Entradas - Página 7 de 8 - Cybers on the Storm

El efecto “Ciber-Tequila”

by Carlos Benitez | May 18, 2018 | Actualidad, CiberSeguridad, Fraud

Esta vez, el blanco fueron bancos mejicanos.
Los ciber delincuentes lograron robar una cantidad no definida con precisión, pero que ronda entre 20 y 40 millones de dólares, en un sólo día. El robo ocurrió el pasado 27 de abril, fecha en la cual cinco bancos mejicanos, entre ellos, Citibanamex, Banorte y Bajío fueron atacados con un complejo e ingenioso ciber ataque.

Para efectuar una transferencia electrónica normal entre cuentas en México, el dueño la cuenta de origen ingresa a su homebanking, determina el monto a transferir, el banco y la cuenta de destino. Una vez hecho esto se dispara un proceso a través del cual un sistema interno del banco verifica los datos de ambas cuentas (fondos, inhibiciones, números de cuenta, etc.) para validar la transferencia. Al validarla, este sistema envía los datos de la transferencia al Sistema de Pagos Electrónicos Interbancarios (SPEI). El SPEI informa a otro sistema interfase en el banco de destino, que ha ingresado un monto de dinero y que debe ser depositado en la cuenta de destino. El sistema del banco destino, incrementa entonces el saldo de la cuenta destino en el monto determinado.

¿Qué pasaría si alguien ingresara al sistema interfase del banco de destino, e insertara una orden de transferencia “validada” como si viniera del SPEI? Al estar validada la transferencia, el aplicativo simplemente incrementaría el saldo de la cuenta destino.

¿Qué pasaría entonces si 30 segundos después de realizar esa transferencia “fantasma”, alguien ingresara a un cajero automático y retirara ese monto?

El monto simplemente desaparecería de las arcas del banco sin que nadie hubiese depositado un centavo.
Eso es exáctamente lo que ocurrió en esos 5 bancos de México. Un grupo aún no identificado de ciber ladrones ingresaron a los sistemas internos de los bancos de destino (todavía, y a pesar del tiempo transcurrido, los responsables de los bancos no saben cómo), y generaron cientos de transferencias falsas a cuentas fantasmas previamente creadas, retirando el efectivo en una operación cronométricamente perfecta. Para esconder mucho mejor la operación, cada transferencia fue hecha por valores totalmente diferentes, variando desde decenas de miles a cientos de miles de pesos mejicanos.

El Profesor de La Casa de Papel estaría pensando en cómo no se le ocurrió a él este plan. El robo fue hecho a los bancos y no a los usuarios. El ciber-atraco no afectó ninguna cuenta de ningún cliente.
Pero más allá de los montos y de los elementos de color que tiene esta noticia, la realidad es que dejó expuesta la gran debilidad de los sistemas que utilizan los bancos de México.
Es evidente que no sólo nunca evaluaron el ciber-riesgo al que estaban expuestos, sino que mucho menos implementron las contramedidas necesarias para mitigar esos riesgos.
Una de las consecuencias de este “ataque sin precedentes” al sistema de pagos de los bancos de México, fue que el Gobernador del Banco Central de México, Alejandro Díaz, anunció públicamente hace dos días la creación de la unidad de ciberseguridad del Banco . El objetivo de la nueva unidad consistirá en diseñar y emitir directrices sobre seguridad de la información para los bancos del país, que son regidos por el Banco Central de México.

Si bien es altamente positivo que el sistema bancario de México incorpore regulaciones en ciberseguridad, de la misma forma que nuestro BCRA viene haciendo desde hace años, lo que este evento deja claro es que a pesar del inquietante incremento en los ciberincidentes de los últimos años en el mundo, se sigue actuando en forma reactiva. Seguramente los responsables de emitir las definiciones políticas en materia de ciber-protección bancaria, deben haber pensado: “a nosotros no nos puede pasar…“.

Cómo entrenar a tu dragón

by Carlos Benitez | May 10, 2018 | Actualidad, AI, Argentina, CiberDefensa, CiberSeguridad, IA, Inteligencia Artificial, Seguridad de la Información, SIEM, Tecnologías, Vulnerabilidades

Y ya están entre nosotros.

A pesar de las predicciones y especulaciones de su inminencia tanto en la literatura fantástica como en el cine de ciencia ficción, le tomó unos 30 años a la Inteligencia Artificial (IA) salir de los laboratorios y llegar a nuestro mundo cotidiano. Pasó por Redes Semánticas, Procesamiento de Lenguaje Natural, Sistemas Expertos, Sistemas Cognitivos, Agentes Inteligentes y, finalmente, Inteligencia Artificial. A medida que fue creciendo, algunos logros nos asombraron como cuando a fines del siglo pasado Deep Blue le ganaba varias partidas a Kasparov. Aunque eso ni se compara con la forma en la que DeepMind de Google viene destrozando a varios jugadores expertos y campeones mundiales de Go en los últimos años. Estos resultados espectaculares por ahora siguen siendo de laboratorio. Aunque Siri, Google Now y Cortana no lo son.

Cada vez que consultamos a nuestros smartphones y les preguntamos cómo llegar a cierta dirección, o si nos puede dar la mejor receta de la Musaka griega o si le pedimos que cante, quien nos está respondiendo es el sistema de IA que Apple, Google y Microsoft desarrollaron para sus productos.
Al consultar el pronóstico del tiempo en el Weather Channel, ir de compras virtuales por Macey’s o hacer consultas de salud en el sitio de la American Cancer Society, veremos el logo de “With Watson” que significa que esas organizaciones están usando el sistema de IA de IBM: Watson para analizar sus datos. El mismísimo Elon Musk, a pesar de mostrar públicamente su preocupación por el desarrollo de la IA, formó la compañía OpenAI para fomentar su desarrollo.

