Select Page
La suma de todos los miedos

La suma de todos los miedos

Según una reciente nota de sky.com, un grupo de hackers logró obtener información clasificada de un contratista que brinda soporte técnico crítico a una flota de misiles nucleares de EEUU.

La empresa ciberatacada es Westech International, una pequeña compañía que posee contratos con el Departamento de Defensa de Estados Unidos. Entre sus servicios, se encuentra un contrato con Northrup Grumman para dar soporte al sistema de misiles balísticos intercontinentales Minuteman III, brindando mantenimiento e ingeniería para sus operaciones en tierra. Estos misiles se encuentran almacenados en cientos de instalaciones de lanzamiento subterráneas protegidas, operadas por la Fuerza Aérea de EEUU.

Según ellos mismos informan en su sitio, “WESTECH también proporciona apoyo logístico y de mantenimiento para 18 estaciones de prueba de los Sistemas de Pruebas Automatizadas de los Minutema de Tierra (GMATS) ubicadas en seis bases. WESTECH opera el Depósito de GMATS en Hill AFB, UT almacenando más de 1500 artículos valorados en 18,8 millones de dólares, apoyando a toda la flota de GMATS.

La nota de sky.news, posee además un comentario localmente escalofriante. Mencionan, a modo de ejemplo, que cada misil “…es capaz de lanzar múltiples ojivas termonucleares a más de 6.000 millas, o la distancia entre Londres y Buenos Aires.

Lo cierto es que es una empresa muy pequeña, pero con la responsabilidad de manejar sistemas críticos y peligrosos.

Semejante responsabilidad viene con un gran poder (o al revés…). El asunto aquí es que las redes de Westech fueron infiltradas y fueron infectadas con un ransomware. Lo que sigue es conocido, una gran cantidad de archivos sensibles fueron cifrados y los ciberdelincuentes solicitaron rescate a la empresa para devolverlos sanos y salvos…

Ahora más técnicamente, el ransomware que los atacó fue MAZE, una conocida pieza de malware que tiene algunas características particulares y preocupantes.

La primera es que es un ransomware-for-rent. Es decir, los desarrolladores lo alquilan por un porcentaje de las ganancias del usuario final.

La segunda es que está asociado a grupos de cibercriminales rusos, y es aquí donde el objetivo del ataque empieza a hacer ruido.

El tercero y peor, es que adicionalmente a otros ransomware que sólo cifran los archivos y destruyen los originales, el MAZE tiene la habilidad de exfiltrar la información que ataca.

Por este motivo existe gran preocupación, porque más allá de la recuperación de los archivos originales (¿¡y el esquema de backup!?), existe la posibilidad que información crítica sobre este sistema de misiles se encuentre ahora en manos peligrosas.

Los responsables de Westech confirmaron el incidente en el que sus archivos fueron cifrados (¿¡y el EDR!?) y que están trabajando con una empresa de ciberseguridad local para efectuar el análisis forense e investigar qué y cómo sucedió (¿¡y los procesos!?).

Hace algún tiempo hablábamos de los peligros que atacantes pudiesen tomar control de sistemas militares, en ese caso de drones artillados. Aquí las posibilidades son mucho mayores y peores. El sistema de misiles Minuteman III es enorme, mortal y con un rango de distancia de acción de 1/4 del planeta.

Hoy en día es imposible pensar que haya organizaciones que manejan información tan crítica que puedan habr sido blanco de ransomware; y de un ransomware conocido. Es muy probable que los responsables de Westech, siendo tan chicos, se hayan planteado en algun momento el famoso “¿y a mí qué me van a sacar…?”

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Recientemente, una impactante noticia sobre ciberataques a redes eléctricas recorrió portales en todo el mundo. La posibilidad de atacar centrales eléctricas, paralizando ciudades, estados y hasta países enteros, sería ya una realidad.

