Select Page
La suma de todos los miedos

La suma de todos los miedos

Según una reciente nota de sky.com, un grupo de hackers logró obtener información clasificada de un contratista que brinda soporte técnico crítico a una flota de misiles nucleares de EEUU.

La empresa ciberatacada es Westech International, una pequeña compañía que posee contratos con el Departamento de Defensa de Estados Unidos. Entre sus servicios, se encuentra un contrato con Northrup Grumman para dar soporte al sistema de misiles balísticos intercontinentales Minuteman III, brindando mantenimiento e ingeniería para sus operaciones en tierra. Estos misiles se encuentran almacenados en cientos de instalaciones de lanzamiento subterráneas protegidas, operadas por la Fuerza Aérea de EEUU.

Según ellos mismos informan en su sitio, “WESTECH también proporciona apoyo logístico y de mantenimiento para 18 estaciones de prueba de los Sistemas de Pruebas Automatizadas de los Minutema de Tierra (GMATS) ubicadas en seis bases. WESTECH opera el Depósito de GMATS en Hill AFB, UT almacenando más de 1500 artículos valorados en 18,8 millones de dólares, apoyando a toda la flota de GMATS.

La nota de sky.news, posee además un comentario localmente escalofriante. Mencionan, a modo de ejemplo, que cada misil “…es capaz de lanzar múltiples ojivas termonucleares a más de 6.000 millas, o la distancia entre Londres y Buenos Aires.

Lo cierto es que es una empresa muy pequeña, pero con la responsabilidad de manejar sistemas críticos y peligrosos.

Semejante responsabilidad viene con un gran poder (o al revés…). El asunto aquí es que las redes de Westech fueron infiltradas y fueron infectadas con un ransomware. Lo que sigue es conocido, una gran cantidad de archivos sensibles fueron cifrados y los ciberdelincuentes solicitaron rescate a la empresa para devolverlos sanos y salvos…

Ahora más técnicamente, el ransomware que los atacó fue MAZE, una conocida pieza de malware que tiene algunas características particulares y preocupantes.

La primera es que es un ransomware-for-rent. Es decir, los desarrolladores lo alquilan por un porcentaje de las ganancias del usuario final.

La segunda es que está asociado a grupos de cibercriminales rusos, y es aquí donde el objetivo del ataque empieza a hacer ruido.

El tercero y peor, es que adicionalmente a otros ransomware que sólo cifran los archivos y destruyen los originales, el MAZE tiene la habilidad de exfiltrar la información que ataca.

Por este motivo existe gran preocupación, porque más allá de la recuperación de los archivos originales (¿¡y el esquema de backup!?), existe la posibilidad que información crítica sobre este sistema de misiles se encuentre ahora en manos peligrosas.

Los responsables de Westech confirmaron el incidente en el que sus archivos fueron cifrados (¿¡y el EDR!?) y que están trabajando con una empresa de ciberseguridad local para efectuar el análisis forense e investigar qué y cómo sucedió (¿¡y los procesos!?).

Hace algún tiempo hablábamos de los peligros que atacantes pudiesen tomar control de sistemas militares, en ese caso de drones artillados. Aquí las posibilidades son mucho mayores y peores. El sistema de misiles Minuteman III es enorme, mortal y con un rango de distancia de acción de 1/4 del planeta.

Hoy en día es imposible pensar que haya organizaciones que manejan información tan crítica que puedan habr sido blanco de ransomware; y de un ransomware conocido. Es muy probable que los responsables de Westech, siendo tan chicos, se hayan planteado en algun momento el famoso “¿y a mí qué me van a sacar…?”

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Ciber predicciones 2020

Ciber predicciones 2020

Para finalizar el año, les dejo este análisis de diferentes predicciones en ciber seguridad para el 2020 hechas por distintos sitios especializados en el tema.
Se acerca el fin de año (bueno, hoy es fin de año) y todos hacen sus balances del año que pasó y sus proyecciones de lo que puede venir. Hace algunas años hice algún balance. Este año quise dejarles un análisis de sus predicciones hecho a unos 20 sitos de ciber seguridad. En cada sitio se utilizan diferentes criterios para evaluar y proyectar qué es lo que puede pasar en materia de ciber seguridad en el año que comienza mañana.
Esta vez, mi trabajo fue recopilar todas esas proyecciones, extraer los temas que cada uno trata como destacado y darles un puntaje a cada tema. Ese puntaje fue dado arbitrariamente por mí en función de la cantidad de veces que se repetía un tema en los diferentes sitios y de la importancia que cada uno le da a cada tema.
El puntaje entonces, correspondería al interés que se le asigna a cada tema.
El resultado fue un score sobre 23 temas extraídos de los diferentes sitios.