Antes de la IA, usábamos nuestros programas, aplicaciones y sistemas para que nos agilicen nuestros procesos de negocio, aunque las decisiones intermedias las seguían tomando los expertos que interpretaban los resultados. ¿Pero qué pasa si entrenamos a un sistema de IA para que tenga las mismas habilidades del experto? Eso es lo que están haciendo hoy los sistemas de IA. Reemplazan la intervención humana en la toma de decisiones de forma mucho más rápida, eficiente y con menor tasa de error. Y esto se logra por medio de dos claves: la primera es la elección correcta del tipo de herramienta de IA (hoy en día la más difundida por su eficiencia es la de Deep Learning); la segunda es cómo la entrenamos. En particular con Deep Learning, se deben usar millones de datos tomados de expertos, pre-procesarlos adecuadamente para alimentar al sistema para que aprenda y se entrene.

Vayamos a un ejemplo concreto en el ámbito de la ciber-seguridad. Un sistema SIEM (Administrador de Eventos e Información de Ciberseguridad) es un sistema extremadamente complejo. Su misión es la de recolectar información de sensores a través de las redes y sistemas, correlacionarlos y dar alertas ante la evidencia de un ciberataque.
Blog – Como entrenar a tu dragón

Si bien algunos fabricantes prometen que con un “Next> Next> Next>” es posible tener un SIEM activo y funcionando en minutos, la realidad es que estos sistemas son muy complejos que requieren de la intervención de un experto. Inicialmente para el diseño mismo del sistema, analizando la red, los nodos, los sistemas instalados, las comunicaciones, los activos críticos, los puntos de entrada y de salida. Y posteriormente para analizar enormes cantidades de datos que permitan dar como resultado información realmente útil.
Si bien las herramientas SIEM actuales son bastante completas y funcionan para la mayoría de las instalaciones de forma convencional, en redes muy grandes esto es casi imposible. Por esto algunos vendors están empezando a agregar componentes de IA para reemplazar la intervención humana y hasta para generar acciones por sí mismos, como bloquear conexiones o borrar archivos potencialmente peligrosos.

Ahora bien, una herramienta es sólo una herramienta. Dependiendo de en qué manos caiga, es lo que se va a hacer con ella. Resulta que un ciberataque también es un proceso muy complejo y de varios ciclos de análisis, toma de decisiones y acciones para llegar a un objetivo. Y también es necesario un experto para llevarlo a cabo; ¿o lo era? ¿Se podrá entrenar un sistema de IA para generar ciber-ataques? La respuesta es sí. El mismísimo DARPA (Defense Advanced Research Projects Agency) está fomentando esta actividad. Pero además, las herramientas que están a disposición de la comunidad ya se están entrenando para planificar cómo causar daños en el ciberespacio.

Pero hay un problema extra. Dijimos que especialmente en Deep Learning se necesitan muchísimos datos (muy bien pre-procesados) para que los sistemas de IA aprendan correctamente. Si hacemos esto incorrectamente o a las apuradas o con datos insuficientes, podemos hacer que los sistemas de IA aprendan, pero mal. Que por ejemplo en el caso del SIEM, no sólo no detecten los ataques, sino que abran puertas a los atacantes o borren archivos válidos e importantes o bloqueen un sistema por haber errado en un análisis. Y en ese caso, ¿qué tipo de error sería? ¿Un error humano producido por una máquina?

Los sistemas de IA serán lo que hagamos de ellos. Si los entrenamos bien, podrían convertirse en nuestros aliados como tantas otras tecnologías que utilizamos a diario en nuestras vidas; pero si los entrenamos mal, por error o con malas intenciones, sin que lleguen necesariamente a convertirse en Skynet, pueden llegar a causarnos a los humanos que quedemos, serios dolores de cabeza…

Vendiéndole el alma al diablo

by Carlos Benitez | May 2, 2018 | Actualidad, Argentina, CiberDefensa, CiberSeguridad, Facebook, Hackers, Información, Privacidad

Enorme y ruidoso fue el escándalo de Facebook con Cambridge Analytica. El nudo del problema fue que Facebook “cedió” datos a la empresa de análisis estadístico para un trabajo académico y resultó que sus resultados fueron utilizados para la campaña presidencial de Donald Trump. Ahora, tratemos de desatar el nudo.

¿Qué información cedió Facebook y por qué?
La verdad es que todo lo que Facebook pudo recolectar de sus usuarios y de quienes aún no son sus usuarios pero interactúan con aplicaciones socias de Facebook, son sus datos (nombre, apellido, direcciones de email, números telefónicos) y sus metadatos (direcciones IP, ubicaciones físicas fecha y hora de una foto o video).
Entonces, ¿eso quiere decir que Facebook cuenta con datos privados de sus usuarios y también no usuarios en el mundo? La respuesta es que sí, y no.
Si considerábamos nuestro nombre, la composición de nuestra familia, el lugar donde vivimos, las cosas que hacemos en Internet o en la vida real pero que las reflejamos en Internet, como información privada, eso deja de serlo cuando aceptamos los “Términos y Condiciones” al darnos de alta en Facebook.

Nunca revisamos los Términos y Condiciones, simplemente vamos lo más rápido posible al final para encontrar el botón de “Acepto” y poder seguir adelante, sin saber que con ese clic, le vendemos el alma al diablo. Y lo más interesante de este fenómeno es que además de Facebook existen muchos más, como por ejemplo Google o Yahoo, para mencionar algunos. Y este contrato que firmamos con todos ellos al hacer clic en “Aceptar”, no tiene posibilidad de cancelación. Por más que en determinado momento, después de muchos años demos de baja nuestras cuentas, la información ya recolectada hasta ese momento, forma parte de sus bases de datos.

Si leemos con cuidado por ejemplo los Términos y Condiciones de Facebook, hay una sección denominada “Información y contenido que nos proporcionas” en la que se detalla con mucho cuidado todos los tipos de información que le regalamos a la empresa a cambio de que ella nos regale sus servicios. “Recopilamos el contenido, las comunicaciones y otros datos que proporcionas cuando usas nuestros Productos” lo que se traduce simplemente en que todo lo que escribimos, los likes, las fotos, la gente con la que nos comunicamos, no sólo forman parte de nuestro perfil sino de la gigantezca base de datos de Facebook. Y no sólo eso, “[…] las personas, las páginas, las cuentas, los hashtags y los grupos a los que estás conectado y cómo interactúas con ellos […]”, es decir: cómo nos comportamos. Y van más allá: “[…] recopilamos información de las computadoras, los teléfonos, los televisores conectados y otros dispositivos conectados a la web […]”. Y de nuestros dispositivos, ¿qué más saben? En la sección “La información que obtenemos de estos dispositivos incluye: “puede leerse que tienen información de los Sistemas Operativos, potencia de la señal, espacio de almacenamiento, identificadores únicos de los teléfonos celulares, señales bluetooth, redes WiFi a las que nos conectamos y hasta “información sobre otros dispositivos que se encuentran cerca o están en tu red”.

