Parece que nos cuesta aprender: si hay una característica que permite conectarse a internet en algo que no se ha desarrollado cuidadosamente, alguien la aprovechará para atacarnos.

En este caso hablamos de Hackers use PowerPoint files for ‘mouseover’ malware delivery una característica de las que llamaríamos ‘chulas’: cuando pasas el ratón por encima de un enlace en un ‘PowerPoint’ se puede ver una vista previa de la cosa. En este caso se intenta descargar una imagen.

When opening the lure document in presentation mode and the victim hovers the mouse over a hyperlink, a malicious PowerShell script is activated to download a JPEG file (“DSC0002.jpeg”) from a Microsoft OneDrive account.

Pero la imagen resulta ser una DLL cifrada y se arma el lío.

The JPEG is an encrypted DLL file (lmapi2.dll), that is decrypted and dropped in the ‘C:\ProgramData' directory, later executed via rundll32.exe. A registry key for persistence is also created for the DLL.

Hacer un navegador, nos dicen en The reckless, infinite scope of web browsers es una tarea muy complicada.

El problema tiene que ver con la larga historia de la web: no hay límites en lo que se puede ver en el navegador, ni en las características que se van añadiendo:

This strategy of unlimited scope and perpetual feature creep is reckless, andhas been allowed to go on for far too long.

Hay 1217 especificaciones de la W3C y resulta que alguien interesado debería leerse 114 millones de palabras, que es muchísimo.

The total word count of the W3C specification catalogue is 114 million words at the time of writing. If you added the combined word counts of the C11, C++17, UEFI, USB 3.2, and POSIX specifications, all 8,754 published RFCs, and the combined word counts of everything on Wikipedia’s list of longest novels, you would be 12 million words short of the W3C specifications.

La conclusión es que es imposible construir un nuevo navegador (y la prueba es que cada vez tenemos menos, aunque parezca que hay más porque se reutilizan dos o tres motores compartidos).

Aunque no nos cuesten dinero, resulta que el navegador puede ser el programa más costoso de los que hay en un sistema típico.

Browsers are the most expensive piece of software a typical consumer computer runs.

Y también tiene consecuencias desde el punto de vista de la seguridad, siendo estos programas responsables de un montón de problemas.

Web browsers areresponsible for more than 8,000 CVEs.

Ya queda muy lejos cuando hablábamos de la seguridad de mozilla por su simplicidad frente al Internet Explorer, Software Complexity: Open Source vs Microsoft . Por cierto, sorpresa agradable al ver que aún hay entradas recientes (marzo de este año) en ese blog.

Actualización (2022-10-04) Me recordaban en Mastodon (no es visible públicamente, no lo enlazo) el reciente anuncio de Privacy Browser PC y lo añado aquí.

En Air-Gapped Devices Can Send Covert Morse Signals via Network Card LEDs nos cuentan de otro caso de extracción de información de una máquina. Esta vez, a través de los LEDs de la tarjeta de red, utilizando el lenguaje morse.

A security researcher who has a long line of work demonstrating novel data exfiltration methods from air-gapped systems has come up with yet another technique that involves sending Morse code signals via LEDs on network interface cards

Se trataría de instalar un malware en la máquina y utilizarlo para controlar esas lucecitas LED, mediante parpadeos o cambios de color.

Malware installed on the device could programmatically control the status LED by blinking or alternating its colors, using documented methods or undocumented firmware commands,” Dr. Guri said.

Curioso.

Ya hemos hablado otras veces de los números aleatorios y la seguridad. En esta ocasión, sin embargo, traemos un artículo sobre números aleatorios (seudoaleatorios, generados) de uso genérico (no se habla de seguridad; me permito recordar que los números seudoaleatorios que se usan en ciberseguridad no pueden ser los mismos que se utilizan en simulaciones, por ejemplo, porque los requisitos son diferentes).

Se trata de un artículo que ya tiene unos años: Quality of random number generators significantly affects results of Monte Carlo simulations for organic and biological systems. Como es un tema recurrente por aquí (aunque con otro enfoque), valdrá la pena guardarlo.

Prueban a hacer simulaciones con diferentes algoritmos generadores y ven que el resultado es diferente.

We have simulated pure liquid butane, methanol and hydrated alanine polypeptide with the Monte Carlo technique using three kinds of random number generators - the standard Linear Congruential Generator (LCG), a modification of the LCG with additional randomization used in the BOSS software, and the “Mersenne Twister” generator by Matsumoto and Nishimura.

De las conclusiones: la elección del generador puede tener efectos importantes en los resultados físicos de los cálculos y las pruebas estadísticas básicas no son suficientes para identificar todos los problemas potenciales.

Thus, we can conclude that, on one hand, the choice of a random number generator for Monte Carlo simulations can have a very strong effect on the physical results of the calculations and, on the other hand, simple statistical tests are not sufficient to identify all the potential problems.

Prometo que yo pensaba que con un par de entradas ‘duras’ sobre las dificultades y lo sofisticado que es atacar un producto moderno sería suficiente pero la entrada How I Hacked my Car es demasiado apropiada para dejarla pasar aquí. Tiene segunda parte, en How I Hacked my Car Part 2: Making a Backdoor y tercera How I Hacked my Car Part 3: Making Software.

Se trata de un ataque que le da acceso al sistema de entretenimiento.

One thing I particularly liked about this vehicle was the In-Vehicle Infotainment (IVI) system. As I mentioned before it had wireless Android Auto which seemed to be uncommon in this price range, and it had pretty nice, smooth animations in its menus which told me the CPU/GPU in it wasn’t completely underpowered, or at least the software it was running wasn’t super bloated.

El autor tiene un 2021 Hyundai Ioniq SEL y se pone a ‘jugar’ con él. En la entrada nos cuenta los pasos que dió y cómo lo consiguió.

Finalmente lo consigue.

Bingo! My app was running. The buttons also worked flawlessly, allowing me to lock or unlock my doors. I also dumped the logs after exiting my app and saw that my test button log and other debug log entries were successfully written in the Logcat file.

I now had full control over my car’s IVI, which is certainly a nice feeling. There is still more to be learned about the system though and I might make more posts about it as I find out more information.