22/11/2017 Intel admite fallas de seguridad en sus ltimos Core

PUBLICIDAD

SEGURIDAD

Intel admite fallas de seguridad en sus ltimos procesadores

Core
Por Paloma Beamonte 22/11/17 - 22:15

Ocho vulnerabilidades, ya solucionadas, permitan acceder de forma remota a ordenadores y

porttiles del 2015 o posteriores para suplantar al sistema.

Intel ha confirmado que sus ordenadores y procesadores del 2015 o posteriores fueron vulnerables a
ciberataques va remota. La empresa detect hasta ocho vulnerabilidades en el firmware nativo de los
chips Core de sexta, sptima y octava generacin (Skylake, Kaby Lake y Kaby Lake R), as como Pentium,
Celeron, Atom y diversos procesadores Xeon, que ya ha solucionado.

https://hipertextual.com/2017/11/intel-admite-fallas-seguridad-sus-ultimos-procesadores-core?utm_source=browser&utm_medium=notifications&utm_c 1/6
22/11/2017 Intel admite fallas de seguridad en sus ltimos Core

La empresa explic a travs de un comunicado que los fallos estaban en su capa de firmware
Management Engine (ME), as como en las variedades Trusted Execution Engine (TXE) y Server
Platform Services (SPS). Estos permitan a posibles atacantes remotos ejecutar un software malicioso,
obtener acceso a informacin privilegiada y suplantar el sistema de los ordenadores. En el peor de los
casos, piratas informticos hubieran podido cargar y ejecutar un cdigo sin que fuera detectado por el
usuario, Intel o el sistema operativo del ordenador.

Asimismo, Intel ha publicado una herramienta para detectar si Linux o Windows han sido afectados, as
como una solucin para las PC. Hasta ahora, solo Dell, Lenovo e Intel (NUC y Compute Sticks) han
reportado sistemas afectados. Matthew Garrett, investigador de seguridad de Google, escribi en un
tweet:

Reflexiones sobre las recientes vulnerabilidades de Intel ME: con base en informacin pblica, no tenemos una
idea real de qu tan serio es esto an. Podra ser bastante inofensivo, podra ser un asunto gigante.

PUBLICIDAD

SEGURIDAD

DJI amenaza a ingeniero que report un fallo de seguridad

Por D. A. 21/11/17 - 02:03

Despus de anunciar su programa de recompensas para que cualquiera pueda descubrir huecos
de seguridad a cambio de dinero, DJI amenaza a un ingeniero que report un fallo en sus
servidores.

https://hipertextual.com/2017/11/intel-admite-fallas-seguridad-sus-ultimos-procesadores-core?utm_source=browser&utm_medium=notifications&utm_c 2/6
22/11/2017 Intel admite fallas de seguridad en sus ltimos Core

Al igual que muchas otras compaas, como Google, Microsoft o Facebook, el mayor fabricante de drones
de la actualidad, DJI, activ un programa de recompensas para aquellas personas que descubrieran fallos
que pudieran afectar la seguridad de consumidores, como la filtracin de datos privados, informacin
personal, fotos, videos o registros de vuelo.

Es una iniciativa interesante porque los drones presentan nuevos retos y fronteras entre la privacidad, la
libertad de vuelo y regulaciones locales.

En ese sentido, un ingeniero de software llamado Kevin Finisterre descubri un hueco de seguridad
importante en la infraestructura de DJI que les permiti acceder a informacin privada de clientes. Resulta
que la compaa hizo pblica (sin querer, obviamente) la llave privada del certificado SSL y de la llave AES
usada para firmar la autenticidad de las actualizaciones de firmware de sus drones.

Finisterre escribi a DJI y pregunt si sus servidores estn dentro del alcance del programa de recompensa
por identificacin de fallos. La respuesta de la empresa fue s.

https://hipertextual.com/2017/11/intel-admite-fallas-seguridad-sus-ultimos-procesadores-core?utm_source=browser&utm_medium=notifications&utm_c 3/6
22/11/2017 Intel admite fallas de seguridad en sus ltimos Core

Esto lo llev a empezar a hacer investigacin y averiguacin. No solo descubri que la llave privada antes
mencionada estaba expuesta en Github hace cuatro aos, sino que algunas cuentas de Amazon Web
Services de la empresa estaban marcadas como pblicas, por lo que cualquiera poda acceder a archivos
adjuntos de emails recibidos, imgenes de drones averiados, facturas y alguna que otra foto de personas
lastimadas por las hlices de los drones.

