Fecha: 27 de junio de 2016. La mañana empezó como esperábamos: preparando un chat entre bastidores en el que Kaspersky Lab realizaría su primera incursión en las rondas de preguntas y respuestas (Ask Me Anything o AMA, en inglés) que ofrece Reddit. Participarían los siguientes miembros del Equipo de investigación y análisis globales (GReAT) de Kaspersky Lab: Costin Raiu, Vicente Díaz, Vitaly Kamluk, Ryan Naraine, Brian Bartholomew, Juan Andres Guerrero-Saade.
Creamos los enlaces, nos aseguramos de que todos estaban en línea y, entonces, pulsamos el botón que hizo que empezara el chat sin saber quién accedería ni qué preguntarían. El plan era estar una hora y media respondiendo preguntas (desde las 15:00, horario GMT+1). No teníamos ni idea de que al final se alargaría más, ni del nivel de participación que tendría, mucho mayor al que en principio esperábamos (la última pregunta se respondió pasadas las 19:28).
A lo largo de la conversación, vimos más de 855 comentarios en el hilo (incluidas nuestras respuestas) con temas que iban desde programas televisivos a por qué la atribución de las APT es difícil para los investigadores de seguridad. Había fans, trols, periodistas e interesados en la industria haciendo preguntas a GReAT. Durante las más de cuatro horas que duró, los investigadores dieron respuestas reveladoras y sinceras y lo respondieron todo…
We did say ask us anything: If you could be stuck on an island w #Jesus or @POTUS which 1 would it be? https://t.co/86GMv68yBF
— Kaspersky (@kaspersky) July 27, 2016
Estoy seguro de que si preguntáramos a los seis participantes cuál fue su pregunta favorita, cada uno tendría la suya y les sería difícil ponerse de acuerdo. Yo he intentado hacerlo, pero finalmente he optado por seleccionar seis (sin ningún orden en particular). Os dejo mis favoritas y también os explico por qué me han llamado la atención.
Atribución
Terminemos con esta lo antes posible. Se ha escrito mucho sobre por qué no se habla de atribución en muchos informes de investigadores de seguridad cuando se habla del “quién lo ha hecho”. Esta pregunta no tardó mucho en aparecer en la sesión y se respondió, además, dos veces, por lo que ya podemos darla por zanjada de una vez por todas.
¿Podríais explicarnos a los no expertos cómo se utilizan los metadatos y otro tipo de datos para atribuir los hackeos como el ataque al Comité Nacional Demócrata y el del gusano Stuxnet? ¿Qué es lo que se puede alterar y lo que no para que Kaspersky realice la atribución con exactitud?
Responden Brian y Juan: Es una gran pregunta y pocas veces se responde con detalle porque si los malos supieran qué datos manejamos para la atribución de ataques, podrían manipularlos. La verdad es que hay poco que se pueda falsear o manipular y es por ello que la industria a veces debate acaloradamente sobre la atribución.
Las claves principales que se suelen utilizar para atribuir ataques son: idiomas utilizados en el código, momento de compilación del malware, la motivación de los ataques, tipos de objetivos, direcciones de IP usadas durante el ataque, adónde se envían luego los datos, etc. Analizamos todo esto en una especie de “matrix” para determinar a los posibles causantes. En el caso de los ataques a la DNC, por ejemplo, muchos expertos estaban de acuerdo con que el malware y la infraestructura utilizados solo pertenecen a dos “grupos”.
Hola, investigadores de Kaspersky Lab:
Sé que, por política, evitáis hablar de atribución, pero resulta muy evidente que la mayoría de ataques a los estados parecen haber sido llevados a cabo por los presuntos ciberpoderes más importantes (EE.UU., Reino Unido, Rusia, China, Irán, etc.). Imaginemos que los indicadores atribucionales reflejan la realidad. ¿Por qué no se ve más actividad de hackeo a los estados llevada a cabo por naciones en desarrollo o no desarrolladas? Parecería que el juego del ciberespionaje es completamente democrático y habría una amplia disponibilidad de herramientas baratas y gratuitas de acceso remoto y de exploit.
