CSIRT-SC

La elección de software antivirus se reduce a una cuestión de preferencia personal. Sin embargo, debido este tipo prácticas y a la violación reiterada de la privacidad, sería recomendable evitar productos de Avast y AVG.

Aunque no se incluye información personal de manera explicita, es posible deanonimizar a los usuarios En octubre de 2019, ya se había encontrado que las extensiones de Avast para navegadores recolectaba información de usuarios. Seguidamente, Mozilla, Opera y Google las eliminaron

Entre los datos recolectados, se incluye: - Búsqueda de lugares y coordenadas GPS en Google Maps - Visitas de LinkedIn - Videos de Youtube - Visitas en sitios para adultos En base a esa información, es posible determinar cada contenido accedido en cada momento.

Avast tiene más de 435 millones de usuarios activos por mes y Jumpshot tiene datos de 100 millones de dispositivos. Aunque indican que la recolección de datos es opt-in (voluntaria), múltiples usuarios no están al tanto de la misma.

Algunas de estas empresas pagaron millones de dolares por productos que incluyen un paquete llamado "All Clicks Feed" (Alimentación de todos los clicks), que rastrea el comportamiento de los usuarios, con alto nivel de detalle, en cada sitio web.

Jumpshot, una subsidiaria de Avast, recolecta el historial de navegación de los clientes para vender "cada búsqueda, cada click, cada compra... en todos los sitios". Entre los clientes de esta cadena de suministro secreta, se encuentran: Google, Yelp, Microsoft, Pepsi, etc.

Usuarios de Avast (y AVG): La semana pasada se filtraron documentos revelando que la empresa comercializa datos sensibles (y en muchos casos confidenciales) de sus clientes, sin su consentimiento. Esto constituye una violación a la privacidad de cientos de millones de personas.

Para más información: - Boletín de CISA (incluye estrategias de mitigación) https://www.us-cert.gov/ics/advisories/icsma-20-023-01 … - CVEs http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-6961 … http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-6962 … http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-6963 … http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-6964 … http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-6965 … http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-6966 …

GE está trabajando para producir actualizaciones que remedien estos problemas. Es importante que los administradores de sistemas en el ámbito de salud estén atentos y las apliquen tan pronto estén disponibles. Mientras tanto hay distintas recomendaciones para mitigar el problema.

Todas las vulnerabilidades son fáciles de explotar y una persona puede utilizar software común para llevar a cabo un ataque (VNC, cliente de ssh, etc). Estas pueden impactar la confidencialidad e integridad de la información médica.

Los CVEs correspondientes: [CVSS 10] - CVE-2020-6961 - CVE-2020-6962 - CVE-2020-6963 - CVE-2020-6964 - CVE-2020-6965 [CVSS 8.5] - CVE-2020-6966 Incluyen acceso a llaves privadas de SSH, posibilidad de RCE, intercepción de entradas, carga de archivos arbitrarios y cifrado debil

Estas fallas están presentes en la línea de productos GE CARESCAPE, lanzada en 2007. Ésta ha tenido una amplia adopción en hospitales a nivel mundial, por lo que se cree que el numero de afectados ronda los cientos de miles. Todas las vulnerabilidades son críticas en severidad.

Un grupo de investigadores en CyberMDX ha encontrado 6 vulnerabilidades en varios productos de GE Healthcare, apodadas 'MDhex'. Éstas permitirían a un atacante recolectar información personal médica, apagar alarmas, deshabilitar dispositivos o alterar su funcionalidad.

Sin embargo, esta filtración pone en evidencia algunas malas prácticas por parte de MS, como la falta de control de acceso y autentificación, el uso de cifrado inadecuado, la retención de datos extendida, etc. Por este motivo, CSIRT-SC recomienda el uso de Software Libre.

Vale la pena reconocer que el equipo de MS actuó rápidamente una vez conocido el problema e implementó controles de seguridad adecuados. Luego procedió a notificar a los afectados y a difundir información sobre el incidente, adoptando una postura transparente.

LOS EMPLEADOS DE MICROSOFT NO PIDEN CONTRASEÑAS NI SOLICITAN LA INSTALACIÓN DE APLICACIONES DE ACCESO REMOTO. El uso de herramientas como TeamViewer para acceder a las máquinas de las víctimas es una táctica común en este tipo de estafas.

Se recomienda a las personas que estén atentas a estafas vía teléfono y correo electrónico. MICROSOFT NO SE COMUNICA CON CLIENTES PARA SOLUCIONAR SUS PROBLEMAS DE FORMA PROACTIVA. Si no iniciaron un reclamo de soporte técnico, asuman que el 'representante de MS' no es de MS.

Microsoft aseguró que la exposición fue limitada a una base interna, utilizada para analisis de casos de soporte técnico, y que no afectó sus servicios comerciales de nube (Cloud Services).