LAS VEGAS – Cada año, a principios de agosto, los miembros de la comunidad de seguridad y de hackers emprenden una peregrinación desde todos los lugares de mundo a Las Vegas, Nevada, para asistir al programa de conferencias de seguridad Black Hat, DEF CON y B-Sides. Aunque Black Hat se dedica histórica y predominantemente a analizar las tendencias en seguridad en el mundo de los negocios, especializándose cada vez más en los consumidores como temas tan importantes como ataques contra las casas inteligentes, infraestructuras críticas, dispositivos móviles y otras cosas conectadas.
Divulgación: no hubo ningún informe sobre los hackeos a los trenes.
Roel Schouwenberg, investigador de Kaspersky lab, habló en un informe de Securelist sobre la idea de un Black Hat post-PC. Mientras tanto, Mike Mimoso, de Threatpost, siguió un patrón similar en su propia intervención diciendo: “El firmware es el nuevo hacker black y todo, desde las memorias USB, pasando por los routers domésticos, hasta los automóviles, pueden ser víctimas de exploits, robo de datos e invasión de la privacidad”.
Por un lado, como asistente a la conferencia, puedo decir que esto es una gran noticia que implica menos (o, probablemente, el mismo número de) sesiones informativas acerca de bugs en plataformas oscuras de software, utilizados principalmente por empresas, y más charlas sobre vulnerabilidades en sistemas con los que los usuarios estamos familiarizados en nuestro vida cotidiana. Por otro lado, el enfoque cambiante de Black Hat es indicativo de una tendencia alarmante: las vulnerabilidades de seguridad se acercan cada vez más a nuestras vidas.
Conferencia principal
La conferencia más importante de este año fue presentada por un experto en seguridad muy respetado llamado Dan Geer. A diferencia del año pasado, cuando el ex Director General de la NSA Keith Alexander presentó la suya, este año no hubo guardias armados, provocadores, ni personas con cartones de huevos escondidos en sus mochilas. En esta ocasion , la multitud escuchaba con atención cada una de las palabras del discurso de casi 60 minutos en el que Geer, jefe de Seguridad de la Información de In-Q-Tel, captó la atención con la explicación de sus diez mandamientos de seguridad.
Además, Geer destacó que EE.UU. debería monopolizar el mercado de ventas de vulnerabilidades, ofreciendo un precio diez veces superior al de cualquier error de venta y a continuación colocar la información de la vulnerabilidad en un almacén público, permitiendo así que las empresas puedan arreglar cada bug y “reducir el inventario de las armas cibernéticas” que entre la seguridad, la libertad y la comodidad, podamos elegir sólo dos en un momento dado; que la religión y el software son los dos únicos elementos en los que la responsabilidad de producto no existe; y que los ISP pueden optar por cobrar lo que quieran basándose en el contenido, asumiendo la responsabilidad de ese contenido, o deben elegir apoyar la neutralidad de la red, y disfrutar de las protecciones de las compañías públicas.
“Elige sabiamente”, dijo Geer. “ISPs debe conseguir una o la otra, no ambas.”
Hackeando humanos y hospitales
Volviendo al tema de la seguridad que afecta a nuestra vida diaria, como se debatió en una mesa redonda sobre seguridad en dispositivos médicos, algunas vulnerabilidades están literalmente incrustadas en nuestros cuerpos. Pero mucho más comunes, críticas, y que afectan a un mayor número de personas, son las de los dispositivos médicos que se encuentran en el hospital. Es sólo cuestión de tiempo que surja un ataque a gran escala dirigido a uno o varios de estos dispositivos. La buena noticia es que los propios dispositivos son increíblemente seguros. Una bomba de insulina automatizada es mucho más efectiva corrigiendo los niveles de insulina que un adolescente con un medidor de glucosa en sangre y un suministro mensual de jeringuillas de insulina. Las vulnerabilidades están presentes en las formas en que estos dispositivos se comunican entre sí y, en muchos casos, en los dispositivos externos, aunque estén bajo el control de los pacientes o de los médicos. Seamos sinceros, la probabilidad de que un asesino utilice un ordenador portátil para administrar una descarga mortal a un paciente con un marcapasos es ridículamente baja. Existen formas mucho más fáciles de matar a un hombre.
