LAS VEGAS – Cada año, a principios de agosto, la comunidad de seguridad y de hackers emprenden una peregrinación desde todos los rincones del mundo hacia Las Vegas, Nevada para asistir al conjunto de conferencias de seguridad llamadas: Black Hat, DEF CON y B-Sides. Si bien históricamente Black Hat se dedica a analizar las tendencias en seguridad en el mundo de los negocios, en el último tiempo adquirió un perfil más apuntado a los consumidores, brindando cada vez más sesiones informativas sobre ataques contra las casas inteligentes, infraestructuras críticas, dispositivos móviles y otras cosas conectadas.
Revelación: no hubo ningún informe sobre los hackeos a los trenes.
Roel Schouwenberg, investigador de Kaspersky lab, exploró, en un informe de securelist, la idea de una Black Hat post-PC. Mientras tanto, Mike Mimoso de Threatpost observó un patrón similar en su propia pieza diciendo: “El firmware es el nuevo hacker black y todo, desde memorias USB, pasando por routers domésticos hastaautomóviles pueden ser víctimas de exploits, robo de datos y erosión de la privacidad.”
Por un lado, como asistente de la conferencia, puedo decir que ésta es una gran noticia porque significa menos (o, probablemente, el mismo número de) sesiones informativas acerca de bugs en plataformas oscuras de software utilizados principalmente por empresas. Además de más conversaciones acerca de las vulnerabilidades en los sistemas más cercanos a nuestra vida diaria. Por otro lado, el enfoque cambiante de Black Hat es representativo de una tendencia alarmante: las vulnerabilidades de seguridad se están arrastrando cada vez más cerca de nuestras vidas reales.
La Nota Destacada
La nota destacada de este año fue entregada por un iluminado de seguridad muy respetado llamado Dan Geer. A diferencia del año pasado, cuando el ex Director General de la NSA Keith Alexander entregó la nota destacada, este año no hubo guardias armados, provocadores ni miembros de la multitud con cartones de huevos escondidos en sus mochilas. A diferencia del año anterior, la multitud escuchaba con atención cada una de las palabras del ensayo de casi 60 minutos en el que Geer, jefe de Seguridad de la Información de In-Q-Tel, explayó sus diez mandamientos de seguridad.
Además, Geer destacó que EE.UU debería acaparar el mercado de ventas de vulnerabilidades, ofreciendo diez veces el precio de cualquier error a la venta y a continuación y colocar la información de la vulnerabilidad en un repositorio público, permitiendo así que las empresas puedan arreglar cada bug y “reducir el inventario de las armas cibernéticas”.
Hackeando humanos y hospitales
Retomando el concepto de la seguridad que afecta nuestra vida real, como se discutió en una mesa redonda sobre la seguridad en dispositivos médicos: algunas vulnerabilidades están literalmente incrustadas en nuestros cuerpos. Pero mucho más comunes son aquellas involucran los dispositivos médicos que se encuentran en el hospital.
Es sólo una cuestión de tiempo antes de un ataque sea dirigido hacia alguno de estos dispositivos. Las buenas noticias son que los propios dispositivos son increíblemente seguros. Una bomba de insulina es mucho mejor para regular y corregir los niveles de insulina que un adolescente con un medidor de glucosa en sangre y un suministro mensual de jeringas de insulina.
Las vulnerabilidades están presentes en las formas en que estos dispositivos se comunican entre sí y, en muchos casos, con los dispositivos externos, sea que estén bajo el control de los pacientes o de los médicos. Seamos muy claros, la probabilidad de que aparezca un asesino usando un ordenador portátil para administrar una descarga fatal en un paciente con un marcapasos es ridículamente baja. Los riesgos reales aquí son más aburridos.
¿Quién es responsable de la producción de parches para dispositivos médicos? ¿Quién es responsable de instalar esos parches? ¿Quién paga la cuenta? Desafortunadamente, las respuestas a estas preguntas son una combinación muy borrosa de los fabricantes de dispositivos, los hospitales y los propios usuarios. Y, cuando utilizamos el dispositivo médico, no estamos hablando sólo de los marcapasos y las bombas de insulina; estamos hablando de máquinas de resonancia magnética, ecocardiogramas, máquinas de rayos X, la Tablet que un médico lleva consigo o, incluso, los ordenadores (a menudo máquinas de Windows XP) que gestionan montones de datos médicos sensibles.
