news: rootkit en laptops, NULL permite SSL spoofing, torrents en PNG

Alfredo Ortega y Anival Sacco descubrieron una vulnerabilidad interesante en el software "Computrance LoJack for Laptops". Resulta que esta aplicación a nivel de BIOS está diseñada para llamar a casa (autoridad central) en caso que la laptop sea robada o perdida, pero el problema es que lo que el soft considera 'casa' puede cambiarse. Por ello, sería posible crear un malware capaz de infectar el BIOS con código persistente que soporte reinicios y reflashings.
Y cuál puede ser el daño? esta es la mejor parte... la autoridad central asignada (llamada casa) puede darle la instrucción al BIOS para que borre todo como medida de seguridad!!!, también permite rastrear la laptop.
El 60% de las laptops nuevas están integrando este servicio, incluyendo a todos los fabricantes más importantes (Dell, Toshiba, Asus, Lenovo, HP, etc). Así que estén atentos a las actualizaciones que puedan surgir, dado que el sistema es relativamente fácil de explotar...
Pueden leer la noticia completa en http://blogs.zdnet.com/security/?p=3828

----------------------

Pasando a la siguiente noticia, ayer leo un sobre un hack al que debemos estar MUY atentos, porque podría resultar en la pérdida de nuestro dinero.
En slashdot publicaron sobre cómo es posible engañar a los browsers haciéndoles creer que visitamos un sitio conocido con certificado válido y todo, cuando en realidad estamos visitando un sitio falso. Para que se den una idea de la gravedad, un usuario podría visitar una página de un atacante que personifica la página de un banco, paypal, ebay, etc, y el browser le dirá al usuario que el certificado está OK, mostrando que el certificado corresponde a paypal.com o ebay.com, etc. Para el que no recuerde cómo funcionan los certificados, puede leer la introducción de mi artículo Certificados Digitales.
El problema surge en cómo los browsers implementan las comunicaciones SSL, y el caracter NULL en las URLS.
Supongamos que un atacante que es el dueño del dominio chicomalo.com desea obtener un certificado para el dominio PayPal.com\0.chicomalo.com. Para esto consulta alguna CA conocida y hace el requerimiento. Dado que el atacante es dueño de chicomalo.com, entonces la CA firmará el certificado sin objetar. Hasta acá todo bien, todo legal, pero el problema surge en los browsers, dado que al leer el certificado con un caracter NULL en el medio de la URL, interpretarán que el certificado corresponde a PayPal.com!!!.
La vulnerabilidad se debe a que los browsers dejan de leer cuando encuentran un caracter NULL en el nombre, dado que se interpretan como terminador de string.
Algo peor es que el atacante puede requerir un certificado con un wildcar como *\0.chicomalo.com y ahora puede impersonar cualquier página que desee, con certificado y todo que demuestran la validez!
Simplemente es excelente este hack =D

----------------------

Para terminar la tripleta clásica de noticias, les traigo una de hace un par de semanas. Resulta que en TorrentFreak nos hablan sobre un nuevo servicio que permitiría evadir los constantes problemas legales que suelen enfrentar los sitios que hospedan archivos .torrent. La solución es tan simple como perfecta, esconder los torrents en imágenes!!! El uso de imágenes para esconder secretos no es para nada nuevo, y se conoce como esteganografía. Incluso no es nueva la idea de esconder torrents dentro de imágenes, ya existe hace tiempo el programa Stegtorrent. Lo nuevo es que, a diferencia de Stegtorrent, este nuevo servicio llamado Hid.im, es web, con lo que no necesitamos instalar nada para usarlo.
Básicamente la forma de uso es darle a hid.im un torrent y este nos devuelve una imagen que lo contiene. Para la vuelta, es decir obtener el torrent a partir de la imagen, debemos contar con una extensión de firefox o un bookmarklet.
Usando hid.im podemos hospedar archivos torrent en cualquier servicio gratuito de hosting de imágenes como imageshack.com, en redes sociales, en avatars de foros, cualquier lugar donde se pueda poner una imagen. La única limitación del servicio es que el torrent no debe exceder los 250KB.
Dejando de lado lo legal de compartir cierto contenido a través de torrents, sin dudas, esto es un nuevo aire para evitar las censuras de sitios y la pérdida consecuente de los torrents.