martes, 12 de junio de 2018

Criptominería, Wall Street y hackers II


En la entrega anterior expliqué a grandes rasgos el funcionamiento de Blockchain y la economía alrededor de la minería de criptomonedas. Como indiqué el incentivo financiero es alto, pero también la complejidad matemática de las operaciones.

La demanda por capacidad de cómputo es tan alta que existen centros de cómputo enteros  dedicados a la criptominería. En este caso es mejor utilizar procesadores especializados y no los procesadores genéricos que se encuentran en un procesador personal. Por ejemplo, un procesador I7 de Intel es extremadamente rápido, pero está diseñado para efectuar múltiples tareas muchas disímiles entre si. Un usuario puede simplemente ver videos, otro crear tablas de Excel y la mayoría de empresas usarlo para aplicaciones de oficina. Este uso genérico no lo hace la mejor opción para el procesamiento matemático de alta intensidad de Blockchain.

Existen mejores procesadores para uso intensivo de operaciones matemáticas, y son los procesadores gráficos de empresas como NVIDIA y AMD. Durante muchos años estas empresas han servido un nicho que compra con ansia estos procesadores. Este nicho está conformado principalmente por los usuarios de video juegos, las empresas de la industria de vídeos y cine y en menor grado universidades y otros centros de investigación.

La llegada de la criptominería cambió esta economía y al mismo tiempo ha generado un boom en estas empresas que gozan de altas ventas en sus productos de alta gama.

Por ejemplo, en el 2017 AMD sorprendió a los analistas financieros de Wall Street con sus crecimiento en ventas de sus procesadores gráficos (conocidos como GPU). Mientras que el mercado accionario de Estados Unidos subió un 14% entre 2016 y 2017 (cifra nada despreciable), la acción de AMD subió más del doble durante el mismo periodo.

NVIDIA, líder en este segmento, no se ha quedado atrás y sus ventas durante el 2017 también estuvieron disparadas. De hecho, los distribuidores y ventas mayoristas de partes de cómputo no tienen disponibilidad de tarjetas gráficas. El mercado está sobrevendido y los precios disparados.

Esta época de vacas gordas no durará por siempre y ya hay analistas que prevén un caída en el valor de las acciones de AMD y NVIDIA. Mientras tanto esta bonanza ha causado resentimiento en los clientes tradicionales de tarjetas de vídeo por el inesperado costo de su producto principal.

La situación para estas empresas es paradójica, por un lado sus ventas no paran, pero al mismo tiempo su dependencia de criptominería está en aumento. Como todo buen gerente debe saber, las finanzas sanas no son sinónimo de un mercado volátil que esté al vaivén de las fiebres de clientes que desconoces.

Aunque aún es posible que un pequeño usuario entre a competir en esta minería digital, la barrera de entrada es alta. No solamente está el valor del equipo de cómputo; una tarjeta NVIDIA de alta gama está por encima de los u$1000. Pero el mayor rubro es el costo de la energía. Estos equipos consumen mucha energía y como no siempre la criptominería dará réditos, el operador deberá aumentar su capacidad de cómputo para generar mas bloques que sean aceptados.

Entonces, ¿Qué alternativas existen para bajar los costos? Uno es realizar las operaciones de cómputo en países o regiones donde el costo de la electricidad sea bajo. Otra opción es utilizar capacidad de cómputo disponible y “gratis”. Y es en este escenario que entran los hackers.

Los participantes de la economía de malware tienen una larga experiencia en distribución de software no autorizado que contamina computadores de usuarios inocentes e instalar un programa de criptominería que realice operaciones matemáticas no autorizadas es una tarea simple.

En este caso las víctimas no sufren las nefastas consecuencias del Ransomware. El computador contaminado sigue funcionando, pero mas lentamente. Es incluso posible que el usuario no note la diferencia o culpe al antivirus o a Excel de la lentitud de su equipo. Es tal los réditos económicos que malware de criptominería ha sobrepasado ransomware como el malware mas rentable y popular en el 2018.

martes, 29 de mayo de 2018

Criptominería, Wall Street y hackers I


El advenimiento de criptomonedas como Bitcoin ha creado otro incentivo para hackers y otros cibercriminales. Independiente de las falencias que estas monedas tienen como medio de pago, el rápido ascenso en su valor generó apetito en aquellos que quieran obtener indebidos beneficios financieros.

Pero primero hay que entender como funciona una criptomoneda y la tecnología que la respalda conocida como Blockchain. Al contrario de lo que muchos piensan, Blockchain no es usado exclusivamente para transferencias financieras. Es en realidad un “libro mayor” donde activos fijos de información, tales como títulos bancarios, canciones o datos personales pueden ser almacenados. El mayor atractivo de Blockchain es que no necesita de una autoridad central para verificar o realizar una transacción.

Para entenderlo mejor, pongamos el caso de una transacción bancaria. Cuando se hace una transferencia de fondos entre cuentas, existe una entidad central que verifica la identidad de las partes envueltas. Solo así un usuario puede estar seguro que su dinero será consignado al cuentahabiente de otro banco. En la mayoría de los países esta autoridad central es el emisor nacional o banco central. A nivel internacional, estas entidades centrales se reconocen mutuamente. Esta confianza en el sistema bancario es fundamental para el comercio internacional y podría decirse que la viabilidad del sistema financiero se basa en la confianza que se deposita en los diversos gobiernos nacionales y sus bancos centrales (En realidad no todos los bancos centrales gozan de la misma confianza, pero esa es otra historia).