¿Quién es responsable de la producción de parches para dispositivos médicos? ¿Quién es responsable de instalar esos parches? ¿Quién paga la cuenta? Desafortunadamente, las respuestas a estas preguntas son una combinación borrosa de fabricantes de dispositivos, hospitales y de los propios usuarios. Y, cuando utilizamos el dispositivo médico, no estamos hablando sólo de los marcapasos y las bombas de insulina; estamos hablando de máquinas de resonancia magnética, ecocardiogramas, máquinas de rayos X, la Tablet que un médico lleva consigo o, incluso, los ordenadores (a menudo máquinas de Windows XP) que gestionan montones de datos médicos sensibles.
Por lo tanto, la mesa redonda decidió que la manipulación maliciosa de los registros médicos es, quizás, el riesgo más probable y peligroso al que nos enfrentamos en este nuevo mundo de dispositivos médicos conectados. Para acabar con una noticia positiva, es buena señal que estemos hablando de estos problemas antes de que sucedan, lo cual es bastante raro en el sector de la alta tecnología.
Yahoo encriptará todas las comunicaciones de su servicio de e-mail
Yahoo, que ha recibido muchas críticas por no encriptar su e-mail, entre otras cosas, anunció una serie de cambios de seguridad que van a tener lugar en los próximos meses y años. El más importante de estos cambios es un proyecto para encriptar todas las comunicaciones de su e-mail. La medida le igualará con Google.
Puedes leer más acerca de los cambios de seguridad que Yahoo está implementando en Kaspersky Daily o en Threatpost.
Hackear coches remotamente
Ojalá estuviéramos hablando de una conferencia en la que un par de investigadores hackearon un coche teledirigido. Pero por desgracia, hablo sobre un par de investigadores que descubrieron cómo controlar remotamente varios modelos de coches reales, con el peligro que conlleva controlar desde la distancia estas dos toneladas de peso.
Llevo más de un año hablando en Kaspersky Daily sobre el hackeo de coches, y probablemente, no dejemos de hacerlo. Esto se debe a que la conectividad de los coches es cada vez más frecuente. Hoy en día, hackear un coche es un trabajo duro; se requieren conocimientos muy específicos de protocolos muy concretos, que generalmente se usan sólo en los coches.
Sin embargo, los coches tendrán muy pronto sus propios sistemas operativos, sus propios mercados de aplicaciones y, con el tiempo, es posible que tengan sus propios navegadores web. Sistemas operativos, aplicaciones y navegadores son tres cosas que los atacantes saben cómo explotar. Es más, igual que sucede con los dispositivos médicos, el problema de parchear las vulnerabilidades de seguridad en coches presentaría graves problemas. ¿El cliente tiene que llevar el coche al concesionario para obtener la actualización? Si es así, ¿cuántas personas traerían sus coches al taller para la actualización? O, ¿tendrían que crear los fabricantes algún mecanismo de actualización a distancia? Si ése es el caso, entonces, ¿qué pasaría si una actualización no funciona o, peor, es secuestrada o falsificada por un atacante?
La buena noticia es que Charlie Miller, de Twitter y Chris Valasek, de IOActive, han desarrollado una herramienta de detección de antivirus que permite ver si alguien está tratando de manipular las comunicaciones entre los distintos sensores y ordenadores integrados en los coches y, así, bloquear el tráfico malicioso.
BadUSB – todos los USBs son maliciosos
Karsten Nohl ha desarrollado un exploit que se aprovecha del hecho de que casi todos los usuarios de ordenadores del mundo reconocen y aceptan la entrada de un USB. Nohl, científico jefe de Security Research Labs, llamó a estos ataques “BadUSB”. Lo que hizo, esencialmente, fue sobrescribir el firmware incorporado en estos dispositivos con el fin de que éstos puedan realizar una larga lista de actos maliciosos, incluyendo la introducción de códigos maliciosos en los equipos para redirigir el tráfico de datos.
“Un USB está diseñado para actuar así; nadie hizo nada malo”, dijo Nohl. “Y no hay forma de arreglarlo. Mientras tengamos USBs, podemos hacer que estos dispositivos se hagan pasar fácilmente por otros. Es un problema de seguridad estructural”.
Debido a que este ataque está dirigido a los USB en general, miles de millones de máquinas son potencialmente vulnerables a este problema. Nohl también se preocupa por la naturaleza del error y la posibilidad de que los exploits puedan deteriorar la confianza y aumentar la suspicacia. “No hay una herramienta de limpieza que elimine el firmware malicioso o lo sobrescriba. Esto hace que las infecciones se produzcan más fácilmente y que sea más difícil recuperarse de ellas”.
Nohl se enteró del ataque a partir del catálogo de herramientas de hacking, ahora infame, de la NSA.
