Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

DOUG. Problemas de LifeLock, ejecución remota de código y una gran estafa se encuentra con un gran problema.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Y Paul, lo siento mucho… ¡pero déjame desearte un feliz 23 con retraso!

PATO.  ¿A diferencia de Happy '99, Doug?

DOUG.  ¿Como supiste? [RISAS]

Encajamos inmediatamente en nuestra Historia de la tecnología segmento.

Esta semana, el 20 de enero de 1999, se presentó al mundo el gusano HAPPY99, también conocido como “Ska”.

¡Paul, tú estabas allí, hombre!

Cuéntanos tu experiencia con HAPPY99, por favor.

PATO.  doug Creo que lo más fascinante para mí, entonces y ahora, es lo que llamas la palabra B...

…la parte “brillante” [TOSE EN FORMA DE DISCULPA], y no sé si esto se debió a la pereza oa la inteligencia suprema por parte del programador.

En primer lugar, no utilizó una lista de direcciones de correo electrónico generada previamente.

Esperó hasta que *usted* envió un correo electrónico, extrajo la dirección de correo electrónico y la usó, con el resultado de que los correos electrónicos solo iban a las personas con las que ya se había comunicado, dándoles una mayor credibilidad.

Y la otra cosa inteligente que tenía: no se molestaba con cosas como la línea de asunto y el cuerpo del mensaje.

Solo tenía un archivo adjunto, HAPPY99.EXE, que cuando lo ejecutabas en primer plano, mostraba fuegos artificiales.

Y luego lo cerraste; parecía que no había hecho daño.

Por lo tanto, no hubo pistas lingüísticas, como: "Oye, acabo de recibir un correo electrónico en italiano de un amigo italiano deseándome Feliz Navidad, seguido inmediatamente por un correo electrónico en inglés deseándome un Feliz 1999".

Y no sabemos si el programador lo previó o, como dije, si fue solo, "No podría molestarme en resolver todas las llamadas de función que necesito para agregar esto al correo electrónico...

…Sé crear un correo electrónico; Sé agregarle un archivo adjunto; No me voy a molestar con el resto.

Y, como resultado, esta cosa simplemente se extendió y se extendió y se extendió y se extendió.

Un recordatorio de que en la programación de malware, como en muchas cosas de la vida, a veces… menos es mucho más.

DOUG.  ¡Bien!

Bueno, pasemos a un tema más alegre, una especie de especie de agujero de ejecución de código remoto en una popular biblioteca de seguridad en la nube.

Espera, eso no es más feliz... pero ¿qué pasó aquí?

La popular biblioteca de seguridad en la nube JWT parchea el agujero de ejecución de código "remoto"

PATO.  Bueno, es más feliz porque el error no se reveló en la naturaleza con una prueba de concepto.

Solo se documentó algunas semanas después de haber sido parcheado.

Y afortunadamente, aunque técnicamente cuenta como un error de ejecución remota de código [RCE], que causó mucho drama cuando se informó por primera vez...

…requería que los ladrones esencialmente irrumpieran en su apartamento primero y luego abrieran la puerta con pestillo desde adentro para la siguiente ola de ladrones que había llegado.

Así que no era como si simplemente pudieran aparecer en la puerta principal y obtener una admisión instantánea.

La ironía, por supuesto, es que se trata de un popular conjunto de herramientas de código abierto llamado jsonwebtoken, o JWT para abreviar.

Un JWT es básicamente como una cookie de sesión para su navegador, pero está más orientado a un enfoque de confianza cero para autorizar programas para que hagan algo por un tiempo.

Por ejemplo, es posible que desee autorizar un programa que está a punto de ejecutar para realizar búsquedas de precios en una base de datos de precios.

Por lo tanto, primero debe autenticarse.

Tal vez tenga que ingresar un nombre de usuario, tal vez una contraseña... y luego obtiene este token de acceso que su programa puede usar, y tal vez sea válido para las próximas 100 solicitudes, o los próximos 20 minutos o algo así, lo que significa que usted no tiene que volver a autenticarse completamente cada vez.