¡Gracias!
Responde Vicente: Según tu suposición, tendría sentido que fueran los países con más recursos los más activos (y estos serían los que tú has detallado). Pero eso no significa que los países en desarrollo no participen en dichas operaciones, aunque en muchas ocasiones utilicen recursos externos porque son más baratos que desarrollar unas “cibercapacidades” mayores. Ello, junto con otras cosas, complican la atribución (no es lo mismo desarrollar un arma única y avanzada que usar una común).
También deberías considerar el factor del “agotamiento mediático” que, por desgracia, podría limitar la información distribuida para algunas campañas. Si alguien descubre una campaña en un pequeño país cuyo objetivo es su pequeño vecino, quizá no lo veas en una publicación importante.
Brechas de seguridad… ¿Puede ayudar el Gobierno?
Todo lector de Kaspersky Daily sabe que siempre os estamos informando sobre hackeos y brechas de seguridad. A través de las redes sociales, nuestros lectores nos suelen preguntar “¿qué puedo hacer para protegerme?”. Durante la sesión, también lo preguntaron:
Las brechas de seguridad no desaparecerán a corto plazo, por lo que Estados Unidos ha creado un diagrama que clasifica la severidad de los ciberincidentes. Mi pregunta es: ¿pensáis que los gobiernos deben abordar este problema o que no deberían involucrarse en el sector civil?
Responde Juan: Difícil pregunta. Sin duda los gobiernos tienen un papel importante en el abordaje de este problema. Y lo que es más importante, de algún modo el gobierno ha de ocuparse de estos asuntos. Por ejemplo, sería mejor no trasladar el debate de la identificación de hackeos más allá de los poderes del sector público (lo que podría llamarse “monopolio del uso legítimo de la violencia” del gobierno). En una época en la que la atribución es algo artesanal y la atribución fiable es casi imposible, preferiría que fueran las agencias gubernamentales las que se ocuparan por completo de los recursos para el rastreo de hackeos.
Me vienen a la cabeza un par de cosas que los gobiernos pueden hacer ahora mismo:
- La cooperación del sector privado con la policía es esencial para acabar con ciertos tipos de malware problemático, como el ransomware. Cuando se implementa un cifrado, lo mejor que puede suceder es contar con la cooperación de la policía a fin de apoderarnos de los servidores de mando y control para que podamos poner a disposición de las víctimas el software y los servicios de descifrado. Nosotros no podemos apoderarnos de esos servidores, por lo que una férrea cooperación y sin bloqueos es importante.
- Las iniciativas para compartir información son estupendas, pero no hay suficientes con sectores verdaderamente claves, como el financiero, el sanitario e, incluso, algunos sectores especializados en tecnología. Estos sectores han de especializarse, pero a menudo no pueden o no deberían compartir su información por miedo al estigma de sufrir un hackeo o por posibles repercusiones legales. Es maravilloso cuando los gobiernos se involucran y proveen refugio para que las compañías compartan lo que saben, lo que les preocupa y reciban la ayuda que necesiten.
¿Alguien sabía que a Costin le gustaba Mr. Robot?
Mis colegas del equipo de redes sociales y los de la oficina de Norte América suelen hablar de Mr. Robot. Debido al tema de esta serie de televisión, no debería sorprenderme. Todavía no he visto ningún episodio, pero tranquilos, el líder del equipo GReAT y Juan tenían la repuesta para el público.
Si veis Mr. Robot, ¿en una escala del 0 al 10 cómo de fidedigna es con respecto a la realidad de la seguridad informática y el campo del hackeo?
Responde Costin: Yo a Mr. Robot le doy un 9,5. Muchas de las escenas son excelentes y el uso de herramientas, sistemas operativos y pequeños detalles, desde la ingeniería social a la seguridad operacional, está muy bien. Yo, en particular, he disfrutado de muchas escenas realistas, como la del pobre desarrollador que no logra reparar el banco de bitcoins averiado y el ataque de la memoria USB del aparcamiento.