 

Los sitios con los que me quedé fueron los siguientes:

Helpnetsecurity, Circadence, CheckpointTheHackerNewsCyberSecurityMag, Information edgeTechrepublic, SdxcentralCyberscoop, ScmagazineWatchGuardForbes y Forescout.

Y el resultado fue el que se ve en la figura a continuación:

El gráfico está ordenado de mayor a menor interés. En los temas de las predicciones se mezclan varias categorías. El tema de interés puede ser:

  • un ataque
  • un blanco
  • un vector de ataque
  • una contramedida

Brevemente, los temas de interés se definen de la siguiente forma:

Phishing + Awareness: Se refiere específicamente a ataques de phishing (que se verían muy incrementados en 2020) y a su principal contramedida: la concientización.

Cloud: Según los especialistas, la gran adopción que se hizo de la nube en 2019 y la que se proyecta para 2020, servirá de vector de ataque en muchos de sus servicios. El que más se destaca por sus vulnerabilidades es Office365.

Inteligencia artificial: Ya se vienen utilizando técnicas de Inteligencia Artificial y Machine Learning en sistemas de ciber defensa. Se había proyectado de la misma forma que se empezarían a utilizar estas técnicas como ataques, sin embargo no se tiene registro que ese tipo de ataques se hubiese producido todavía. Pero se prevé para 2020…

Ransomware: En los primeros lugares en las predicciones siguen estando los ataques de ransomware. Es realmente incomprensible que existiendo tecnologías que permiten bloquear Ransomware con 100% de efectividad, sea ésta una de las principales amenazas para 2020.

IoT: El enorme crecimiento de la base instalada de dispositivos de Internet de las Cosas y sus múltiples vulnerabilidades, hacen prever un incremento en los ataques durante el próximo año.

Deepfakes: De estos ataques se habla muchísimo en los Estados Unidos debido a que 2020 es año de elecciones. Las noticias e información falsa se considera un arma muy poderosa a la hora de tratar de modificar las intenciones de los votantes.

5G/WiFi: El advenimiento de la tecnología 5G, sus vulnerabilidades o las asociadas a los dispositivos móviles y las propias de WiFi hacen prever una gran actividad de ataques utilizando algunos de estos mecanismos.

Gobiernos: Existe gran preocupación por la intervención de gobiernos o estados en la generación de ciber ataques.

Widen attack surface: El incremento en el tamaño de la superficie de ataque global es un hecho para 2020. Esto se deberá a diversos factores como ser: el incremento en la cantidad de vulnerabilidades, la utilización masiva de la nube con sus vulnerabilidades propias o la incorporación de millones de dispositivos IoT vulnerables.

Robots: Se prevé un gran incremento de la utilización de técnicas de automatización en procesos para el año próximo. Si bien estas técnicas ayudan mucho a los administradores de seguridad, también lo hacen (y lo harán) a los atacantes…

Skill Gap: Ya se viene hablando hace un tiempo de un aspecto en el mundo de la ciber seguridad que es realmente preocupante. Es la brecha de conocimientos que existe entre quienes atacan y quienes defienden. Los atacantes tienen más conocimientos que los defensores. La brecha viene en aumento y se prevé que para 2020 seguirá en aumento.

Servicios financieros: Otro blanco de ciber ataques que sigue en aumento son los servicios financieros y bancarios. Se dice que esto seguirá en aumento en 2020.

Reuso de passwords: Una falla que hoy por hoy no debería existir, inconcebiblemente parecería que en 2020 irá en aumento.

Infrastructuras Críticas: Lo que comenzó con Stuxnet hace ya 10 años, es una carrera que no se ha detenido. Cada vez más las Infraestructuras Críticas serán blanco de ataques.

Sector de Salud: Otro sector, por cierto muy descuidado desde el punto de vista de ciber seguridad, sería blanco de ciber ataques durante 2020 mucho más en en años anteriores.

Zero trust: Este nuevo concepto se visualiza como una tendencia a implementar durante 2020 para evitar ser blanco de ciber ataques.

Móviles: Las vulnerabilidades en las aplicaciones móviles harán que haya muchos más ataques de este tipo el año próximo.

PyMEs: Un ámbito que hace unos años parecía no atractivo para ciber atacantes, lo es cada vez más y parecería que las PyMEs serán blanco de ciber ataques mucho más que en años anteriores.

