respuesta es: "No lo sabemos".

Excepto, tal vez, que ASUS ha descubierto que los ladrones están detrás de estos.

Pero no es solo, "Oye, te recomendamos parchear".

Dicen que necesita parchear, y si no quiere o no puede hacerlo, entonces nosotros "Recomiendo encarecidamente (que básicamente significa 'mejor') deshabilitar los servicios accesibles desde el lado WAN de su enrutador para evitar posibles intrusiones no deseadas".

Y esa no es solo su advertencia típica: "Oh, asegúrese de que su interfaz de administración no esté visible en Internet".

Están notando que lo que quieren decir con bloquear las solicitudes entrantes es que necesitas apagar básicamente *todo* lo que implica que el enrutador acepte que el exterior inicie alguna conexión de red...

…incluida la administración remota, el reenvío de puertos (mala suerte si lo usa para juegos), DNS dinámico, cualquier servidor VPN y lo que llaman activación de puertos, que supongo que es activación de puertos, donde espera una conexión en particular y solo cuando vea esa conexión, luego inicie un servicio localmente.

Por lo tanto, no son solo las solicitudes web las que son peligrosas aquí, o que pueda haber algún error que permita a alguien iniciar sesión con un nombre de usuario secreto.

Es toda una gama de diferentes tipos de tráfico de red que, si puede llegar a su enrutador desde el exterior, podría dañar su enrutador, al parecer.

¡Así que suena terriblemente urgente!

---

DOUG.  Las dos principales vulnerabilidades aquí...

…hay una base de datos nacional de vulnerabilidades, la NVD, que califica las vulnerabilidades en una escala del uno al diez, y ambas son 9.8/10.

Y luego hay un montón de otros que son 7.5, 8.1, 8.8... un montón de cosas que son bastante peligrosas aquí. Pablo.

---

PATO.  Sí.

"9.8 CRÍTICO", todo en mayúsculas, es el tipo de cosa que significa [SUSURRA], "Si los ladrones se dan cuenta de esto, van a estar por todas partes como una erupción".

Y lo que quizás sea lo más extraño de esas dos vulnerabilidades con puntaje de maldad de 9.8/10 es que una de ellas es CVE-2022-26376, y eso es un error en HTTP sin escape, que es básicamente cuando tienes una URL con caracteres divertidos, como, espacios…

…legalmente no puede tener un espacio en la URL; tienes que poner %20 en cambio, su código hexadecimal.

Eso es bastante fundamental para procesar cualquier tipo de URL en el enrutador.

¡Y ese fue un error que se reveló, como puede ver en el número, en 2022!

Y hay otro en el llamado protocolo Netatalk (que brinda soporte para computadoras Apple) que fue la vulnerabilidad, Doug, CVE-2018-1160.

---

DOUG.  ¡Eso fue hace mucho tiempo!

---

PATO.  ¡Era!

De hecho, se arregló en una versión de Netatalk que creo que fue la versión 3.1.12, que salió el 20 de diciembre *2018*.

Y solo están advirtiendo sobre "necesita obtener la nueva versión de Netatalk" en este momento, porque eso también, al parecer, puede ser explotado a través de un paquete deshonesto.

Así que no necesitas una Mac; no necesita el software de Apple.

Solo necesita algo que hable Netatalk de una manera dudosa, y puede darle acceso de escritura de memoria arbitrario.

Y con un puntaje de error de 9.8/10, debe asumir que eso significa "un extraño remoto ingresa en uno o dos paquetes de red, se apodera completamente de su enrutador con acceso de nivel raíz, ¡horror de ejecución remota de código!"

Entonces, ¿por qué les tomó tanto tiempo advertir a las personas que necesitaban corregir este error de cinco años?

…y no se explica por qué en realidad no tenían la solución para el error de hace cinco años.

---

DOUG.  Bien, entonces hay una lista de enrutadores que debe verificar, y si no puede parchear, se supone que debe hacer todo eso "bloquear todas las cosas entrantes".

Pero creo que nuestro consejo sería parchear.

Y mi consejo favorito: Si eres programador, ¡desinfecta tus entradas, por favor!

---

PATO.  Sí, Little Bobby Tables ha aparecido una vez más, Doug.

Porque uno de los otros errores que no estaba en el nivel 9.8 (esto estaba en el nivel 7/10 u 8/10) era CVE-2023-28702.

Es básicamente el error de tipo MOVEit de nuevo: Los caracteres especiales sin filtrar en la entrada de URL web podrían causar la inyección de comandos.

Eso suena como un pincel bastante amplio para que los ciberdelincuentes pinten.

Y hubo CVE-2023-31195 que llamó mi atención, bajo la apariencia de un Secuestro de sesión.