Pero ese token solo autoriza a su programa a hacer una cosa específica que configuró de antemano.

Es una gran idea: es una forma estándar de hacer codificación basada en la web en estos días.

Ahora, la idea del JWT, a diferencia de otras cookies de sesión, es que, en una especie de "confianza cero", incluye: para quién es el token; qué cosas está permitido hacer; y, además, tiene un hash con clave criptográfica de los datos que dice para qué sirve.

Y la idea es que el servidor calcule ese hash cuando emite el token, utilizando una clave secreta que está enterrada en alguna base de datos súper segura en algún lugar.

Desafortunadamente, si los ladrones pudieran entrar en su apartamento por adelantado forzando la cerradura...

…y si pudieran ingresar a la base de datos secreta, y si pudieran implantar una clave secreta modificada para una cuenta de usuario en particular, y luego escabullirse, aparentemente sin dejar nada atrás?

Bueno, te imaginas que si estropeas la clave secreta, entonces el sistema simplemente no funcionará, porque ya no podrás crear tokens confiables.

Así que *pensarías* que fallaría a salvo.

Excepto que resulta que, si pudiera cambiar la clave secreta de una manera especial, la próxima vez que se realizara la autenticación (para ver si el token era correcto o no), obtener la clave secreta podría hacer que se ejecutara el código.

En teoría, esto podría leer cualquier archivo o implantar malware de forma permanente en el propio servidor de autenticación...

… ¡lo que claramente sería algo muy malo!

Y dado que estos tokens web JSON son muy utilizados, y dado que este jsonwebtoken toolkit es uno de los más populares, claramente era imperativo ir y parchear si estaba usando la versión con errores.

Lo bueno de esto es que el parche salió el año pasado, antes de la Navidad de 2022, y (presumiblemente por acuerdo con el jsonwebtoken equipo) la compañía que encontró esto y lo escribió solo se reveló recientemente, hace aproximadamente una semana.

Así que dieron mucho tiempo para que la gente corrigiera antes de explicar cuál era el problema en detalle.

Así que esto *debería* terminar bien.

DOUG.  Muy bien, sigamos con el tema de que las cosas terminen bien... ¡si estás del lado de los buenos!

Tenemos cuatro países, millones de dólares, múltiples búsquedas y varios arrestados, en un bonito gran estafa de inversión:

Estafadores de inversiones multimillonarios arrestados en una redada de Europol en cuatro países

PATO.  Este fue un buen, pasado de moda, "Oye, ¿tengo una inversión para ti?".

Aparentemente, había cuatro centros de llamadas, cientos de personas interrogadas y 15 ya arrestadas…

… esta estafa fue “llamar a la gente en frío para invertir en una criptomoneda inexistente”.

¿Entonces OneCoin todo de nuevo... hemos hablado de eso Estafa OneCoin, donde había algo así como $ 4 mil millones invertidos en una criptomoneda que ni siquiera existía.

El estafador de OneCoin Sebastian Greenwood se declara culpable, "Cryptoqueen" sigue desaparecida

En este caso, Europol habló sobre *esquemas* de criptomonedas.

Así que creo que podemos suponer que los ladrones ejecutarían uno hasta que la gente se diera cuenta de que era una estafa, y luego sacarían la alfombra debajo de ellos, se irían con el dinero y comenzarían uno nuevo.

La idea era: comenzar muy poco, diciéndole a la persona: "Mira, solo tienes que invertir un poco, tal vez 100 €, como tu primera inversión".

La idea era que la gente pensara: “Casi puedo pagar esto; si esto funciona, *yo* podría ser el próximo multimillonario al estilo Bitcoin”.

Ellos ponen el dinero... y por supuesto, ya sabes cómo va la historia.