Computación cuántica: Varios especialistas hablan de cómo la computación cuántica será un ante y un después en la ciber seguridad.

Detección de amenazas: Los sistemas SIEM son cada vez más complejos pero a su vez conllevan un incremento en la fatiga del analista. Se dice que durante 2020 mejorarán las técnicas para utilizar estas tecnologías en la detección de amenazas. Veremos…

Ciber Seguros: Un rubro que viene creciendo silenciosa pero inexorablemente parece tener previsiones de mejoras en sus mecanismos y en su adopción.

Privacidad: Del mismo modo que varios países intentan poner límites a la privacidad del uso de las redes, existen muchas iniciativas para saltear esos límites. Al parecer, esta guerra se intensificaría en 2020.

DevSecOps: Dado  que hoy en día, el software es una de las mayores fuente de vulnerabilidades, la adopción de esta metodología se incrementaría considerablemente durante el próximo año.

 

Al final del 2020 haremos el ejercicio de ver cuánto se cumplieron estas predicciones.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Alta eko

Alta eko

La semana pasada finalizó la edición número 15 de la ekoparty con excelentes aportes y mucho para aprender. Este año tuve la suerte de poder participar los 3 días. Si bien no pude participar de varias actividades, les hago un resumen de lo que extraje de las charlas a las que asistí.

 

Jugando con Plantas de Gas

Este workshop fue dado por Pablo Almada de KPMG. Pablo dedicó el 80% del tiempo a explicar como funcionan las plantas de gas. Seguramente los más hackers estaban esperando ver herramientas, exploits, código… Sin embargo, la explicación fue muy buena y quedó clarísimo que es imposible atacar los sistemas de control de una planta de gas si no se conoce cómo funciona. En ese sentido, creo que los asistentes (o por lo menos yo) nos fuimos con un conocimiento muy completo de su funcionamiento.
Después de eso, nos explicó la forma que se utilizan los PLC en instalaciones industriales de este tipo y comenzamos a entender cómo buscarlas en Internet, reconocerlas y atacarlas. Bastante fácil por cierto. Como ejemplo, hice una búsqueda en Shodan para encontrar PLCs de Rockwell publicados en Internet (de más está decir que NO deberían!) y me encontré con esto…

 

La búsqueda que se muestra es:

port:44818 product:”Rockwell Automation/Allen-Bradley”

Da un poco de miedo.

 

OSINT e Ingeniería Social Aplicado a las Investigaciones

Emiliano Piscitelli, Alan Levy, Carlos Loyo y Jorge Martín Vila dieron una charla de cómo investigar utilizando OSINT. Utilizaron el ejemplo de los piedrazos que recibió el micro de Boca antes de la final de la Libertadores. Además de explicar bastante metodología como la de Juilán GL y su Ciberpatrulla, mostraron innumerables herramientas de análisis que ayudan investigar. Algunas de ellas son buscador.ova para buscar sin ser vistos; faceapp.com para crear perfiles falsos; hootsuite y postcron para generar contenido en las redes sociales; GeoSocial Footprint para ubicar geográficamente a las personas cuando postean, etc.
Pero lo mejor estaba por venir, y las clases de magia fueron el broche de oro para la charla. Fue muy interesante que nos mostraran como funciona el cerebro humano. Gracias a eso, cómo funciona la magia, y por la misma razón, como todos podemos ser fácilmente engañados.

 

¡Cazando bugs con redes de pesca!

Nico Waisman está trabajando en Semmle auditando código de Google. Explicó cómo usar QL, un motor que permite hacer análisis de código fuente de forma muy precisa. La charla fue puro código y encima usó un plugin de QL para Eclipse…. Sin embargo lo bueno es que todos nos fuimos con el conocimiento de la existencia de la aplicación y algunas nociones muy didácticamente explicadas, sobre cómo construir código en QL que audite código escrito en los lenguajes que soporta la herramienta. El concepto se basa en modelar la superficie de ataque del software, buscar fallas desde simples lineas hasta en flujos completos. Con esto se desarrolla código que después puede utilizarse para buscar las mismas fallas en otros programas.

 

SIEMs Framework

Esta fue una de las charlas de Containers (…porque se daban dentro de containers…). En este caso Yamila Levalle y Claudio Caracciolo presentaron una herramienta para atacar sistemas SIEM.

