Todos estamos condenados, edición 2019

Cada año, los grandes y buenos (y malos) del mundo de los hackers / seguridad de la información descienden a Las Vegas para una semana de conferencias, en las que muchos presentan sus últimos descubrimientos, y cada año trato de detallar los más interesantes (según yo ) Black Hat habla por TechCrunch. No asuma que asistí a todos o incluso a la mayoría de estos. Hay demasiados para que cualquiera pueda asistir. Pero espero que te den una idea del estado del arte.

En primer lugar, permítanme señalar que el título de esta publicación es sardónico. Sí, hay una gran cantidad de software descuidado, y sí, muchas personas inteligentes siguen encontrando agujeros, errores, exploits y fallas de diseño incluso en un buen software, pero en realidad no todos estamos condenados, y la creencia de que estamos , y que cualquier cosa conectada a Internet puede ser y probablemente ha sido pirateada, una actitud que me gusta llamar "nihilismo de seguridad", es espectacularmente contraproducente.

En verdad, hay mucha seguridad extremadamente buena, especialmente en medio de las grandes compañías tecnológicas, y sigue mejorando, como indica el mercado durante 0 días (exploits previamente no descubiertos). La mayoría (aunque ciertamente no todos) de los exploits a continuación ya se han informado y corregido, y se han implementado parches. Dicho esto, gran parte del mundo tiene un mucho de trabajo que hacer para ponerse al día, por ejemplo, con los equipos de seguridad de Apple y Google. Sin más preámbulos, las mejores conversaciones de 2019:

---

La piratería de detección de vida, del laboratorio de seguridad Xuanwu de Tencent, analiza cómo engañar a los detectores de "vida" para la identificación de rostro o voz (o, tal vez, KYC de criptomonedas) inyectando transmisiones falsas de video o audio, o, mejor aún, gafas ordinarias con cinta adhesiva normal adjunta , que, lo mejor de todo, han llamado X-glasses.

---

Todos los módulos 4G podrían ser pirateados, del Laboratorio de seguridad de Baidu, relata la investigación de los investigadores de los módulos 4G para dispositivos IoT, los componentes que conectan las máquinas a Internet a través de redes celulares, básicamente. Como su resumen lo señala memorablemente: “Llevamos a cabo esta iniciativa y probamos todos los principales módulos 4G de marca en el mercado (más de 15 tipos diferentes). Los resultados muestran que todos ellos tienen vulnerabilidades similares "y termina con el igualmente memorable" cómo usar estas vulnerabilidades para atacar los sistemas de entretenimiento de automóviles de varias marcas y obtener el control remoto de los automóviles ". Puntos adicionales para la diapositiva con 'Build Zombie cars (solo como Furious 8) ', también.

---

Arm IDA y Cross Check: invirtiendo la red principal del Boeing 787 por Ruben Santamarta de IOActive habla sobre cómo, después de descubrir accidentalmente un directorio público de información confidencial de Boeing en línea (!), Santamarta desarrolló una cadena de exploits que podrían posiblemente conducen desde Internet a la "Red de datos comunes" de un 787. Boeing lo discute fuertemente.

Tengo un respeto considerable por Santamarta, sobre cuyo trabajo he escrito antes, y como él lo expresó: "Boeing comunicó a IOActive que hay ciertas mitigaciones integradas en el nivel del compilador[[nota del autor: !!]que, desde su punto de vista, evitan que estas vulnerabilidades sean explotadas con éxito. IOActive no pudo localizar ni validar la existencia de esas mitigaciones en la versión de firmware CIS / MS que analizamos. Cuando se le preguntó, Boeing se negó a responder si estas mitigaciones podrían haberse agregado en una versión posterior … Esperamos que un tercero determinado y altamente capaz pueda confirmar con seguridad que estas vulnerabilidades no son explotables … Estamos seguros de que los propietarios y operadores de estos aviones serían bienvenidos tal validación y verificación independiente ". De hecho. Pero bueno, si no puedes confiar en Boeing, ¿en quién puedes confiar, verdad?

---

Ingeniería inversa Cifrado de WhatsApp para manipulación de chat, de investigadores de Check Point Software, describió cómo abusar del chat grupal de WhatsApp para poner palabras en la boca de otros, aunque solo en textos de citas, y enviar mensajes privados que parecen mensajes de chat grupal. (Sin embargo, tenga en cuenta que esto es posterior al descifrado, por lo que ya debe ser un miembro legítimo del chat).

---

En Detrás de escena de iOS y Mac Security, Ivan Krstić, Jefe de Ingeniería de Seguridad de Apple, habló públicamente sobre la seguridad de Apple. ¡Eso es bastante notable allí mismo! En particular, vale la pena señalar su exégesis de cómo funciona Find My mientras se preserva la privacidad, y que Apple comenzará a ofrecer iPhones rooteados a los investigadores de seguridad.

---

Simultáneamente, una organización casi tan dedicada al secreto como Apple también reveló más sobre sus prácticas de seguridad. ¡Prestigio! Me refiero, por supuesto, a la NSA, que subió al escenario para discutir su marco de ingeniería inversa Ghidra, y cómo llegó a ser de código abierto.

---

En Critical Zero Days comprometió remotamente el sistema operativo en tiempo real más popular, los investigadores de Armis Security explicaron cómo VxWorks, un sistema operativo en tiempo real del que nunca había oído hablar, pero que se ejecuta en más de 2 mil millones de máquinas, incluidos aviones, dispositivos médicos, sistemas de control industrial y nave espacial, también cuenta con vulnerabilidades en los rincones esotéricos de su pila TCP / IP que podrían conducir a la ejecución remota de código. Entonces eso no es bueno.

---

Finalmente, en Explorando el nuevo mundo: explotación remota de SQLite y Curl, el equipo Blade de Tencent (sí, los investigadores chinos lo han estado matando absolutamente este año) mostró cómo realmente son todos condenados Bromeo, bromeo. Pero aunque probablemente nunca haya oído hablar de ellos, SQLite y Curl son dos componentes de software absolutamente fundamentales: una base de datos de un solo archivo increíblemente ampliamente utilizada y una herramienta de red de línea de comandos, respectivamente, y utilizaron una explotación del primero para controlar con éxito ataque Google Home, y este último para atacar clientes curl como PHP / Apache y Git. Ay.