Select Page
Ensayo general

Ensayo general

El fin de semana del 9 y 10 de mayo se llevó a cabo con gran éxito por primera vez una Ekoparty virtual. Fue la Ekoparty University Talks (#UniTalks) y se organizó con la UTN de Córdoba y Hacker Space también de Córdoba.

Para los que no hayan participado en vivo, todavía la pueden encontrar en twitch.

Estuvo buena. Primero por la calidad de las charlas. Y segundo porque funcionó como un ensayo general para la próxima Ekoparty 2020 que va tener lugar los próximos 24 al 26 de Septiembre, de forma integramente virtual.

Va mi crítica al evento.

 

Presentación

Inicialmente se hizo la presentación UTN Córdoba y Hacker Space, contando qué hace la UTN Córdoba en temas de ciberseguridad y cómo nació Hackerspace, con anécdotas de Las Vegas y todo.
Si bien algunos comentarios me parecieron algo démodé, como el término ‘seguridad informática’ que ya no usa nadie, o el concepto de que la seguridad es algo que todavía se agrega al negocio de mala gana; estuvo bien para los que escucharon y todavía están en ese estado. Que por suerte son cada vez menos.

Y luego vinieron las charlas:

 

Hacking Humanos

de Emiliano Piscitelli

Si bien fue parecida a la charla de la eko 2019, se agregaron algunas herramientas nuevas muy interesantes como 8D Sound y avatarify.
El tema de Ingeniería Social es apasionante y Emiliano sabe mucho y sabe transmitir sus conocimientos.

 

A day in the life of a pentester: I’m up to mischief

de Ileana Barrionuevo

Muy buena charla, interesante por estar dada por alguien que parece ser una buena hacker pero con un estilo muy académico y metodológico, me gustó mucho. Además de contar muchas herramientas de pentest, contó muchos tips metodológicos muy interesantes y se ve que ella los usa.

 

Radio Definidas por Software (SDR)

de Mariano Marino

Fue una buena charla pero la mayor parte fue académica. Muuucha teoría de RF (me hizo acordar a la secundaria y a la facu), pero sinceramente esperaba algo más hands on.

Es claro que para los que no sabían nada de radioporpagación, tienen que haber salido sabiendo…
Me encantó el golpe a los terraplanistas 😛

 

El arte detrás de la seguridad de Ubuntu. ¡A preparar paletas!

de Maria Emilia Torino

A pesar de que muchas veces me enojo bastante con mi Ubuntu, saber por Maria Emilia que es uno de los sistemas operativos más seguros me tranquiliza 🙂 Muy buena charla, muy orientada a la metodología para asegurar la plataforma de Canonical, muy interesante.

 

Defensa en Profundidad para Aplicaciones Basadas en Contenedores

del Ing. Alfredo Pardo

No hay demasiado para decir. Simplemente que estuvo muy bien explicado, muy buenos conceptos sobre el funcionamiento y la seguridad específicamente de docker y kubernetes.

 

Cazarrecompensas digital: ganando dinero reportando vulnerabilidades

de Alan Levy

El excelente mago de la eko 2019 explicó muy bien para quienes quieren iniciarse como cazarrecompensas, tipos, programas, herramientas que él usa. Muy bueno. Habló muy bien de Burp y estoy totalmente de acuerdo! Me encantó que mencione mindmaps! estilo de herramientas que uso hace 15 años, que siempre me criticaron y es la primera vez que lo veo en una conferencia!. Muy profesional y muy buenos los tips.

 

En resumen, #UniTalks fue un muy buen evento en sí mismo, y un excelente ensayo general para la próxima eko 2020.

 

 

 

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Ciber predicciones 2020

Ciber predicciones 2020

Para finalizar el año, les dejo este análisis de diferentes predicciones en ciber seguridad para el 2020 hechas por distintos sitios especializados en el tema.
Se acerca el fin de año (bueno, hoy es fin de año) y todos hacen sus balances del año que pasó y sus proyecciones de lo que puede venir. Hace algunas años hice algún balance. Este año quise dejarles un análisis de sus predicciones hecho a unos 20 sitos de ciber seguridad. En cada sitio se utilizan diferentes criterios para evaluar y proyectar qué es lo que puede pasar en materia de ciber seguridad en el año que comienza mañana.
Esta vez, mi trabajo fue recopilar todas esas proyecciones, extraer los temas que cada uno trata como destacado y darles un puntaje a cada tema. Ese puntaje fue dado arbitrariamente por mí en función de la cantidad de veces que se repetía un tema en los diferentes sitios y de la importancia que cada uno le da a cada tema.
El puntaje entonces, correspondería al interés que se le asigna a cada tema.
El resultado fue un score sobre 23 temas extraídos de los diferentes sitios.