Todos sabemos que nadie regala nada, sin embargo, por alguna extraña razón creemos que estos servicios tan completos y útiles desarrollados por compañías que ganan miles de millones de dólares al año nos los dan gratis.

¿Y qué hacen con toda esa información? ¿Nos persiguen? ¿Tratan de saber qué hacemos? ¿Qué nos gusta? ¿Qué compramos? ¿Cuál es nuestro trabajo? ¿A quién tenemos intenciones de votar?
Exáctamente. Aunque no de cada uno de nosotros. Eso además de no tener sentido práctico, no sería útil para ellos. Pero sí lo hacen con grupos de personas, es decir con “focus groups”.

En sus inmensos sistemas de Big Data, con los motores de inteligencia artificial más avanzados, procesan todos esos datos en busca de información útil.
De esta forma poseen información de cómo se comportan las personas de determinadas edades, de determinado grupo social, en determinado lugar. Y el resultado de estos análisis les permite predecir, saber quiénes necesitan qué, cuándo y dónde. Y quien tenga esa información, sólo tiene que ir a ofrecer el producto adecuado a las personas adecuadas, con una garantía casi absoluta de su compra, en todo sentido.

Claro, para que esta actividad sea rentable, se deben tener muchísimos usuarios. Estos son algunos números de usuarios aproximados de cada servicio a fines de 2017:

Facebook ~ 2200 millones
Twitter ~ 330 millones
Google ~ 2000 millones
Yahoo Mail ~ 225 millones
Whatsapp ~ 1500 millones
Instagram ~ 500 millones

Es curioso el estar viviendo en un mundo Orwelliano pero con una variante muy interesante que Orwell no imaginó. No es el Partido quien nos instaló las “telepantallas” en nuestras casas en forma coercitiva, obligándonos a compartir nuestra intimidad diaria con el Gran Hermano – lo hicimos nosotros mismos en forma totalmente voluntaria. Y además como creemos ciegamente en lo que los diferentes Grandes Hermanos nos dicen, dejamos abierta la puerta para que se nos cuelen amenazas reales en nuestros sistemas que permitan ahora sí, dañarlos, espiarlos o directamente controlarlos.

Y esto, ¿se puede frenar? Mi opinión es que no. Poder preguntarle a Waze (empresa originalmente Israelí, que por cierto desde 2013 es de Google) cómo llegar todos los días al trabajo por el camino más rápido; encontrar amigos o hasta familiares perdidos mediante Facebook; Twittear noticias al instante mientras uno está delante del hecho que se está produciendo, son funcionalidades cuya conveniencia es indiscutible y a las cuales no tiene sentido renunciar. Son herramientas muy poderosas que pusieron en nuestras manos y que simplemente tenemos que saber usar.

Concientizarnos sobre los peligros a los que estamos expuestos por la información privada que brindamos, sobre la facilidad con la que pueden instalar amenazas en nuestros dispositivos y sobre cómo ciberprotegernos, es la mejor forma de minimizar los riesgos de vivir con un pie en esta no tan nueva parte del mundo: el ciberespacio.

Un golpe de suerte, o de cómo Mark Zuckerberg creó conciencia para la implementación de GDPR

by Carlos Benitez | Abr 20, 2018 | Actualidad, Argentina, CEO, CiberSeguridad, EU, European Union, Facebook, GDPR, Información, Noticias, Seguridad de la Información, Unión Europea, Vulnerabilidades

En una nota anterior, contamos cómo la Unión Europea está trabajando fuertemente desde hace 4 años en una nueva normativa de protección de datos personales, la hoy ya famosa GDPR o Reglamentación General de Protección de Datos de la Unión Europea. Esta iniciativa se crea dadas las enormes falencias que existen en las empresas de la Unión, en las que se fueron detectando faltas inaceptables en las capacidades de ciberprotección.

La norma será de aplicación obligatoria para todas las empresas de la UE a partir del 25 de mayo de este año. Sin embargo, el hecho de la obligatoriedad, no necesariamente implica que la curva de implementación de las contramedidas sea rápida o eficiente. La misma motivación que hace que las empresas a veces tengan áreas enteras dedicadas a analizar de qué forma pueden pagar menos impuestos, es probable que las hagan analizar de qué forma cumplir con GDPR con el menor esfuerzo e inversión posibles.

¿Por qué se da esto? Por la misma razón por la que hoy en día sus medidas de ciberprotección son inaceptables: la falta de conciencia.

El convencimiento de que lo que uno está haciendo es importante o necesario es lo que dispara los procesos para que efectivamente se lleve a cabo. Y en este caso, muchas empresas de la UE no están convencidas ni creen que es importante – o por lo menos no lo estaban.

El vuelco que dio en la aceptación sobre la implementación de la nueva norma, se dio gracias al escándalo de Facebook y Cambridge Analytica. La comisionada por los asuntos de los consumidores de la UE, Vera Jourlova, quien se reunió con Mark Zuckerberg a raiz del escándalo, le dió a Zuckerberg las gracias públicamente por haber aceptado cumplir con GDPR ni bien esté en vigencia. Es difícil saber si la declaración del CEO de Facebookaceptando sin objeciones las nuevas contramedidas de seguridad para preservar la privacidad de los datos de los usuarios, hubiese sido la misma sin el escándalo de Cambridge Analytica. Pero la verdad es que a los promotores de la medida les vino como anillo al dedo, y justo antes de la entrada en vigencia de la medida.

