Esta semana en seguridad: Vulnerabilidades de Unicode, Truecrypt y NPM

Unicode, la maravillosa extensión a ASCII que nos da gemas como “”, “”, y “”, ha tenido algunas ramificaciones de seguridad inesperadas. Los problemas más comunes con Unicode son problemas de seguridad visual, como la confusión de caracteres entre letras. Por ejemplo, la “M” inglesa (U+004D) es indistinguible de la “М” cirílica. (U+041C). ¿Puedes notar la diferencia entre IBM.com y IBМ.com?

Este bicho, descubierto por [John Gracey] pone de cabeza el problema común. Conocida como colisión de mapeo de casos, es la historia de diferentes personajes Unicode que se mapean con el mismo equivalente en mayúsculas o minúsculas.

$0027ß$0027.toLowerCase() === $0027SS$0027.toLowerCase() // true

// Nótese el punto sin puntos turco i

$0027John@Gıthub.com$0027.toUpperCase() === $0027John@Github.com$0027.toUpperCase()

GitHub almacena todas las direcciones de correo electrónico en su forma minúscula. Cuando un usuario envía un restablecimiento de contraseña, la lógica de GitHub funciona así: Toma la dirección de correo electrónico que solicitó el restablecimiento de la contraseña, conviértela a minúsculas y busca la cuenta que utiliza la dirección de correo electrónico convertida. Esto no sería un problema por sí mismo, pero el restablecimiento se envía a la dirección de correo electrónico que se solicitó, no a la que está en el archivo. En retrospectiva, esto es un fallo obvio, pero sin la presencia de Unicode y la posibilidad de una colisión del mapeo de casos, sería una práctica perfectamente segura.

Esta falla parece haber sido arreglada hace bastante tiempo, pero sólo fue revelada recientemente. También es un problema novedoso que afecta a Unicode y que no hemos cubierto. Curiosamente, mi investigación ha revelado un problema casi idéntico en Spotify, en 2013.


TrueCrypt y secretos alemanes

TrueCrypt es una increíble pieza de software que literalmente cambió el mundo, dando a cada usuario de computadora una solución gratuita y disponible en origen para el cifrado de discos duros. Mientras que el código fuente del programa se hizo disponible libremente, la licencia era tan extraña y restrictiva que técnicamente no es ni Software Libre, ni Software de Código Abierto. Esto impidió que se incluyera en muchas de las principales distribuciones del sistema operativo. Aún así, TrueCrypt ha sido usado por muchos, y por muchas razones, desde lo inocente hasta lo reprobable. TrueCrypt fue tan popular, que una campaña de crowdfunding recaudó suficiente dinero para financiar una auditoría profesional del código TrueCrypt en 2013.

La historia da un giro extraño a mitad de la auditoría del código fuente. Justo después de que la auditoría inicial terminara, y justo antes de que comenzara la auditoría en profundidad de la fase II, los desarrolladores de TrueCrypt anunciaron repentinamente que estaban terminando el desarrollo. El sitio web de TrueCrypt todavía muestra el anuncio: “ADVERTENCIA: El uso de TrueCrypt no es seguro, ya que puede contener problemas de seguridad no solucionados”. Muchos usuarios pensaron que el momento era extraño, y especularon que había una puerta trasera de algún tipo que sería descubierta por la auditoría. La auditoría en profundidad se terminó, y aunque se descubrieron algunos problemas menores, no se descubrió nada particularmente grave.

Uno de los usuarios más sorprendentes de TrueCrypt es el gobierno alemán. Recientemente se descubrió que la BSI, la rama de seguridad de la información del gobierno alemán, realizó una auditoría sobre TrueCrypt en 2010.

Muchos gobiernos tienen ahora leyes que establecen la libertad de información, otorgando el “derecho a saber” a sus ciudadanos. Bajo estas leyes, un ciudadano puede hacer una solicitud oficial de documentación, y si tal documentación existe, el gobierno está obligado a proporcionarla, salvo unas pocas excepciones. Un ciudadano alemán hizo una solicitud oficial de información sobre TrueCrypt, particularmente en lo que se refiere a las puertas traseras conocidas del software. Sorprendentemente, ¡esa documentación sí existía!

