Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Zoombombing con video porno incluido en el juicio en directo del hackeo de Twitter




La audiencia en la corte haciendo videoconferencia con Zoom, ha sido interrumpida por un video porno  ,en el caso Twitter Hack. Han interrumpico ¡la audiencia varias veces con música a todo volumen y un video de Pornhub. No se les ocurrió otra cosa que realizar una videoconferencia con Zoom sin contraseña. Y además publicar el ID de la conferencia. La conferencia se tuvo que interrumpir durante más de 25 minutos.





  • El adolescente acusado por el hackeo de Twitter se declara inocente
  • Clark se encuentra actualmente en la cárcel con una fianza de $725,000 dólares 


Como era de esperar, la audiencia de Zoom para el presunto autor del hackeo de Twitter de 17 años, Graham Ivan Clark (jugador de minecraft),  en Florida fue bombardeada varias veces, con el bombardeo final de un clip de pornhub que terminó con la parte de zoom del proceso.

La corte solo necesita cambiar su configuración de Zoom para no permitir el uso compartido de pantalla de cuentas que no sean de administrador.

El hecho de que el juez a cargo del proceso no pensó en habilitar la configuración que evitaría que las personas se hicieran cargo de la pantalla está fuera de nuestro alcance. Supongo que no sabía que podía. La cara del juez en la primera fotografía, lo resume.



Por cierto, el clip de pornhub era bastante "suave". Imagínate que se transmite pornografía infantil en un proceso judicial. Estamos seguros  que no fuimos los únicos video asistentes que grabaron la audiencia. Ahí mismo serías culpable de posesión de CP. Los jueces que celebran audiencias sobre Zoom necesitan obtener algunos consejos básicos de seguridad.


La cara de Andrew Warren:

someone just interrupted our court proceeding with pornography



Según Ryan Hughes, un reportero del medio local WFLA, el juez Christopher Nash dijo la próxima vez se necesitará una contraseña. Sin embargo, esto puede no ser efectivo para detener los bombardeos de Zoom, ya que las contraseñas, al menos para otras audiencias, se publican en línea. En cambio, es posible que el tribunal deba limitar el uso compartido de la pantalla Zoom para llamar solo a los administradores.


Las contraseñas del tribunal de algunas audiencias son públicas:




Un portavoz del Tribunal del Circuito Judicial del Decimotercer Tribunal de Florida declinó hacer comentarios y dijo que el tribunal no pudo compartir el video de la audiencia.

De todos es más que conocida la seguridad por defecto de Zoom.

Lo ideal sería el cifrado de extremo a extremo, pero no todas ellas lo tienen. Google Hangouts y Meet si. Zoom no cifraba sus videollamadas de extremo a extremo. Increíble porque incluso la tan críticada WhatsApp decidió cifrar de extremo a extremo todos los mensajes y llamadas ya en el año 2016.

Si bien Zoom asegura implementar cifrado de extremo a extremo en sus comunicaciones, al parecer esto no es del todo así. Según explicó el sitio The Intercept, Zoom tiene acceso a videos y audios sin cifrar de las reuniones realizadas a través de la app. Por su parte, la compañía aclaró que los contenidos de las videoconferencias (chats, videos, audios y pantallas compartidas) son cifradas de extremo a extremo, pero si se habilita algún servicio, como la grabación en la nube, Zoom tiene acceso a las claves de descifrado que actualmente mantiene en la nube. Esto no debiera ser así, aseguran especialistas, ya que en un verdadero sistema de cifrado de extremo a extremo el proveedor del servicio (en este caso Zoom) no debería poder tener acceso a contenido descifrado de las comunicaciones

Por su parte, una investigación de Citizen Lab asegura que el esquema de cifrado de Zoom presenta debilidades importantes. Según revelaron, las claves para el cifrado y descifrado de las reuniones son generadas en servidores de Zoom (que nunca deberían salir del dispositivo de punto final), en algunos casos, han sido enviadas a los participantes a través de servidores ubicados en China (algo que la propia compañía confirmó),