Veremos el 26 de mayo cuáles habrán sido finalmente los resultados.

Microkernels, ¿el futuro de la Ciberseguridad?

by Carlos Benitez | Abr 11, 2018 | Actualidad, Argentina, CiberDefensa, CiberSeguridad, Kernels, MicroKernels, Seguridad de la Información

El kernel de un sistema operativo es el componente principal o núcleo, donde se encuentra la parte central de su funcionalidad.

Un kernel “monolítico”, el más utilizado en los sistemas operativos actuales, se construye para contener la mayor cantidad de funciones, servicios y soporte para dispositivos posibles. De esta forma, el usuario cuenta con toda la funcionalidad que necesita en el momento que la precisa. No es necesario cargar o instalar componentes o drivers cada vez que se deba usar un dispositivo nuevo; simplemente el kernel contiene todo lo que el usuario requiere para correr sus aplicaciones.
La utilización de kernels monolíticos se viene dando desde hace años. Y como cada vez se agrega más funcionalidad, cada versión del kernel tiene un tamaño mayor a la anterior. Esto ha llevado a que, por ejemplo, las últimas versiones del kernel del sistema operativo Linux, estén construidas a partir de aproximadamente unas 18 millones de líneas de código fuente.
Está claro que un kernel de tal tamaño posee indudablemente una inmensa funcionalidad, pero del mismo modo la casi absoluta imposibilidad de una revisión completa. En especial de posibles defectos de seguridad debidos a errores de programación.

En el otro extremo del espectro, un “microkernel” es un kernel que contiene la mínima cantidad de funciones necesarias para que un sistema operativo funcione. Su objetivo principal es que las funciones incluidas sólo permitan administrar el resto de los subsistemas. Contrastando con los kernels monolíticos, el código fuente de los microkernels tienen solo algunas decenas de miles de líneas de código. Esta característica hace que sean más fácilmente auditables y de esta forma, mantenerlos en un muy elevado nivel de seguridad.
Si bien existen algunos sistemas que vienen utilizando microkernels desde hace mucho tiempo (como el sistema operativo de tiempo real QNX), sólo se utilizan para propósitos muy específicos en sistemas embebidos.

Hoy en día se han y vienen desarrollando una pequeña variedad de microkernels cada uno con sus particularidades. Los grupos que los desarrollan vienen trabajando desde hace años en aplicaciones prácticas de microkernels que permitan construir sistemas con altísimos grados de seguridad.

Pero entre ellos, existe un proyecto al que se le debe prestar particular atención, nos referimos a Genode.
Este proyecto toma los elementos básicos de los microkernels y de hecho utiliza microkernels existentes (como seL4, Fiasco.OC o Pistachio), como un microkernel propio directamente asociado al hardware (base-hw) para componer un concepto novedoso.
Genode propone un administrador de microkernels que lo convierte en un framework completo de sistemas operativos pero con características de seguridad muy superiores. Uno de los conceptos desarrollados en Genode, consiste en iniciar el sistema operativo con un proceso madre o raíz del microkernel al solo efecto de administrar a sus procesos hijos. Luego, se disparan diferentes instancias del mismo proceso para manejar cada una de las funciones del sistema, como por ejemplo el acceso al sistema de archivos, el manejo de la red, manejo de dispositivos de entrada/salida, funciones criptográficas, etc. Cada una de estas instancias del microkernel corre en un dominio separado, es independiente del resto y sus permisos son manejados exclusivamente por su proceso madre. De esta forma, si un atacante se adueñara de alguno de estos procesos, su proceso madre podría reiniciarlo sin interrumpir la ejecución para el usuario, eliminando la conexión que generó el atacante y cortando el vínculo con él.
Este complejo mecanismo de seguridad, junto con esquemas de virtualización basados en librerías de Virtualbox, hacen que mediante Genode se puedan instalar sistemas operativos completos pero basados en la tremenda fortaleza de los microkernels.

De hecho Genode Labs, la empresa que está detrás del sistema, tiene planeado liberar durante este año la primer versión estable de su propio sistema operativo completo, el Sculpt; además de sistemas de administración de paquetes, interfaces gráficas, etc. que permitan la utilización de estos sistemas tan seguros, ya no para propósitos específicos sino para casi cualquier aplicación.

Disponer de esta tecnología permitirá, en un futuro cercano, poder instalar desde servicios específicos en pequeños dispositivos hasta sistemas de escritorio y servidores con altísimos grados de seguridad basados en microkernels. Es por esto que tal vez, éste sea el primer paso de un cambio profundo en la mejora de ciberseguridad de nuestros sistemas.

Cuando el hardware grita…

by Carlos Benitez | Mar 28, 2018 | Actualidad, Argentina, Canales Laterales, CiberDefensa, CiberSeguridad, Machine Learning, Meltdown, Spectre, Vulnerabilidades

En el ámbito de la ciber-seguridad, ¿qué es un canal lateral? Imaginemos que una persona se encuentra dentro de una habitación, sentada en un escritorio con una computadora delante. Imaginemos también que pretende loguearse a una aplicación y que, además, va a escribir un mensaje confidencial. Supongamos que la aplicación no tiene bugs de seguridad, que la comunicación viaja cifrada por un canal seguro y utilizando certificados digitales con el mayor grado de seguridad posible. Imaginemos también que no hay nadie en la habitación más que esa persona y ningún otro objeto más que el escritorio, la silla y la computadora. Seguro, ¿no? Todo prolijamente construido y configurado para darle un altísimo grado de seguridad.

La persona comienza a trabajar, pero hace algo más: cada tecla que oprime o cada función o botón sobre los que hace clic en la pantalla, los grita, fuertemente.

Parafraseando el famoso Koan del Budismo Zen: “¿qué es lo que grita si no hay nadie para escuchar?”. Sin embargo, supongamos que sí hay alguien cerca, fuera de la habitación. Y, aunque con dificultad, logra escuchar, entender y anotar todo lo que grita el usuario. ¿Cuál sería el resultado? Que al cabo de un tiempo, alguien ajeno a la comunicación logra obtener el mensaje secreto, o parte de él.