Finisterre volvi a insistir a la marca, quienes despus de dos semanas ratificaron que el programa de
recompensas por descubrir fallos de seguridad inclua sus servidores.

La respuesta de DJI fue lo suficientemente convincente para iniciar un largo proceso de documentacin de
los fallos de seguridad descubiertos. Adems de todo lo anterior descubri que haba informacin con la
que se poda hacer una correlacin entre datos expuestos y personas, el fallo de seguridad, claramente, era
muchsimo ms grande de lo que inicialmente se crea, por lo que contact inmediatamente a la compaa e
hizo el aviso.

130 emails despus, Finisterre haba explicado y detallado los problemas de seguridad a los que DJI se
enfrentaba. La compaa, en algn momento le ofreci un puesto como consultor de seguridad.

Pero todo cambi el momento en que envi el reporte final de fallos de seguridad. La respuesta, por parte
de un ejecutivo de la empresa, explicaba que los servidores de la empresa "ya no estn dentro del
programa de recompensa". An as, poco tiempo despus recibi un email avisndole que su reporte
obtuvo el puesto ms alto y recibira 30.000 dlares.

Un mes ms tarde recibi otro email, esta vez con un contrato, el cual le obligaba a no discutir detalles del
trabajo que haba hecho de forma pblica, tambin le obligaba a decir que el no haba hecho trabajo de
seguridad para DJI en ningn momento.

Poco despus el departamento legal de la empresa en China donde se le obligaba destruir toda informacin
y datos descubiertos durante la investigacin a riesgo de enfrentar cargos legales.

Finisterre renunci a los 30.000 dlares e hizo pblica toda la investigacin realizada, con capturas de
pantalla, detalles tcnicos y todo el lo legal al cual DJI quera meterlo. Para un experto en seguridad la
recompensa econmica es tan importante como la recompensa meditica detrs del descubrimiento de un
fallo de seguridad, especialmente en empresas grandes.

https://hipertextual.com/2017/11/intel-admite-fallas-seguridad-sus-ultimos-procesadores-core?utm_source=browser&utm_medium=notifications&utm_c 4/6
22/11/2017 Intel admite fallas de seguridad en sus ltimos Core

Ars Technica se puso en contacto con el director de comunicaciones de DJI en Amrica del Norte, quien se
refiri a Kevin Finisterre como un hacker que quiso aprovecharse de la situacin, que public informacin
confidencial y que no sigui los pasos correctos para obtener la recompensa por descubrir el fallo.

Ahora, bugbounty@dji.com se ha desactivado. Fue la la direccin de correo que DJI habilit para reportar
fallos de seguridad y entrar en el programa de recompensas.

Cualquier email enviado a esa direccin recibe una respuesta automtica que dice:

Por favor tenga en cuenta que a partir del 16 de noviembre de 2017 no aceptamos reportes de fallos va email.
Si tiene preguntas puede contactarnos desde bugbounty@dji.com y responderemos a la brevedad.

DJI sigue recibiendo reportes desde una web creada para temas de seguridad, pero tal vez sea muy tarde y
ya han perdido toda la confianza de la comunidad.

https://hipertextual.com/2017/11/intel-admite-fallas-seguridad-sus-ultimos-procesadores-core?utm_source=browser&utm_medium=notifications&utm_c 5/6
22/11/2017 Intel admite fallas de seguridad en sus ltimos Core

Puedes comentar sobre este y otros temas en

nuestra comunidad

COMENTAR

Acerca de Hipertextual Contratar publicidad Informacin Legal Licencia Contacto Test de velocidad

https://hipertextual.com/2017/11/intel-admite-fallas-seguridad-sus-ultimos-procesadores-core?utm_source=browser&utm_medium=notifications&utm_c 6/6