T3 Ep125: Cuando el hardware de seguridad tiene agujeros de seguridad [Audio + Texto]

T3 Ep125: Cuando el hardware de seguridad tiene agujeros de seguridad [Audio + Texto]

Marca de tiempo: 9 de marzo de 2023 1:58 p.m.
T3 Ep125: Cuando el hardware de seguridad tiene agujeros de seguridad [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.
by Paul patito

¡DEBES TENER ESTE CHIP! ¡AUNQUE TENGA ERRORES!

Memorias de Miguel Ángel (el virus, no el artista). Errores de fuga de datos en TPM 2.0. Secuestro de datos busto, Secuestro de datos advertenciay consejos contra el ransomware.

¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.   Ransomware, más ransomware y vulnerabilidades de TPM.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás hoy?

PATO.   Nieve y aguanieve, Doug.

Así que fue un viaje frío al estudio.

Estoy usando comillas de aire... no para "paseo", para "estudio".

No es realmente un estudio, ¡pero es *mi* estudio!

Un pequeño espacio secreto en la sede de Sophos para grabar el podcast.

¡Y es encantador y cálido aquí, Doug!

DOUG.   Muy bien, si alguien está escuchando... pase por aquí para hacer un recorrido; Paul estará encantado de mostrarte el lugar.

Y estoy tan emocionada por Esta semana en la historia de la tecnología, Pablo.

Esta semana, el 06 de marzo de 1992, el virus inactivo del sector de arranque Michelangelo cobró vida y sobrescribió sectores de los discos duros de sus víctimas.

Seguramente esto significó el fin del mundo para las computadoras en todas partes, ya que los medios se tropezaron para advertir a las personas sobre la muerte inminente.

Sin embargo, según el informe de la conferencia Virus Bulletin de 1994, y cito:

Paul Ducklin, un orador enérgico y entretenido, cree firmemente que, en muchos sentidos, el esfuerzo por educar realizado tanto por las empresas como por los medios no ha dado en el blanco..

¡Paul, tú estabas allí, hombre!

PATO.   Yo era, Doug.

Irónicamente, el 6 de marzo fue el único día en que Miguel Ángel no fue un virus.

Todos los demás días, simplemente se extendió como un reguero de pólvora.

Pero el 06 de marzo dijo: “¡Ajá! ¡Es el día de la carga útil!

Y en un disco duro, pasaría por las primeras 256 pistas, las primeras 4 cabezas, 17 sectores por pista... que era más o menos la "esquina inferior izquierda", por así decirlo, de cada página de la mayoría de los discos duros en uso. En ese tiempo.

Por lo tanto, tomaría alrededor de 8.5 MB de su disco duro.

No solo eliminó una gran cantidad de datos, sino que arruinó cosas como las tablas de asignación de archivos.

Por lo tanto, podría recuperar algunos datos, pero fue un esfuerzo enorme e incierto para cada dispositivo que deseaba intentar recuperar.

Es tanto trabajo para la segunda computadora como para la primera, para la tercera computadora como lo fue para la segunda... muy, muy difícil de automatizar.

Afortunadamente, como dices, fue muy sobrevalorado en los medios.

De hecho, tengo entendido que el virus fue analizado por primera vez por el difunto Roger Riordan, quien fue un famoso investigador antivirus australiano en la década de 1990, y en realidad lo encontró en febrero de 1991.

Y estaba hablando con un amigo suyo, creo, sobre eso, y su amigo dijo: “Oh, el 6 de marzo, ese es mi cumpleaños. ¿Sabías que también es el cumpleaños de Miguel Ángel?

Porque supongo que las personas que nacieron el 6 de marzo podrían saber eso...

Por supuesto, era un nombre tan moderno y genial... y un año después, cuando tuvo la oportunidad de extenderse y, como dices, a menudo permanece inactivo, fue cuando volvió.

No golpeó a millones de computadoras, como parecían temer los medios, y como le gustaba decir al difunto John McAfee, pero eso es un frío consuelo para cualquiera que haya sido golpeado, porque prácticamente lo perdió todo.

No todo, pero te costaría una pequeña fortuna recuperar parte de él... probablemente de forma incompleta, probablemente de forma poco fiable.

Y lo malo fue que porque se difundió en disquetes; y porque se propagó en el sector del maletero; y porque en aquellos días casi todas las computadoras arrancarían desde la unidad de disquete si simplemente hubiera un disco en ella; y porque incluso los disquetes en blanco tenían un sector de arranque y cualquier código allí se ejecutaría, incluso si todo lo que condujera fuera un mensaje de tipo "Disco que no es del sistema o error de disco, reemplace e intente nuevamente"...