Google ha prohibido a sus empleados usar este sistema de conexión por videollamada. Esto es lógico, porque Google tiene su propio sistema y es un poco absurdo usar una aplicación de la competencia que usa servidores en China.  Pero cuando otras compañías como SpaceX, y la NASA han hecho lo mismo, da que pensar. Apple sólo permite a sus empleados usar Slack, Cisco WebEx / Jabber, a parte de la suya propia FaceTime, claro. El FBICNI y Los Mossos d'Esquadra, entre muchos otros, han advertido de su uso (básicamente utilizar últimas versiones).  Pero también prohibición de su uso en escuelas de la ciudad de Nueva York y de Singapur. También el veto por parte del Gobierno de Taiwan, ya que  han vetado su uso en todas las agencias gubernamentales o el senado de Estados Unidos. El ministerio de Exteriores Alemán ha restringido la utilización de la plataforma a los ordenadores con conexión fija, según informa Reuters. El Senado de Estados Unidos ha pedido a sus miembros y a su personal que no usen sus servicios, según adelantó Financial Times. También el departamento de Educación de la ciudad de Nueva York comunicó esta semana a los colegios que deben dejar de emplear Zoom cuanto antes.


Esta crisis llevó a Zoom a desarrollar un plan urgente de 90 días para reforzar sus protocolos de seguridad y privacidad. Como parte de este plan, la compañía ha creado un comité de asesores del que forman parte expertos de Netflix, Uber, HSBC y NTT Data, entre otros. También ha fichado como asesor externo al ex director de seguridad de Facebook, Alex Stamos, para que le ayude a resolver los problemas a los que se enfrentan.

Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS.
  • Zoom no cifraba de extremo a extremo sus videollamadas (solucionado a medias)
  • Zoom dice de que no cifrará de extremo a extremo las videollamadas para los usuarios suscriptos al servicio gratuito y que sólo lo hará en el caso de usuarios suscriptos a planes pagos.
  • Para acabar de arreglar lo de arriba, Zoom utiliza servidores ubicados en China, incluso en una videollamada de Bostón a los Angeles acaba pasando por Pekin, según un estudio Citizen Lab de la Universidad de Toronto. (Zoom dice que es un error) 
  • Zoom dice que usan cifrado "AES-256” pero en realidad usan "AES-128" en modo ECB
  • La aplicación de Zoom para iOS compartía la ubicación y otros datos con Facebook sin permiso (solucionado)
  • Exploit zero-day para el cliente Zoom en Windows con RCE incluído (ya solucionado)
  •  ZoomBombing o Zoom Raid —mediante el cual un actor malintencionado se cuela en las videoconferencias grupales utilizando el ID de la reunión virtual o un enlace que se haya hecho público para acceder a la misma (ya solucionado)
  • Cuentas Zoom vendidas en DarkWeb
  • Zoom estaba filtrando direcciones de correo y fotografías de miles de usuarios, permitiendo que desconocidos puedan llamarlos a través de la herramienta. El problema radica en la función “Directorio de la compañía”,
  • Zoom era vulnerable a un fallo denominado “UNC path injection".  Al hacer click por el chat, enviase al atacante el hash NTLM de su contraseña Windows. (arreglado)
  • Zoom permitía vincular participantes son perfiles de LinkedIn, minería de datos que recolectaba nombres de usuario y direcciones de correo para vincular a los participantes con sus perfiles de LinkedIn. (función ya deshabilitada)
  • Falsos instaladores de Zoom contenían malware (eso es prácticamente normal al ser una aplicación muy popular).

Reciente vulnerabilidad de Zoom Bombing


La popular aplicación de videoconferencia Zoom solucionó recientemente una nueva falla de seguridad que podría haber permitido a los atacantes potenciales descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y espiar a los participantes. La vulnerabilidad sólo se encontraba en el cliente web.