En este sentido, la manipulación maliciosa de los registros médicos son quizás los riesgos más probables y peligrosos que nos enfrentamos en este nuevo mundo de dispositivos médicos conectados. Para cerrar con una buena noticia: es una señal muy positiva que estamos hablando de estos problemas antes de que el cielo se caiga, lo cual es bastante raro en el sector de la alta tecnología.
Yahoo encriptará todas las comunicaciones de su servicio de e-mail
Yahoo, que ha recibido muchas críticas por no cifrar su servicio de e-mail (y por otras razones también), anunció una serie de cambios de seguridad que se van a realizar en los próximos meses y años. El principal de estos cambios es un proyecto para encriptar todas las comunicaciones de su e-mail. La medida será llevada a cabo con la ayuda de Google.
Usted puede leer más acerca de los cambios de seguridad que Yahoo está implementando aquí en Kaspersky Daily o en Threatpost.
Hackeando coches remotamente
Ojalá estuviéramos hablando de una conferencia en la que un par de investigadores hackearon un coche a control remoto. Pero no. Por desgracia, lo que presenciamos en Black Hat es a un par de investigadores que descubrieron cómo controlar remotamente varios modelos de coches reales, esencialmente convirtiéndolos en vehículos de dos toneladas que pueden ser controlados a distancia como un auto de juguete.
Hemos estado hablando del hacking en automóviles inteligentes durante más de un año aquí en el Kaspersky Daily y, probablemente, no vamos a dejar de hacerlo. La razón de esto radica en que la conectividad en los coches es una tendencia que va en aumento. En la actualidad, hackear un coche es un trabajo duro. Se requiere de un conocimiento muy específico de protocolos muy específicos que generalmente se usan sólo en los coches.
Sin embargo, pronto los automóviles tendrán sus propios sistemas operativos, sus propios mercados de aplicaciones y, con el tiempo, es posible que tengan sus propios navegadores web. Sistemas operativos, aplicaciones y navegadores son tres cosas que los atacantes saben explotar.
Además, al igual que con dispositivos médicos, el problema de parchear las vulnerabilidades de seguridad en automóviles presentaría graves problemas. ¿El cliente tiene que llevar el coche al concesionario para obtener la actualización? Si es así, ¿cuántas personas traerían sus coches al lugar de retiros? O, ¿los fabricantes tendrían que crear algún mecanismo de actualización a distancia? Si ese es el caso, entonces, ¿Qué pasaría si una actualización no funciona o, peor, es de alguna manera interceptada o suplantada por un atacante?
La buena noticia es que Charlie Miller de Twitter y Chris Valasek de IOActive han desarrollado un antivirus como herramienta de detección que permite ver si alguien está tratando de manipular las comunicaciones entre los distintos sensores y computadoras integradas en automóviles y, así, bloquear el tráfico malicioso.
BADUSB – todos los USB son malos
Karsten Nohl desarrolló un exploit que se aprovecha del hecho de que casi todos los usuarios de computadoras en el mundo aceptan las entradas de un dispositivo USB. Nohl, jefe científico de Security Research Labs, llamó a estos ataques “BadUSB”. Lo que hizo, esencialmente, fue sobrescribir el firmware incorporado en estos dispositivos con el fin de que éstos puedan realizar una larga lista de actos maliciosos, incluyendo la inyección de códigos maliciosos en los equipos para redireccionar el tráfico de datos.
“Un USB está diseñado para trabajar de esta manera; nadie hizo nada malo”, dijo Nohl. “Y no hay forma de arreglarlo. Mientras tengamos USBs, podemos hacer que estos dispositivos se hagan pasar fácilmente por otros. Es un problema de seguridad estructural”.
Debido a que este ataque está dirigido a la universalidad del USB, miles de millones de máquinas son potencialmente vulnerables a este problema. Nohl también está preocupado por la naturaleza ubicua del error y la posibilidad de que exploits puedan erosionar la confianza. “No hay una herramienta de limpieza que elimine el firmware malicioso o lo sobrescriba. Esto hace que las infecciones se produzcan más fácilmente y que sea más difícil recuperarse de ellas”
Nohl se enteró del ataque luego de que se diera a conocer la herramienta de hacking de la NSA catálogo
La honesta pandilla de CryptoLocker
El grupo que abatió el ransomware CryptoLocker también se presentó en la conferencia Black Hat. Durante su exposición, mostraron un correo electrónico que una víctima les envío a la banda de CryptoLocker al verse estafada. La víctima, una madre soltera que no poseía el dinero necesario para pagar el rescate suplicó a los creadores de malware que le desbloqueen la máquina, que ella la necesitaba para su trabajo.
