black hat
Las Vegas – El último día de julio y el primero de agosto, en un hotel con casino romano del tipo imperial, inspirado en el desierto de Mojave se llevó a cabo una conferencia que el Director de la Agencia de Seguridad Nacional, el general Keith Alexander, caracterizó como la reunión de mayor talento técnico del planeta. Al menos dos miembros de la multitud lo llamaron mentiroso y se burlaron de él durante el tenso discurso el miércoles por la mañana. No porque esa declaración fuese falsa, sino porque él es el encargado de supervisar una agencia que supuestamente controla las comunicaciones de los ciudadanos estadounidenses. Para mejor, el director de la NSA afirmó que su agencia tiene la capacidad pero no la autoridad para llevar a cabo dicha recopilación de datos. En el pasado, muchos otros altos funcionarios han negado rotundamente al pueblo estadounidense esta sospecha (aunque el Congreso, irónicamente, le dio a la NSA este poder voluntaria y repetidamente).
Hay dos realidades contradictorias en la conferencia de seguridad Black Hat: por un lado, el evento es profundamente corporativo. Allí acuden los científicos informáticos más brillantes, los mejor pagos, respetados y profesionales del mundo. Aunque la gran mayoría de las reuniones están enfocadas a la empresa, también hubo -para suerte nuestra- una serie de conversaciones de los consumidores este año.
Por otro lado, este lugar está absolutamente repleto de matones. Si tienes una computadora o un smartphone o cualquier cosa de valor y acudes a la Black Hat, en Las Vegas, Nevada (en el Palacio de César en particular), encontrarás que es uno de los entornos más hostiles del mundo occidental (estas fueron las palabras –algo exageradas- que leí en un correo electrónico que recibí de la compañía que creó el evento). Redes inalámbricas, cajeros automáticos y personas que nunca he visto antes, nada de fiar. Parte de la diversión para los hackers en Black Hat es intentar humillar y robar a quienes asisten. La sala de prensa es un laberinto de cables y el único lugar seguro para estar online. Es muy extraño pasar la mayor parte del día offline, fuera de la segura sala de prensa con conexiones a Internet seguras, estando en la conferencia de tecnología más famosa del mundo.
De todas formas, más extraña es la dicotomía entre los criminales sin una base de educación formal y los investigadores con doctorados en matemáticas. La línea entre los ciberdelincuentes y los agentes vestidos de civil del gobierno federal es muy fina – especialmente cuando te das cuenta de que ambos grupos tratan de aprender acerca de las mismas técnicas de ataque. No tengas ninguna duda, casi todo el mundo aquí es un hacker y la piratería es la única cosa seria de la cual se habla.
Hackeando Humanos
Lamentablemente, Barnaby Jack murió justo una semana antes de poder brindar su conferencia “Dispositivos médicos trasplantables: Hackeando Humanos”. El brillante investigador de seguridad estaba a la vanguardia de la investigación sobre los dispositivos médicos trasplantables (son aquellos que se implantan en el cuerpo de un paciente como las bombas de insulina o el marcapasos), un tema que Kaspersky va a estudiar prontamente. Muchos de estos equipos trasmiten señales y tienen la capacidad de comunicarse de forma inalámbrica con dispositivos fuera del cuerpo. Obviamente, son hackeables, de ahí que la pérdida de Barnaby Jack sea muy desafortunada. El famoso y querido hacker neozelandés llevó dos cajeros automáticos a la sala de presentación de Black Hat hace unos años. A lo largo de la charla, se sentó en su computadora portátil y los hackeó de todas las formas imaginables. Manipuló sus pantallas, hizo uno de ellos piense que recibía un billete de 20 dólares en vez de varios de $5, y – por supuesto – cerró su exposición forzando al otro cajero automático a regar el escenario de dinero.
Hackeando Casas
Hubo tres reuniones relacionadas con la seguridad del hogar en Black Hat este año. En lo que podría haber sido una simple y sencilla conferencia más, los investigadores Porter y Stephen Smith demostraron lo increíblemente fácil que es burlar los sistemas de seguridad de la oficina y el hogar. Hay unos 36 millones de sistemas vulnerables en los EE.UU. y los que ellos examinaron tuvieron tres puntos principales de análisis: sensores de puertas y ventanas, sensores de movimiento y un teclado. El teclado, dijeron, es el cerebro de la operación. El teclado arma y desarma el sistema y se comunica a un tercero cuando cualquiera de los sensores se ha disparado.
Porter y Smith demostraron que podían engañar a los sensores basados en circuitos con elementos muy baratos, como imanes y bandas de metal. Estos sensores son los que crean un circuito cuando los dos lados del sensor se tocan (circuito cerrado: bueno). Cuando el circuito está roto (circuito abierto: mal), al abrirse una puerta o ventana, el sensor hace sonar la alarma y comunica que se ha producido una violación al teclado. El teclado luego informa al tercero que la alarma ha sonado.