…para entonces ya era demasiado tarde.

Entonces, si dejó un disco en la unidad por error, cuando encendió la unidad a la mañana siguiente, cuando vio el mensaje "Disco que no es del sistema o error de disco" y pensó: "Oh, sacaré el disquete". out y reinicie desde el disco duro”…

…para entonces, el virus ya estaba en su disco duro y se propagaría a todos los disquetes que tuviera.

Entonces, incluso si tuviera el virus y luego lo eliminara, si no revisó todo el alijo corporativo de disquetes, iba a haber un Typhoid Mary por ahí que podría reintroducirlo en cualquier momento.

DOUG.   Hay una historia fascinante.

¡Me alegro de que estuvieras allí para ayudar a limpiarlo un poco!

Y vamos a limpiar un poco más.

Este módulo de plataforma segura... a veces controvertido.

¿Qué sucede cuando el código requerido para proteger su máquina es él mismo? vulnerable, ¿Pablo?

Seguridad seria: TPM 2.0 vulns: ¿sus datos súper seguros están en riesgo?

PATO.   Si quieres entender todo este asunto del TPM, que suena como una gran idea, correcto... está esta pequeña placa hija que conectas en una pequeña ranura en tu placa base (o tal vez está preintegrada), y tiene una diminuto chip de coprocesador especial que solo hace estas cosas criptográficas básicas.

Arranque seguro; firmas digitales; almacenamiento sólido para claves criptográficas... por lo que no es inherentemente una mala idea.

El problema es que te imaginas que, debido a que es un dispositivo tan pequeño y solo tiene este código central, seguramente es bastante fácil desmontarlo y hacerlo simple.

Bueno, solo las especificaciones para Trusted Platform Module, o TPM... tienen en conjunto: 306 páginas, 177 páginas, 432 páginas, 498 páginas, 146 páginas y el gran chico malo al final, la "Cuarta parte: Rutinas de apoyo - Code”, donde están los errores, 1009 páginas PDF, Doug.

DOUG.   [RISAS] ¡Solo una lectura ligera!

PATO.   [SIGHS] Sólo un poco de lectura ligera.

Entonces, hay mucho trabajo. y un montón de lugar para insectos.

Y los últimos... bueno, hay bastantes que se anotaron en la última errata, pero dos de ellos obtuvieron números CVE.

Hay CVE-2023-1017 y CVE-2023-1018.

Y desafortunadamente, son errores, vulnerabilidades, que pueden ser atacados (o alcanzados) por comandos que un programa de espacio de usuario normal podría usar, como algo que un administrador de sistemas o usted mismo podría ejecutar, solo para pedirle al TPM que haga. algo de forma segura para usted.

Así que puedes hacer cosas como decir: “Oye, ve y tráeme algunos números al azar. Ve y constrúyeme una clave criptográfica. Vete y verifica esta firma digital”.

Y es bueno si eso se hace en un pequeño procesador separado que no puede ser manipulado por la CPU o el sistema operativo, esa es una gran idea.

Pero el problema es que en el código de modo de usuario que dice: "Aquí está el comando que les estoy presentando"...

…desafortunadamente, desentrañar los parámetros que se pasan para realizar la función que desea; si hace una trampa en la forma en que esos parámetros se entregan al TPM, puede engañarlo para que lea memoria adicional (un desbordamiento de lectura de búfer), o peor aún, sobrescribir cosas que pertenecen al tipo de al lado, por así decirlo.

Es difícil ver cómo estos errores podrían explotarse para cosas como la ejecución de código en el TPM (pero, como hemos dicho muchas veces, "Nunca digas nunca").

Pero ciertamente está claro que cuando se trata de algo que, como dijo al principio, “necesita esto para hacer que su computadora sea más segura. Se trata de la corrección criptográfica”…

…la idea de que algo filtre incluso dos bytes de los preciosos datos secretos de otra persona que se supone que nadie en el mundo debe saber?

La idea de una fuga de datos, por no hablar de un desbordamiento de escritura de búfer en un módulo como ese, es bastante preocupante.

Entonces eso es lo que necesitas parchear.

Y desafortunadamente, el documento de fe de erratas no dice: “Aquí están los errores; así es como los reparas”.

Solo hay una descripción de los errores y una descripción de cómo debe modificar su código.

Entonces, presumiblemente, todos lo harán a su manera, y luego esos cambios se filtrarán nuevamente a la Implementación de referencia central.

La buena noticia es que hay una implementación de TPM basada en software [libtpms] para las personas que ejecutan máquinas virtuales... ya han echado un vistazo y han encontrado algunas correcciones, por lo que es una buen lugar para empezar.