Historias como ésta y otras similares obligaron a este grupo de trabajo a reunirse y acabar con CryptoLocker. Curiosamente, dijeron que la banda responsable de manipular el ransomware de CryptoLocker era completamente fiel a su palabra. Durante meses, hemos dicho que nunca deberías pagar para que tu máquina sea desbloqueada porque no hay ninguna garantía de que el desbloqueo ocurra aún si se paga el rescate. Sin embargo, la tripulación CryptoLocker siempre fue honesta respecto a esto.
Software de Seguimiento
El investigador de Kaspersky Lab (y amigo del blog) Vitaly Kamluk y el co-fundador de Cubica Labs, Anibal Sacco, presentaron una serie de cambios en una vulnerabilidad de seguridad presente en una pieza casi ubicua de software de la que hemos hablado aquí antes.
El software, desarrollado por Absolute Software y conocido como Computrace, es un producto anti-robo legítimo en el que confían muchas empresas de hardware del mundo y que pasa inadvertido en la mayoría de los productos antivirus. ¿Y por qué no habría de pasar inadvertido? Es un software legítimo.
Sin embargo, Computrace es, en realidad, un misterio. Por razones que siguen siendo en gran parte desconocidas, Computrace viene activado por defecto en millones de máquinas en todo el mundo. Absolute Software desmiente esto, explicando que Computrace está diseñado para ser activado por los departamentos de usuarios o de TI. Lo que ocurre es que, una vez Computrace está habilitado, es increíblemente persistente, sobrevive a los reinicios de fábrica y es capaz de auto habilitarse en cada inicio del sistema. Pero eso no es todo. El producto contiene vulnerabilidades – la empresa se burla de esta clasificación, aunque está de acuerdo en fijar los temas en cuestión – que hacen más susceptibles a los usuarios a sufrir ataques man-in-the-middle, que podrían exponer las máquinas afectadas a una intercepción total
La culpa es de los satélites
El investigador Rubén Santamarta de IOActive encontró que casi todos los dispositivos implicados en las comunicaciones por satélite (SATCOM) contienen vulnerabilidades incluyendo puertas traseras, credenciales codificadas, protocolos inseguros y / o cifrado débil.
Estas vulnerabilidades, afirma Santamarta, podrían brindarles a los atacantes no autenticados la posibilidad de comprometer totalmente los productos afectados.
SATCOM juega un papel crítico en la infraestructura mundial de telecomunicaciones y sus ataques también podrían afectar a buques, aeronaves, personal militar, servicios de emergencia, servicios de medios de comunicación e instalaciones industriales como plataformas petroleras, gasoductos, plantas de tratamiento de agua y más.
En resumen
Los controles Carrier les proporcionan a los proveedores de servicios, y a potenciales agresores, el control generalizado de dispositivos móviles. Un error crítico en Android podría permitir a un atacante hacerse pasar casi cualquier aplicación de confianza. Módems de banda ancha móvil o tarjetas de datos se consideran un blanco fácil para los atacantes.
Desgraciadamente, hubo muchas conferencias en Black Hat y sólo un yo, que pasaba demasiado tiempo en la sala de prensa tratando de averiguar exactamente lo que todos estos investigadores estaban hablando. Si usted está interesado en saber más acerca de Black Hat, Dennis Fisher y Mike Mimoso de Threatpost y yo volveremos a cubrir el primer y el segundo día del evento en podcasts independientes. Fisher y Mimoso también publicaron un podcast sobre DEF CON, que comienza el día en que finaliza Black Hat.
Fuera de eso que se publica aquí y en Threatpost, hay algunos grandes informes de otros puntos de venta en la sección de prensa del sitio web de Black Hat. El hashtag Black Hat (#blackhat) es probable que tenga una buena cobertura también. También es posible que quieras hacer una investigación en Google sobre casas automatizadas.
Haciendo un repaso de la conferencia de seguridad Black Hat con @thebriandonohue
Tweet
Traducido por: Guillermo Vidal Quinteiro