Hay un sitio web de aspecto fantástico, y su inversión básicamente sigue aumentando poco a poco algunos días, saltando otros días.

Básicamente, "¡Bien hecho!"

Entonces, ese es el problema con estas estafas: simplemente *se ven* geniales.

Y obtendrá todo el amor y la atención que necesita de los "asesores de inversiones" (citas genéricas aquí) hasta el punto en que se dé cuenta de que es una estafa.

Y luego, bueno… puedes denunciar a las autoridades.

Te recomiendo que vayas a la policía si puedes.

Pero luego, por supuesto, las fuerzas del orden tienen la difícil tarea de tratar de averiguar quién era, dónde se encontraban y atraparlos antes de que comiencen la próxima estafa.

DOUG.  Bien, tenemos algunos consejos aquí.

Hemos dado este consejo antes: se aplica a esta historia, así como a otras.

Si suena demasiado bueno para ser verdad, ¿adivina qué?

PATO.  Es demasiado bueno para ser verdad, Doug.

No "podría ser".

ES demasiado bueno para ser verdad, simplemente hazlo así de simple.

De esa manera, no tienes que hacer ninguna evaluación más.

Si tiene sus dudas, promueva esas dudas al equivalente de un hecho completo.

Podrías ahorrarte muchos dolores de cabeza.

DOUG.  Tenemos: Tómese su tiempo cuando las conversaciones en línea pasen de la amistad al dinero.

Y hablamos de esto: No se deje engañar porque un sitio web fraudulento se ve bien calificado y profesional.

Como diseñador web reformado, puedo decirle que hoy en día es imposible hacer un sitio web que se vea mal.

Y otra razón por la que ya no soy diseñador web es: nadie me necesita.

¿Quién necesita un diseñador web cuando puede hacerlo todo usted mismo?

PATO.  Quiere decir que hace clic en el botón, elige el tema, extrae algo de JavaScript de un sitio de inversión real...

DOUG.  … coloque un par de logotipos allí.

Sip!

PATO.  Es un trabajo sorprendentemente fácil y no es necesario ser un programador particularmente experimentado para hacerlo bien.

DOUG.  Y por último, pero ciertamente nunca menos importante: No permita que los estafadores abran una brecha entre usted y su familia...

…ver Punto 1 uno sobre algo que es demasiado bueno para ser verdad.

PATO.  Sí.

Hay dos formas en las que sin darse cuenta podría meterse en una situación realmente desagradable con sus amigos y familiares debido a la forma en que se comportan los estafadores.

La primera es que, muy a menudo, si se dan cuenta de que está a punto de darse por vencido con la estafa porque sus amigos y familiares casi lo han convencido de que ha sido estafado, entonces se esforzarán por envenenar su opinión sobre su familia para tratar de prolongar la estafa.

Así que introducirán deliberadamente esa cuña.

Y, lo que es peor, si se trata de una estafa en la que parece que lo estás haciendo bien, te ofrecerán “bonos” por atraer a miembros de tu familia o amigos cercanos.

Si logras convencerlos... desafortunadamente, caerán contigo, y probablemente te culparán porque los convenciste en primer lugar.

Así que tenlo en cuenta.

DOUG.  OK, nuestra última historia del día.

El popular servicio de protección de identidad LifeLock ha sido violado, más o menos, pero es complicado... no es tan sencillo como un *incumplimiento* incumplimiento:

Seguridad seria: desentrañando la historia de las "contraseñas pirateadas" de LifeLock

PATO.  ¡Sí, esa es una manera interesante de decirlo, Doug!

DOUG.  [RISAS]

PATO.  La razón por la que pensé que era importante escribir esto en Naked Security es que vi la notificación de Norton LifeLock, sobre los intentos de inicio de sesión no autorizados en masa en su servicio, que enviaron a algunos usuarios que se habían visto afectados.

