El año 2018 ha comenzado con una noticia que ha copado las portadas de medios especializados y generalistas de todo el mundo. Las vulnerabilidades bautizadas como Meltdown y Spectre han puesto sobre la mesa que incluso aspectos que dábamos por consolidados como la arquitectura del hardware que hace funcionar la práctica totalidad de nuestros sistemas es susceptible de tener que ser reinventada. La corrección de este tipo de fallos en el futuro deberá ser puesta a prueba con nuevos diseños que las prevengan, pero hasta que estos nuevos sistemas salgan al mercado se hace necesario encontrar soluciones software de contingencia que mitiguen el problema mientras tanto.

Los distintos sistemas operativos han intentado hacer frente a una vulnerabilidad que les era notificada por Intel en primera instancia el 9 de noviembre de 2017. De hecho, las propias pruebas de concepto incluidas en el paper de Meltdown se efectúan sobre Firefox 56, que fue la versión estable vigente hasta la llegada de Firefox Quantum (versión 57) el 14 de noviembre de ese mismo mes. En cualquier caso, esta fecha es importante en tanto en cuanto se ha mantenido como fecha de referencia y, de acuerdo a los responsables de Canonical, empresa responsable del desarrollo y mantenimiento de Ubuntu, el 20 de noviembre se acordó usarla para fijar de forma consensuada el 9 de enero de 2018 como la fecha de publicación de los detalles de la vulnerabilidad por parte de sus descubridores.

Este período de «revelación responsable» es habitual en la resolución de vulnerabilidades. Su objetivo es garantizar que los equipos de desarrollo de los productos afectados (en este caso, la práctica totalidad de los sistemas que utilizamos desde Windows hasta MacOS pasando por todo tipo de sistemas basados en Linux o Android) dispongan de un período prudencial para estudiar el problema y desarrollar y probar los parches necesarios. Es cierto que este esquema de funcionamiento sitúa a algunas personas en una posición ventajosa dado que serán informados de la existencia de fallos de seguridad susceptibles de ser explotados antes que nadie. Es un peaje a pagar necesario para garantizar que la identificación de problemas de seguridad es reconocida de forma adecuada y los parches y contramedidas estén disponibles para cuando sea publicada.

Por este motivo, la actuación trasparente y diligente de las personas que tienen acceso a esta información es más necesaria y exigible que nunca. Al margen de si los motivos para adelantar la fecha comprometida de publicación están justificados (por ejemplo, se podían haber timestampeado los papers en alguna blockchain pública si la preocupación fuera una pérdida de atribución), tenemos que tener claras nuestras prioridades para evitar que sistemas operativos que llevan dos meses avisados de un fallo de seguridad dejen para el último día la aplicación de las actualizaciones correspondientes porque, por desgracia, puede no haber una segunda oportunidad para proteger nuestros datos y nuestras máquinas.

Noticias destacadas

Ataques de spear phishing que ya apuntan a los Juegos Olímpicos de Pyeongchang

Investigadores de seguridad de McAfee han información que ya se están viendo ataques cuyo impacto son los Juegos Olímpicos de Pyeongchang debido a que organizaciones asociadas al evento habían recibido mensajes de spear phishing. Las campañas comenzaron el pasado 22 de diciembre en donde los atacantes usaron correos falsos que pretendían suplantar al Centro Nacional de Contraterrorismo de Corea del Sur. El análisis reveló que el correo electrónico fue enviado desde una dirección en Singapur y remitió supuestos simulacros antiterroristas en la región donde se está realizando la preparación de los Juegos Olímpicos. Los atacantes trataban de engañar a las víctimas para que abrieran un documento en coreano titulado «Organizado por el Ministerio de Agricultura y Silvicultura y los Juegos Olímpicos de Invierno de Pyeongchang».

Más información en McAfee

El grupo iraní Infy podría estar focalizado en manifestantes y en sus contactos extranjeros

De acuerdo con la empresa de seguridad Palo Alto, un actor estatal llamado Infy se encontraría intensificando sus ataques contra cualquiera que esté en contacto con los manifestantes de Irán. El malware Infy se vió por primera vez en VirusTotal en agosto de 2007, mientras tanto, el dominio C&C utilizado por la muestra más antigua detectada por los expertos se ha asociado con una campaña maliciosa de diciembre de 2004. El malware ha evolucionado a través de los años, cuyos autores lo mejoraron implementando nuevas características tales como el soporte para el navegador web Microsoft Edge que se introdujo en la versión 30. A diferencia de otros actores estatales iraníes que se dirigen a organizaciones extranjeras, el grupo Infy parece encontrarse enfocado en oponentes y disidentes.

Más información en Palo Alto

Noticias del resto de la semana

CoffeeMiner, una PoC para comprometer redes Wi-Fi públicas para minar

Un desarrollador llamado Arnau ha publicado una prueba de concepto denominada CoffeeMiner para comprometer redes Wi-Fi públicas para inyectar código que permitiría minar en sesiones de navegación conectadas, un método para monetizar rápidamente los esfuerzos de computación necesarios para minar criptodivisas. Arnau explicó cómo impulsar un ataque Man-In-The-Middle para inyectar código javascript en las páginas html a las que acceden los usuarios conectados. De esta forma, todos los dispositivos conectados a una red WiFi se ven obligados a minar una criptodivisa.

Más información en Arnau Code

Error crítico en phpMyAdmin que permitiría a atacantes dañar bases de datos

Una vulnerabilidad crítica ha sido reportada en phpMyAdmin, una de las aplicaciones más populares para administrar la base de datos MySQL, que podría permitir a los atacantes remotos realizar operaciones peligrosas de bases de datos simplemente engañando a los administradores para que hagan clic en un enlace. Descubierta por un investigador de seguridad indio, Ashutosh Barot, se trataría de una vulnerabilidad cross-site request forgery (CSRF) y afectaría a las versiones 4.7.x de phpMyAdmin (anteriores a la 4.7.7).

Más información en The Hacker News

Se alerta de un error crítico en dispositivos de almacenamiento ‘My Cloud’ de Western Digital

Investigadores de seguridad han descubierto varias vulnerabilidades graves y backdoor hardcodeado en los dispositivos NAS en My Cloud de Western Digital que podrían permitir a atacantes de forma remota ser root sin restricciones al dispositivo. El dispositivo permite a los usuarios compartir archivos en una red doméstica, pero la función de nube privada también les permite acceder a sus datos desde cualquier lugar en cualquier momento.

Más información en Gulftech