¡Hola Mundo! ¿Cómo puede alguien robar
tus archivos de tu fuente de alimentación? ¿Por qué los piratas informáticos de Corea del Norte están explotando
Internet Explorer y Apple no escaneará todas tus fotos después de todo? Todo eso surge
en el resumen de hoy de noticias tecnológicas de seguridad cibernética. Hay una nueva técnica para filtrar de forma
encubierta archivos de computadoras con espacio de aire, e implica explotar la fuente de alimentación de una computadora: el método,
descrito en un nuevo trabajo de investigación, permite a un hacker recibir archivos de forma remota desde una distancia de hasta 2
metros sin usar Wi-Fi , bluetooth o internet. La técnica se llama "COVID-bit", lo cual es
un poco confuso, ya que no tiene nada que ver con covid.
Pero de todos modos, funciona en base
al hecho de que todas las computadoras usan lo que se llama una "fuente de alimentación de modo conmutado", esta tecnología
significa que el voltaje de salida de la fuente de alimentación se controla encendiendo y apagando el voltaje de entrada
a frecuencias muy altas. La tasa de cambio depende de la cantidad de energía que
consume la computadora, por lo que, como explica el documento, "al regular la carga de trabajo de la CPU, es
posible gobernar su consumo de energía y, por lo tanto, controlar la frecuencia de cambio momentáneo".
Y todo
este cambio tiene el efecto secundario de emanar pequeñas cantidades de radiación electromagnética.
Así que probablemente pueda ver a dónde va esto… al usar este principio, el malware en una PC víctima
tomaría un archivo y lo ejecutaría a través de un algoritmo, codificándolo en una carga de trabajo de CPU que luego
se ejecutaría en el procesador. La fuente de alimentación se vería obligada a tener en cuenta las variaciones en el
consumo de energía modulando la velocidad a la que cambia, lo que a su vez crearía
una corriente de radiación electromagnética.
Y dadas las frecuencias que se pueden generar a partir de esto,
resulta que están dentro de lo que el chip de audio de un teléfono puede detectar, los investigadores conectaron
una pequeña antena de cuadro, que se parece a esto, al conector de audio de 3,5 mm de un teléfono.
Hay un video de demostración que muestra una cadena de texto transmitido a un teléfono detrás de una pared,
así que esto funciona. Y por su propia naturaleza, este método de exfiltración no necesita privilegios de administrador
y puede ejecutarse en una VM, lo cual es una gran ventaja. Sin embargo, en cuanto a las velocidades de transferencia, estamos
viendo un máximo de 1000 bits por segundo. Entonces, para transmitir un megabyte, esperaría más de
2 horas. Y supongo que es una buena transición a las impracticabilidades de usar esto en el mundo real.
En primer lugar, tendría que estar a menos de 2 metros de la computadora, y dado que la comunicación es solo de
1 vía, la hora y la fecha de la exfiltración tendrían que estar predeterminadas en el malware.
Y
todo esto suponiendo que la habitación que alberga la computadora con espacio de aire no esté encerrada en una
jaula de Faraday. Y ni siquiera hemos abordado el problema de cómo un atacante cargaría este malware
en la PC con espacio de aire en primer lugar. Por lo tanto, es probable que esta técnica nunca vea
la luz del día, pero el investigador detrás de ella es un "Dr. Mordechai Guri" que en realidad es bastante famoso
por idear diferentes formas de filtrar datos de computadoras con brechas de aire, ya sea
reutilizando un sata cable para actuar como una antena, o codificar datos en ondas de sonido emitidas en las
frecuencias de resonancia del giroscopio de un teléfono , parece que cada pocos meses publica un nuevo artículo
sobre alguna técnica nueva y loca para filtrar datos de computadoras en entornos con espacios de aire.
Y espero con ansias cubrir el próximo.
El infame grupo de piratas informáticos de Corea del Norte, Lazarus,
ha alcanzado un nuevo mínimo. Han sido descubiertos usando el reciente enamoramiento de Halloween de Seúl para propagar
malware… que explota Internet Explorer zero days – y lo extraño es que las
víctimas ni siquiera necesitan usar Internet Explorer para ser pirateadas por esto. La nueva operación depravada
comenzó con un documento de Microsoft Word que se distribuyó en Corea del Sur. Disfrazado como
publicado por una agencia del gobierno de Corea del Sur , afirma ser una investigación oficial
sobre el aplastamiento, en el que murieron más de 150 personas. Debido a que el documento se descarga de
Internet, viene con una advertencia y un botón en el que debe hacer clic si desea "Habilitar la edición".
Esto no tiene nada que ver con las macros de Office; eso generaría una advertencia diferente que es
mucho más inquietante y no es algo que pueda anular simplemente con un simple clic.
Si un
usuario presiona "Habilitar edición", pondrá en marcha una serie de eventos. En primer lugar, el documento
descargará un archivo de plantilla en segundo plano, que en realidad es una función perfectamente legítima de
Microsoft Word… y aunque se puede reutilizar con fines maliciosos, por lo general, esto es para descargar
macros cargadas de malware, pero en este caso los norcoreanos tenía otros planes. Después de descargar,
la plantilla procede a mostrar HTML dentro del documento, y aquí es donde nuestro viejo amigo,
Internet Explorer, hace una aparición especial. Verá, mientras que Internet Explorer ha sido oficialmente
obsoleto y reemplazado por Edge, vive en el backend de algunas aplicaciones de Microsoft,
una de las cuales es Microsoft Word, que generará contenido HTML usando Internet Explorer,
independientemente de cuál sea su navegador predeterminado. Y da la casualidad de que hay un día cero
en el motor Jscript de Internet Explorer: Jscript, que no debe confundirse con Javascript, es un
lenguaje de secuencias de comandos propiedad de Microsoft, que está casi muerto en estos días, pero aún es compatible con
Internet Explorer por razones de compatibilidad.