Los programadores estaban configurando lo que son esencialmente cookies de token de autenticación... esas cadenas mágicas que, si el navegador puede retroalimentarlas en solicitudes futuras, le demuestra al servidor que anteriormente en la sesión el usuario inició sesión, tenía el nombre de usuario correcto, la contraseña correcta , el código 2FA correcto, lo que sea.

Y ahora traen esta mágica “tarjeta de acceso”.

Por lo tanto, se supone que debe etiquetar esas cookies, cuando las configura, para que nunca se transmitan en solicitudes HTTP sin cifrar.

De esa manera, es mucho más difícil que un ladrón los secuestre... ¡y se olvidaron de hacerlo!

Así que eso es otra cosa para los programadores: Vaya y revise cómo establece cookies realmente importantes, aquellas que contienen información privada o tienen información de autenticación, y asegúrese de no dejarlas abiertas a una exposición fácil e inadvertida.

---

DOUG.  Estoy marcando esto (en contra de mi mejor juicio, pero esta es la segunda de dos historias hasta ahora) como una que estaremos vigilando.

---

PATO.  Creo que tienes razón, Doug, porque realmente no sé por qué, dado que para algunos de los enrutadores estos parches ya habían aparecido (aunque más tarde de lo que hubieras querido)… ¿por qué *ahora*?

Y supongo que esa parte de la historia aún debe emerger.

---

DOUG.  Resulta que absolutamente no podemos *no* mantener un ojo en esta historia de MOVEit.

Entonces, ¿qué tenemos esta semana, Paul?

MOVEit mayhem 3: "Deshabilitar el tráfico HTTP y HTTPS inmediatamente"

---

PATO.  Bueno, lamentablemente para Progress Software, el tercer autobús apareció de inmediato, por así decirlo. [RISA]

Entonces, solo para recapitular, el primero fue CVE-2023-34362, que es cuando Progress Software dijo: “¡Oh, no! Hay un día cero, realmente no sabíamos nada de esto. Es una inyección SQL, un problema de inyección de comandos. Aquí está el parche. Pero fue un día cero, y nos enteramos porque los ladrones de ransomware, ladrones de extorsión, estaban explotando esto activamente. Estos son algunos indicadores de compromiso [IoC]”.

Así que hicieron todo lo correcto, tan rápido como pudieron, una vez que supieron que había un problema.

Luego fueron y revisaron su propio código, pensando: "Sabes qué, si los programadores cometieron ese error en un lugar, tal vez cometieron errores similares en otras partes del código".

Y eso condujo a CVE-2023-35036, donde repararon proactivamente los agujeros que eran como el original, pero hasta donde sabían, los encontraron primero.

Y, he aquí, hubo entonces una tercera vulnerabilidad.

Este es CVE-2023-35708, donde parece que la persona que lo encontró, seguramente sabiendo muy bien que Progress Software estaba completamente abierto a una divulgación responsable y una reacción rápida...

… decidió hacerlo público de todos modos.

Así que no sé si llamas a eso "divulgación completa" (creo que ese es el nombre oficial), "divulgación irresponsable" (he oído que otras personas en Sophos se refieren a ella de esa manera) o "caída 0-day for fun”, que es como lo pienso.

Así que eso fue un poco de lástima.

Entonces, Progress Software dijo: “Mira, alguien dejó caer este día 0; no lo sabíamos; estamos trabajando en el parche. En este pequeño período intermedio, simplemente apague su interfaz web (sabemos que es una molestia) y déjenos terminar de probar el parche”.

Y dentro de aproximadamente un día dijeron: “Bien, aquí está el parche, ahora aplícalo. Luego, si lo desea, puede volver a activar su interfaz web”.

Así que creo que, en general, aunque es una mala imagen de Progress Software por tener los errores en primer lugar...

… si esto te sucede alguna vez, entonces seguir su tipo de respuesta es, en mi opinión, una forma bastante decente de hacerlo.

---

DOUG.  Sí, tenemos elogios para Progress Software, incluido nuestro comentario de esta semana sobre esta historia.

Adán comenta:

Últimamente parece difícil para MOVEit, pero los aplaudo por su trabajo rápido, proactivo y aparentemente honesto.

En teoría, podrían haber tratado de mantener todo esto en secreto, pero en cambio han sido bastante directos sobre el problema y lo que se debe hacer al respecto.

Por lo menos, los hace parecer más dignos de confianza a mis ojos...

…y creo que ese es un sentimiento que también se comparte con otros, Paul.

---

PATO.  Ciertamente así es.

También hemos escuchado lo mismo en nuestros canales de redes sociales: que aunque es lamentable que hayan tenido el error, y todos desearían no tenerlo, todavía se inclinan a confiar en la compañía.

De hecho, pueden estar inclinados a confiar en la empresa más que antes, porque creen que mantienen la cabeza fría en una crisis.

---

DOUG.  Muy bueno.

Muy bien, gracias, Adam, por enviar eso.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

---

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]