 

Los sitios con los que me quedé fueron los siguientes:

Helpnetsecurity, Circadence, CheckpointTheHackerNewsCyberSecurityMag, Information edgeTechrepublic, SdxcentralCyberscoop, ScmagazineWatchGuardForbes y Forescout.

Y el resultado fue el que se ve en la figura a continuación:

El gráfico está ordenado de mayor a menor interés. En los temas de las predicciones se mezclan varias categorías. El tema de interés puede ser:

  • un ataque
  • un blanco
  • un vector de ataque
  • una contramedida

Brevemente, los temas de interés se definen de la siguiente forma:

Phishing + Awareness: Se refiere específicamente a ataques de phishing (que se verían muy incrementados en 2020) y a su principal contramedida: la concientización.

Cloud: Según los especialistas, la gran adopción que se hizo de la nube en 2019 y la que se proyecta para 2020, servirá de vector de ataque en muchos de sus servicios. El que más se destaca por sus vulnerabilidades es Office365.

Inteligencia artificial: Ya se vienen utilizando técnicas de Inteligencia Artificial y Machine Learning en sistemas de ciber defensa. Se había proyectado de la misma forma que se empezarían a utilizar estas técnicas como ataques, sin embargo no se tiene registro que ese tipo de ataques se hubiese producido todavía. Pero se prevé para 2020…

Ransomware: En los primeros lugares en las predicciones siguen estando los ataques de ransomware. Es realmente incomprensible que existiendo tecnologías que permiten bloquear Ransomware con 100% de efectividad, sea ésta una de las principales amenazas para 2020.

IoT: El enorme crecimiento de la base instalada de dispositivos de Internet de las Cosas y sus múltiples vulnerabilidades, hacen prever un incremento en los ataques durante el próximo año.

Deepfakes: De estos ataques se habla muchísimo en los Estados Unidos debido a que 2020 es año de elecciones. Las noticias e información falsa se considera un arma muy poderosa a la hora de tratar de modificar las intenciones de los votantes.

5G/WiFi: El advenimiento de la tecnología 5G, sus vulnerabilidades o las asociadas a los dispositivos móviles y las propias de WiFi hacen prever una gran actividad de ataques utilizando algunos de estos mecanismos.

Gobiernos: Existe gran preocupación por la intervención de gobiernos o estados en la generación de ciber ataques.

Widen attack surface: El incremento en el tamaño de la superficie de ataque global es un hecho para 2020. Esto se deberá a diversos factores como ser: el incremento en la cantidad de vulnerabilidades, la utilización masiva de la nube con sus vulnerabilidades propias o la incorporación de millones de dispositivos IoT vulnerables.

Robots: Se prevé un gran incremento de la utilización de técnicas de automatización en procesos para el año próximo. Si bien estas técnicas ayudan mucho a los administradores de seguridad, también lo hacen (y lo harán) a los atacantes…

Skill Gap: Ya se viene hablando hace un tiempo de un aspecto en el mundo de la ciber seguridad que es realmente preocupante. Es la brecha de conocimientos que existe entre quienes atacan y quienes defienden. Los atacantes tienen más conocimientos que los defensores. La brecha viene en aumento y se prevé que para 2020 seguirá en aumento.

Servicios financieros: Otro blanco de ciber ataques que sigue en aumento son los servicios financieros y bancarios. Se dice que esto seguirá en aumento en 2020.

Reuso de passwords: Una falla que hoy por hoy no debería existir, inconcebiblemente parecería que en 2020 irá en aumento.

Infrastructuras Críticas: Lo que comenzó con Stuxnet hace ya 10 años, es una carrera que no se ha detenido. Cada vez más las Infraestructuras Críticas serán blanco de ataques.