¿Y cómo es posible romper ese secreto? ¿Infiltrando un malware en la computadora? ¿Interceptando la comunicación? ¿Robando las credenciales? No, de ninguna de esas formas. El mensaje secreto se filtra porque algo en el proceso falla, y revela la información de una forma inesperada. El intruso logró hacerse del mensaje mediante la explotación de un “canal lateral”, en este caso, el sonido producido por el mismo usuario.

A muchos lectores esta figura les podrá parecer absurda, grotesca o hasta burda. Sin embargo es exactamente lo que pasa. Cuando se utilizan los dispositivos electrónicos para interactuar con aplicaciones y con la red, esos dispositivos (aunque no lo percibamos) “gritan”, todo el tiempo. Cambian sus patrones de consumo de energía, emiten sonidos, utilizan librerías o zonas de memoria accesibles por otros usuarios de forma totalmente diferente en función de las acciones que está realizando el usuario. Es por esto que, sabiendo “escuchar”, es posible descifrar el contenido de esos “gritos”.

El concepto de atacar canales laterales no es nuevo, solo que, como siempre ocurre, cuando estas ideas aparecen la tecnología no está suficientemente madura. Pero pasa el tiempo, la tecnología evoluciona, y el bíblico “nihil novum sub sole” (nada nuevo bajo el sol) se materializa.

Si bien hoy en día son muchos más los trabajos de investigación académica que los exploits concretos, éstos existen y se van sumando. Incluso existen varias pruebas de concepto públicas cuya utilidad es muy limitada, pero muestran que el camino a que cada vez aparezcan más ataques de este tipo es irreversible.

Una de las primeras muestras de ataques graves de Canales Laterales se pudieron ver muy a principio de este año con dos vulnerabilidades conocidas como Meltdown y Spectre. La primera permite “derretir” los límites de seguridad entre áreas de memoria del procesador, mientras que la otra permite engañar a los programas a que revelen sus datos. De esta forma, es posible obtener datos sensibles de otros programas que se están ejecutando en el mismo equipo, no importa a qué usuario correspondan.

Estos ataques de Canales Laterales ni siquiera utilizan sofisticados algoritmos de Machine Learning (ML), y sin embargo comprometen seriamente la seguridad de casi cualquier sistema.

El mayor peligro de estas técnicas, consiste en su principal ámbito de aplicación: la nube. Las técnicas de canales laterales se pueden utilizar en muchos ambientes, pero las mayores posibilidades se obtienen cuando el atacante está compartiendo el mismo hardware que la víctima, por extensión, cuando muchos usuarios sin relación ni conocimiento entre ellos utilizan las mismas plataformas. Esto es exactamente la nube. Los sistemas “IaaS” (infraestructure as a service) y “PaaS” (Platform as a service) son los más susceptibles. Este tipo de ataque se denomina Inter-Máquinas Virtuales o Cross-VM.

Estos ataques no son fáciles de llevar a cabo para los atacantes. Se deben hacer muchas pruebas, recolectar muchos datos y analizar esos datos con herramientas de clasificación muy sofisticadas para obtener resultados útiles. La tecnología que permite hacer esto es la de ML. Y no es necesario contar con el software de nombre del asistente de Sherlock Holmes desarrollado por la compañía de tres letras… cada vez más existen componentes y frameworks de ML open source que los usuarios pueden descargar y probar. Si se desean realizar algunas pruebas, se puede utilizar el framework de Deep Learning Kerashttps://keras.io/ basado en python, que se monta sobre las liberías Theano o el poderoso desarrollo de Google, Tensorflow que permite la realización de cálculos tensoriales complejos con unas pocas líneas de Python.

Tampoco es fácil detectar estos ataques, ya que estas técnicas no son invasivas como los ciber-ataques habituales. De hecho, hoy en día, podríamos tener nuestra infraestructura implementada en la nube, un atacante podría haber alquilado servidores o contenedores en el mismo servicio que nosotros, y estar tratando de atacarnos sin que podamos darnos cuenta. Todavía no existen herramientas de software que nos permitan esta detección. La única solución de defensa hasta el momento consiste en la utilización de dos estrategias tanto en forma individual como combinada. Una de ellas es monitorear en nuestros propios sistemas las mismas variables que monitorearía el atacante para ver si se comportan de manera anómala y pudiese significar un posible ataque (por favor, notar la cantidad de veces que utilicé el potencial). La otra es la de generar “ruido” aleatorio que tape los gritos. Es decir hacer que el hardware se comporte de forma lo más aleatoria (o también rítmica) posible para que a los sistemas de inteligencia artificial que utilice un atacante no les sea posible distinguir entre un comportamiento y otro de nuestros sistemas.

Una vieja idea que de pronto se convierte en una nueva ciber-amenaza, silenciosa, casi imperceptible, y muy peligrosa. Una vez más, nos toca prepararnos.

¿Una cuestión de fe?

by Carlos Benitez | Mar 21, 2018 | Actualidad, Argentina, Bancos, CiberDefensa, CiberSeguridad, Encriptados, Facebook, Información, Mensajes, Seguridad de la Información, Seguros, WhatsApp

¿En qué nos basamos para elegir un banco cuando decidimos colocar gran parte de nuestros ahorros en una de estas instituciones? Y cuándo vamos a contratar un seguro, ¿qué parámetros consideramos para elegir a esta compañía y no a la otra?

En un caso depositamos nuestros bienes, en el otro nuestra seguridad a futuro. La realidad es que los parámetros pueden ser muchos y variados, pero el más importante de todos y el que prima a la hora de tomar una decisión es uno: la confianza.

Confiamos en nuestro banco y esperamos que sea sólido y quedarnos tranquilos que nuestros ahorros estén bien resguardados. Sin embargo, de pronto nos encontramos frente al banco cerrado, y gente golpeando con jarros o cucharas las cortinas metálicas con la esperanza de alguna respuesta. Confiamos en nuestra compañía de seguros porque sabemos que va a responder ante cualquier siniestro. Pero de pronto nos enteramos que nuestra compañía quebró y que el seguro que teníamos ya no se puede cobrar.