Y pensé: "Uh-oh, aquí vamos: a las personas les han robado sus contraseñas en algún momento en el pasado, y ahora viene una nueva carga de ladrones, y están llamando a la puerta, y algunas puertas están abiertas". Sigue abierto."

Así es como lo leí, y creo que lo leí correctamente.

Pero de repente comencé a ver al menos titulares y, en algunos casos, historias en los medios que invitaban a la gente a pensar: “Oh, caramba, se metieron en Norton LifeLock; se han metido entre bastidores; han buscado en las bases de datos; en realidad han recuperado mis contraseñas, ¡oh, querido!”

Supongo que, a la luz de las recientes revelaciones de LastPass donde Se robaron las bases de datos de contraseñas. pero las contraseñas estaban encriptadas…

…esto, si solo sigues la línea “Oh, fue una violación, y tienen las contraseñas”, suena aún peor.

Pero parece que esta es una lista antigua de posibles combinaciones de nombre de usuario/contraseña que un grupo de delincuentes adquirió de alguna manera.

Supongamos que lo compraron en un bulto de la web oscura, y luego se pusieron a ver cuál de esas contraseñas funcionaría en qué cuentas.

Eso es conocido como relleno de credenciales, porque toman credenciales que se cree que funcionan en al menos una cuenta y las introducen en los formularios de inicio de sesión en otros sitios.

Entonces, finalmente, el equipo de Norton LifeLock envió una advertencia a los clientes diciendo: “Creemos que eres una de las personas afectadas por esto”, probablemente solo a las personas donde un inicio de sesión había tenido éxito y asumieron que provenía del lugar equivocado, para advertirles.

“Alguien obtuvo su contraseña, pero no estamos muy seguros de dónde la obtuvieron, porque probablemente la compraron en Dark Web… y, por lo tanto, si eso sucediera, es posible que haya otros grupos de delincuentes que también la tengan. ”

Así que creo que a eso se suma la historia.

DOUG.  Y aquí tenemos algunas formas de cómo estas contraseñas terminan en la web oscura en primer lugar, que incluyen: Ataques de phishing.

PATO.  Sí, eso es bastante obvio...

…si alguien hace un intento de phishing masivo contra un servicio en particular, y N personas caen en la trampa.

DOUG.  Y tenemos: Software espía registrador de teclas.

PATO.  Ahí es donde te infectas con malware en tu computadora, como un zombi o un robot, que tiene todo tipo de disparadores de control remoto que los delincuentes pueden disparar cuando lo deseen:

Cómo funcionan los bots y los zombis, y por qué debería importarte

Y, obviamente, las cosas que los bots y los zombis tienden a tener preprogramadas incluyen: monitorear el tráfico de la red; enviar spam a una lista gigante de direcciones de correo electrónico; y encienda el registrador de teclas cada vez que piensen que está en un sitio web interesante.

En otras palabras, en lugar de intentar suplantar sus contraseñas descifrando transacciones web que de otro modo serían seguras, básicamente están viendo lo que está escribiendo *mientras pulsa las teclas en el teclado*.

DOUG.  Muy bien, preciosa.

Tenemos: Mala higiene de registro del lado del servidor.

PATO.  Normalmente, querrás registrar cosas como el número de IP de la persona, el nombre de usuario de la persona y la hora en que intentaron iniciar sesión.

Pero si tiene prisa por programar y accidentalmente registró *todo* lo que estaba en el formulario web...

… ¿Qué sucede si accidentalmente grabó la contraseña en el archivo de registro en texto sin formato?

DOUG.  Muy bien, entonces tenemos: Malware que extrae RAM.

Eso es interesante.

PATO.  Sí, porque si los delincuentes pueden infiltrar malware en segundo plano que puede asomarse a la memoria mientras su servidor se está ejecutando, es posible que puedan olfatear, "¡Vaya"! Eso parece un número de tarjeta de crédito; ¡Eso se parece al campo de la contraseña!”