Sector de Salud: Otro sector, por cierto muy descuidado desde el punto de vista de ciber seguridad, sería blanco de ciber ataques durante 2020 mucho más en en años anteriores.

Zero trust: Este nuevo concepto se visualiza como una tendencia a implementar durante 2020 para evitar ser blanco de ciber ataques.

Móviles: Las vulnerabilidades en las aplicaciones móviles harán que haya muchos más ataques de este tipo el año próximo.

PyMEs: Un ámbito que hace unos años parecía no atractivo para ciber atacantes, lo es cada vez más y parecería que las PyMEs serán blanco de ciber ataques mucho más que en años anteriores.

Computación cuántica: Varios especialistas hablan de cómo la computación cuántica será un ante y un después en la ciber seguridad.

Detección de amenazas: Los sistemas SIEM son cada vez más complejos pero a su vez conllevan un incremento en la fatiga del analista. Se dice que durante 2020 mejorarán las técnicas para utilizar estas tecnologías en la detección de amenazas. Veremos…

Ciber Seguros: Un rubro que viene creciendo silenciosa pero inexorablemente parece tener previsiones de mejoras en sus mecanismos y en su adopción.

Privacidad: Del mismo modo que varios países intentan poner límites a la privacidad del uso de las redes, existen muchas iniciativas para saltear esos límites. Al parecer, esta guerra se intensificaría en 2020.

DevSecOps: Dado  que hoy en día, el software es una de las mayores fuente de vulnerabilidades, la adopción de esta metodología se incrementaría considerablemente durante el próximo año.

 

Al final del 2020 haremos el ejercicio de ver cuánto se cumplieron estas predicciones.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Alta eko

Alta eko

La semana pasada finalizó la edición número 15 de la ekoparty con excelentes aportes y mucho para aprender. Este año tuve la suerte de poder participar los 3 días. Si bien no pude participar de varias actividades, les hago un resumen de lo que extraje de las charlas a las que asistí.

 

Jugando con Plantas de Gas

Este workshop fue dado por Pablo Almada de KPMG. Pablo dedicó el 80% del tiempo a explicar como funcionan las plantas de gas. Seguramente los más hackers estaban esperando ver herramientas, exploits, código… Sin embargo, la explicación fue muy buena y quedó clarísimo que es imposible atacar los sistemas de control de una planta de gas si no se conoce cómo funciona. En ese sentido, creo que los asistentes (o por lo menos yo) nos fuimos con un conocimiento muy completo de su funcionamiento.
Después de eso, nos explicó la forma que se utilizan los PLC en instalaciones industriales de este tipo y comenzamos a entender cómo buscarlas en Internet, reconocerlas y atacarlas. Bastante fácil por cierto. Como ejemplo, hice una búsqueda en Shodan para encontrar PLCs de Rockwell publicados en Internet (de más está decir que NO deberían!) y me encontré con esto…

 

La búsqueda que se muestra es:

port:44818 product:”Rockwell Automation/Allen-Bradley”

Da un poco de miedo.

 

OSINT e Ingeniería Social Aplicado a las Investigaciones

Emiliano Piscitelli, Alan Levy, Carlos Loyo y Jorge Martín Vila dieron una charla de cómo investigar utilizando OSINT. Utilizaron el ejemplo de los piedrazos que recibió el micro de Boca antes de la final de la Libertadores. Además de explicar bastante metodología como la de Juilán GL y su Ciberpatrulla, mostraron innumerables herramientas de análisis que ayudan investigar. Algunas de ellas son buscador.ova para buscar sin ser vistos; faceapp.com para crear perfiles falsos; hootsuite y postcron para generar contenido en las redes sociales; GeoSocial Footprint para ubicar geográficamente a las personas cuando postean, etc.
Pero lo mejor estaba por venir, y las clases de magia fueron el broche de oro para la charla. Fue muy interesante que nos mostraran como funciona el cerebro humano. Gracias a eso, cómo funciona la magia, y por la misma razón, como todos podemos ser fácilmente engañados.

 

¡Cazando bugs con redes de pesca!