La cortesía de la banda CryptoLocker
El grupo que acabó con el ransomeware CryptoLocker también estuvo presente en la conferencia Black Hat. En su ponencia, mostraron el correo electrónico que les envío una víctima de CryptoLocker. La víctima, una madre soltera que no tenía el dinero necesario para pagar el rescate, suplicó a los creadores del malware que le desbloquearan el ordenador, ya que lo necesitaba para poder trabajar.
Historias como ésta y otras similares obligaron a este grupo a reunirse y acabar con CryptoLocker. Curiosamente, dijeron que la banda responsable de manipular el ransomware de CryptoLocker era completamente fiel a su palabra. Durante meses, te hemos dicho que jamás deberías pagar por desbloquear tu ordenador ya que no existen garantías de que éste sea desbloqueado tras pagar el rescate. Sin embargo, el equipo de CryptoLocker siempre fue honesto en ese sentido.
Al final de su presentación, el grupo explicó que este increíblemente retorcido y exitoso ransomware parecía ser simplemente una forma de hacer dinero para alguna otra conspiración criminal. Por desgracia, no dieron más detalles.
Un software de rastreo fallido
El investigador de Kaspersky Lab (y amigo del blog) Vitaly Kamluk y el co-fundador de Cubica Labs, Anibal Sacco, presentaron una serie de actualizaciones en una vulnerabilidad de seguridad presente en una pieza de software de la que ya hemos hablado con anterioridad.
El software, desarrollado por Absolute Software y conocido como Computrace, es un producto anti-robo legítimo en el que confían muchas empresas de hardware y que pasa inadvertido para la mayoría de los fabricantes de antivirus. ¿Y por qué no? Es un software legítimo.
Sin embargo, Computrace es un poco misterioso. Por razones que siguen siendo en gran parte desconocidas, Computrace viene activado por defecto en millones de máquinas en todo el mundo. Absolute Software desmiente esto, explicando que Computrace está diseñado para ser activado por los departamentos de usuarios o de IT. Lo que ocurre es que, una vez Computrace está habilitado, es increíblemente resistente, aguanta las restauraciones de fábrica y es capaz de reiniciarse en cada inicio del sistema. Es más, el producto contiene vulnerabilidades – la empresa se burla de esta clasificación, aunque está de acuerdo en solucionar los problemas en cuestión – que aumenta las probabilidades de que los usuarios sufran ataques “man-in-the-middle”, que podrían exponer a las máquinas afectadas a ser completamente controladas.
La culpa es de los satélites
El investigador Rubén Santamarta, de IOActive, descubrió que casi todos los dispositivos involucrados en las comunicaciones por satélite (SATCOM) contienen vulnerabilidades, incluyendo puertas traseras (en inglés backdoor), credenciales codificadas, protocolos inseguros y / o codificaciones débiles.
Estas vulnerabilidades, afirma Santamarta, podrían brindarles a los atacantes no autentificados la posibilidad de comprometer totalmente los productos afectados.
SATCOM desempeña un papel fundamental en la infraestructura mundial de las telecomunicaciones. No obstante, afirman que sus ataques también podrían afectar a buques, aeronaves, personal militar, servicios de emergencia, servicios de medios de comunicación e instalaciones industriales como plataformas petroleras, gasoductos, plantas de tratamiento de agua y más.
En resumen
Los controles de las operadoras telefónicas, que pueden ser suplantados, proporcionan a los proveedores de servicios y a potenciales agresores, el control generalizado de móviles y otros dispositivos. Un grave error en Android podría permitir a un atacante hacerse pasar por casi cualquier aplicación de confianza. Los módems de banda ancha o tarjetas de datos, se consideran un blanco fácil para los atacantes.
Desgraciadamente, hubo muchas conferencias en Black Hat y sólo un yo, que pasaba demasiado tiempo en la sala de prensa tratando de averiguar exactamente de qué hablaban todos estos investigadores. Si te interesa saber más acerca de Black Hat, Dennis Fisher y Mike Mimoso de Threatpost y yo volveremos el primer y el segundo día del evento en artículos independientes. Fisher y Mimoso también publicaron un artículo sobre DEF CON, que empieza el día en que termina Black Hat.
Además de lo que se publica aquí y en Threatpost, hay algunos informes muy buenos en la sección de prensa de la página web de Black Hat. Probablemente el hashtag Black Hat (#blackhat) tenga una buena cobertura. También es probable que puedas encontrar en Google información sobre casas automatizadas y ataques de seguridad del hogar.
Haciendo un resumen de la conferencia de seguridad Black Hat con @thebriandonohue
Tweet