DOUG.   Encantador.

Mientras tanto, consulte con sus proveedores de hardware y vea si tienen alguna actualización para usted.

PATO.   Sí.

DOUG.   Continuaremos… a los primeros días del ransomware, que estaban plagados de extorsión, y luego las cosas se complicaron más con la “doble extorsión”.

Y un montón de gente acaba de ser detenido en un esquema de doble extorsión, ¡lo cual es una buena noticia!

Sospechosos del ransomware DoppelPaymer arrestados en Alemania y Ucrania

PATO.   Sí, esta es una pandilla de ransomware conocida como DoppelPaymer. ("Doppel" significa doble en alemán.)

Así que la idea es que es un doble golpe.

Es donde codifican todos sus archivos y dicen: “Le venderemos la clave de descifrado. Y, por cierto, en caso de que crea que sus copias de seguridad servirán, o en caso de que esté pensando en decirnos que nos perdamos y no pagarnos el dinero, tenga en cuenta que también hemos robado todos sus archivos primero. ”

"Entonces, si no paga, y *puede* descifrar por sí mismo y *puede* salvar su negocio... vamos a filtrar sus datos".

La buena noticia en este caso es que algunos sospechosos han sido interrogados y arrestados, y se han incautado muchos dispositivos electrónicos.

Entonces, aunque esto es, por así decirlo, un frío consuelo para las personas que sufrieron ataques DoppelPaymer en el pasado, al menos significa que las fuerzas del orden no se dan por vencidas cuando las pandillas cibernéticas parecen agachar la cabeza.

Aparentemente recibieron hasta $ 40 millones en pagos de chantaje solo en los Estados Unidos.

Y notoriamente fueron tras el Hospital Universitario de Düsseldorf en Alemania.

Si hay un punto bajo en el ransomware...

DOUG.   ¡En serio!

PATO.   …no es que sea bueno que alguien sea golpeado, pero ¿la idea de que en realidad destruyes un hospital, particularmente un hospital escuela?

Supongo que eso es lo más bajo de lo bajo, ¿no?

DOUG.   Y tenemos algunos consejos.

Solo porque estos sospechosos han sido arrestados: No vuelvas a marcar tu protección.

PATO.   No, de hecho, Europol admite, en sus palabras, "Según los informes, Doppelpaymer desde entonces se ha renombrado [como una banda de ransomware] llamada 'Grief'".

Entonces, el problema es que, cuando atrapas a algunas personas en una pandilla cibernética, tal vez no encuentres todos los servidores...

…si se apodera de los servidores, no necesariamente puede volver a trabajar con los individuos.

Hace mella, pero no significa que el ransomware haya terminado.

DOUG.   Y en ese punto: No se fije solo en el ransomware.

PATO.   ¡Ciertamente!

Creo que bandas como DoppelPaymer lo dejan muy claro, ¿no?

Cuando llegan a codificar sus archivos, ya los han robado.

Por lo tanto, en el momento en que obtienes la parte del ransomware, ya han realizado otros elementos de ciberdelincuencia: la irrupción; el mirar alrededor; probablemente abriendo un par de puertas traseras para que puedan volver a entrar más tarde, o vender acceso al siguiente tipo; etcétera.

DOUG.   Lo que encaja en el siguiente consejo: No espere a que las alertas de amenazas aparezcan en su tablero.

Eso es quizás más fácil decirlo que hacerlo, dependiendo de la madurez de la organización.

¡Pero hay ayuda disponible!

PATO.   [RISAS] Pensé que ibas a mencionar Detección y respuesta gestionadas por Sophos por un momento allí, Doug.

DOUG.   Estaba tratando de no venderlo.

¡Pero podemos ayudar!

Hay algo de ayuda por ahí; Haznos saber.

PATO.   En términos generales, cuanto antes llegue allí; cuanto antes te des cuenta; cuanto más proactiva sea su seguridad preventiva…

... es menos probable que los delincuentes puedan llegar tan lejos como un ataque de ransomware.

Y eso solo puede ser algo bueno.

DOUG.   Y por último pero no menos importante: No juzgues, pero no pagues si puedes evitarlo.

PATO.   Sí, creo que estamos obligados a decir eso.

Porque el pago financia la próxima ola de delitos cibernéticos, a lo grande, seguro.

Y en segundo lugar, es posible que no obtenga lo que pagó.

DOUG.   Bueno, pasemos de una empresa criminal a otra.

Y esto es lo que sucede cuando una empresa criminal utiliza cada Herramienta, Técnica y Procedimiento ¡en el libro!