Ya habíamos mencionado hace poco más de un año, que los principales blancos de ciberataques a las infraestructuras críticas, eran las centrales eléctricas. Diferentes grupos en todo el mundo vienen intentando ingresar a las redes que controlan los sistemas de producción y distribución de electricidad.

Los principales blancos de ciberataques a las infraestructuras críticas, son desde hace mucho tiempo, las centrales eléctricas.

Estos grupos estuvieron tan activos, que hasta desarrollaron malware específico. Hace algunos años, investigadores de ESET descubrieron  malware como el Crashoverride (también llamado Industroyer), diseñado específicamente para atacar centrales eléctricas. El código fue descubierto dentro de una planta de distribución de energía eléctrica de Ucrania. El halllazgo se produjo luego de la interrupción del suministro eléctrico en la zona norte de la ciudad de Kiev, a varias decenas de miles de usuarios y por poco más de una hora. En ese momento la repercusión mundial fue enorme. La empresa Dragos analizó técnicamente al Crashoverride y los resultados del análisis se pueden ver en su sitio web, o en la charla que dieron en BlackHat en 2016.

 

Godzilla

Si bien esta actividad lleva años, esta semana ocurrió algo nuevo. El New York Times, publicó una serie de notas, que hacen referencia a un informe en el que se deja expuesto otro aspecto del problema. Según el informe, el gobierno de Estados Unidos, desarrolló e implantó un elaborado sistema de malware dentro de las redes del sistema de producción y distribución de energía eléctrica de Rusia. El objetivo parecería ser el de atacar la red eléctrica rusa en caso de que se produjera un conflicto importante entre Moscú y Washington.

 

King Kong

Pero del otro lado, las cosas no parecen ser muy diferentes. Ya el Wall Street Journal informaba muy detalladamente a principio de este año, sobre las actividades de hackers rusos en la infraestructura crítica de Estados Unidos. Al parecer  se fueron detectando rastros de infiltraciones en compañías eléctricas de 24 estados de la Unión. Previamente a esto, el 15 de marzo del año pasado, el gobierno de Estados Unidos, publicó un detallado informe en el que declararon la existencia de una campaña de hacking por parte de Rusia, para infiltrar la infraestructura crítica de Estados Unidos.

 

El G-20

Tanto ha escalado este conflicto silencioso en estos últimos días, que en este momento se está hablando que Putin y Trump se reunirían en privado, durante el próximo capítulo del G-20, sólo para tratar este tema. Lo que está claro es que las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, dos monstruos decidieron enfrentarse.

 

Las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, Rusia y Estados Unidos decidieron enfrentarse.

 

La pelea

¿Fue o no fue un ciberataque? Cuando hoy en día se produce un gigantesco apagón, dadas las circunstancias expuestas, lo primero que pensamos es que fue un ciberataque. Si bien puede ocurrir que en algunos casos no lo sea, la verdad es que la probabilidad de que sí lo sea es alta. Las herramientas de ataque están desarrolladas y disponibles. El esfuerzo por protegerse es muy alto mientras que el esfuerzo para atacar es mucho menor.

Para usar términos futbolísticos, los que estamos de este lado, sabemos que estamos perdiendo por goleada. Más o menos 10 a 1. Es 10 veces más facil atacar que defenderse. Se paga a los especialistas en ciberseguridad 10 veces más en el lado oscuro. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa. Genera 10 veces más adrenalina atacar que defenderse. Los que estamos de este lado, perdemos en todos los partidos, aunque eso no significa que vamos a darnos por vencidos 🙂 algún día los sistemas serán lo suficientemente robustos como para que estas cosas no ocurran. De todos modos, hay un partido que ganamos, de cada 100 intentos de ataque, sólo uno llega al blanco.

 

En ciberseguridad, es 10 veces más fácil atacar que defenderse. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa.