Nico Waisman está trabajando en Semmle auditando código de Google. Explicó cómo usar QL, un motor que permite hacer análisis de código fuente de forma muy precisa. La charla fue puro código y encima usó un plugin de QL para Eclipse…. Sin embargo lo bueno es que todos nos fuimos con el conocimiento de la existencia de la aplicación y algunas nociones muy didácticamente explicadas, sobre cómo construir código en QL que audite código escrito en los lenguajes que soporta la herramienta. El concepto se basa en modelar la superficie de ataque del software, buscar fallas desde simples lineas hasta en flujos completos. Con esto se desarrolla código que después puede utilizarse para buscar las mismas fallas en otros programas.

 

SIEMs Framework

Esta fue una de las charlas de Containers (…porque se daban dentro de containers…). En este caso Yamila Levalle y Claudio Caracciolo presentaron una herramienta para atacar sistemas SIEM.

Inicialmente me había ilusionado ya que comentaron que iban a mostrar como utilizar los SIEMs como vectores de ataque. Pensé que habían desarrollado una vieja idea en la que nunca tuve tiempo de trabajar: la de, sabiendo que el blanco usa un SIEM, enviar paquetes que produzcan logs que puedan romper ese SIEM…

Buen, no era eso lo que presentaron. La charla consistió en la presentación de un framework para atacar sistemas SIEM. El framework se llama SIEMS FRAMEWORK (o MultiSIEM Modular Python3 Attack Framework?) y se puede encontrar en github.
El sistema por ahora soporta Splunk, Graylog y Ossim pero tienen planeado incorporar otros sistemas como Qradar, ArcSight, etc. No tuve tiempo de probarlo pero es una de las tareas que me llevo para los próximos días.

 

Hacking and auditing LoRaWAN networks

Cesar Cerrudo junto a Esteban Martinez Fayo y Matias Sequeira presentaron su análisis de vulnerabilidades de redes LoRaWAN, un protocolo de redes WAN inalámbricas de baja potencia. El sistema es bastante nuevo pero se cree que ya hay 80 millones de dispositivos LoRaWAN en el mundo. Se cree que la base instalada va a crecer exponencialmente y eso es preocupante por las fallas de seguridad que tiene el protocolo.
La arquitectura de LoRaWAN se puede ver en el siguiente gráfico:

Por ahora existen varios potenciales ataques bastante peligrosos y hay pocas herramientas para auditar su seguridad. Una de ellas es el LAF (LoRaWAN Auditing Framework). La gente de IOActive explicó en detalle las vulnerabilidades y algunas posibles contramedidas.

 

¿Cómo hacer entrevistas técnicas?

La psicóloga Carolina Maristany explicó en este workshop cómo hacer entrevistas técnicas a la hora de seleccionar personal. Fui a ese workshop porque tenía mucha curiosidad de ver qué hace un tema como este en una eko. Lo que Carolina contó fue más o menos lo mismo que conozco y que vengo aplicando desde hace años en las entrevistas laborales. Lo que más me llamó la atención de esta charla fue la gran cantidad de asistentes. Me pregunté si los especialistas en seguridad (…hackers…) presentes en la eko necesitarían escuchar estos tips para cuando ellos vayan a ser entrevistados…

 

Receta Práctica y Económica de un Implante de Hardware

En esta charla, Andrés Blanco y Lautaro Fain contaron con detalle cómo implantar un microcontrolador en un dispositivo de hardware estándar de forma de poder tener control del mismo. Empezaron el proyecto trabajando a partir de una placa de desarrollo similar a la Blue Pill pero basada en ARM, la STM32F030F4.

El objetivo fue el de implantar el controlador en un router WiFi TP-Link. Una vez que verificaron que era posible interceptar la función de actualización del firmware con un dispositivo del tamaño del STM32, pasaron a miniaturizar el implante y a instalarlo de forma totalmente imperceptible. Si alguien hiciera esto el algún dispositivo que estemos usando, sería muy difícil detectarlo.
De más está decir que me dieron ganas de desarmar todos mis dispositivos para ver si alguno tiene hardware implantado.