Los federales advierten sobre el alboroto correcto del ransomware Royal que abarca toda la gama de TTP

PATO.   Esto es de CISA - EE. UU. Agencia de Seguridad Cibernética e Infraestructura.

Y en este caso, en el boletín AA23 (que es este año) guión 061A-for-alpha, están hablando de una pandilla llamada Royal ransomware.

Real con R mayúscula, Doug.

Lo malo de esta banda es que sus herramientas, técnicas y procedimientos parecen estar “a la altura e incluyendo lo necesario para el ataque actual”.

Pintan con una brocha muy ancha, pero también atacan con una pala muy profunda, si sabes a lo que me refiero.

Esa es la mala noticia.

La buena noticia es que hay mucho que aprender, y si se lo toma todo en serio, tendrá una prevención y protección muy amplias no solo contra los ataques de ransomware, sino también contra lo que mencionó anteriormente en el segmento Doppelpaymer: "No No te fijes solo en el ransomware”.

Preocúpate por todas las demás cosas que conducen a ello: registro de teclas; robo de datos; implantación de puerta trasera; robo de contraseña

DOUG.   Muy bien, Paul, resumamos algunos de los puntos del consejo de CISA, comenzando con: Estos ladrones ingresan usando métodos probados y confiables.

PATO.   ¡Ellas hacen!

Las estadísticas de CISA sugieren que esta pandilla en particular usa el viejo phishing, que tuvo éxito en 2/3 de los ataques.

Cuando eso no funciona bien, buscan cosas sin parchear.

Además, en 1/6 de los casos, aún pueden ingresar usando RDP... buenos viejos ataques RDP.

Porque solo necesitan un servidor que te olvidaste.

Y también, por cierto, CISA informó que, una vez que están dentro, incluso si no entraron usando RDP, parece que todavía están descubriendo que muchas empresas tienen una política bastante más liberal sobre el acceso RDP * dentro* de su red.

[RISAS] ¿Quién necesita complicados scripts de PowerShell en los que pueda conectarse a la computadora de otra persona y comprobarlo en su propia pantalla?

DOUG.   Una vez dentro, los delincuentes intentan evitar los programas que obviamente podrían aparecer como malware.

Eso también se conoce como “vivir de la tierra”.

PATO.   No solo están diciendo: “Bueno, usemos el programa PsExec de Microsoft Sysinternal, y usemos este script de PowerShell popular en particular.

Tienen cualquier número de herramientas, para hacer cualquier número de cosas diferentes que son bastante útiles, desde herramientas que descubren números de IP hasta herramientas que impiden que las computadoras dejen de estar en suspensión.

Todas las herramientas que un administrador de sistemas bien informado podría tener y usar regularmente.

Y, en términos generales, solo hay un poco de malware puro que traen estos delincuentes, y eso es lo que hace la codificación final.

Por cierto, no olvide que si es un criminal de ransomware, ni siquiera necesita traer su propio kit de herramientas de encriptación.

Si lo desea, puede usar un programa como, por ejemplo, WinZip o 7-Zip, que incluye una función para "Crear un archivo, mover los archivos" (lo que significa eliminarlos una vez que los coloca en el archivo). "y cifrarlos con una contraseña".

Siempre que los ladrones sean las únicas personas que conocen la contraseña, aún pueden ofrecerte vendértela...

DOUG.   Y solo para poner un poco de sal en la herida: Antes de codificar los archivos, los atacantes intentan complicar su camino hacia la recuperación.

PATO.   ¿Quién sabe si han creado nuevas cuentas de administrador secretas?

¿Servidores con errores instalados deliberadamente?

¿Se quitaron parches deliberadamente para que sepan cómo volver a usarlos la próxima vez?

¿Dejó registradores de pulsaciones de teclas, donde se activarán en algún momento futuro y harán que sus problemas comiencen de nuevo?

Y lo están haciendo porque es una gran ventaja para ellos que cuando te recuperas de un ataque de ransomware, no te recuperas por completo.

DOUG.   Muy bien, tenemos algunos enlaces útiles al final del artículo.

Un enlace que lo llevará a aprender más sobre Detección y respuesta gestionadas por Sophos [MDR], y otro que te lleva a la Libro de jugadas del adversario activo, que es una pieza creada por nuestro propio John Shier.

Algunas conclusiones e ideas que puede utilizar para reforzar mejor su protección.

¡Conoce a tu enemigo! Aprenda cómo entran los adversarios del cibercrimen...

PATO.   Eso es como una meta-versión de ese informe CISA "Royal ransomware".