Inicialmente me había ilusionado ya que comentaron que iban a mostrar como utilizar los SIEMs como vectores de ataque. Pensé que habían desarrollado una vieja idea en la que nunca tuve tiempo de trabajar: la de, sabiendo que el blanco usa un SIEM, enviar paquetes que produzcan logs que puedan romper ese SIEM…

Buen, no era eso lo que presentaron. La charla consistió en la presentación de un framework para atacar sistemas SIEM. El framework se llama SIEMS FRAMEWORK (o MultiSIEM Modular Python3 Attack Framework?) y se puede encontrar en github.
El sistema por ahora soporta Splunk, Graylog y Ossim pero tienen planeado incorporar otros sistemas como Qradar, ArcSight, etc. No tuve tiempo de probarlo pero es una de las tareas que me llevo para los próximos días.

 

Hacking and auditing LoRaWAN networks

Cesar Cerrudo junto a Esteban Martinez Fayo y Matias Sequeira presentaron su análisis de vulnerabilidades de redes LoRaWAN, un protocolo de redes WAN inalámbricas de baja potencia. El sistema es bastante nuevo pero se cree que ya hay 80 millones de dispositivos LoRaWAN en el mundo. Se cree que la base instalada va a crecer exponencialmente y eso es preocupante por las fallas de seguridad que tiene el protocolo.
La arquitectura de LoRaWAN se puede ver en el siguiente gráfico:

Por ahora existen varios potenciales ataques bastante peligrosos y hay pocas herramientas para auditar su seguridad. Una de ellas es el LAF (LoRaWAN Auditing Framework). La gente de IOActive explicó en detalle las vulnerabilidades y algunas posibles contramedidas.

 

¿Cómo hacer entrevistas técnicas?

La psicóloga Carolina Maristany explicó en este workshop cómo hacer entrevistas técnicas a la hora de seleccionar personal. Fui a ese workshop porque tenía mucha curiosidad de ver qué hace un tema como este en una eko. Lo que Carolina contó fue más o menos lo mismo que conozco y que vengo aplicando desde hace años en las entrevistas laborales. Lo que más me llamó la atención de esta charla fue la gran cantidad de asistentes. Me pregunté si los especialistas en seguridad (…hackers…) presentes en la eko necesitarían escuchar estos tips para cuando ellos vayan a ser entrevistados…

 

Receta Práctica y Económica de un Implante de Hardware

En esta charla, Andrés Blanco y Lautaro Fain contaron con detalle cómo implantar un microcontrolador en un dispositivo de hardware estándar de forma de poder tener control del mismo. Empezaron el proyecto trabajando a partir de una placa de desarrollo similar a la Blue Pill pero basada en ARM, la STM32F030F4.

El objetivo fue el de implantar el controlador en un router WiFi TP-Link. Una vez que verificaron que era posible interceptar la función de actualización del firmware con un dispositivo del tamaño del STM32, pasaron a miniaturizar el implante y a instalarlo de forma totalmente imperceptible. Si alguien hiciera esto el algún dispositivo que estemos usando, sería muy difícil detectarlo.
De más está decir que me dieron ganas de desarmar todos mis dispositivos para ver si alguno tiene hardware implantado.

 

OpenBSD una workstation segura

Este workshop me entusiasmó bastante por un proyecto que tengo en el que había pensado usar OpenBSD como sistema operativo base. Lo dió la gente de BSDar, una organización fundada en mayo de este año y se ve que con mucha fuerza y ganas.
El objetivo de Matías y Anatoli fue el de explicar qué es OpenBSD, mostrar su instalación y configuración como workstation configuración de 2 window managers y compilación del kernel incluida. El plan original no se logró por completo debido a que la intro de OpenBSD que dio Anatoli se llevó casi todo el tiempo del workshop. Sin embargo, todo lo que se contó sobre sistema me pareció realmente muy interesante. Todos sabemos que OpenBSD es uno de los sistemas operativos más seguros del mundo. Lo que yo no sabía hasta ese momento es exáctamente por qué.
El generador de números aleatorios propio, sumado a los sistemas para ubicar en forma aleatoria los programas en memoria, generar aleatoriamente los pids, relinkear el kernel en cada instalación, ya muestran características de seguridad desde el diseño. A esto se le agrega el esquema de seguridad en el que no es posible relajar un permisos mientras el sistema esté online, la eliminación de captura de audio/video, la imposibilidad de correr las X como root, que todos los servicios se chroot’een o el doas, mucho más seguro que el sudo. Y como broche de oro, la mínima cantidad de vulnerabilidades halladas sobre OpenBSD a lo largo de la historia.
Por supuesto que lo primero que hice al llegar a casa fue tratar de instalarlo. Como no tenía un equipo donde hacerlo, lo hicen en una VM de virtualbox. Me llevó bastaaaante tiempo, pero finalmente y con ayuda de los chicos de BSDar…

Gracias a este grupo y a OpenBSD seguramente pasaré muchas noches sin dormir.