Las alarmas del sensor de movimiento pueden ser falseadas fácilmente. Los investigadores no se explican por qué y mi comprensión del espectro electromagnético es un poco limitada, pero por alguna razón, la iluminación infrarroja causa algunos problemas a las alarmas de detección de movimiento. Cuando los investigadores expusieron los sensores a la luz infrarroja (por ejemplo, encendiendo un encendedor común), los sensores generan alarma. También fueron capaces de engañar a los sensores de movimiento de forma aún más sencilla. Se trata sólo de protegerse de los sensores de movimiento con un gran pedazo de cartón o espuma de poliestireno y así se engaña a los sensores como si no hubiese movimiento.
Lo más alarmante es que los teclados también son vulnerables. Básicamente, el teclado recibe señales eléctricas de los sensores. Si se activan los sensores, enteran a esto al teclado y éste le avisa a un tercero que está programado para contar. Puede ser a la policía o a tu smartphone. Los teclados pueden comunicar de tres maneras: teléfono fijo, celular o transmisión de información. Es imposible que se atasque o se intercepte el tráfico de datos en todos ellos.
En otra charla, Daniel Crowley, David Bryan y Jennifer discutieron salvajemente los riesgos que enfrentamos cuando conectamos nuestros aparatos electrodomésticos como calentadores o cerraduras o incluso inodoros a nuestras redes domésticas. Más específicamente, Behrang Fouladi y Sahand Ghanoun demostraron un ataque a las vulnerabilidades de los sistemas de automatización del hogar Z-Wave. El protocolo Z-Wave está creciendo en popularidad y es capaz de controlar los sistemas HVAC, cerraduras de puertas, iluminación, y otras cosas de tu casa.
La preocupación más grande es que el equipo de seguridad del hogar es vulnerable pero no puede ser reparado, como un ordenador o una pieza de software. Cuando Microsoft se entera de un error, construyen un parche, y envía el remiendo; pero en este caso, la mayoría de los sistemas de seguridad carecen de la capacidad de auto-actualización de sus respectivos firmwares, por lo que, para corregir un error en un producto, un técnico tendría que entrar en el sistema, lo cual es costoso y molesto. En la mayoría de los casos nadie se molesta en corregir estos errores, sino más bien dejar que los sistemas sigan vulnerables. Por otra parte, si conectas tu sistema a Internet, debes asegurarte de que tienes algún tipo de protección contra los ataques a distancia y que el proceso de actualización es seguro también. Muchos vendedores no están aún preparados para jugar en este campo – como verás en el siguiente párrafo.
Hackeando como en Hollywood
Un investigador de vulnerabilidades de Maryland llamado Craig Heffner hackeó cámaras de vigilancia personal y empresariales al mejor estilo de Hollywood. Afirma que miles de estas cámaras, desplegadas en hogares, empresas, hoteles, casinos, bancos, e incluso prisiones militares e instalaciones industriales, son accesibles en Internet y vulnerables a los tipos de ataques que se ven en las películas. Heffner desarrolló un ataque a modo de prueba en el que se podría congelar y manipular vídeos de forma remota.
Hackeando Teléfonos
Dos charlas en particular podrían romper toda la confianza del ecosistema móvil. Uno de ellas fue presidida por un investigador alemán de Security Research Labs Karsten Nohl que estudia ataque a las tarjetas SIM. La otra charla era “Una Raíz Para Poseer Todo” de Jeff Forristal, dedicada a la mayor vulnerabilidad de Android master, sobre la cual publicaremos prontamente un informe completo.
Básicamente, una tarjeta SIM es muy pequeña, pero tiene todas las funciones informáticas dedicadas a asegurar el almacenamiento y la transmisión de datos a través de la red celular. Nohl dio cuenta de que las tarjetas SIM en quizás hasta un mil millones de teléfonos inteligentes son vulnerables porque se comunican con el cifrado de datos estándar, comúnmente conocido como DES. Éste solía estar encriptado una vez aprobado por la Agencia de Seguridad Nacional. Como investigador me señaló en un taxi que compartimos hasta el aeropuerto, DES es muy favorable, ya que requiere poca memoria y funciona rápidamente. Pero, por desgracia, es bastante antiguo y se rompe fácilmente. Así que al parecer estas tarjetas SIM están fabricados para que los operadores de red y proveedores de servicios uno pueda comunicarse con ellos después de que han sido vendidas a los usuarios finales. Esta comunicación es necesaria para parchear una facturación y otros propósitos como se puede leer en este excelente relato (enlace en inglés). La comunicación entre las tarjetas SIM y los proveedores de servicios son básicamente mensajes de texto que no aparecen en el teléfono, pero son procesados directamente por la tarjeta SIM. Casi todos los teléfonos en el mundo, dijo Nohl, contienen una tarjeta SIM que puede enviar y recibir este tipo de mensajes de texto sin conocimiento del usuario. En tres años, la investigación de Security Labs encontró sólo un teléfono que hace caso omiso de estas comunicaciones a través over-the-air (OTA) por completo.