Las reuniones de Zoom están protegidas por defecto con una contraseña numérica de seis dígitos, pero según Tom Anthony, vicepresidente de productos de SearchPilot que identificó el problema, la falta de limitación de velocidad permitió que "un atacante intentara todas las 1 millón de contraseñas en cuestión de minutos y obtener acceso a las reuniones de Zoom privadas (protegidas por contraseña) de otras personas".

El hecho de que las reuniones estuvieran, de manera predeterminada, aseguradas por un código de seis dígitos significaba que solo podía haber un máximo de un millón de contraseñas. Anthony informó el problema de seguridad a la compañía el 1 de abril de 2020, junto con un script de prueba de concepto basado en Python, una semana después de que Zoom solucionó el problema el 9 de abril.

En ausencia de comprobaciones para intentos repetidos de contraseña incorrecta, un atacante puede aprovechar el cliente web de Zoom (https://zoom.us/j/MEETING_ID) para enviar continuamente solicitudes HTTP para probar todas las combinaciones de un millón.


https://zoom.us/j/MEETING_ID

Vale la pena señalar que Zoom comenzó a requerir un código de acceso para todas las reuniones en abril como medida preventiva para combatir los ataques de bombardeo de Zoom, que se refiere al acto de interrumpir y secuestrar reuniones de Zoom sin invitación para compartir contenido obsceno y racista.

"Con una mejora en el subprocesamiento y la distribución a través de 4-5 servidores en la nube, podría verificar todo el espacio de la contraseña en unos minutos", dijo Anthony.

El ataque funcionó con reuniones recurrentes, lo que implica que los malos actores podrían haber tenido acceso a las reuniones en curso una vez que se descifró el código de acceso.

El investigador también descubrió que el mismo procedimiento podría repetirse incluso con reuniones programadas, que tienen la opción de anular el código de acceso predeterminado con una variante alfanumérica más larga y ejecutarlo contra una lista de los 10 millones de contraseñas principales para forzar un inicio de sesión por fuerza bruta.

Por separado, se descubrió un problema durante el proceso de inicio de sesión utilizando el cliente web, que empleó una redirección temporal para buscar el consentimiento de los clientes a sus términos de servicio y política de privacidad.

"Había un encabezado CSRF HTTP enviado durante este paso, pero si se omitía, la solicitud parecía funcionar bien de todos modos", dijo Anthony. "La falla en el token CSRF hacía aún más fácil abusar de la aplicación".

La plataforma de videoconferencia, que atrajo el escrutinio de una serie de problemas de seguridad a medida que su uso se disparó durante la pandemia de coronavirus, ha corregido rápidamente las fallas a medida que se descubrían, incluso llegando al punto de anunciar un congelamiento de 90 días en el lanzamiento de nuevas funciones para "identificar, abordar y solucionar problemas de manera proactiva".


  • Zoom lanzó parche que repara vulnerabilidad zero‑day en la versión para Windows


A principios de este mes, la compañía abordó una vulnerabilidad Zero-Day en su aplicación de Windows que podría permitir a un atacante ejecutar código arbitrario en la computadora de una víctima con Windows 7 o anterior.

La vulnerabilidad exponía a un posible ataque remoto a usuarios de Zoom que utilizaran Windows 7 o versiones anteriores del sistema operativo.

“La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en la computadora de una víctima que tiene instalado el cliente de Zoom para Windows (cualquier versión actualmente compatible) al convencer al usuario para que realice algunas acciones típicas, como abrir un documento. Durante el ataque no se despliega ninguna advertencia de seguridad al usuario”, dijo ACROS.

También solucionó otra falla que podría haber permitido a los atacantes imitar a una organización y engañar a sus empleados o socios comerciales para que revelen información personal u otra información confidencial a través de ataques de ingeniería social.

Fuentes:
https://www.vice.com/en_us/article/jgxadb/twitter-hackers-zoom-hearing-is-interrupted-by-pornhub-video
https://blog.segu-info.com.ar/2020/07/bug-en-zoom-permitia-obtener-el-pin.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.