 

OpenBSD una workstation segura

Este workshop me entusiasmó bastante por un proyecto que tengo en el que había pensado usar OpenBSD como sistema operativo base. Lo dió la gente de BSDar, una organización fundada en mayo de este año y se ve que con mucha fuerza y ganas.
El objetivo de Matías y Anatoli fue el de explicar qué es OpenBSD, mostrar su instalación y configuración como workstation configuración de 2 window managers y compilación del kernel incluida. El plan original no se logró por completo debido a que la intro de OpenBSD que dio Anatoli se llevó casi todo el tiempo del workshop. Sin embargo, todo lo que se contó sobre sistema me pareció realmente muy interesante. Todos sabemos que OpenBSD es uno de los sistemas operativos más seguros del mundo. Lo que yo no sabía hasta ese momento es exáctamente por qué.
El generador de números aleatorios propio, sumado a los sistemas para ubicar en forma aleatoria los programas en memoria, generar aleatoriamente los pids, relinkear el kernel en cada instalación, ya muestran características de seguridad desde el diseño. A esto se le agrega el esquema de seguridad en el que no es posible relajar un permisos mientras el sistema esté online, la eliminación de captura de audio/video, la imposibilidad de correr las X como root, que todos los servicios se chroot’een o el doas, mucho más seguro que el sudo. Y como broche de oro, la mínima cantidad de vulnerabilidades halladas sobre OpenBSD a lo largo de la historia.
Por supuesto que lo primero que hice al llegar a casa fue tratar de instalarlo. Como no tenía un equipo donde hacerlo, lo hicen en una VM de virtualbox. Me llevó bastaaaante tiempo, pero finalmente y con ayuda de los chicos de BSDar…

Gracias a este grupo y a OpenBSD seguramente pasaré muchas noches sin dormir.

 

Backdooring Hardware Devices by Injecting Malicious Payloads…

La charla de Sheila se basó en su investigación sobre tres formas de inyectar código en microcontroladores. Las pruebas las hizo sobre el PICkit3. Con mucho detalle técnico y una explicación impecable como siempre, mostró como hacer para que estos PICs carguen código malicioso. Para la demo, sólo hizo que enciendan unos leds, pero evidentemente es posible hacer cosas más graves. En particular, si estos PICs son que se usan dentro de los autos.

 

Modern Secure Boot Attacks: Bypassing Hardware Root of Trust from Software

En esta charla, Alex Matrosov no sólo mostró vulnerabilidades del hardware relacionadas con el software. Además presentó una paradoja muy interesante desde el punto de vista de seguridad.

Si se prentende que los programas sobre los dispositivos sean seguros e inalterables, una solución es instalarlos sobre el hardware en ROM. Pero si en algún momento aparece alguna vulnerabilidad en ellos, estas son imposible patchearlas. Esto exáctamente es lo que pasó con EPIC Jailbreak, la vunerabilidad de los iPhone desde el 4 en adelante, que fue publicada el viernes 27, precisamente el último día de la eko. Como fue hallada en la Secure BootROM de los iPhones no es posible patchearla.
Para evitar esto, el software entonces podría instalarse como firmware, es decir en la flash de la BIOS, con la posibilidad de que sea actualizado y patcheado. Pero en este caso, los mecanismos para actualizar el firmware, también pueden ser utilizados de forma maliciosa para infectarlo.

Tan sencillo se vuelve para un atacante utilizar esos mecanismos, que Matrosov presentó funciones de PowerShell que permiten fácilmente modificar parámetros de la BIOS. Muy cómodas para el administrador… y también para los atacantes.

 

Internet-Scale analysis of AWS Cognito Security

La investigación presentada por el amigo Andrés Riancho en esta charla, tuvo por objetivo mostrar cómo utilizar la función de AWS Cognito de forma inversa a su propósito original. Cognito es un esquema de autenticación, autorización y manejo de usuarios para aplicaciones web y móviles. Los errores de configuración de las aplicaciones que lo usan, le permitieron a Andrés hacer un relevamiento a escala de Internet encontrando una gran cantidad de credenciales de acceso. Si bien no lo hizo, con esas credenciales pudo haber obtenido acceso a gran cantidad de datos sensibles de miles de usuarios. Excelente trabajo y una alerta para los que piensan que “la nube” es intrínsecamente segura.

 

 

Disfruté mucho de la eko de este año, aprendí mucho y, por sobre todo, me encontré con amigos muy queridos que hacía mucho que no veía. Ahora, a pensar en la eko 16….

 

 

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

NetCAT: otro side-channel de Intel

NetCAT: otro side-channel de Intel

Otra vulnerabilidad de side-channel en procesadores Intel, permite reconstruir sesiones SSH usando Keystroke Dynamics.