Responde Juan: He de admitir que solo he visto la primera temporada, pero algunas escenas de hackeos son sorprendentemente buenas. En particular, disfruté viendo en escena lo rápido que se puede acceder a un teléfono con la correcta preparación (tardarías más en ducharte).
Cuarteto de preguntas
La usuaria que hizo esta pregunta fue una de las más entusiastas en el hilo de Twitter #AskGReAT. Cuando esta mañana le di el enlace, seguía con entusiasmo y he de decir que hizo una buena pregunta. En realidad, hizo cuatro buenas preguntas.
1) Si tu sistema se ha visto comprometido, utilizar un servicio cifrado de e-mail no te salvará, ¿verdad?
2) ¿Cómo podemos usar Android de forma segura y conservar nuestros datos aunque debamos ligarlos a una cuenta de Gmail? (Y Google recopile los datos).
3) ¿Existe alguna aplicación de mensajería para Android que utilicéis y que sepáis que no recopila los datos?
4) La seguridad informática me fascina, pero no tengo experiencia. ¿Cómo podemos los usuarios normales contribuir a hacer de Internet un lugar más seguro y libre?
- Responde Juan: ¡Vaya! Muy bien, veamos. Me encanta tu primera pregunta porque ratifica por qué opino que trabajamos en el lado más importante del “problema de la seguridad de la información”. Respuesta corta: No, si tu empresa se ha visto comprometida, utilizar un servicio de e-mail cifrado no te salvará. La respuesta más matizada es que no te salvará de un atacante que utilice malware para estar presente en tu dispositivo, pero no afectaría al hecho de que el servicio cifrado de e-mail (PGP, por ejemplo) evite que tus e-mails sean leídos en tránsito o a través de una brecha de tu buzón de entrada o del receptor. Digo que estamos trabajando en una parte importante de la seguridad de la información porque las soluciones de seguridad suelen ser creadas bajo la suposición de que la empresa no está comprometida, por lo que diseñar y dar soporte a software que proteja tus dispositivos no es algo trivial.
#KSN #Report: #Mobile ransomware in 2014-2016 https://t.co/zmvSlscN0X #klreport pic.twitter.com/mxDUxrnIJe
— Securelist (@Securelist) June 29, 2016
- Sigo con tus otras preguntas: Android es una plataforma complicada de proteger. Si te preocupa la privacidad, muchas veces tus problemas los causarán los permisos de las aplicaciones de terceros y los “juegos” que se toman la libertad de recopilar cualquier información. Personalmente, eso me preocupa más que la propia integración de Gmail.
- Con respecto a la mensajería, solemos utilizar diferentes aplicaciones de mensajería “seguras”. No estoy en situación de auditar el cifrado o la implementación de estas, pero algunos de nosotros estamos probando Wire. SilentText, Signal, Threema y Wickr son nuestras favoritas desde hace tiempo. No sé si recopilan datos, deberías preguntar a sus desarrolladores.
- Por favor, ¡protege tus cuentas! Utiliza un gestor de contraseñas y la verificación en dos pasos. Los atacantes hacen de todo con las cuentas que hackean.
Pokémon Go: ¿sí o NO?
Como sabrás, ya hemos tocado el tema sobre la moda de Pokémon GO. Al equipo de GReAT le preguntaron sobre ello durante la sesión de preguntas, por lo que tenía que incluirlo…
¿Tenéis tiempo de jugar a Pokémon 😀 o a otros juegos? ¿Os gustan los MMORPGs?
Responde Juan: Estoy seguro de que hay gente en GReAT que juega a Pokémon GO, en particular los fans de Ingress. No tengo tiempo para jugar a SC2 o a Destiny. Brian y yo hemos decidido jugar un poco a Overwatch en la Xbox. Y en los aeropuertos, intento jugar un poco a Zelda en la 3DS.