¿El gobierno alemán había respaldado en secreto a TrueCrypt? ¿Eran parte de una conspiración? Probablemente no. Después de algunos trámites burocráticos y discusiones legales, el texto de la auditoría fue finalmente liberado y autorizado para su publicación. En 2010 se encontraron algunos problemas que todavía estaban presentes en la fuente de TrueCrypt/Veracrypt, y que se solucionaron como resultado de la publicación de este informe.


NPM Binary Planting

El Node Package Manager, ese amado repositorio de todo lo que es Javascript, recientemente sacó una actualización y anunció un par de vulnerabilidades. Las vulnerabilidades, simplemente indicadas, se debieron a la falta de cualquier comprobación de cordura al instalar los paquetes.

En primer lugar, la ruta de instalación binaria no se limpió durante la instalación, lo que significa que un paquete podría intentar interactuar con cualquier archivo del sistema de archivos de destino. Particularmente cuando se ejecuta la CLI del NPM como root, el potencial de abuso es enorme. Mientras que este primer problema se solucionó con el lanzamiento de la versión 6.13.3, un segundo problema similar aún estaba presente en ese lanzamiento.

Las rutas de instalación se desinfectan en 6.13.3, pero el segundo problema es que un paquete puede instalar un binario sobre cualquier otro archivo en su ubicación de instalación. Un paquete puede esencialmente inyectar código en otros paquetes instalados. La solución para esto fue permitir solamente que un paquete sobreescriba los archivos binarios que son propiedad de ese paquete.

El lado positivo es que el usuario debe instalar un paquete comprometido para que le afecte. El efecto también se mitiga en gran medida al ejecutar NPM como usuario no root, lo que parece ser una buena práctica.


Google Cloud Shell

Google proporciona un montón de servicios en torno a su oferta en la nube y ofrece la muy útil interfaz Cloud Shell basada en la web para la gestión de esos servicios. Un investigador de Offensi pasó algún tiempo buscando vulnerabilidades, y se le ocurrieron 9 de ellas. El primer paso fue identificar el entorno de ejecución, que en este caso era una imagen docker. Un socket que apuntaba al sistema anfitrión se dejó expuesto, permitiendo al investigador escapar fácilmente del contenedor Docker. A partir de ahí, fue capaz de arrancar algunas herramientas de depuración, y ponerse a trabajar en la búsqueda de vulnerabilidades.

Las vulnerabilidades que se detallan son interesantes por sí mismas, pero el proceso de buscar y encontrarlas es el más interesante para mí. Google incluso patrocinó un video de YouTube que detalla la investigación, incrustado a continuación:


Probabilidades y extremos

¿Usar un iPhone para romper la seguridad de una máquina de Windows? El controlador del iPhone establece los permisos para un determinado archivo cuando se conecta un iPhone a la máquina. Ese archivo podría ser un enlace directo a un archivo de sistema importante, y el controlador del iPhone puede hacer que ese archivo arbitrario se pueda escribir sin querer.

El servidor web de Nginx está siendo retenido actualmente como rehén. Aparentemente los programadores que originalmente escribieron Nginx estaban trabajando para una compañía de tecnología en ese momento, y ahora que el proyecto Nginx ha sido adquirido, esa compañía ha reclamado la propiedad del código. Es probable que sólo sea una reclamación fraudulenta, pero las repercusiones podrían ser de gran alcance si esa reclamación se mantiene.

OpenBSD ha arreglado una simple escalada de privilegios, donde se llama a un binario setuid con un LD_LIBRARY_PATH muy extraño – un solo punto, y muchos dos puntos. Esto engaña al cargador para que cargue una biblioteca propiedad del usuario, pero con privilegios de root.