 

La baticueva

Mientras tanto en la baticueva… los diseñadores y programadores de todo este malware, deben probar muy bien el funcionamiento de sus desarrollos. ¿Y dónde probar…? El laboratorio es el laboratorio…, tiene grandes limitaciones. Es imposible reproducir todas las condiciones, escenarios y variables de instalaciones reales. Habrá que probar entonces de otra forma, en un escenario más verdadero, pero sin atacar a Godzilla ni a King Kong. ¿Porqué no hacerlo entonces, en algún pequeño y remoto país, con mínimas o nulas medidas de ciberprotección, y donde no haya demasiadas repercusiones por interrumpir el suministro eléctrico por algunas horas a algunos miles (¿…millones…?) de habitantes?

 

Los diseñadores y programadores de malware para centrales eléctricas, deben probar muy bien el funcionamiento de sus desarrollos.

 

Los monstruos

Cuando de chico veía las películas de Godzilla, siempre me preguntaba sobre la suerte que corrían las personas que quedaban aplastadas cuando los edificios se derrumbaban durante las peleas. Es que cuando pelean gigantes, es imposible no quedar cubiertos por toneladas de escombros como efecto colateral de tan titánica batalla.

 

 

 

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.

Arma mortal

Arma mortal

Todos estamos de acuerdo que si un ciber atacante ingresa en nuestra notebook, tablet o teléfono, nos enfrentamos a una situación grave en la que podríamos perder desde nuestros datos, dinero y hasta que se vea dañada nuestra reputación.
La situación sería más grave si el atacante ingresa a un sistema, por ejemplo, de un banco y realiza una transferencia fraudlenta, o a un sistema de salud y se roba la lista completa de los afiliados.
Todo se volvería aún peor si es que el mismo atacante pudiese acceder a los sistemas que controlan las infraestructuras críticas de una ciudad. Si pudiera controlar los sistemas de distribución eléctrica, los sistemas de comunicaciones, los semáforos o señales de los ferrocarriles.

Es evidente que en los casos presentados, todos estos posibles y reales, a medida que avanzamos el impacto es mayor por el número de personas afectadas y por el costo del daño que se podría provocar.

Se supone (aunque no necesariamente es así…), que a medida que vamos aumentanto el nivel de riesgo, las contramedidas aplicadas deberían ser cada vez más elaboradas, sofisticadas y completas.

Ahora bien, qué pasaría si ese mismo atacante, con los mismos conocimientos y las mismas herramientas, pudiese atacar un sistema de armas complejo… por ejemplo un dron artillado…. A todos se nos hiela la sangre imaginar una situación así y sus consecuencias.

Es por esto que uno podría pensar que los niveles de ciber protección de sistemas militares hiper-complejos, deberían ser tan avanzados que hasta deberían poder predecir lo que el ciber atacante está pensando antes de actuar, e instalar la contramedida para que le sea imposible acceder. Bueno, si pensamos esto es porque vimos demasiadas películas.

Un informe publicado el pasado 9 de Octubre por la GAO, es decir la Oficina de Responsabilidad Gubernamental de Estados Unidos, indica que los sofisticados y poderosísimos sistemas de armas de Estados Unidos son vulnerables a ciber ataques.

Si hacemos caso a la mitología militar estadounidense que tan bien presentan el cine, se podrá pensar que “si, ok, los chinos, los rusos, los norcoreanos, con sus ejércitos súper-sofisticados de ciber guerreros son tan avanzados que pueden hacer esto“. Pero no… El informe indica que las vulnerabilidades de los sistemas de armas son simples, comunes, las mismas que tenemos en nuestros sistemas, y que por lo tanto, son atacables con pocos conocimientos y hasta con herramientas disponibles públicamente.

Ese informe titulado “WEAPON SYSTEMS CYBERSECURITY” preparado para el Comité de Servicios Armados del Senado de Estados Unidos, se realizó en base a penetration tests que desarrollaron grupos de prueba (red teams) que probaron un arma sofisticada de última generación, que no menciona explícitamente, pero que por las características se deduce que fue un dron.