Estas mismas experiencias son las que vivimos en el ciber-mundo. ¿En quién confiamos para brindarle todos nuestros datos y más? En compañías sólidas, fuertes, con millones y millones de usuarios que también confiaron en ellas y que no sólo utilizan sus aplicaciones primarias sino las aplicaciones cruzadas (como las de login) que nos permite autenticarnos en cientos de otras aplicaciones con un solo clic sin la necesidad de recordar cientos de usuarios y contraseñas.

Pero las aplicaciones, los sistemas y las organizaciones no se mueven en función de la fe, sino de los negocios. Y de pronto, nos encontramos con 50 millones de usuarios que no tienen ni cucharas, ni una cortina metálica donde golpear, pero cuya fe fue abusada de la misma manera que aquellos ahorristas. Fue la combinación de una importantísima empresa de Big Data de Inglaterra combinada con la mayor red social del mundo quienes abusaron de la buena fe que sus usuarios habían depositado en ellas. Usando y abusando de la información que fueron cosechando durante años. Y lo peor de todos, lo admiten. La red social dice que los datos no les fueron robados, ni hackeados, que todo fue parte de un negocio. En medio de esta crisis, el director de Seguridad Informática de la red renuncia. Siempre durante las crisis, las internas salen a la luz.

Como dato curioso, hasta ahora no conozco a nadie ni leí en ningún lado, que a pesar de esta prueba de mala fe, hayamos dejado de utilizar la mayor red de mensajería de celular del mundo, que como todos sabemos, pertenece a la red social de la que estamos hablando, y que, probablemente siga recolectando nuestros datos.

¿Estamos eligiendo bien? ¿Entregarle nuestra información y nuestros secretos a una empresa sólo porque es grande, porque cotiza en la bolsa de Nueva York y porque está en el extremo superior derecho de los cuadrantes de Gartner garantiza que se puede confiar en ella?

El #1 de las infraestructuras críticas: las centrales eléctricas

by Carlos Benitez | Mar 16, 2018 | Actualidad, Argentina, Centrales Electricas, CiberDefensa, CiberSeguridad, Hackers, Infraestructuras Criticas, Khutech, Noticias, Seguridad de la Información, Tecnologías, Vulnerabilidades

Las infraestructuras críticas (aquellas que proveen servicios a la sociedad que, de ser interrumpidos, causarían graves daños a la población) vienen siendo blanco de ciber-ataques desde hace muchos años. El equipamiento industrial involucrado en la prestación de este tipo de servicios, se controla con sistemas informáticos interconectados muy antiguos que hacen que sean susceptibles de ser alcanzados por malware.

Cuando el sistema de control más popular, el SCADA, nació allá por los ’60, era absolutamente impensado que alguien pudiese conectarse a él remotamente desde la otra mitad del mundo y abrir de la exclusa de una represa, o la válvula de un circuito de provisión de gas, o el interceptor de un transformador de alta tensión que provee energía eléctrica a toda una ciudad.

Sin embargo, con el paso del tiempo, al abuelo SCADA, a sus derivados y a los sistemas que controla, se le fueron agregando componentes de IT cada vez más complejos y con cada vez más conexión a la red: sensores, interfaces gráficas, nodos de red, dispositivos IoT, etc.

Esto hizo que fuera blanco cada vez más fácilmente de pruebas de concepto y ciber-ataques cada vez más sofisticados, más frecuentes y más peligrosos. El caso que cambió radicalmente la visión sobre este tipo de ataques fue el descubrimiento en el año 2010 del gusano Stuxnet cuyo efecto fue el considerable retraso en el programa de desarrollo nuclear de Irán. Es entonces cuando se dispara la carrera de medidas y contramedidas tratando por un lado de atacar estos sistemas (los unos) y por otro de defenderlos (los otros).

Si bien los sistemas SCADA controlan casi el 90% de los procesos industriales automatizados del planeta, el foco de los atacantes desde hace aproximadamente un año son las centrales eléctricas.

Cada vez más son probadas y atacadas con mayor virulencia, sofisticación y frecuencia. Una gran parte de esos ataques son exploratorios, es decir que se realizan con el propósito de probar tanto las herramientas propias, como las capacidades de defensa de las centrales. La sofisticación se incrementa exponencialmente a tal punto que existen grupos como “Dragonfly“, cuyo propósito específico es atacar centrales eléctricas.

Estas amenazas han hecho que los países más desarrollados hayan tomado en serio las medidas de protección que eviten un desastre en el caso de un ciber-ataque masivo a este tipo de instalaciones.

El gobierno de Estados Unidos, por ejemplo, envió recientemente una orden ejecutiva por la cual se obliga a las redes del estado y de las infraestructuras críticas a utilizar el Marco de Ciber-seguridad del NIST (National Institute of Standards and Technology’s Cybersecurity Framework) que, si bien existe desde hace varios años, hasta el momento de la orden ejecutiva, su aplicación era voluntaria.

Uno de los resultados de esta escalada hizo que por ejemplo, algunas organizaciones que se dedican a la generación y distribución de energía eléctrica para millones de usuarios en Estados Unidos, cambiaran sus estrategias de ciberdefensa de reactivas a proactivas. Esto lo hicieron instalando miles de sensores en diferentes niveles de la arquitectura, recolectando datos de todos ellos y explotando esa Big Data de modo de prever posibles ataques a partir de comportamientos anómalos antes de que ocurran, y estar preparados para defenderse.

Y otra vez, como en varias de las notas anteriores, nos toca preguntarnos: ¿y por casa? ¿Cómo está la situación? Nuestras empresas generadoras y distribuidoras de energía eléctrica, ¿están adoptando las medidas necesarias para prevenir ataques de estas características? ¿Estamos siquiera en la etapa de estrategia reactiva, o todavía ni siquiera empezamos?

Las herramientas, tanto metodológicas, como normativas y técnicas están disponibles. Sólo falta tomar conciencia y darse cuenta de la situación en la que estamos junto con el resto del mundo, y empezar a trabajar.