7 tipos de virus: un breve glosario de la cibermaldad contemporánea

Obviamente, ese tipo de ataque requiere, como en el caso del que hablamos antes... requiere que los ladrones entren primero en su apartamento para abrir la puerta.

Pero sí significa que, una vez que eso suceda, pueden tener un programa que realmente no necesita pasar por nada en el disco; no necesita buscar en registros antiguos; no necesita navegar por la red.

Simplemente necesita observar áreas particulares de la memoria en tiempo real, con la esperanza de tener suerte cuando hay cosas que son interesantes e importantes.

DOUG.  Tenemos algunos consejos.

Si tienes la costumbre de reutilizar contraseñas, ¡no lo hagas!

Creo que es el consejo más antiguo que recuerdo registrado en la historia de la informática.

Tenemos: No utilice contraseñas relacionadas en diferentes sitios.

PATO.  Sí, pensé en colarte ese consejo, porque mucha gente piensa:

“Oh, ya sé lo que haré, elegiré una contraseña realmente complicada, me sentaré y la memorizaré. X38/=?..., así que tengo una contraseña complicada: los delincuentes nunca la adivinarán, así que solo tengo que recordar esa.

En lugar de recordarla como la contraseña maestra para un administrador de contraseñas, que es una molestia que no necesito, solo agregaré -fb para Facebook, -tt para tik tok, -tw para Twitter, y de esa manera, literalmente, tendré una contraseña diferente para cada sitio web”.

El problema es que, en un ataque como este, los delincuentes *ya obtuvieron el texto sin formato de una de sus contraseñas.*

Si su contraseña tiene complicated-bit guión two-letters, probablemente puedan adivinar sus otras contraseñas...

…porque solo tienen que adivinar las letras sobrantes.

DOUG.  Bien, y: Considere activar 2FA para cualquier cuenta que pueda.

PATO.  Sí.

Como siempre, es un pequeño inconveniente, pero significa que si voy a la dark web y compro una contraseña tuya, y luego vengo y trato de usarla desde alguna parte desconocida del mundo...

…no “simplemente funciona”, porque de repente también necesito el código adicional de una sola vez.

DOUG.  Muy bien, y sobre la historia de LifeLock, tenemos un comentario de un lector.

pete dice:

“Buen artículo con buenos consejos y un enfoque muy fáctico (emoticón de cara sonriente)”.

PATO.  ¡Ya estoy de acuerdo con el comentario, Doug! [RISAS]

Pero sigue…

DOUG.  “Supongo que a la gente le gusta culpar a empresas como Norton LifeLock […], porque es muy fácil culpar a los demás en lugar de decirle a la gente cómo hacerlo correctamente”.

PATO.  Sí.

Se podría decir que esas son palabras un poco duras.

Pero, como dije al final de ese artículo en particular, hemos tenido contraseñas durante más de 50 años en el mundo de TI, a pesar de que hay muchos servicios que están tratando de avanzar hacia el llamado futuro sin contraseña, ya sea que se basa en tokens de hardware, medidas biométricas o lo que sea.

Pero creo que todavía vamos a tener contraseñas por muchos años, nos guste o no, al menos para algunas (o quizás incluso muchas) de nuestras cuentas.

Así que realmente tenemos que morder la bala, y tratar de hacerlo lo mejor que podamos.

Y dentro de 20 años, cuando hayamos dejado atrás las contraseñas, podremos cambiar el consejo y, en su lugar, podemos proponer consejos sobre cómo proteger su información biométrica.

Pero por el momento, este es solo uno de varios recordatorios de que cuando se roban datos personales críticos como contraseñas, pueden terminar teniendo una vida útil prolongada y circulando ampliamente entre la comunidad de ciberdelincuentes.

DOUG.  Excelente.

Gracias, Pete, por enviar eso.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @NakedSecurity.

Ese es nuestro programa de hoy, muchas gracias por escuchar.

Para Paul Ducklin, soy Doug Aamoth y les recuerdo, hasta la próxima, que...

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]