 

Backdooring Hardware Devices by Injecting Malicious Payloads…

La charla de Sheila se basó en su investigación sobre tres formas de inyectar código en microcontroladores. Las pruebas las hizo sobre el PICkit3. Con mucho detalle técnico y una explicación impecable como siempre, mostró como hacer para que estos PICs carguen código malicioso. Para la demo, sólo hizo que enciendan unos leds, pero evidentemente es posible hacer cosas más graves. En particular, si estos PICs son que se usan dentro de los autos.

 

Modern Secure Boot Attacks: Bypassing Hardware Root of Trust from Software

En esta charla, Alex Matrosov no sólo mostró vulnerabilidades del hardware relacionadas con el software. Además presentó una paradoja muy interesante desde el punto de vista de seguridad.

Si se prentende que los programas sobre los dispositivos sean seguros e inalterables, una solución es instalarlos sobre el hardware en ROM. Pero si en algún momento aparece alguna vulnerabilidad en ellos, estas son imposible patchearlas. Esto exáctamente es lo que pasó con EPIC Jailbreak, la vunerabilidad de los iPhone desde el 4 en adelante, que fue publicada el viernes 27, precisamente el último día de la eko. Como fue hallada en la Secure BootROM de los iPhones no es posible patchearla.
Para evitar esto, el software entonces podría instalarse como firmware, es decir en la flash de la BIOS, con la posibilidad de que sea actualizado y patcheado. Pero en este caso, los mecanismos para actualizar el firmware, también pueden ser utilizados de forma maliciosa para infectarlo.

Tan sencillo se vuelve para un atacante utilizar esos mecanismos, que Matrosov presentó funciones de PowerShell que permiten fácilmente modificar parámetros de la BIOS. Muy cómodas para el administrador… y también para los atacantes.

 

Internet-Scale analysis of AWS Cognito Security

La investigación presentada por el amigo Andrés Riancho en esta charla, tuvo por objetivo mostrar cómo utilizar la función de AWS Cognito de forma inversa a su propósito original. Cognito es un esquema de autenticación, autorización y manejo de usuarios para aplicaciones web y móviles. Los errores de configuración de las aplicaciones que lo usan, le permitieron a Andrés hacer un relevamiento a escala de Internet encontrando una gran cantidad de credenciales de acceso. Si bien no lo hizo, con esas credenciales pudo haber obtenido acceso a gran cantidad de datos sensibles de miles de usuarios. Excelente trabajo y una alerta para los que piensan que “la nube” es intrínsecamente segura.

 

 

Disfruté mucho de la eko de este año, aprendí mucho y, por sobre todo, me encontré con amigos muy queridos que hacía mucho que no veía. Ahora, a pensar en la eko 16….

 

 

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Cada vez más cerca

Cada vez más cerca

Un informe publicado el día de hoy, señala que es posible para un atacante alterar datos de sensores en aviones, que podrían desencadenar en desastres aéreos.

El informe de la empresa Rapid7, presenta el resultado del análisis de investigadores de dicha empresa sobre dos implementaciones de redes CAN populares en el mercado.

El bus de redes CAN (Controller Area Network) en un avión, es un medio de transmisión de datos donde viaja la información de todos los sensores del avión. Estos sensores miden parámetros físicos vitales para la operación de la aeronave, tales como los datos de parámetros del motor, o del mismo avión como: actitud, altitud, dirección, etc. Esa información se envía por un bus CAN hacia los diferentes sistemas y panel de instrumentos de la cabina del avión.

Es evidente que los pilotos necesitan esa información para navegar. En medio de la noche y a 10 mil metros de altura, el piloto no tiene idea de si está a 10 mil, 11 mil u 8 mil metros y si se está dirigiendo al Norte o al Nor-Noroeste si no fuera por sus instrumentos.

¿Qué pasaría entonces, si alguien pudiese alterar esa información?, ¿si alguien pudiera hacer que los instrumentos indiquen que está a 8 mil metros cuando en realidad está a sólo mil…? ¿..y con el avión descendiendo..?

Bueno, los investigadores descubrieron que esto es posible, al menos en aviones pequeños. Sin embargo, los buses CAN o variantes de ésta tecnología se utilizan también en aviones grandes y hasta en la industria automotriz. La popularidad de este sistema se debe a su bajo costo. En los buses CAN, TODOS los mensajes se transmiten por el mismo bus desde todos los sensores hacia todos los endpoints.  Esta característica es barata, pero como ya se habrán dado cuenta, no demasiado segura… En algunos casos se utiliza autenticación de mensajes, pero que puede saltearse fácilmente.