No cuelgue las luces de Navidad, insértelas

No cuelgue las luces de Navidad, insértelas

¿Te cuesta entrar en el espíritu navideño este año? Tal vez sólo necesita un proyecto oportuno para iluminar las tardes ...
Leer Más
Nivelación manual de la cama de malla para impresoras 3D

Nivelación manual de la cama de malla para impresoras 3D

En la impresión 3D, a menudo hablamos de nivelar la cama de impresión, aunque no es un término exacto. Una ...
Leer Más
DTMF a su ordenador, con un Gamepad

DTMF a su ordenador, con un Gamepad

Aunque muchos de nosotros nunca habremos experimentado con él, la mayoría de los lectores deberían estar familiarizados con el DTMF ...
Leer Más
¿Tienes correo?

¿Tienes correo?

La vida está llena de decisiones difíciles, como decidir si quieres ir al final del viaje para comprobar si ha ...
Leer Más
Actualizaciones del proyecto Antique Pocket Watch Antique Pocket Watch

Actualizaciones del proyecto Antique Pocket Watch Antique Pocket Watch

Aquí en Digital Lithium nos preocupamos un poco por los relojes. Tal vez sea la profunda conexión personal con un ...
Leer Más
Un desgarro de magnetrón

Un desgarro de magnetrón

Los hornos de microondas están en todas partes, y en el corazón de ellos hay un magnetrón - un dispositivo ...
Leer Más
Motorizar un cortador de plasma en el barato

Motorizar un cortador de plasma en el barato

Un cortador de plasma manual es una excelente herramienta para tener si usted está trabajando con láminas de metal, pero ...
Leer Más
Robot cuadrúpedo se disfraza de pelota

Robot cuadrúpedo se disfraza de pelota

Cuando los enjambres de robots de béisbol de Skynet ataquen, estaremos lanzando [Carl Bugeja] algunas miradas sucias para que empiecen ...
Leer Más
Los Nixies a medida funcionan cuando se encienden hasta 100,000 Hertz

Los Nixies a medida funcionan cuando se encienden hasta 100,000 Hertz

Con la popularidad de los relojes Nixie, se nos perdonaría el pensar que los tubos luminosos sólo sirven para aplicaciones ...
Leer Más
Esta CPU sólo tiene una instrucción

Esta CPU sólo tiene una instrucción

La mayoría de nosotros estaremos familiarizados en algún nivel con el funcionamiento de un CPU básico, normalmente a través de ...
Leer Más
Cómo imprimir en 3D su gemelo idéntico

Cómo imprimir en 3D su gemelo idéntico

Es posible pasar un fin de semana agradable recorriendo una ciudad con un recorte de cartón robado de algún expositor ...
Leer Más
La Guía de Jóvenes Ingenieros para los Proyectos Finales de la Universidad

La Guía de Jóvenes Ingenieros para los Proyectos Finales de la Universidad

Las carreras de ingeniería son tan amplias y variadas como las carreras potenciales que se ofrecen en el mundo real ...
Leer Más
¿Está obteniendo el valor de su dinero de los insertos roscados?

¿Está obteniendo el valor de su dinero de los insertos roscados?

¿Alguna vez se ha preguntado si vale la pena el tiempo y el gasto de instalar insertos roscados en sus ...
Leer Más
DeepPCB enruta sus PCBs de KiCAD

DeepPCB enruta sus PCBs de KiCAD

Los ordenadores pueden escribir poesía, aunque no necesariamente pueden escribir buena poesía. Lo mismo puede decirse del enrutamiento de las ...
Leer Más
Posible quinta fuerza de la naturaleza encontrada

Posible quinta fuerza de la naturaleza encontrada

A lo largo de los años, los humanos han creado cuatro fuerzas que pueden ser utilizadas para describir cada interacción ...
Leer Más
Esta máquina está lista para unirse a la lucha contra el cáncer

Esta máquina está lista para unirse a la lucha contra el cáncer

¿Puede imaginarse un futuro cercano en el que su médico de cabecera pueda pincharle el dedo de forma efectiva y ...
Leer Más
Mike Harrison sabe todo sobre los LED