La vulnerabilidad permite
que se ejecute código arbitrario en la PC de la víctima, que en este caso infecta a la víctima con malware, exactamente
qué es ese malware, bueno, simplemente no lo sabemos. Porque esta campaña solo se investigó realmente
después de que el documento malicioso se cargara en el total de virus varias veces. Lo que llamó
la atención del grupo de análisis de amenazas de Google, lo que los llevó a investigar. En este punto,
Corea del Norte había descontinuado la campaña. Y debido a esto, ni siquiera sabemos quién era
el objetivo real de la campaña, quiero decir, es poco probable que Corea del Norte queme un
día cero simplemente lanzando correos electrónicos de phishing al azar. Pero anteriormente, cuando se descubrió que Corea del Norte
explotaba Internet Explorer (porque, por supuesto, no era la primera vez), se dirigían a
los lectores de dailynk.com, un periódico en línea de Corea del Sur dedicado a cubrir temas relacionados con
su vecino del norte, generalmente en un luz negativa. Después de que los piratas informáticos de Corea del Norte comprometieran el
sitio a fines de 2021, los visitantes recibieron un javascript malicioso que era capaz de explotar
Internet Explorer.
El malware Bluelight se lanzó sobre los objetivos, lo que le dio a Lazarus una puerta trasera
en sus sistemas. En este ataque al abrevadero, los norcoreanos probablemente esperaban
tener suerte e infectar a activistas antinorcoreanos de alto perfil ; el plan de juego podría haber sido
algo similar en su última campaña. Apple acaba de acabar con sus planes de escanear
iPhones en busca de imágenes de explotación infantil. Anunciaron la iniciativa en
agosto del año pasado: una nueva función de iOS que escanearía cada foto que tengas en iCloud en
busca de lo que Apple llama "CSAM".
La idea es que los hash de miles de imágenes conocidas de MASN
se almacenen en todos los dispositivos iOS, y cada una de tus fotos se compare con esta
base de datos. En el caso de que se encuentre una coincidencia, "Apple luego revisa manualmente cada informe para
confirmar que hay una coincidencia, deshabilita la cuenta del usuario y envía un informe al "
Centro Nacional para Niños Desaparecidos y Explotados". Esta idea, proveniente de Apple, no fue a medias,
su anuncio de los planes se lanzó junto con un libro blanco donde introdujeron una
nueva técnica de hashing, capaz de hacer coincidir las fotos, incluso si habían sido recortadas, reducidas o incluso
editadas.
Y había varias protecciones de privacidad integradas en el sistema, como si se hiciera localmente
en su iPhone en lugar de en la nube, y Apple se aseguró de que solo fueran técnicamente capaces de
revisar fotos si una "cuenta de iCloud Photos cruza un umbral de contenido conocido de CSAM ”.
De todos modos, Apple, por supuesto, recibió una reacción bastante sustancial. Es decir, dicen que el
camino al infierno está pavimentado con buenas intenciones… y aunque esta tecnología solo se puede usar para
escanear en busca de MASI hoy, no se sabe para qué se podría usar mañana. Entonces, solo un
mes después de anunciar los planes, Apple suspendió el proyecto. Y ha habido silencio de radio
desde entonces, hasta hace unos días cuando Apple anunció que estaban eliminando la idea por completo.
Apple hizo el anuncio junto con la introducción de lo que llaman "
Protección de datos avanzada" para las copias de seguridad de iCloud.
Que es Apple-speak para el cifrado de extremo a extremo. Esto
está muy [ __ ], de hecho, anteriormente se informó en 2020 que Apple había abandonado los
planes para el cifrado de extremo a extremo después de que el FBI se quejara al respecto. ¿Qué hizo que Apple
revirtiera su reversión? Quién sabe. De todos modos , son muy malas noticias para las fuerzas del orden,
que hasta ahora han podido solicitar copias de las copias de seguridad de iCloud directamente a Apple. Y dado que los
iPhone representan la mitad del mercado de teléfonos inteligentes de EE. UU., perder acceso a esto de la noche a la mañana
hará que su trabajo sea más difícil. Dicho esto, la "Protección de datos avanzada" no está habilitada
de forma predeterminada, debe habilitarla manualmente. Este video fue posible gracias a Octopart, un
sitio web en el que he confiado durante los últimos años en mi negocio de electrónica. Octopart.com
es esencialmente su navaja suiza de abastecimiento de componentes , lo que facilita el control de los
niveles de existencias de componentes en tiempo real a través de una gama de distribuidores, lo cual es bastante importante
dada la situación actual de suministro de componentes, también puede obtener fácilmente hojas de datos y
cad modelos para componentes cuando los necesite.
La mejor parte es que es de uso gratuito, y
Octopart está integrado directamente en altium 365, si desea probar altium, puede encontrar
el enlace de su prueba gratuita en la descripción. Como siempre, gracias por mirar y nos
vemos en el próximo video, ¡que lo pases bien!.