Otra condición para que un ataque de este tipo sea “existoso”, es que el atacante tenga acceso físico al avión…. (como por ejemplo… ¿¿¿un pasajero..???).

Por un lado, ya alguna vez hablamos sobre los pobres sistemas de seguridad que poseen las aerolíneas en sus sistemas de gestión de pasajes (1, 2). Por el otro, ya hace algunos años algunos investigadores descubrieron que los sistemas de entretenimiento de los aviones comerciales eran vulnerables. Uno de los defectos de seguridad de estos sistemas es que los dispositivos USB de los sistemas de entretenimiento, permiten conectar dispositivos como teclados o mice que son reconocidos por los sistemas. De esta forma, es posible interactuar tanto con las aplicaciones, como con los sistemas operativos.

Aquí se puede ver un ejemplo de cómo salir de la pantalla de control de un sistema de entretenimiento de un avión de una aerolínea internacional muy importante, simplemente conectando un teclado y probando diferentes combinaciones de teclas:

La pregunta entonces, es: ¿cuánto puede demorar alguien en saltar del sistema de entretenimiento a una red CAN y producir un desastre aéreo?

Tan grave fue el resultado de esta investigación y del informe publicado hoy, que el mismo US-CERT publicó hoy mismo una alerta en su página sobre infraestructuras críticas.

No por nada se están creando desde hace poco más de un año empresas de ciberseguridad que dedicarán sólo a desarrollar soluciones tendientes a mitigar potenciales ciberataques sobre aeronaves.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Recientemente, una impactante noticia sobre ciberataques a redes eléctricas recorrió portales en todo el mundo. La posibilidad de atacar centrales eléctricas, paralizando ciudades, estados y hasta países enteros, sería ya una realidad.

Ya habíamos mencionado hace poco más de un año, que los principales blancos de ciberataques a las infraestructuras críticas, eran las centrales eléctricas. Diferentes grupos en todo el mundo vienen intentando ingresar a las redes que controlan los sistemas de producción y distribución de electricidad.

Los principales blancos de ciberataques a las infraestructuras críticas, son desde hace mucho tiempo, las centrales eléctricas.

Estos grupos estuvieron tan activos, que hasta desarrollaron malware específico. Hace algunos años, investigadores de ESET descubrieron  malware como el Crashoverride (también llamado Industroyer), diseñado específicamente para atacar centrales eléctricas. El código fue descubierto dentro de una planta de distribución de energía eléctrica de Ucrania. El halllazgo se produjo luego de la interrupción del suministro eléctrico en la zona norte de la ciudad de Kiev, a varias decenas de miles de usuarios y por poco más de una hora. En ese momento la repercusión mundial fue enorme. La empresa Dragos analizó técnicamente al Crashoverride y los resultados del análisis se pueden ver en su sitio web, o en la charla que dieron en BlackHat en 2016.

 

Godzilla

Si bien esta actividad lleva años, esta semana ocurrió algo nuevo. El New York Times, publicó una serie de notas, que hacen referencia a un informe en el que se deja expuesto otro aspecto del problema. Según el informe, el gobierno de Estados Unidos, desarrolló e implantó un elaborado sistema de malware dentro de las redes del sistema de producción y distribución de energía eléctrica de Rusia. El objetivo parecería ser el de atacar la red eléctrica rusa en caso de que se produjera un conflicto importante entre Moscú y Washington.

 

King Kong

Pero del otro lado, las cosas no parecen ser muy diferentes. Ya el Wall Street Journal informaba muy detalladamente a principio de este año, sobre las actividades de hackers rusos en la infraestructura crítica de Estados Unidos. Al parecer  se fueron detectando rastros de infiltraciones en compañías eléctricas de 24 estados de la Unión. Previamente a esto, el 15 de marzo del año pasado, el gobierno de Estados Unidos, publicó un detallado informe en el que declararon la existencia de una campaña de hacking por parte de Rusia, para infiltrar la infraestructura crítica de Estados Unidos.

 

El G-20

Tanto ha escalado este conflicto silencioso en estos últimos días, que en este momento se está hablando que Putin y Trump se reunirían en privado, durante el próximo capítulo del G-20, sólo para tratar este tema. Lo que está claro es que las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, dos monstruos decidieron enfrentarse.