El botín más preciado

by Carlos Benitez | Mar 5, 2018 | Actualidad, Argentina, CiberDefensa, CiberSeguridad, Hackers, Health Records, Noticias, Ransomware, Salud, Seguridad de la Información, Tecnologías

Si al lector descuidado se le preguntara qué clase de información cree que es la más apreciada como objeto de robo por parte de los ciber-delincuentes, probablemente responda: “los datos de cuentas bancarias o tarjetas de crédito”. Nada más alejado de la realidad.

La suma de contra-medidas con los que cuentan hoy en día los sistemas bancarios y los de las tarjetas de crédito (o al menos algunos de ellos), hacen que la posibilidad de sacar rédito a esta información no sea tan fácil. Por este motivo, el robo de esta información a sitios donde existen bases de datos inmensas con datos de clientes se hace, pero no es tan atractivo. Casos famosos como los de Equifax en su incidente inicial y en su reciente descubrimiento lo demuestran.

Sin embargo, el botín más preciado hoy en día no son los datos de las tarjetas de crédito sino la información de registros médicos de las personas. En la actualidad se está utilizando, en particular en Estados Unidos, el denominado EHR (Electronic Health Record o Registro de Salud Electrónico) o EMR (Electronic Medical Record oRegistro Médico Electónico). Esta información permite a los médicos contar con información médica actualizada, verificada, ordenada y completa de los pacientes que les permite brindar un mucho mejor servicio.

Más aún, muchos de los hospitales, las clínicas, los laboratorios, los centros de diagnóstico en el mundo cuentan con tecnología muy avanzada para el cuidado de la salud y el diagnóstico. Los sistemas son cada vez más complejos y están cada vez más conectados por lo que utilizan toda esta información de los pacientes que está almacenada en múltiples bases de datos, y circulan por múltiples redes.

Pero esta información tan rica y tan útil para pacientes y médicos, también lo es para los ciber-delincuentes. Para ellos, poder obtener información sensible de la salud de la población, saber su información demográfica, nombre, información histórica del lugar donde vive, lugares de trabajo, nombres y edades de los parientes, historial médico; incluidas las visitas a los médicos y los diferentes diagnósticos recibidos incluyendo: cáncer, enfermedades de transmisión sexual, enfermedades psiquiátricas o enfermedades raras que requieren tratamientos carísimos, son de altísimo valor en el mercado negro.

Tanto es así, que el valor que se paga por un registro médico robado, puede variar de entre 400 a 4.000 veces el valor de un registro de un número de una tarjeta de crédito.

Al contrario que los casos de robos de datos de tarjetas de crédito, los casos de robo de registros médicos se multiplican en forma constante. Los más famosos, por mencionar algunos, son: 26 millones de registros robados al sistema de salud de Inglaterra NHS en marzo de 2017; 3.3 millones de datos a la empresa de tarjetas de identificación médica Newkirk Products, Inc; 3.7 millones de datos robados a la empresa de salud Banner Health enagosto de 2016; 4 millones de registros robados a la empresa Advocate Health Care Network, que maneja 12 hospitales y más de 200 centros de tratamiento en Estados Unidos; y la lista sigue.

Y aquí se presenta una combinación mortal de tres factores: 1) el enorme valor que tiene esta información en el mercado negro; 2) las pobres medidas de seguridad que suelen aplicarse en los hospitales, centros de salud y de diagnóstico y tratamiento; y 3) las vulnerabilidades intrínsecas que posee el equipamiento médico de última generación.

Sobre el tercer punto en particular, cabe mencionar que existe gran cantidad de reportes e informes que demuestran lo peligroso de estas vulnerabilidades. Este reporte, realizado en 50 centros de salud de Estados Unidos durante 2017, menciona que el 51% de los dispositivos vulnerables a ataques corresponden a sistemas de imágenes médicas. Teniendo en cuenta además, que cerca del 20% de los dispositivos electrónicos instalados corresponden a sistemas de imágenes, la superficie de ataque se vuelve inmensa y la probabilidad de ser blanco de ataques, altísima.
El mismo informe menciona además, que la mayor parte de las fallas técnicas de seguridad corresponde a tener los sistemas operativos desactualizados, utilizar contraseñas o sistemas de autenticación débiles. Pero hay otra falla muy importante; del total de problemas de seguridad descubiertos, el 41% corresponde a errores o prácticas débiles por parte de los usuarios. Estas prácticas consisten en que los usuarios tienen la posibilidad (y lo hacen) de instalar aplicaciones inseguras en los equipos que manejan dispositivos médicos, y hasta navegar por Internet! De esta forma abren la puerta a que un sitio malicioso o infectado, descargue malware en el equipamiento médico y lo infecte. Otra vez el eslabón más débil de la cadena: el usuario que no posee la conciencia suficiente de los peligros en el ciber-espacio.

Tan grave es la situación, que el departamento de salud de Estados Unidos creó el ‘US Department of Health and Human Services “Wall of Shame” donde todas las instituciones de salud del país están obligadas a reportar cualquier ciber-incidente de seguridad que haya afectado la privacidad de por lo menos 500 registros de datos de salud.

Más allá del valor que posee cada registro en el mercado negro, la pérdida o difusión de esta información tiene un costo económico. De acuerdo al Instituto Ponemon (página 13 del informe) el costo de cada registro perdido en el año 2017 fue de U$S 380. Le dejo al lector la tarea de multiplicar ese número por la cantidad de registros robados en los casos mencionados más arriba.

Y esto se produce aún a pesar de los enormes esfuerzos que se están haciendo para evitar este daño. Por ejemplo, en Estados Unidos en particular, existe desde el año 1996 una ley cuyo objetivo es el de proteger los datos médicos de los pacientes, la ley se denomina HIPAA (Health Insurance Portability and Accountability Act) que deben cumplir todos los centros y profesionales de la salud.

Del mismo modo en que nos preguntamos en notas anteriores, nos volvemos a preguntar: ¿Qué queda para nosotros de este lado del mundo?