Para garantizar estas comunicaciones, los mensajes están cifrados o protegidos por firmas criptográficas o ambas opciones. Estas medidas hacen poca diferencia, ya que Nohl se las arregló para descifrar los mensajes más allá de si utilizaban protección o no. Las claves se basan en gran medida en el viejo algoritmo DES. El servidor OTA que pertenece a los proveedores de la red y las tarjetas SIM a su vez utilizan la misma clave – probablemente para ahorrar espacio en las tarjetas SIM. Si sabes la clave, entonces puedes engañar a la tarjeta SIM haciéndose pasar por el proveedor de la red. La demostración de Nohl tiene mucho de matemáticas, de modo que resumo que lo importante es saber que una vez que se convenció a estas tarjetas SIM de que eres el proveedor, se podría explotar esta situación de varias maneras: enviar mensajes de texto a clientes premium, desviar llamadas, actualizar el firmware de la tarjeta SIM y robar demás datos de la tarjeta, por ejemplo, aplicaciones de pago de algunas tarjetas SIM. La buena noticia es que muchos operadores han comenzado a enviar 3DES más seguros o tarjetas SIM AES con capacidad duradera y algunas de las grandes empresas de telecomunicaciones implementaron rápidamente varias soluciones basadas en la red.
Hackeando la Ley
Marcia Hoffmann de la Fundación Electronic Frontier encabezó una conferencia de advertencia sobre los peligros legales que pueden enfrentar los investigadores cuando se exponen a las vulnerabilidades de seguridad. Parte de la razón por la cual Internet sigue siendo tan difícil de asegurar es que los hackers con buenas intenciones a menudo se encuentran en problemas legales por denunciar vulnerabilidades en los sistemas. Gran parte de su charla se centró en estudios de casos específicos, pero su mensaje general fue una advertencia: el lenguaje vago lleva a demandas específicas. Lo que quiso decir es que muchas de las leyes que el gobierno utiliza para procesar estos delitos online son obsoletos, porque se crearon en un momento donde la Internet y las computadoras eran distintas, de modo que hay que reformularlas.
Hackeando TVs
Como era de esperar, los llamados televisores inteligentes también son vulnerables. Las dos sesiones informativas, una presentada por Seungjin ‘Beist’ Lee y otra por Aaron Grattafiori y Josh Yavor, demostraron que existe una amplia gama de posibles ataques contra estos caros dispositivos, que se venden a decenas de millones de personas por año.
Si bien no pude acudir a estas conversaciones, sí fui a la conferencia de prensa previa a la reunión. Según Grattafiori y Yavor, descubrieron una serie de vulnerabilidades en los sistemas operativos subyacentes de estos aparatos de televisión conectados a Internet. El dúo afirmó – y demostró en su conferencia – que un atacante remoto puede secuestrar aplicaciones de la plataforma y tomar el control de los dispositivos para, así, robar información almacenada en la cuenta. Además, se calcula que los atacantes también podrían comandar tanto cámaras como micrófonos para realizar diversas actividades relacionadas con la vigilancia o utilizar estos sistemas como un peldaño para llegar a las redes locales en las que operan.
Hackeando Coches
Tienes que esperar a conocer éste. Charlie Miller y Chris Valasek asistieron a Black Hat, pero van a estar presentando su truco del automóvil en DEF CON – la conferencia de hackers más duros – que comienza cuando termina la Black Hat. No voy a asistir, pero definitivamente voy a escribir todo acerca de su demostración tan pronto como pueda. Mientras tanto, mira cómo rien Miller y Valasek desde el asiento trasero de un coche mientras que hackean el coche que maneja el periodista de Forbes, Andy Greenberg. También puedes leer más acerca de la piratería de coches aquí.
Hackeando Internet
Recientes avances en informática y matemática demostrados en Black Hat revelaron que entre 2 y 5 años se podría romper con el cifrado y la infraestructura actual de certificados de toda Internet. Para evitar esto, casi todas las empresas la fabricación de productos relacionados con Internet, ya sea navegadores, servidores web, cámaras de seguridad y otras, tendrán que actualizar sus software para utilizar algoritmos más modernos.
Es fácil salir de Black Hat pensando que Internet ya no tiene remedio, pero la verdad optimista es que la gran mayoría de los hombres y mujeres increíblemente inteligentes que presentan y asisten al evento están trabajando para solucionar los problemas de Internet y de todas las diversas cosas con las cuales nos conectamos a ella. Al escucharlos hablar es, por un lado, destructor de tu propio ego ya que da cuenta de nuestro bajo sistema de inteligencia y por otro lado, es también inspirador ya que podrían tener éxito en lo que a menudo parece imposible: la creación de un entorno online seguro, confiable y que promueva la privacidad personal.
Consejos