Estos red teams, vienen probando sistemas de enormes programas de desarrollo de material bélico desde 2012 a 2017. Las pruebas sobre las que se escribió el informe se efectuaron en sistemas en etapas de desarrollo entre julio de 2017 y octubre de 2018.

El informe indica, ente otras cosas, que los equipos sólo “utilizaron herramientas y técnicas de básicas a moderadas para interrumpir o acceder a los sistemas de armas y tomar el control de los mismos“.

Las pruebas demostraron que los sistemas eran tan vulnerables que en un caso, un red team de dos personas solo tardó una hora en tener acceso inicial a un sistema de armas y un día en obtener el control total del sistema que estaban probando.
En otro caso, el red team tomó control de las terminales de los operadores. Podían ver, en tiempo real, lo que los operadores estaban viendo en sus pantallas y podían manipular el sistema.
Otro equipo de prueba reportó que generó un pop-up que aparecía en las terminales de los usuarios solicitándoles insertar dos monedas para continuar operando.

 

 

Muchos de los red teams, informaron que fueron capaces de copiar, cambiar o borrar datos del sistema, incluyendo uno que descargó 100 GBytes de datos. Como estos tests se vienen haciendo desde 2012, fue posible determinar si una vulnerabilidad hallada estaba presente anteriormente, y se descubrió que en esos 5 años, solo se corrigió 1 vulnerabilidad de cada 20.

Es interesante notar que desde 1991 diferentes organismos del gobierno de Estados Unidos vienen advirtiendo sobre el peligro de las vulnerabilidades presentes en los sistemas de armas. Sin embargo, las autoridades de defensa de EEUU han tomado (“solo recientemente”) en serio el analizar sus vulnerabilidades; y como consecuencia “…el Departamento de Defensa no conoce el alcance total de las ciber vulnerabilidades de sus sistemas de armas debido a las limitaciones de las pruebas que se realizan“.

Otra de las conclusiones del informe, corresponde a las razones para la existencia de tantas vulnerabilidades:

  • Una es que los sistemas avanzados de armas se basan en software comercial y open source por lo que heredan las vulnerabilidades de estos sistemas.
  • Otra es que las armas se conectan (y dependen!) cada vez más de las redes públicas por lo que, eventualmente, son alcanzables por atacantes.
  • Y la peor de todas: si un sistema de armas se desarrolla por ejemplo, basado en un sistema operativo linux con kernel 3.8.13 y python 3.3.2, se prueba y funciona, ese sistema no se vuelve a tocar nunca más… porque funciona, por lo que hoy estará inevitablemente repleto de vulnerabilidades.

A lo largo de todos estos años hemos visto en nuestro mercado cómo los responsables de las empresas van tomando conciencia y haciendo análisis de seguridad una y otra vez sus sistemas para minimizar las vulnerabilidades. Esto además lo hacen con mayor énfasis en los sistemas de mayor riesgo. Teniendo en cuenta esto, es muy difícil entender de cómo los responsables de los sistemas más riesgosos del planeta no hayan todavía entendido la magnitud del problema.

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Cómo entrenar a tu dragón

Cómo entrenar a tu dragón

Y ya están entre nosotros.


A pesar de las predicciones y especulaciones de su inminencia tanto en la literatura fantástica como en el cine de ciencia ficción, le tomó unos 30 años a la Inteligencia Artificial (IA) salir de los laboratorios y llegar a nuestro mundo cotidiano. Pasó por Redes Semánticas, Procesamiento de Lenguaje Natural, Sistemas Expertos, Sistemas Cognitivos, Agentes Inteligentes y, finalmente, Inteligencia Artificial. A medida que fue creciendo, algunos logros nos asombraron como cuando a fines del siglo pasado Deep Blue
 le ganaba varias partidas a Kasparov. Aunque eso ni se compara con la forma en la que DeepMind de Google viene destrozando a varios jugadores expertos y campeones mundiales de Go en los últimos años. Estos resultados espectaculares por ahora siguen siendo de laboratorio. Aunque Siri, Google Now y Cortana no lo son.

Cada vez que consultamos a nuestros smartphones y les preguntamos cómo llegar a cierta dirección, o si nos puede dar la mejor receta de la Musaka griega o si le pedimos que cante, quien nos está respondiendo es el sistema de IA que Apple, Google y Microsoft desarrollaron para sus productos.
Al consultar el pronóstico del tiempo en el Weather Channel, ir de compras virtuales por Macey’s o hacer consultas de salud en el sitio de la American Cancer Society, veremos el logo de “With Watson” que significa que esas organizaciones están usando el sistema de IA de IBM: Watson para analizar sus datos. El mismísimo Elon Musk, a pesar de mostrar públicamente su preocupación por el desarrollo de la IA, formó la compañía OpenAI para fomentar su desarrollo.

Antes de la IA, usábamos nuestros programas, aplicaciones y sistemas para que nos agilicen nuestros procesos de negocio, aunque las decisiones intermedias las seguían tomando los expertos que interpretaban los resultados.  ¿Pero qué pasa si entrenamos a un sistema de IA para que tenga las mismas habilidades del experto? Eso es lo que están haciendo hoy los sistemas de IA. Reemplazan la intervención humana en la toma de decisiones de forma mucho más rápida, eficiente y con menor tasa de error. Y esto se logra por medio de dos claves: la primera es la elección correcta del tipo de herramienta de IA (hoy en día la más difundida por su eficiencia es la de Deep Learning); la segunda es cómo la entrenamos. En particular con Deep Learning, se deben usar millones de datos tomados de expertos, pre-procesarlos adecuadamente para alimentar al sistema para que aprenda y se entrene.

Vayamos a un ejemplo concreto en el ámbito de la ciber-seguridad. Un sistema SIEM (Administrador de Eventos e Información de Ciberseguridad) es un sistema extremadamente complejo. Su misión es la de recolectar información de sensores a través de las redes y sistemas, correlacionarlos y dar alertas ante la evidencia de un ciberataque.
Blog – Como entrenar a tu dragón

Si bien algunos fabricantes prometen que con un “Next> Next> Next>” es posible tener un SIEM activo y funcionando en minutos, la realidad es que estos sistemas son muy complejos que requieren de la intervención de un experto. Inicialmente para el diseño mismo del sistema, analizando la red, los nodos, los sistemas instalados, las comunicaciones, los activos críticos, los puntos de entrada y de salida. Y posteriormente para  analizar enormes cantidades de datos que permitan dar como resultado información realmente útil.
Si bien las herramientas SIEM actuales son bastante completas y funcionan para la mayoría de las instalaciones de forma convencional, en redes muy grandes esto es casi imposible. Por esto algunos vendors están empezando a agregar componentes de IA para reemplazar la intervención humana y hasta para generar acciones por sí mismos, como bloquear conexiones o borrar archivos potencialmente peligrosos.

Ahora bien, una herramienta es sólo una herramienta. Dependiendo de en qué manos caiga, es lo que se va a hacer con ella. Resulta que un ciberataque también es un proceso muy complejo y de varios ciclos de análisis, toma de decisiones y acciones para llegar a un objetivo. Y también es necesario un experto para llevarlo a cabo; ¿o lo era? ¿Se podrá entrenar un sistema de IA para generar ciber-ataques? La respuesta es sí. El mismísimo DARPA (Defense Advanced Research Projects Agency) está fomentando esta actividad. Pero además, las herramientas que están a disposición de la comunidad ya se están entrenando para planificar cómo causar daños en el ciberespacio.

Pero hay un problema extra. Dijimos que especialmente en Deep Learning se necesitan muchísimos datos (muy bien pre-procesados) para que los sistemas de IA aprendan correctamente. Si hacemos esto incorrectamente o a las apuradas o con datos insuficientes, podemos hacer que los sistemas de IA aprendan, pero mal. Que por ejemplo en el caso del SIEM, no sólo no detecten los ataques, sino que abran puertas a los atacantes o borren archivos válidos e importantes o bloqueen un sistema por haber errado en un análisis. Y en ese caso, ¿qué tipo de error sería? ¿Un error humano producido por una máquina?

Los sistemas de IA serán lo que hagamos de ellos. Si los entrenamos bien, podrían convertirse en nuestros aliados como tantas otras tecnologías que utilizamos a diario en nuestras vidas; pero si los entrenamos mal, por error o con malas intenciones, sin que lleguen necesariamente a convertirse en Skynet, pueden llegar a causarnos a los humanos que quedemos, serios dolores de cabeza…

 
Nota por Carlos Benitez
Vendiéndole el alma al diablo

Vendiéndole el alma al diablo

Enorme y ruidoso fue el escándalo de Facebook con Cambridge Analytica. El nudo del problema fue que Facebook “cedió” datos a la empresa de análisis estadístico para un trabajo académico y resultó que sus resultados fueron utilizados para la campaña presidencial de Donald Trump. Ahora, tratemos de desatar el nudo.

¿Qué información cedió Facebook y por qué?
La verdad es que todo lo que Facebook pudo recolectar de sus usuarios y de quienes aún no son sus usuarios pero interactúan con aplicaciones socias de Facebook, son sus datos (nombre, apellido, direcciones de email, números telefónicos) y sus metadatos (direcciones IP, ubicaciones físicas fecha y hora de una foto o video).
Entonces, ¿eso quiere decir que Facebook cuenta con datos privados de sus usuarios y también no usuarios en el mundo? La respuesta es que sí, y no.
Si considerábamos nuestro nombre, la composición de nuestra familia, el lugar donde vivimos, las cosas que hacemos en Internet o en la vida real pero que las reflejamos en Internet, como información privada, eso deja de serlo cuando aceptamos los “Términos y Condiciones” al darnos de alta en Facebook.

Nunca revisamos los Términos y Condiciones, simplemente vamos lo más rápido posible al final para encontrar el botón de “Acepto” y poder seguir adelante, sin saber que con ese clic, le vendemos el alma al diablo. Y lo más interesante de este fenómeno es que además de Facebook existen muchos más, como por ejemplo Google o Yahoo, para mencionar algunos. Y este contrato que firmamos con todos ellos al hacer clic en “Aceptar”, no tiene posibilidad de cancelación. Por más que en determinado momento, después de muchos años demos de baja nuestras cuentas, la información ya recolectada hasta ese momento, forma parte de sus bases de datos.

Si leemos con cuidado por ejemplo los Términos y Condiciones de Facebook, hay una sección denominada “Información y contenido que nos proporcionas” en la que se detalla con mucho cuidado todos los tipos de información que le regalamos a la empresa a cambio de que ella nos regale sus servicios. “Recopilamos el contenido, las comunicaciones y otros datos que proporcionas cuando usas nuestros Productos” lo que se traduce simplemente en que todo lo que escribimos, los likes, las fotos, la gente con la que nos comunicamos, no sólo forman parte de nuestro perfil sino de la gigantezca base de datos de Facebook. Y no sólo eso, “[…] las personas, las páginas, las cuentas, los hashtags y los grupos a los que estás conectado y cómo interactúas con ellos […]”, es decir: cómo nos comportamos. Y van más allá: “[…] recopilamos información de las computadoras, los teléfonos, los televisores conectados y otros dispositivos conectados a la web […]”. Y de nuestros dispositivos, ¿qué más saben? En la sección “La información que obtenemos de estos dispositivos incluye: “puede leerse que tienen información de los Sistemas Operativos, potencia de la señal, espacio de almacenamiento, identificadores únicos de los teléfonos celulares, señales bluetooth, redes WiFi a las que nos conectamos y hasta “información sobre otros dispositivos que se encuentran cerca o están en tu red”.