 

Las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, Rusia y Estados Unidos decidieron enfrentarse.

 

La pelea

¿Fue o no fue un ciberataque? Cuando hoy en día se produce un gigantesco apagón, dadas las circunstancias expuestas, lo primero que pensamos es que fue un ciberataque. Si bien puede ocurrir que en algunos casos no lo sea, la verdad es que la probabilidad de que sí lo sea es alta. Las herramientas de ataque están desarrolladas y disponibles. El esfuerzo por protegerse es muy alto mientras que el esfuerzo para atacar es mucho menor.

Para usar términos futbolísticos, los que estamos de este lado, sabemos que estamos perdiendo por goleada. Más o menos 10 a 1. Es 10 veces más facil atacar que defenderse. Se paga a los especialistas en ciberseguridad 10 veces más en el lado oscuro. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa. Genera 10 veces más adrenalina atacar que defenderse. Los que estamos de este lado, perdemos en todos los partidos, aunque eso no significa que vamos a darnos por vencidos 🙂 algún día los sistemas serán lo suficientemente robustos como para que estas cosas no ocurran. De todos modos, hay un partido que ganamos, de cada 100 intentos de ataque, sólo uno llega al blanco.

 

En ciberseguridad, es 10 veces más fácil atacar que defenderse. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa.

 

La baticueva

Mientras tanto en la baticueva… los diseñadores y programadores de todo este malware, deben probar muy bien el funcionamiento de sus desarrollos. ¿Y dónde probar…? El laboratorio es el laboratorio…, tiene grandes limitaciones. Es imposible reproducir todas las condiciones, escenarios y variables de instalaciones reales. Habrá que probar entonces de otra forma, en un escenario más verdadero, pero sin atacar a Godzilla ni a King Kong. ¿Porqué no hacerlo entonces, en algún pequeño y remoto país, con mínimas o nulas medidas de ciberprotección, y donde no haya demasiadas repercusiones por interrumpir el suministro eléctrico por algunas horas a algunos miles (¿…millones…?) de habitantes?

 

Los diseñadores y programadores de malware para centrales eléctricas, deben probar muy bien el funcionamiento de sus desarrollos.

 

Los monstruos

Cuando de chico veía las películas de Godzilla, siempre me preguntaba sobre la suerte que corrían las personas que quedaban aplastadas cuando los edificios se derrumbaban durante las peleas. Es que cuando pelean gigantes, es imposible no quedar cubiertos por toneladas de escombros como efecto colateral de tan titánica batalla.

 

 

 

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.

Cayendo en la trampa del Fallback…

Cayendo en la trampa del Fallback…

La empresa china eyeDisk desarrolló lo que prometía ser un pendrive “inhackeable“[1] y terminó siendo tan inseguro como cualquiera, por el inocente agregado de un fallback.

Todos los que estamos en este negocio, conocemos las dimensiones de seguridad de la información. Las 3 principales son: confidencialidad, disponibilidad e integridad. Nuestra tarea desde seguridad, es la de definir el esfuero y los recursos para protegerlas adecuadamente. Pero dependiendo del contexto y del negocio o la misión particular, a veces no todas las dimensiones se deben proteger de la misma forma.

 

Un caso extremo:

En el caso de las redes OT, a través de las que se controlan procesos industriales, la dimensión más importante a proteger es la disponibilidad. Muy especialmente en infraestructuras críticas. La interrupción de un servicio o proceso industrial no sólo puede llegar a costar muchísimo dinero, sino que además puede provocar gravísimos daños en el equipamiento o hasta en el medio ambiente. Es por esto que todas las medidas de protección van a estar enfocadas en que la disponibilidad sea lo más invulnerable posible. Integridad y confidencialidad se dejan en segundo plano.

 

Un caso intermedio:

Al desarrollar sistemas de protección, muchas veces se establecen, diseñan e implementan estrategias de vías o caminos alternativos para el caso que algún componente falle. Es el esquema de “fallback” o “plan B” en el que a veces se deben establecer relaciones de compromiso en las que se pierden o degradan algunas características de seguridad para mantener otras.

Un ejemplo de esto es el sistema de cifrado de la telefonía celular. Cuando se establece una comunicación entre teléfonos celulares, la información viaja cifrada. Esto se hace para que nadie que tenga un receptor de radio en la frecuencia de emisión de la comunicación, pueda interceptar fácilmente las conversaciones. El sistema de cifrado que se usa en GSM es la familia A5. Sin entrar en la discusión de las vulnerabilidades particulares de estos algoritmos (tanto A5/1 como A5/2 fueron rotos), es importante mencionar que la familia está compuesta por 5 miembros: A5/0, A5/1, A5/2, A5/3 y A5/4.