Hoy en día la tecnología de diagnóstico y tratamiento médico está cada vez más avanzada y, por otro lado, la posibilidad de importar equipamiento se ha facilitado enormemente en los últimos años. Estamos importando equipamiento cada vez más complejo, que se conecta necesariamente a las redes almacenando y transmitiendo datos sensibles y confidenciales de la salud o de los pacientes. Esto nos sirve para facilitarle la vida a pacientes y médicos brindándoles información online de los diagnósticos. Estamos además, cumpliendo muy bien con el medio ambiente reduciendo enormemente la impresión de resultados de diagnósticos.
Sin embargo, ¿estamos protegiendo esos datos de la forma que deberíamos? ¿Las tecnologías de diagnóstico y tratamiento son las mismas que están siendo utilizadas y atacadas en los países donde se desarrollan, pero las medidas de ciber-seguridad son las mismas? Y las medidas de concientización a los usuarios (médicos, técnicos, profesionales) sobre el uso de estas tecnologías, ¿son las adecuadas?

¿Qué pasaría si se robaran en nuestro país datos confidenciales de salud de cientos de miles de pacientes? ¿Qué pasaría si un ransomware (como por ejemplo Wannacry) cifrara todos los datos de un base de datos de un hospital y los datos de pacientes en riesgo, por ejemplo, se volvieran inaccesibles?

La tecnología abre las puertas a mundos fascinantes y fabulosos que nos ayudan a mejorar nuestra vida y, en este caso, no sólo a mantenernos comunicados sino a tratar vincularse con nuestra salud. Pero esta misma tecnología tiene sus peligros y sus responsables deberían tratarlos de forma seria y responsable para que no haya fallas de seguridad y se pueda utilizar de forma confiable.

Otra vez los Juegos

by Carlos Benitez | Feb 23, 2018 | Actualidad, Argentina, CiberDefensa, CiberSeguridad, Fraud, Hackers, Juegos Olimpicos, Khutech, Noticias, Rusia 2018, Seguridad de la Información, Tecnologías, Vulnerabilidades

Existe una extraña tendencia histórica, que muestra que cada vez que se produce un evento deportivo mundial de gran magnitud, las redes, las aplicaciones, los sitios relacionados con el evento, son blancos de ciber-ataques.

Hace años que sucede esto y en algunos casos hasta ha tenido consecuencias positivas. Antes del mundial de fútbol Brasil 2014, se sabía de amenazas a la organización del evento sobre la posibilidad de interrupciones en sus sistemas. Dos años más tarde, lo mismo sucedía con los juegosolímpicos de Rio 2016.

Como consecuencia de estas amenazas, Brasil se preparó tan fuertemente para defenderse que hasta casi significó la creación misma del área de Ciberdefensa, el ComDCiber que hoy está activo, funciona plenamente y sigue invirtiendo en cada vez más en medidas de ciber-protección a nivel nacional.

Esto ocurre desde hace años juego tras juego, por lo que los Juegos Olímpicos de Invierno que se llevan a cabo en este momento en PyeongChang, Corea del Sur tampoco son ajenos. Y esta vez las contramedidas parecen no haber sido suficientes. Durante el mismo momento en que se producía la ceremonia inaugural el pasado 9 de febrero, un grupo hasta ahora no identificado (aunque hay fuentes que aseveran que fueron hackers rusos), bloqueó el acceso a Internet y algunas transmisiones, hizo aterrizar los drones con las cámaras, bajó el sitio web oficial e impidió que los espectadores imprimieran sus reservas. El ataque fue denominado “Olympic Destroyer” y el malware involucrado tenía por objetivo destruir los recursos compartidos de red a los que se tuviera acceso desde el equipo infectado. El malware, al parecer, estaba diseñado para producir el mayor daño en el menor tiempo posible.

Si bien este ataque se produjo el 9 de febrero, comenzó en realidad tiempo antes. En diciembre del año pasado, los miembros de la organización de los Juegos fueron blanco de phishing, cuyo objetivo fue el de obtener información interna de los sistemas asociados a los Juegos para hacer mucho más eficiente el ataque final. Lo interesante de este ataque, fue que esta vez se utilizó un método novedoso en la que se envía adjunto al email falso, un documento de Word que contiene un script malicioso. Lo que realmente llama la atención por su novedad, es que el código malicioso se esconde dentro de los pixels de imágenes adjuntas lo que lo hace indetectable a los antivirus. Es por esto que probablemente muchos de estos ataques hayan sido exitosos y logrando la interrupción de servicios del primer día del evento. Es obvio que fallaron los antivirus por no estar preparados para este tipo de ataques, pero falló algo más; la concientización, los usuarios que a pesar de todos los cursos, charlas y avisos que suponemos tuvieron, abrieron un adjunto de un email falso.

Pero, ¿por qué atacar a los Juegos? Existen varias teorías al respecto así como análisis más serios y profundos que indican que el momento de un evento de estas características posee gran atractivo para convertirlo en blanco de ciber-ataques. A pesar de la organización, la realidad es que, como indica el informe de Berkeley, en estos eventos la ciber-superficie de ataque es infinita. Es imposible mitigar el riesgo de todos los dispositivos interconectados, el volumen, la variedad, la heterogeneidad; la distribución geográfica es tal que los hace incontrolables. Sistemas de puntuación, dispositivos que miden el estado de salud de los competidores, control de entradas, dispositivos de transmisión de los medios de prensa, medios de transporte, sin contar con los sistemas de control propios de los estadios y los dispositivos personales de cada participante, organizador o visitante; todo esto conectado de una forma u otra a la misma red.

Por otra parte, la cantidad de tecnología involucrada en estos eventos no sólo es inmensa, sino que además es crucial para el desarrollo del evento que no podrían realizarse sin ésta. Esto lo vuelve un verdadero desafío para los organizadores que tratan de extremar las medidas de ciber-protección, así como para los atacantes que ven terreno propicio para introducirse en los sistemas del próximo evento y demostrar que las medidas de protección no alcanzan.

Veremos qué pasa en el mundial de Rusia. Y Buenos Aires, ¿cuán preparada está para los Juegos Olímpicos de la Juventud de Octubre, ¿quién ganará la partida?

« Older Entries

Next Entries »