Son casos en los que la víctima no se dio cuenta de que los atacantes estaban en su red hasta que fue demasiado tarde, luego llamó a Sophos Rapid Response y dijo: "Oh, Dios mío, creemos que nos ha atacado un ransomware... pero ¿qué más pasó? ”

Y esto es lo que realmente encontramos, en la vida real, a través de una amplia gama de ataques de una variedad de delincuentes a menudo no relacionados.

Por lo tanto, le da una idea muy, muy amplia de la gama de TTP (herramientas, técnicas y procedimientos) que debe conocer y contra los que puede defenderse.

Porque la buena noticia es que al obligar a los ladrones a usar todas estas técnicas separadas, de modo que ninguna de ellas active una alarma masiva por sí sola...

…te das la oportunidad de luchar para detectarlos temprano, si solo [A] sabes dónde buscar y [B] puedes encontrar el tiempo para hacerlo.

DOUG.   Muy bueno.

Y tenemos un comentario del lector sobre este artículo.

Andy, lector de Naked Security, pregunta:

¿Cómo se comparan los paquetes de Sophos Endpoint Protection con este tipo de ataque?

He visto de primera mano lo buena que es la protección contra ransomware de archivos, pero si se deshabilita antes de que comience el cifrado, estamos confiando en la protección contra manipulaciones, supongo, en su mayor parte.

PATO.   ¡Bueno, espero que no!

Espero que un cliente de Protección de Sophos no se limite a decir: “Bueno, ejecutemos solo la pequeña parte del producto que está ahí para protegerlo como el tipo de salón Last Chance… lo que llamamos CryptoGuard.

Ese es el módulo que dice: "Oye, alguien o algo está tratando de codificar una gran cantidad de archivos de una manera que podría ser un programa genuino, pero simplemente no se ve bien".

Entonces, incluso si es legítimo, probablemente arruine las cosas, pero es casi seguro que alguien está tratando de hacerte daño.

DOUG.   Sí, CryptoGuard es como un casco que usas mientras vuelas sobre el manubrio de tu bicicleta.

¡Las cosas se han puesto bastante serias si CryptoGuard entra en acción!

PATO.   La mayoría de los productos, incluido Sophos en estos días, tienen un elemento de protección contra manipulaciones que intenta ir un paso más allá, de modo que incluso un administrador tiene que pasar por el aro para apagar ciertas partes del producto.

Esto hace que sea más difícil hacerlo y más difícil de automatizar, apagarlo para todos.

Pero hay que pensarlo...

Si los ciberdelincuentes ingresan a su red y realmente tienen una "equivalencia de administrador de sistemas" en su red; si han logrado obtener efectivamente los mismos poderes que tienen sus administradores de sistemas normales (y ese es su verdadero objetivo; eso es lo que realmente quieren)...

Dado que los administradores de sistemas que ejecutan un producto como el de Sophos pueden configurar, desconfigurar y establecer la configuración ambiental...

…entonces si los ladrones *son* administradores de sistemas, es como si ya hubieran ganado.

¡Y es por eso que necesitas encontrarlos con anticipación!

Así que lo hacemos lo más difícil posible y brindamos tantas capas de protección como podemos, con suerte para tratar de detener esto antes de que llegue.

Y mientras estamos en eso, Doug (no quiero que esto suene como un schpiel de ventas, pero es solo una característica de nuestro software que me gusta)...

¡Tenemos lo que yo llamo un componente de "adversario adversario activo"!

En otras palabras, si detectamos un comportamiento en su red que sugiera fuertemente cosas, por ejemplo, que sus administradores de sistemas no harían del todo, o no harían de esa manera...

…”adversario activo adversario” dice, “¿Sabes qué? Justo en este momento, vamos a aumentar la protección a niveles más altos de lo que normalmente tolerarías”.

Y esa es una gran característica porque significa que, si los delincuentes ingresan a su red y comienzan a intentar hacer cosas adversas, no tiene que esperar hasta darse cuenta y *entonces* decidir: "¿Qué diales debemos cambiar?"

Doug, esa fue una respuesta bastante larga para una pregunta aparentemente simple.

Pero permítanme leer lo que escribí en mi respuesta al comentario sobre Naked Security:

Nuestro objetivo es estar atentos todo el tiempo e intervenir lo antes posible, de la manera más automática, segura y decisiva posible, para todo tipo de ataques cibernéticos, no solo ransomware.

DOUG.   ¡Muy bien, bien dicho!

Muchas gracias, Andy, por enviar eso.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @NakedSecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, recordándoles. Hasta la próxima, a…

AMBAS COSAS.   ¡Mantente seguro!

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda