Select Page
Alta eko

Alta eko

by | Oct 2, 2019 | Actualidad, CiberSeguridad, Eventos, Infraestructuras Criticas, Vulnerabilidades

La semana pasada finalizó la edición número 15 de la ekoparty con excelentes aportes y mucho para aprender. Este año tuve la suerte de poder participar los 3 días. Si bien no pude participar de varias actividades, les hago un resumen de lo que extraje de las charlas a las que asistí.

 

Jugando con Plantas de Gas

Este workshop fue dado por Pablo Almada de KPMG. Pablo dedicó el 80% del tiempo a explicar como funcionan las plantas de gas. Seguramente los más hackers estaban esperando ver herramientas, exploits, código… Sin embargo, la explicación fue muy buena y quedó clarísimo que es imposible atacar los sistemas de control de una planta de gas si no se conoce cómo funciona. En ese sentido, creo que los asistentes (o por lo menos yo) nos fuimos con un conocimiento muy completo de su funcionamiento.
Después de eso, nos explicó la forma que se utilizan los PLC en instalaciones industriales de este tipo y comenzamos a entender cómo buscarlas en Internet, reconocerlas y atacarlas. Bastante fácil por cierto. Como ejemplo, hice una búsqueda en Shodan para encontrar PLCs de Rockwell publicados en Internet (de más está decir que NO deberían!) y me encontré con esto…

 

La búsqueda que se muestra es:

port:44818 product:”Rockwell Automation/Allen-Bradley”

Da un poco de miedo.

 

OSINT e Ingeniería Social Aplicado a las Investigaciones

Emiliano Piscitelli, Alan Levy, Carlos Loyo y Jorge Martín Vila dieron una charla de cómo investigar utilizando OSINT. Utilizaron el ejemplo de los piedrazos que recibió el micro de Boca antes de la final de la Libertadores. Además de explicar bastante metodología como la de Juilán GL y su Ciberpatrulla, mostraron innumerables herramientas de análisis que ayudan investigar. Algunas de ellas son buscador.ova para buscar sin ser vistos; faceapp.com para crear perfiles falsos; hootsuite y postcron para generar contenido en las redes sociales; GeoSocial Footprint para ubicar geográficamente a las personas cuando postean, etc.
Pero lo mejor estaba por venir, y las clases de magia fueron el broche de oro para la charla. Fue muy interesante que nos mostraran como funciona el cerebro humano. Gracias a eso, cómo funciona la magia, y por la misma razón, como todos podemos ser fácilmente engañados.

 

¡Cazando bugs con redes de pesca!

Nico Waisman está trabajando en Semmle auditando código de Google. Explicó cómo usar QL, un motor que permite hacer análisis de código fuente de forma muy precisa. La charla fue puro código y encima usó un plugin de QL para Eclipse…. Sin embargo lo bueno es que todos nos fuimos con el conocimiento de la existencia de la aplicación y algunas nociones muy didácticamente explicadas, sobre cómo construir código en QL que audite código escrito en los lenguajes que soporta la herramienta. El concepto se basa en modelar la superficie de ataque del software, buscar fallas desde simples lineas hasta en flujos completos. Con esto se desarrolla código que después puede utilizarse para buscar las mismas fallas en otros programas.

 

SIEMs Framework

Esta fue una de las charlas de Containers (…porque se daban dentro de containers…). En este caso Yamila Levalle y Claudio Caracciolo presentaron una herramienta para atacar sistemas SIEM.

Inicialmente me había ilusionado ya que comentaron que iban a mostrar como utilizar los SIEMs como vectores de ataque. Pensé que habían desarrollado una vieja idea en la que nunca tuve tiempo de trabajar: la de, sabiendo que el blanco usa un SIEM, enviar paquetes que produzcan logs que puedan romper ese SIEM…

Buen, no era eso lo que presentaron. La charla consistió en la presentación de un framework para atacar sistemas SIEM. El framework se llama SIEMS FRAMEWORK (o MultiSIEM Modular Python3 Attack Framework?) y se puede encontrar en github.
El sistema por ahora soporta Splunk, Graylog y Ossim pero tienen planeado incorporar otros sistemas como Qradar, ArcSight, etc. No tuve tiempo de probarlo pero es una de las tareas que me llevo para los próximos días.

 

Hacking and auditing LoRaWAN networks

Cesar Cerrudo junto a Esteban Martinez Fayo y Matias Sequeira presentaron su análisis de vulnerabilidades de redes LoRaWAN, un protocolo de redes WAN inalámbricas de baja potencia. El sistema es bastante nuevo pero se cree que ya hay 80 millones de dispositivos LoRaWAN en el mundo. Se cree que la base instalada va a crecer exponencialmente y eso es preocupante por las fallas de seguridad que tiene el protocolo.
La arquitectura de LoRaWAN se puede ver en el siguiente gráfico:

Por ahora existen varios potenciales ataques bastante peligrosos y hay pocas herramientas para auditar su seguridad. Una de ellas es el LAF (LoRaWAN Auditing Framework). La gente de IOActive explicó en detalle las vulnerabilidades y algunas posibles contramedidas.

 

¿Cómo hacer entrevistas técnicas?

La psicóloga Carolina Maristany explicó en este workshop cómo hacer entrevistas técnicas a la hora de seleccionar personal. Fui a ese workshop porque tenía mucha curiosidad de ver qué hace un tema como este en una eko. Lo que Carolina contó fue más o menos lo mismo que conozco y que vengo aplicando desde hace años en las entrevistas laborales. Lo que más me llamó la atención de esta charla fue la gran cantidad de asistentes. Me pregunté si los especialistas en seguridad (…hackers…) presentes en la eko necesitarían escuchar estos tips para cuando ellos vayan a ser entrevistados…

 

Receta Práctica y Económica de un Implante de Hardware

En esta charla, Andrés Blanco y Lautaro Fain contaron con detalle cómo implantar un microcontrolador en un dispositivo de hardware estándar de forma de poder tener control del mismo. Empezaron el proyecto trabajando a partir de una placa de desarrollo similar a la Blue Pill pero basada en ARM, la STM32F030F4.

El objetivo fue el de implantar el controlador en un router WiFi TP-Link. Una vez que verificaron que era posible interceptar la función de actualización del firmware con un dispositivo del tamaño del STM32, pasaron a miniaturizar el implante y a instalarlo de forma totalmente imperceptible. Si alguien hiciera esto el algún dispositivo que estemos usando, sería muy difícil detectarlo.
De más está decir que me dieron ganas de desarmar todos mis dispositivos para ver si alguno tiene hardware implantado.

 

OpenBSD una workstation segura

Este workshop me entusiasmó bastante por un proyecto que tengo en el que había pensado usar OpenBSD como sistema operativo base. Lo dió la gente de BSDar, una organización fundada en mayo de este año y se ve que con mucha fuerza y ganas.
El objetivo de Matías y Anatoli fue el de explicar qué es OpenBSD, mostrar su instalación y configuración como workstation configuración de 2 window managers y compilación del kernel incluida. El plan original no se logró por completo debido a que la intro de OpenBSD que dio Anatoli se llevó casi todo el tiempo del workshop. Sin embargo, todo lo que se contó sobre sistema me pareció realmente muy interesante. Todos sabemos que OpenBSD es uno de los sistemas operativos más seguros del mundo. Lo que yo no sabía hasta ese momento es exáctamente por qué.
El generador de números aleatorios propio, sumado a los sistemas para ubicar en forma aleatoria los programas en memoria, generar aleatoriamente los pids, relinkear el kernel en cada instalación, ya muestran características de seguridad desde el diseño. A esto se le agrega el esquema de seguridad en el que no es posible relajar un permisos mientras el sistema esté online, la eliminación de captura de audio/video, la imposibilidad de correr las X como root, que todos los servicios se chroot’een o el doas, mucho más seguro que el sudo. Y como broche de oro, la mínima cantidad de vulnerabilidades halladas sobre OpenBSD a lo largo de la historia.
Por supuesto que lo primero que hice al llegar a casa fue tratar de instalarlo. Como no tenía un equipo donde hacerlo, lo hicen en una VM de virtualbox. Me llevó bastaaaante tiempo, pero finalmente y con ayuda de los chicos de BSDar…

Gracias a este grupo y a OpenBSD seguramente pasaré muchas noches sin dormir.

 

Backdooring Hardware Devices by Injecting Malicious Payloads…

La charla de Sheila se basó en su investigación sobre tres formas de inyectar código en microcontroladores. Las pruebas las hizo sobre el PICkit3. Con mucho detalle técnico y una explicación impecable como siempre, mostró como hacer para que estos PICs carguen código malicioso. Para la demo, sólo hizo que enciendan unos leds, pero evidentemente es posible hacer cosas más graves. En particular, si estos PICs son que se usan dentro de los autos.

 

Modern Secure Boot Attacks: Bypassing Hardware Root of Trust from Software

En esta charla, Alex Matrosov no sólo mostró vulnerabilidades del hardware relacionadas con el software. Además presentó una paradoja muy interesante desde el punto de vista de seguridad.

Si se prentende que los programas sobre los dispositivos sean seguros e inalterables, una solución es instalarlos sobre el hardware en ROM. Pero si en algún momento aparece alguna vulnerabilidad en ellos, estas son imposible patchearlas. Esto exáctamente es lo que pasó con EPIC Jailbreak, la vunerabilidad de los iPhone desde el 4 en adelante, que fue publicada el viernes 27, precisamente el último día de la eko. Como fue hallada en la Secure BootROM de los iPhones no es posible patchearla.
Para evitar esto, el software entonces podría instalarse como firmware, es decir en la flash de la BIOS, con la posibilidad de que sea actualizado y patcheado. Pero en este caso, los mecanismos para actualizar el firmware, también pueden ser utilizados de forma maliciosa para infectarlo.

Tan sencillo se vuelve para un atacante utilizar esos mecanismos, que Matrosov presentó funciones de PowerShell que permiten fácilmente modificar parámetros de la BIOS. Muy cómodas para el administrador… y también para los atacantes.

 

Internet-Scale analysis of AWS Cognito Security

La investigación presentada por el amigo Andrés Riancho en esta charla, tuvo por objetivo mostrar cómo utilizar la función de AWS Cognito de forma inversa a su propósito original. Cognito es un esquema de autenticación, autorización y manejo de usuarios para aplicaciones web y móviles. Los errores de configuración de las aplicaciones que lo usan, le permitieron a Andrés hacer un relevamiento a escala de Internet encontrando una gran cantidad de credenciales de acceso. Si bien no lo hizo, con esas credenciales pudo haber obtenido acceso a gran cantidad de datos sensibles de miles de usuarios. Excelente trabajo y una alerta para los que piensan que “la nube” es intrínsecamente segura.

 

 

Disfruté mucho de la eko de este año, aprendí mucho y, por sobre todo, me encontré con amigos muy queridos que hacía mucho que no veía. Ahora, a pensar en la eko 16….

 

 

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
NetCAT: otro side-channel de Intel

NetCAT: otro side-channel de Intel

by | Sep 16, 2019 | CiberSeguridad, Actualidad, Canales Laterales, Keystroke Dynamics, Noticias, Vulnerabilidades

Otra vulnerabilidad de side-channel en procesadores Intel, permite reconstruir sesiones SSH usando Keystroke Dynamics.

Ya habíamos hablado hace tiempo de las vulnerabilidades de side-channels (o Canales laterales). Meltdown y Spectre son los más resonantes ejemplos de dichas vulnerabilidades que afectan a los procesadores Intel.
En ese sentido, investigadores de la universidad de Vrije de Amsterdan publicaron un paper donde presentan un nuevo ataque a procesadores Intel modernos explotando canales laterales.

A partir del descubrimiento, el grupo inició un proceso de publicación de la vulnerabilidad acordado con Intel y el CERT Alemán el 23 de Junio pasado. A la vulnerabilidad se le asignó el código CVE-2019-11184 y además Intel, le asignó el suyo propio: INTEL-SA-00290.

 

Fundamentos:

El grupo de 5 investigadores del Departamento de Ciencias de la Computación de la universidad, señala la dificultad que poseen los procesadores modernos para sostener la alta tasa de transferencia de placas de red modernas. En lugar de transferir esos datos desde y hacia la DRAM, los procesadores Intel modernos realizan operaciones de E/S directamente en la LLC. Esta función se denomina DCA (Direct Cache Access) y se utiliza en lugar de acceder a la memoria vía DMA (Direct Memory Access). La función para acelerar la transferencia de datos con esta técnica se denomina Data-Direct I/O (DDIO).

El problema de utilizar LLC es que esta memoria caché se comparte entre la CPU y el resto de los periféricos, y está implementada por diseño sin medidas de seguridad. Los investigadores de Vrije hicieron foco en uno de los dispositivos, las interfaces de red. De esta forma crearon un ataque denominado NetCAT (abreviatura de Network Cache ATtack) mediante el que explotan información sensible de tiempos en comunicaciones de redes. Particularmente, detectan las teclas oprimidas por otro usuario que comparta la misma CPU en una sesión SSH.

¿Pero cómo hacen para saber qué teclas oprimió un usuario? Esto sería imposible teniendo en cuenta que la vulnerabilidad descubierta es sobre el contenido de información de red (que quedan en la LLC) y a nivel de red, los paquetes SSH viajan cifrados. La forma de obtener esa información es adivinando las teclas que oprimen los usuarios. Y eso lo hacen mediante Keystroke Dynamics.

 

Prueba de concepto

Los investigadores publicaron el detalle de como construyeron el ataque. Éste empieza conectándose a un dispositivo que esté utilizando un procesador intel con DDIO y RDMA habilitados. Si hay un usuario que se conecta al mismo servidor y establece una sesión SSH, es posible registrar la llegada de cada paquete de dicha sesión. Dado que en SSH los caracteres que el usuario tipea se envían de a uno por vez, es posible adivinar los caracteres enviados por la latencia entre ellos. Esta técnica es bastante antigua. Esto ya lo hacía el viejo Chaosreader hace unos 15 años. El que, a su vez, había tomado el concepto de Song en su paper de 2001.
Podemos ver lo que hacía Chaosreader ya que milagrosamente ¡la página de Brendan Gregg sigue viva! La diferencia con NetCAT es que Chaosreader capturaba paquetes de red y trabajaba con ellos para obtener información diversa. Una de las funciones de la herramienta era “adivinar” el contenido de sesiones SSH mediante una herramienta denominada sshkeydata.
En esta página se pueden ver los resultados de procesar paquetes de sesiones SSH. Aquí se puede ver cómo se analizan los paquetes para tratar de reconstruir la sesión.

La gente de Vrije utilizó además que el de Song, otros trabajos más modernos que le permitieron aumentar la precisión. Por otro lado, leer los tiempos de llegada de los paquetes via DDIO es más preciso que usando libpcap por la red. Sin embargo, se enfrentaron con los mismos problemas que todos los que hicimos esto alguna vez: extraer las teclas tipeadas por usuarios no enrolados*. Teniendo en cuenta que todas las personas escriben sobre un teclado con patrones de tipeo diferentes, esta tarea es la más difícil de realizar.

 

Conclusiones

Por un lado, en la eterna pelea performance y usabilidad vs. seguridad, a veces ganan unos y a veces otros. Habilitar DDIO y RDMA sabemos que es poner a los procesadores en modo turbo. Pero el efecto secundario es que se pierde seguridad. En este caso, poder leer datos de la caché de los dispositivos va mucho más allá que reconstruir sesiones SSH. Hay mucha información sensible que puede estar siendo transferida entre dispositivos por un usuario y vista por otro que no tiene privilegios y sólo por estar en el mismo procesador.

Por el otro, ciberseguridad ya tiene tantos años que dejó de ser nueva. Otra vez side-channel attacks… otra vez Intel… otra vez keystroke dynamics.
Los problemas que se encuentran hoy ya no son nuevos, sino viejos que se reciclan.

 

 

*Usuarios no enrolados: usuarios de los cuales no se tiene la información de su patrón de tipeo.

 Usuarios enrolados: usuarios que se los somete a varias pruebas repetitivas, para que tipeen textos conocidos y controlados, y así se puede obtener su patrón de tipeo.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Cada vez más cerca

Cada vez más cerca

by | Jul 30, 2019 | CiberSeguridad, Actualidad, Aerolineas, Ciberprotección, Infraestructuras Criticas

Un informe publicado el día de hoy, señala que es posible para un atacante alterar datos de sensores en aviones, que podrían desencadenar en desastres aéreos.

El informe de la empresa Rapid7, presenta el resultado del análisis de investigadores de dicha empresa sobre dos implementaciones de redes CAN populares en el mercado.

El bus de redes CAN (Controller Area Network) en un avión, es un medio de transmisión de datos donde viaja la información de todos los sensores del avión. Estos sensores miden parámetros físicos vitales para la operación de la aeronave, tales como los datos de parámetros del motor, o del mismo avión como: actitud, altitud, dirección, etc. Esa información se envía por un bus CAN hacia los diferentes sistemas y panel de instrumentos de la cabina del avión.

Es evidente que los pilotos necesitan esa información para navegar. En medio de la noche y a 10 mil metros de altura, el piloto no tiene idea de si está a 10 mil, 11 mil u 8 mil metros y si se está dirigiendo al Norte o al Nor-Noroeste si no fuera por sus instrumentos.

¿Qué pasaría entonces, si alguien pudiese alterar esa información?, ¿si alguien pudiera hacer que los instrumentos indiquen que está a 8 mil metros cuando en realidad está a sólo mil…? ¿..y con el avión descendiendo..?

Bueno, los investigadores descubrieron que esto es posible, al menos en aviones pequeños. Sin embargo, los buses CAN o variantes de ésta tecnología se utilizan también en aviones grandes y hasta en la industria automotriz. La popularidad de este sistema se debe a su bajo costo. En los buses CAN, TODOS los mensajes se transmiten por el mismo bus desde todos los sensores hacia todos los endpoints.  Esta característica es barata, pero como ya se habrán dado cuenta, no demasiado segura… En algunos casos se utiliza autenticación de mensajes, pero que puede saltearse fácilmente.

Otra condición para que un ataque de este tipo sea “existoso”, es que el atacante tenga acceso físico al avión…. (como por ejemplo… ¿¿¿un pasajero..???).

Por un lado, ya alguna vez hablamos sobre los pobres sistemas de seguridad que poseen las aerolíneas en sus sistemas de gestión de pasajes (1, 2). Por el otro, ya hace algunos años algunos investigadores descubrieron que los sistemas de entretenimiento de los aviones comerciales eran vulnerables. Uno de los defectos de seguridad de estos sistemas es que los dispositivos USB de los sistemas de entretenimiento, permiten conectar dispositivos como teclados o mice que son reconocidos por los sistemas. De esta forma, es posible interactuar tanto con las aplicaciones, como con los sistemas operativos.

Aquí se puede ver un ejemplo de cómo salir de la pantalla de control de un sistema de entretenimiento de un avión de una aerolínea internacional muy importante, simplemente conectando un teclado y probando diferentes combinaciones de teclas:

La pregunta entonces, es: ¿cuánto puede demorar alguien en saltar del sistema de entretenimiento a una red CAN y producir un desastre aéreo?

Tan grave fue el resultado de esta investigación y del informe publicado hoy, que el mismo US-CERT publicó hoy mismo una alerta en su página sobre infraestructuras críticas.

No por nada se están creando desde hace poco más de un año empresas de ciberseguridad que dedicarán sólo a desarrollar soluciones tendientes a mitigar potenciales ciberataques sobre aeronaves.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Malboard: Replicando patrones de tipeo

Malboard: Replicando patrones de tipeo

by | Jul 22, 2019 | CiberSeguridad, Actualidad, Canales Laterales, Ciberprotección

Encuentran la forma de engañar a los sistemas de autenticación por reconocimiento de patrones de tipeo.

 

El Si6:

Fue allá por el 2003 en el Si6 donde iniciamos un conjunto de proyectos relacionados con la identificación de comportamiento de intrusos. Uno de los temas de investigación sobre el que trabajamos durante años, fue el de Keystroke Patterns o Patrones de Tipeo. El objetivo era el de poder identificar a un intruso, que se logueaba de forma interactiva a una shell, analizando su comportamiento de tipeo.

Aprovecho esta nota para nombrar a todos los investigadores que formaron parte del Si6, equipo al que me enorgullezco de haber pertenecido: Sebastián García, Flavio Fernández, Georgina Halladjian, Alejandro Benaben, Maximiliano Bertacchini, Luciano Bello, Verónica Estrada, Pablo Fierens y Carlos Benitez.

El Si6 no existe más, pero como los que estamos en este negocio sabemos que los rastros no se borran nunca en Internet, por si a alguien le interesa:

Como parte de nuestro trabajo, publicamos varios trabajos relacionados con la dinámica de tipeo, como por ejemplo:

Keystroke Dynamics:

Respecto a Keystroke Dynamics, el concepto es sencillo. Todas las personas utilizan sus dedos para oprimir teclas en un teclado. Del mismo modo que cada una de nosotros camina, sonríe o habla de forma diferente, también tipeamos de forma diferente. Por este motivo es posible identificar personas determinando lo que se denomina su “patrón de tipeo” o keystroke pattern.
Además de los trabajos de investigación, también desarrollamos una aplicación para detectar estos patrones en aplicaciones la web. La aplicación se denominaba k-profiler y los resultados de la investigación fue publicada en el paper: User Clustering Based on Keystroke Dynamics

 

El concepto consiste en medir los tiempos de latencia entre diferentes acciones realizada en el teclado (como apretar o soltar una tecla). La medición suele realizarse sobre el tiempo entre dos teclas sucesivas o “digrafos”.

En esa época, habíamos imaginado una némesis para el concepto. Consistía en la posibilidad de que un intruso alterara artificialmente su patrón de tipeo. De esta forma sería identificado como otro atacante y no como él mismo.

 

Malboard:

Pasaron 16 años y nuestro némesis se volvió realidad. Un grupo de investigadores de la universidad Ben-Gurion, descubrió una forma de engañar a los sistemas que autentican a las personas usando sus patrones de tipeo. El ataque, denominado Malboard, fue publicado en mayo pasado. En este caso, no es un usuario que se impersona en otro para falsear su patrón de tipeo. Sino que se utilizan dispositivos USB que se reconocen como teclados para inyectar comandos desde un teclado. Existen varios dispositivos de este tipo en el mercado, tal como el RubberDucky. Lo novedoso de este ataque es que los comandos se inyectan tal como lo haría el usuario al que se trata de impersonar.

Para el ataque, se evaluaron los patrones de tipeo de 30 personas realizando 3 acciones diferentes. A partir de la copia del patrón de tipeo, se inyectaron comandos maliciosos mientras se era monitoreado por diferentes sistemas de detección como TypingDNA o KeyTrac. El resultado fue que se logró evadir los sistemas de detección más del 83% de los casos.
Pero el grupo no se quedó sólo en el ataque. Desarrolló además un sistema que permite su detección. Con esto lograron un 100% de efectividad en la detección, al menos en las pruebas realizadas por ellos.

El método de identificación por patrones de tipeo se utilizó por primera vez con el telégrafo durante la guerra de secesión de Estados Unidos allá por 1860. Es interesante ver cómo técnicas como estas no mueren, sino que se reciclan constantemente evolucionando una y otra vez.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
El Agente Smith

El Agente Smith

by | Jul 12, 2019 | CiberSeguridad

Un nuevo virus denominado Agente Smith, ya ha infectado unos 25 millones de dispositivos Android en todo el mundo.

A los fanáticos de la trilogía Matrix, no hay qué explicarles quién es ni cómo actúa el agente Smith. El personaje vive dentro de la Matrix y es el principal enemigo de Neo.
Por su comportamiento, podría considerarse un virus con la capacidad de replicarse, transformado a culquier otra persona dentro de la Matrix en una copia de sí mismo.
Por este motivo, los investigadores de checkpoint, han denominado así al nuevo virus que actúa exáctamente como el agente Smith.

Ya en el 2015, el Chema Alonso había contado en Segurinfo una forma ingeniosa de infectar smartphones Android. La técnica consistía en dos pasos. El primero era comprar aplicaciones existentes en Google Play, a desarrolladores que se aburrieron de mantenerlas. El segundo consistía en infectar dichas aplicaciones y subir las versiones infectadas al Play, para infectar los celulares cuando los usuarios las actualizaran.

El Agente Smith, utiliza una técnica ligeramente diferente. El detalle técnico de su funcionamiento puede encontrarse en el sitio de checkpoint. A modo de resumen, podemos decir que la técnica consiste en 3 pasos:

  1. Engaña a los usuarios para que se instalen aplicaciones gratuitas (normalmente juegos o apps de adultos) desde sitios como 9Apps. Una vez instalado, el Agente Smith comprueba si el usuario posee instalada alguna aplicación pupular de una lista que trae internamente. Dentro de esa lista, están aplicaciones como Whatsapp u Opera Mini.
  2. Una vez dentro del dispositivo, descifra su payload malicioso que consiste en un archivo apk. Esto lo hace sin intervención del usuario utilizando vulnerabilidades conocidas de Android como por ejemplo: Janus o Man-in-the-disk.
  3. El Agente Smith ataca las aplicaciones del teléfono que estén en su lista, de la misma modo que lo hizo el personaje de Matrix con Morfeo. Descarga los apk’s de dichas aplicaciones de los sitios originales, los modifica inyectando código mailcioso, e instala esta nueva versión infectada replicándose en dichas aplicaciones. Esta técnica es similar a la comentada por el Chema, pero el Agente Smith lo hace dentro del mismo celular. Esta segunda instalación, la efectúa también abusando de las vulnerabilidades ya mencionadas.

Hasta el momento, los investigadores calculan que existen unos 25 millones de celulares infectados con el Agente Smith. Si bien la mayoría de las infecciones se dieron en la India, Bangladesh y Pakistán en el siguiente mapa puede verse que ya está distribuido por todo el mundo.

 

¿Pero cuál es el propósito de la infección? Por el momento es bastante inocente. Simplemente hace que las aplicaciones infectadas desplieguen pop-ups de publicidad. Se cree que el objetivo de estos Ads, es generar ganancias para el grupo desarrollador del malware sumando clics. Sin embargo, la técnica es tan sofisticada y se hizo con tanto cuidado, que podría ser fácimente modificable para llevar otro tipo de payload mucho más peligroso. Por ejemplo, se podría usar para obtener credenciales de acceso o bancarias, o hasta pinchar los teléfonos infectados.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

by | Jun 18, 2019 | Actualidad, Argentina, Centrales Electricas, CiberDefensa, Ciberprotección, CiberSeguridad, Hackers, Industria, Infraestructuras Criticas

Recientemente, una impactante noticia sobre ciberataques a redes eléctricas recorrió portales en todo el mundo. La posibilidad de atacar centrales eléctricas, paralizando ciudades, estados y hasta países enteros, sería ya una realidad.

Ya habíamos mencionado hace poco más de un año, que los principales blancos de ciberataques a las infraestructuras críticas, eran las centrales eléctricas. Diferentes grupos en todo el mundo vienen intentando ingresar a las redes que controlan los sistemas de producción y distribución de electricidad.

Los principales blancos de ciberataques a las infraestructuras críticas, son desde hace mucho tiempo, las centrales eléctricas.

Estos grupos estuvieron tan activos, que hasta desarrollaron malware específico. Hace algunos años, investigadores de ESET descubrieron  malware como el Crashoverride (también llamado Industroyer), diseñado específicamente para atacar centrales eléctricas. El código fue descubierto dentro de una planta de distribución de energía eléctrica de Ucrania. El halllazgo se produjo luego de la interrupción del suministro eléctrico en la zona norte de la ciudad de Kiev, a varias decenas de miles de usuarios y por poco más de una hora. En ese momento la repercusión mundial fue enorme. La empresa Dragos analizó técnicamente al Crashoverride y los resultados del análisis se pueden ver en su sitio web, o en la charla que dieron en BlackHat en 2016.

 

Godzilla

Si bien esta actividad lleva años, esta semana ocurrió algo nuevo. El New York Times, publicó una serie de notas, que hacen referencia a un informe en el que se deja expuesto otro aspecto del problema. Según el informe, el gobierno de Estados Unidos, desarrolló e implantó un elaborado sistema de malware dentro de las redes del sistema de producción y distribución de energía eléctrica de Rusia. El objetivo parecería ser el de atacar la red eléctrica rusa en caso de que se produjera un conflicto importante entre Moscú y Washington.

 

King Kong

Pero del otro lado, las cosas no parecen ser muy diferentes. Ya el Wall Street Journal informaba muy detalladamente a principio de este año, sobre las actividades de hackers rusos en la infraestructura crítica de Estados Unidos. Al parecer  se fueron detectando rastros de infiltraciones en compañías eléctricas de 24 estados de la Unión. Previamente a esto, el 15 de marzo del año pasado, el gobierno de Estados Unidos, publicó un detallado informe en el que declararon la existencia de una campaña de hacking por parte de Rusia, para infiltrar la infraestructura crítica de Estados Unidos.

 

El G-20

Tanto ha escalado este conflicto silencioso en estos últimos días, que en este momento se está hablando que Putin y Trump se reunirían en privado, durante el próximo capítulo del G-20, sólo para tratar este tema. Lo que está claro es que las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, dos monstruos decidieron enfrentarse.

 

Las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, Rusia y Estados Unidos decidieron enfrentarse.

 

La pelea

¿Fue o no fue un ciberataque? Cuando hoy en día se produce un gigantesco apagón, dadas las circunstancias expuestas, lo primero que pensamos es que fue un ciberataque. Si bien puede ocurrir que en algunos casos no lo sea, la verdad es que la probabilidad de que sí lo sea es alta. Las herramientas de ataque están desarrolladas y disponibles. El esfuerzo por protegerse es muy alto mientras que el esfuerzo para atacar es mucho menor.

Para usar términos futbolísticos, los que estamos de este lado, sabemos que estamos perdiendo por goleada. Más o menos 10 a 1. Es 10 veces más facil atacar que defenderse. Se paga a los especialistas en ciberseguridad 10 veces más en el lado oscuro. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa. Genera 10 veces más adrenalina atacar que defenderse. Los que estamos de este lado, perdemos en todos los partidos, aunque eso no significa que vamos a darnos por vencidos 🙂 algún día los sistemas serán lo suficientemente robustos como para que estas cosas no ocurran. De todos modos, hay un partido que ganamos, de cada 100 intentos de ataque, sólo uno llega al blanco.

 

En ciberseguridad, es 10 veces más fácil atacar que defenderse. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa.

 

La baticueva

Mientras tanto en la baticueva… los diseñadores y programadores de todo este malware, deben probar muy bien el funcionamiento de sus desarrollos. ¿Y dónde probar…? El laboratorio es el laboratorio…, tiene grandes limitaciones. Es imposible reproducir todas las condiciones, escenarios y variables de instalaciones reales. Habrá que probar entonces de otra forma, en un escenario más verdadero, pero sin atacar a Godzilla ni a King Kong. ¿Porqué no hacerlo entonces, en algún pequeño y remoto país, con mínimas o nulas medidas de ciberprotección, y donde no haya demasiadas repercusiones por interrumpir el suministro eléctrico por algunas horas a algunos miles (¿…millones…?) de habitantes?

 

Los diseñadores y programadores de malware para centrales eléctricas, deben probar muy bien el funcionamiento de sus desarrollos.

 

Los monstruos

Cuando de chico veía las películas de Godzilla, siempre me preguntaba sobre la suerte que corrían las personas que quedaban aplastadas cuando los edificios se derrumbaban durante las peleas. Es que cuando pelean gigantes, es imposible no quedar cubiertos por toneladas de escombros como efecto colateral de tan titánica batalla.

 

 

 

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.