Ya habíamos hablado hace tiempo de las vulnerabilidades de side-channels (o Canales laterales). Meltdown y Spectre son los más resonantes ejemplos de dichas vulnerabilidades que afectan a los procesadores Intel.
En ese sentido, investigadores de la universidad de Vrije de Amsterdan publicaron un paper donde presentan un nuevo ataque a procesadores Intel modernos explotando canales laterales.

A partir del descubrimiento, el grupo inició un proceso de publicación de la vulnerabilidad acordado con Intel y el CERT Alemán el 23 de Junio pasado. A la vulnerabilidad se le asignó el código CVE-2019-11184 y además Intel, le asignó el suyo propio: INTEL-SA-00290.

 

Fundamentos:

El grupo de 5 investigadores del Departamento de Ciencias de la Computación de la universidad, señala la dificultad que poseen los procesadores modernos para sostener la alta tasa de transferencia de placas de red modernas. En lugar de transferir esos datos desde y hacia la DRAM, los procesadores Intel modernos realizan operaciones de E/S directamente en la LLC. Esta función se denomina DCA (Direct Cache Access) y se utiliza en lugar de acceder a la memoria vía DMA (Direct Memory Access). La función para acelerar la transferencia de datos con esta técnica se denomina Data-Direct I/O (DDIO).

El problema de utilizar LLC es que esta memoria caché se comparte entre la CPU y el resto de los periféricos, y está implementada por diseño sin medidas de seguridad. Los investigadores de Vrije hicieron foco en uno de los dispositivos, las interfaces de red. De esta forma crearon un ataque denominado NetCAT (abreviatura de Network Cache ATtack) mediante el que explotan información sensible de tiempos en comunicaciones de redes. Particularmente, detectan las teclas oprimidas por otro usuario que comparta la misma CPU en una sesión SSH.

¿Pero cómo hacen para saber qué teclas oprimió un usuario? Esto sería imposible teniendo en cuenta que la vulnerabilidad descubierta es sobre el contenido de información de red (que quedan en la LLC) y a nivel de red, los paquetes SSH viajan cifrados. La forma de obtener esa información es adivinando las teclas que oprimen los usuarios. Y eso lo hacen mediante Keystroke Dynamics.

 

Prueba de concepto

Los investigadores publicaron el detalle de como construyeron el ataque. Éste empieza conectándose a un dispositivo que esté utilizando un procesador intel con DDIO y RDMA habilitados. Si hay un usuario que se conecta al mismo servidor y establece una sesión SSH, es posible registrar la llegada de cada paquete de dicha sesión. Dado que en SSH los caracteres que el usuario tipea se envían de a uno por vez, es posible adivinar los caracteres enviados por la latencia entre ellos. Esta técnica es bastante antigua. Esto ya lo hacía el viejo Chaosreader hace unos 15 años. El que, a su vez, había tomado el concepto de Song en su paper de 2001.
Podemos ver lo que hacía Chaosreader ya que milagrosamente ¡la página de Brendan Gregg sigue viva! La diferencia con NetCAT es que Chaosreader capturaba paquetes de red y trabajaba con ellos para obtener información diversa. Una de las funciones de la herramienta era “adivinar” el contenido de sesiones SSH mediante una herramienta denominada sshkeydata.
En esta página se pueden ver los resultados de procesar paquetes de sesiones SSH. Aquí se puede ver cómo se analizan los paquetes para tratar de reconstruir la sesión.

La gente de Vrije utilizó además que el de Song, otros trabajos más modernos que le permitieron aumentar la precisión. Por otro lado, leer los tiempos de llegada de los paquetes via DDIO es más preciso que usando libpcap por la red. Sin embargo, se enfrentaron con los mismos problemas que todos los que hicimos esto alguna vez: extraer las teclas tipeadas por usuarios no enrolados*. Teniendo en cuenta que todas las personas escriben sobre un teclado con patrones de tipeo diferentes, esta tarea es la más difícil de realizar.

 

Conclusiones

Por un lado, en la eterna pelea performance y usabilidad vs. seguridad, a veces ganan unos y a veces otros. Habilitar DDIO y RDMA sabemos que es poner a los procesadores en modo turbo. Pero el efecto secundario es que se pierde seguridad. En este caso, poder leer datos de la caché de los dispositivos va mucho más allá que reconstruir sesiones SSH. Hay mucha información sensible que puede estar siendo transferida entre dispositivos por un usuario y vista por otro que no tiene privilegios y sólo por estar en el mismo procesador.

Por el otro, ciberseguridad ya tiene tantos años que dejó de ser nueva. Otra vez side-channel attacks… otra vez Intel… otra vez keystroke dynamics.
Los problemas que se encuentran hoy ya no son nuevos, sino viejos que se reciclan.

 

 

*Usuarios no enrolados: usuarios de los cuales no se tiene la información de su patrón de tipeo.

 Usuarios enrolados: usuarios que se los somete a varias pruebas repetitivas, para que tipeen textos conocidos y controlados, y así se puede obtener su patrón de tipeo.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Cómo entrenar a tu dragón

Cómo entrenar a tu dragón

Y ya están entre nosotros.


A pesar de las predicciones y especulaciones de su inminencia tanto en la literatura fantástica como en el cine de ciencia ficción, le tomó unos 30 años a la Inteligencia Artificial (IA) salir de los laboratorios y llegar a nuestro mundo cotidiano. Pasó por Redes Semánticas, Procesamiento de Lenguaje Natural, Sistemas Expertos, Sistemas Cognitivos, Agentes Inteligentes y, finalmente, Inteligencia Artificial. A medida que fue creciendo, algunos logros nos asombraron como cuando a fines del siglo pasado Deep Blue
 le ganaba varias partidas a Kasparov. Aunque eso ni se compara con la forma en la que DeepMind de Google viene destrozando a varios jugadores expertos y campeones mundiales de Go en los últimos años. Estos resultados espectaculares por ahora siguen siendo de laboratorio. Aunque Siri, Google Now y Cortana no lo son.

Cada vez que consultamos a nuestros smartphones y les preguntamos cómo llegar a cierta dirección, o si nos puede dar la mejor receta de la Musaka griega o si le pedimos que cante, quien nos está respondiendo es el sistema de IA que Apple, Google y Microsoft desarrollaron para sus productos.
Al consultar el pronóstico del tiempo en el Weather Channel, ir de compras virtuales por Macey’s o hacer consultas de salud en el sitio de la American Cancer Society, veremos el logo de “With Watson” que significa que esas organizaciones están usando el sistema de IA de IBM: Watson para analizar sus datos. El mismísimo Elon Musk, a pesar de mostrar públicamente su preocupación por el desarrollo de la IA, formó la compañía OpenAI para fomentar su desarrollo.

Antes de la IA, usábamos nuestros programas, aplicaciones y sistemas para que nos agilicen nuestros procesos de negocio, aunque las decisiones intermedias las seguían tomando los expertos que interpretaban los resultados.  ¿Pero qué pasa si entrenamos a un sistema de IA para que tenga las mismas habilidades del experto? Eso es lo que están haciendo hoy los sistemas de IA. Reemplazan la intervención humana en la toma de decisiones de forma mucho más rápida, eficiente y con menor tasa de error. Y esto se logra por medio de dos claves: la primera es la elección correcta del tipo de herramienta de IA (hoy en día la más difundida por su eficiencia es la de Deep Learning); la segunda es cómo la entrenamos. En particular con Deep Learning, se deben usar millones de datos tomados de expertos, pre-procesarlos adecuadamente para alimentar al sistema para que aprenda y se entrene.

Vayamos a un ejemplo concreto en el ámbito de la ciber-seguridad. Un sistema SIEM (Administrador de Eventos e Información de Ciberseguridad) es un sistema extremadamente complejo. Su misión es la de recolectar información de sensores a través de las redes y sistemas, correlacionarlos y dar alertas ante la evidencia de un ciberataque.
Blog – Como entrenar a tu dragón

Si bien algunos fabricantes prometen que con un “Next> Next> Next>” es posible tener un SIEM activo y funcionando en minutos, la realidad es que estos sistemas son muy complejos que requieren de la intervención de un experto. Inicialmente para el diseño mismo del sistema, analizando la red, los nodos, los sistemas instalados, las comunicaciones, los activos críticos, los puntos de entrada y de salida. Y posteriormente para  analizar enormes cantidades de datos que permitan dar como resultado información realmente útil.
Si bien las herramientas SIEM actuales son bastante completas y funcionan para la mayoría de las instalaciones de forma convencional, en redes muy grandes esto es casi imposible. Por esto algunos vendors están empezando a agregar componentes de IA para reemplazar la intervención humana y hasta para generar acciones por sí mismos, como bloquear conexiones o borrar archivos potencialmente peligrosos.