Cada algoritmo posee mayores fortalezas de cifrado que el anterior y, como consecuencia, de consumo de recursos. A pesar de que muchas veces no lo notamos por las deficiencias de las redes, en realidad los sistemas celulares están diseñados para que las comunicaciones nunca se interrumpan. Entonces, el uso de algoritmos de cifrado más fuertes, está íntimamente relacionado con contar con muy buena señal en los dispositivos. ¿Qué pasa entonces si estamos en una condición de baja señal? El sistema tiene varias instancias de fallback, en las que los algoritmos de cifrado se van degradando para no perder la comunicación. En el caso de tener muy baja señal, nuestros celulares bajan hasta el modo A5/0 en el que la comunicación no se cifra en absoluto. En este caso, alguien podría escuchar nuestras conversaciones.

Pero el negocio manda. Es decir, en telefonía celular, si bien no es tan crítico como en el caso de sistemas industriales, la dimensión que más se preserva es la de disponibilidad. ¿La razón? es más que obvia: segundo que el sistema no funciona, segundo que no se factura…

El fallback que implica la degradación de la privacidad está incorporado por diseño con toda la intención de que sea así.

 

Un caso erróneo:

Ahora bien, cuando se diseña un dispositivo cuyo principal objetivo es preservar la confidencialidad. Cuando se anuncia con bombos y platillos que el sistema es absolutamente “inhackeable“, se deben tomar ciertos recaudos. La firma china eyeDisk desarrolló por la modalidad de crowdfunding un pendrive que incorpora la sofisticada tecnología de lectura de iris para asegurar la confidencialidad de los datos que él se almacenen.

Según sus especificaciones, el acceso a los datos sólo puede hacerse mediante la lectura de iris del dueño. Teniendo en cuenta que el sistema de lectura de iris es resistente a la lectura de imágenes o fotografías, la empresa parecía haber creado el perfecto “for your eyes only“…

Sin embargo, David Lodge, de PenTestPartners, descubrió recientemente que si bien la resistencia a ataques de lectura de iris es real, el fallback del sistema compromete completamente la confidencialidad tan promocionada. Si la lectura de iris falla, se puede desbloquear el contenido del pendrive con una contraseña provista por el usuario al momento de la configuración.

Resulta que investigando la manera en la que se transfieren los datos, el investigador descubrió que internamente, la contraseña almacenada se transfiere via USB desde el dispositivo a la PC antes de la validación y en texto plano!!! Por esta razón, con sólo un poco de conocimientos y esfuerzo, es posible obtenerla y usarla…

 

Usando fallbacks

Hay veces que sinceramente no entiendo la forma en la que se diseñan los sistemas. En el caso de eyeDisk “el” argumento de venta del producto es la imposibilidad de que sea hackeado. El usuario debería quedarse 100% tranquilo de que si pierde un pendrive con información valiosa, nadie tendría forma de recuperarla mientras el pendrive no vuelva a encontrarse con el ojo del dueño. El concepto es muy bueno…!!! ¿qué necesidad hay entonces de crear un fallback que permita al usuario desbloquear el pendrive haciendo un bypass de la principal protección del sistema, la lectura del iris? ¿para qué dar esa vuelta más innecesaria cuando al hacerlo se destruye por completo el concepto inicial?

Al pensar, diseñar y construir dispositivos o sistemas, se los dota a éstos de un objetivo. Si se hacen bien las cosas, ese sistema deberia cumplir perfectamente con su objetivo y hacer sólamente eso, la razón para la cual fue diseñado. Esto es lo que diferencia a un producto líder de uno del montón, el hacer muy bien su trabajo. El error se comete cuando se intentan agregar objetivos o funciones extra, y es en esa diversificación innecesaria, cuando lo que se hacía muy bien en principio bien, se termina diluyendo.

En sistemas muy complejos, con muchos componentes y escenarios posibles, en los que se debe tener siempre una respuesta válida, son necesarios los fallbacks. Pero éstos deben estar bien pensados. Porque sino, podríamos sin darnos cuenta, caer en la trampa del fallback, instalando por ejemplo un botón que abra la puerta de calle de nuestras casas desde el exterior, por si nos olvidamos el token de la cerradura electrónica que acabamos de instalar en nuestra nueva puerta blindada…

 

[1] Perdón por el término, pero fue lo mejor que pude traducir la palabra original del fabricante, es decir: “Unhackable”…

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.