Responde Brian: De vez en cuando juego a Pokémon. Mi mujer lo odia y, a decir verdad, soy un jugador vergonzoso. Voy al supermercado y escondo mi teléfono mientras compro. En lo que respecta a otros juegos, en la actualidad juego a Overwatch cuando tengo tiempo. Antes jugaba a Fallout 4 y sí, me van las consolas. En mi opinión, no existe la PC Master Race.
Responde Costin: No juego a Pokémon GO, pero sí a EVE Online. ¡Viva Minmatar!
Responde Vicente: Soy fan de Bis Street Fighter VI, decepcionado con SFV y jugador ocasional de SC2. Espero el nuevo Mass Effect.
Responde Vitaly: Mi trabajo es mi videojuego. Muy realista, un mundo 3D con giros inesperados y problemas difíciles de resolver.
Seguridad en Android
La plataforma Android es muy popular entre los usuarios (informo: uno de mis teléfonos es un Droid y tiene Kaspersky Internet Security para Android), pero también entre los delincuentes. No te fíes, mira las cifras. Estuvo bien que se hiciera esta pregunta en la con un doble revés.
¿Debería instalar un antivirus en mi smartphone Android? ¿Son de verdad una amenaza los virus y el malware en los móviles?
Responde Costin: Creo que el malware para móviles se puede comparar con un iceberg (hay una gran parte que aún no podemos ver). Aunque la cifra de programas maliciosos se ha disparado en los últimos años, muchos son adware y lockers. Nuestro análisis de las APT de calidad como Equation parece sugerir que se han desarrollado muchos implantes móviles, lo que significa que terminaremos por encontrarlos, al igual que hicimos con los implantes móviles de HackingTeam. Utilizar una solución de seguridad en tu dispositivo Android seguro que te ayudará no solo a protegerte contra las amenazas conocidas, sino a detectar algunas nuevas.
No obstante, ¿cuáles son tus predicciones/instintos?
Por lo que he visto, el malware para Android se distribuye, principalmente, a través de tiendas de terceros y Google hace un buen trabajo al mantener la Play Store limpia.
Aun así, muchos de los teléfonos Android están desactualizados (gracias a los fabricantes por mantenernos a salvo): ¿crees que en el futuro veremos infecciones masivas porque alguien ha decidido abusar de los bugs conocidos como Stagefright y enviar un MMS a todas las personas del planeta?
También mencionáis la APT (Equation): ¿representa una verdadera amenaza para un usuario normal de Android o solo para los VIP?
Responde Constin: Lo que más me preocupa es el uso descontrolado de bibliotecas de anuncios en el software gratuito de Android. Por ejemplo, las aplicaciones de linterna requieren de conexión a Internet, ¿verdad? Hoy en día, muchas aplicaciones están conectadas a una biblioteca de publicidad estándar que permite a los desarrolladores ganar dinero. Muchas de las compañías que desarrollan estas bibliotecas se venden a diestro y siniestro y lo que era una inofensiva biblioteca de publicidad puede pasar a ser la puerta de entrada de un ataque sofisticado a miles de teléfonos. En el futuro, creo que los delincuentes comprarán compañías que crean estas bibliotecas y las infectarán con código malicioso. Esto puede ser una solución mucho más barata que comprometer a sus objetivos y no requiere de sofisticados días cero.
Por otra parte, los ataques masivos que abusen de bugs como Stagefright no son del todo posibles, pero parece ser que hoy en día los mejores ataques provienen de los estados nación, que prefieren planteamientos más concentrados.
Ahí lo tienes, mi Top 6 de los mejores momentos de la sesión con GReAT. ¿Qué opinas? ¿Falta algo? ¿Sobra algo? Házmelo saber a través de nuestras cuentas de Facebook y Twitter. Y, de parte de GReAT (y de todo el equipo de Kaspersky Lab), GRACIAS por haber participado en nuestra primera sesión de preguntas y respuestas.
https://www.instagram.com/p/BIYNiObgc5U/
Guardar
Guardar