Todos sabemos que nadie regala nada, sin embargo, por alguna extraña razón creemos que estos servicios tan completos y útiles desarrollados por compañías que ganan miles de millones de dólares al año nos los dan gratis.

¿Y qué hacen con toda esa información? ¿Nos persiguen? ¿Tratan de saber qué hacemos? ¿Qué nos gusta? ¿Qué compramos? ¿Cuál es nuestro trabajo? ¿A quién tenemos intenciones de votar?
Exáctamente. Aunque no de cada uno de nosotros. Eso además de no tener sentido práctico, no sería útil para ellos. Pero sí lo hacen con grupos de personas, es decir con “focus groups”.

En sus inmensos sistemas de Big Data, con los motores de inteligencia artificial más avanzados, procesan todos esos datos en busca de información útil.
De esta forma poseen información de cómo se comportan las personas de determinadas edades, de determinado grupo social, en determinado lugar. Y el resultado de estos análisis les permite predecir, saber quiénes necesitan qué, cuándo y dónde. Y quien tenga esa información, sólo tiene que ir a ofrecer el producto adecuado a las personas adecuadas, con una garantía casi absoluta de su compra, en todo sentido.
Claro, para que esta actividad sea rentable, se deben tener muchísimos usuarios. Estos son algunos números de usuarios aproximados de cada servicio a fines de 2017:
  • Facebook ~ 2200 millones
  • Twitter ~ 330 millones
  • Google ~ 2000 millones
  • Yahoo Mail ~ 225 millones
  • Whatsapp ~ 1500 millones
  • Instagram ~ 500 millones

 

Es curioso el estar viviendo en un mundo Orwelliano pero con una variante muy interesante que Orwell no imaginó. No es el Partido quien nos instaló las “telepantallas” en nuestras casas en forma coercitiva, obligándonos a compartir nuestra intimidad diaria con el Gran Hermano – lo hicimos nosotros mismos en forma totalmente voluntaria. Y además como creemos ciegamente en lo que los diferentes Grandes Hermanos nos dicen, dejamos abierta la puerta para que se nos cuelen amenazas reales en nuestros sistemas que permitan ahora sí, dañarlos, espiarlos o directamente controlarlos.

Y esto, ¿se puede frenar? Mi opinión es que no. Poder preguntarle a Waze (empresa originalmente Israelí, que por cierto desde 2013 es de Google) cómo llegar todos los días al trabajo por el camino más rápido; encontrar amigos o hasta familiares perdidos mediante Facebook; Twittear noticias al instante mientras uno está delante del hecho que se está produciendo, son funcionalidades cuya conveniencia es indiscutible y a las cuales no tiene sentido renunciar. Son herramientas muy poderosas que pusieron en nuestras manos y que simplemente tenemos que saber usar.

Concientizarnos sobre los peligros a los que estamos expuestos por la información privada que brindamos, sobre la facilidad con la que pueden instalar amenazas en nuestros dispositivos y sobre cómo ciberprotegernos, es la mejor forma de minimizar los riesgos de vivir con un pie en esta no tan nueva parte del mundo: el ciberespacio.
Nota por Carlos Benitez
Microkernels, ¿el futuro de la Ciberseguridad?

Microkernels, ¿el futuro de la Ciberseguridad?

El kernel de un sistema operativo es el componente principal o núcleo, donde se encuentra la parte central de su funcionalidad.