Mike Harrison sabe todo sobre los LED

Conducir un LED y hacerlo parpadear es probablemente el primer proyecto que la mayoría de la gente habrá intentado cuando ...
Leer Más
Encadenamiento de una pantalla LED de burbujas de 16×2

Encadenamiento de una pantalla LED de burbujas de 16×2

Recientemente hemos notado un aumento en el interés por los llamados "displays de burbuja": LEDs alfanuméricos antiguos que probablemente se ...
Leer Más
Una máquina de escribir térmica para pensamientos ardientes

Una máquina de escribir térmica para pensamientos ardientes

Hay un cierto encanto en las viejas tecnologías que han sido suplantadas por nuevas versiones. Y no estamos hablando sólo ...
Leer Más
Las gafas impresas en 3D permiten a R.O.B. ver dentro del mundo Bluetooth

Las gafas impresas en 3D permiten a R.O.B. ver dentro del mundo Bluetooth

Admitimos que un hack que permite que un periférico de videojuego de 34 años sea controlado por una aplicación móvil ...
Leer Más
La réplica de ordenador en cartón es barata y fácil de hacer

La réplica de ordenador en cartón es barata y fácil de hacer

Replicar el hardware de las computadoras de la era de los años 60 puede ser una tarea desalentadora. Los componentes ...
Leer Más
Entrevista: El equipo de FieldKit la mañana siguiente de ganar el Premio Hackaday 2019

Entrevista: El equipo de FieldKit la mañana siguiente de ganar el Premio Hackaday 2019

Nos pusimos al día con Shah Selbe y Jacob Lewallen la mañana después de que su proyecto, FieldKit, ganara el ...
Leer Más
Rápido y sucio: Operar un intercomunicador vía telegrama

Rápido y sucio: Operar un intercomunicador vía telegrama

Nunca subestimes el rápido y sucio hackeo. Es muy satisfactorio resolver rápidamente un problema real con cualquier cosa que tengas ...
Leer Más
Sleeper PlayStation esconde un Pi 4 de Raspberry

Sleeper PlayStation esconde un Pi 4 de Raspberry

[Andreas Wilcox] quería darle a su hermano un regalo de cumpleaños que reflejara el amor que compartían por los primeros ...
Leer Más
Vea que tan diferentes pueden ser los aires acondicionados (en el interior)

Vea que tan diferentes pueden ser los aires acondicionados (en el interior)

Los aires acondicionados son fáciles de dar por sentado. Desde los refrigeradores hasta el control de climatización, la mayoría de ...
Leer Más
Charla de Supercon: Emily Velasco quiere que trabajes raro

Charla de Supercon: Emily Velasco quiere que trabajes raro

Emily Velasco parece deleitarse absolutamente con lo raro, y creemos que eso es maravilloso. Lo raro nos une. Si puedes ...
Leer Más
Una mini máquina expendedora para aumentar sus ventas

Una mini máquina expendedora para aumentar sus ventas

Una visión común en el mundo de los espacios para hackers es una vieja máquina expendedora que se ha reconvertido ...
Leer Más
Luces piloto moduladas Ancla AR al mundo real

Luces piloto moduladas Ancla AR al mundo real

Vamos a arriesgarnos y decir que donde quiera que estés ahora, un rápido vistazo alrededor probablemente revelará al menos un ...
Leer Más
La dobladora de rodillos eléctrica DIY puede manejar el material grueso (er)

La dobladora de rodillos eléctrica DIY puede manejar el material grueso (er)

Todo trabajador metalúrgico serio terminará por conseguirse un rodillo de doblar en algún momento, pero si eres tan dedicado como ...
Leer Más
La impresión en 3D de materiales múltiples hace al robot blando

La impresión en 3D de materiales múltiples hace al robot blando

Cuando haces un zoom sobre un fractal, descubres que está hecho de más fractales. Tal vez eso ayudó a inspirar ...
Leer Más

Deja un comentario