Ahora bien, una herramienta es sólo una herramienta. Dependiendo de en qué manos caiga, es lo que se va a hacer con ella. Resulta que un ciberataque también es un proceso muy complejo y de varios ciclos de análisis, toma de decisiones y acciones para llegar a un objetivo. Y también es necesario un experto para llevarlo a cabo; ¿o lo era? ¿Se podrá entrenar un sistema de IA para generar ciber-ataques? La respuesta es sí. El mismísimo DARPA (Defense Advanced Research Projects Agency) está fomentando esta actividad. Pero además, las herramientas que están a disposición de la comunidad ya se están entrenando para planificar cómo causar daños en el ciberespacio.

Pero hay un problema extra. Dijimos que especialmente en Deep Learning se necesitan muchísimos datos (muy bien pre-procesados) para que los sistemas de IA aprendan correctamente. Si hacemos esto incorrectamente o a las apuradas o con datos insuficientes, podemos hacer que los sistemas de IA aprendan, pero mal. Que por ejemplo en el caso del SIEM, no sólo no detecten los ataques, sino que abran puertas a los atacantes o borren archivos válidos e importantes o bloqueen un sistema por haber errado en un análisis. Y en ese caso, ¿qué tipo de error sería? ¿Un error humano producido por una máquina?

Los sistemas de IA serán lo que hagamos de ellos. Si los entrenamos bien, podrían convertirse en nuestros aliados como tantas otras tecnologías que utilizamos a diario en nuestras vidas; pero si los entrenamos mal, por error o con malas intenciones, sin que lleguen necesariamente a convertirse en Skynet, pueden llegar a causarnos a los humanos que quedemos, serios dolores de cabeza…

 
Nota por Carlos Benitez

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

En una nota anterior, contamos cómo la Unión Europea está trabajando fuertemente desde hace 4 años en una nueva normativa de protección de datos personales, la hoy ya famosa GDPR o Reglamentación General de Protección de Datos de la Unión Europea. Esta iniciativa se crea dadas las enormes falencias que existen en las empresas de la Unión, en las que se fueron detectando faltas inaceptables en las capacidades de ciberprotección.
La norma será de aplicación obligatoria para todas las empresas de la UE a partir del 25 de mayo de este año. Sin embargo, el hecho de la obligatoriedad, no necesariamente implica que la curva de implementación de las contramedidas sea rápida o eficiente. La misma motivación que hace que las empresas a veces tengan áreas enteras dedicadas a analizar de qué forma pueden pagar menos impuestos, es probable que las hagan analizar de qué forma cumplir con GDPR con el menor esfuerzo e inversión posibles. 
¿Por qué se da esto? Por la misma razón por la que hoy en día sus medidas de ciberprotección son inaceptables: la falta de conciencia.
El convencimiento de que lo que uno está haciendo es importante o necesario es lo que dispara los procesos para que efectivamente se lleve a cabo. Y en este caso, muchas empresas de la UE no están convencidas ni creen que es importante – o por lo menos no lo estaban.
El vuelco que dio en la aceptación sobre la implementación de la nueva norma, se dio gracias al escándalo de Facebook y Cambridge Analytica. La comisionada por los asuntos de los consumidores de la UE, Vera Jourlova, quien se reunió con Mark Zuckerberg a raiz del escándalo, le dió a Zuckerberg las gracias públicamente por haber aceptado cumplir con GDPR ni bien esté en vigencia. Es difícil saber si la declaración del CEO de Facebookaceptando sin objeciones las nuevas contramedidas de seguridad para preservar la privacidad de los datos de los usuarios, hubiese sido la misma sin el escándalo de Cambridge Analytica. Pero la verdad es que a los promotores de la medida les vino como anillo al dedo, y justo antes de la entrada en vigencia de la medida.
Veremos el 26 de mayo cuáles habrán sido finalmente los resultados.
 
Nota por Carlos Benitez