Un kernel “monolítico”, el más utilizado en los sistemas operativos actuales, se construye para contener la mayor cantidad de funciones, servicios y soporte para dispositivos posibles. De esta forma, el usuario cuenta con toda la funcionalidad que necesita en el momento que la precisa. No es necesario  cargar o instalar componentes o drivers cada vez que se deba usar un dispositivo nuevo; simplemente el kernel contiene todo lo que el usuario requiere para correr sus aplicaciones.
La utilización de kernels monolíticos se viene dando desde hace años. Y como cada vez se agrega más funcionalidad, cada versión del kernel tiene un tamaño mayor a la anterior. Esto ha llevado a que, por ejemplo, las últimas versiones del kernel del sistema operativo Linux, estén construidas a partir de aproximadamente unas 18 millones de líneas de código fuente.
Está claro que un kernel de tal tamaño posee indudablemente una inmensa funcionalidad, pero del mismo modo la casi absoluta imposibilidad de una revisión completa. En especial de posibles defectos de seguridad debidos a errores de programación.

En el otro extremo del espectro, un “microkernel” es un kernel que contiene la mínima cantidad de funciones necesarias para que un sistema operativo funcione. Su objetivo principal es que las funciones incluidas sólo permitan administrar el resto de los subsistemas. Contrastando con los kernels monolíticos, el código fuente de los microkernels tienen solo algunas decenas de miles de líneas de código. Esta característica hace que sean más fácilmente auditables y de esta forma, mantenerlos en un muy elevado nivel de seguridad.
Si bien existen algunos sistemas que vienen utilizando microkernels desde hace mucho tiempo (como el sistema operativo de tiempo real QNX), sólo se utilizan para propósitos muy específicos en sistemas embebidos.

Hoy en día se han y vienen desarrollando una pequeña variedad de microkernels cada uno con sus particularidades.  Los grupos que los desarrollan vienen trabajando desde hace años en aplicaciones prácticas de microkernels que permitan construir sistemas con altísimos grados de seguridad.

Pero entre ellos, existe un proyecto al que se le debe prestar particular atención, nos referimos a Genode.
Este proyecto toma los elementos básicos de los microkernels y de hecho utiliza microkernels existentes (como seL4, Fiasco.OC o Pistachio), como un microkernel propio directamente asociado al hardware (base-hw) para componer un concepto novedoso.
Genode propone un administrador de microkernels que lo convierte en un framework completo de sistemas operativos pero con características de seguridad muy superiores. Uno de los conceptos desarrollados en Genode, consiste en iniciar el sistema operativo con un proceso madre o raíz del microkernel al solo efecto de administrar a sus procesos hijos. Luego, se disparan diferentes instancias del mismo proceso para manejar cada una de las funciones del sistema, como por ejemplo el acceso al sistema de archivos, el manejo de la red, manejo de dispositivos de entrada/salida, funciones criptográficas, etc. Cada una de estas instancias del microkernel corre en un dominio separado, es independiente del resto y sus permisos son manejados exclusivamente por su proceso madre. De esta forma, si un atacante se adueñara de alguno de estos procesos, su proceso madre podría reiniciarlo sin interrumpir la ejecución para el usuario, eliminando la conexión que generó el atacante y cortando el vínculo con él.
Este complejo mecanismo de seguridad, junto con esquemas de virtualización basados en librerías de Virtualbox, hacen que mediante Genode se puedan instalar sistemas operativos completos pero basados en la tremenda fortaleza de los microkernels.

De hecho Genode Labs, la empresa que está detrás del sistema, tiene planeado liberar durante este año la primer versión estable de su propio sistema operativo completo, el Sculpt; además de sistemas de administración de paquetes, interfaces gráficas, etc. que permitan la utilización de estos sistemas tan seguros, ya no para propósitos específicos sino para casi cualquier aplicación.

Disponer de esta tecnología permitirá, en un futuro cercano, poder instalar desde servicios específicos en pequeños dispositivos hasta sistemas de escritorio y servidores con altísimos grados de seguridad basados en microkernels. Es por esto que tal vez, éste sea el primer paso de un cambio profundo en la mejora de ciberseguridad de nuestros sistemas.

Nota por Carlos Benitez