En el caso de Blockchain no habría necesidad de usar una entidad central para realizar una transacción y reconocerla como válida. Como su nombre en inglés lo indica, Blockchain es una cadena de bloques donde cada bloque contiene una pieza de información. Si volvemos al caso de la transacción financiera, la cadena de bloques puede tener la información de las transacciones de una cuenta específica y su saldo remanente. Para tener una nueva transacción, digamos una compra, deberá haber un nuevo bloque que se unirá a la cadena indicando el pago.

Como puede deducirse, esta cadena de bloques es independiente de cualquier entidad central. Los bloques son en realidad datos que estarán almacenados en la “red” de computadores que estén participando en Blockchain. Estos datos están encriptados y por lo tanto protegidos.

Esta arquitectura distribuida tiene ventajas desde el punto de vista de recuperación de desastre porque la cadena no está almacenada en un solo equipo o entidad. Si un computador en la red falla, habrá muchos otros que tengan la misma información. Sin embargo, esta arquitectura presenta una amenaza para las entidades que viven de cobros a transacciones financieras. Como no hay necesidad de intermediarios bancarios, las partes envueltas en una transacción pueden hacerlo directa y privadamente. Obviamente esta total privacidad es un beneficio para aquellos envueltos en actividades criminales.  El uso de bloques de datos enlazados en una cadena es lo que criptomonedas como bitcoin utilizan. Y cada bloque nuevo es una nueva transacción financiera.

Alguien preguntará ¿Cuál es el beneficio de participar en la cadena de bloques BlockChain? Al no existir una entidad central, alguien tiene que generar ese nuevo bloque de información que valida la transacción de nuestro ejemplo. Para generar un nuevo bloque es necesario manipular matemáticamente la cadena de bloques. Dada la complejidad matemática de estas operaciones, es necesario usar computadores poderosos. Esa operación de generación de nuevos bloques (realmente el hash) es lo que es conocido como minería de criptomonedas. Como bitcoin es la criptomoneda más popular el término más común es “minería de bitcoins”.

El primero que genere um nuevo bloque recibe un incentivo financiero en bitcoins (o en la criptomoneda que esté realizando la transacción). La velocidad en la generación de nuevos bloques es directamente proporcional a la potencia de cómputo y por lo tanto quien tenga el computador más poderoso y rápido resolverá mas operaciones matemáticas. Obviamente entre más bloques resuelva un participante más bitcoins recibe. En otras palabras, hay un fuerte incentivo financiero para realizar minería de criptomonedas.

Esta minería incentiva la demanda de alta capacidad de procesamiento que ha afectado el mercado bursátil de Wall Street, a los entusiastas de videojuegos, las finanzas de muchas empresas y generado apetito en muchos hackers.

jueves, 26 de abril de 2018

El uso indiscriminado del Internet de las cosas


La progresiva miniaturización de diversos dispositivos electrónicos ha sido constante en las últimas décadas. Algunos recordamos aquellos tiempos en que debíamos sentarnos y esperar que el gran televisor se calentara para poder ver nuestro programa favorito. Hoy gozamos del beneficio de tener en la palma de la mano una videoteca casi infinita.

Y en ese proceso continuo de miniaturización podemos tener sensores como Fitbit que miden la calidad de nuestro ejercicio y cantidad de nuestro sueño, vídeo cámaras que nos permiten observar nuestra mascota y estaciones meteorológicas  de relativo bajo precio que nos mantiene actualizados sobre el clima.

Son muchos los beneficios que promete la conectividad de todos estos dispositivos que es conocida como el Internet de las cosas. Sin embargo, el Internet de las cosas aún está en su infancia. La prueba es el abuso por parte de adversarios o actores malintencionados de estos dispositivos.

Expertos del área en ciberseguridad han observado un creciente uso de botnets que automatizan la explotación de redes de datos. Estos ataques hacen uso de un enjambre de dispositivos comprometidos que no se limitan a negar servicios sino también realizan tareas de exploración, descubrimiento de sistemas de información y barrido de puertos TCP/IP.

Aunque estos dispositivos no son tan poderosos como un computador personal, una multitud de miles o cientos de miles de dispositivos permiten a los atacantes gozar de economías de escala que automatizan las primeras etapas de un ataque. Solo cuando el proceso obtiene control de un sistema, es que un ente humano empieza a interactuar con el sistema comprometido.

Este nuevo acercamiento presenta retos para la comunidad de ciberseguridad y para todas las organizaciones y personas naturales. Las tácticas y equipos tradicionales de defensa pueden verse sobrepasados por ataques realizados por dispositivos del Internet de las cosas.

El uso de enjambres tiene potencialidades mas allá de ciberataques. Analistas militares miran con preocupación como estas tácticas pueden dejar sin servicio a equipos sofisticados y costosos de defensa. Por ejemplo, un alto número de drones de muy bajo costo podría deshabilitar una fragata de la armada de un país y dejarla inoperativa completamente.

La nueva realidad no solo requiere una nueva mirada al diseño de la arquitectura que protege la información de una organización sino también estudiar con detenimiento como estos actores maliciosos explotan estos dispositivos de la era moderna.

martes, 20 de marzo de 2018

No siempre es un hacker quien causa la pérdida de confidencialidad


Los ataques de ransomware son tan comunes y hay tanta prensa alrededor de vulnerabilidades como Meltdown, que a veces se pierde de vista que pueden existir otras causas que ocasionen pérdida de datos.

Un ejemplo es el caso del operador de seguros Triple-S en Puerto Rico. Esta empresa notificó a cerca de 36.000 usuarios de la pérdida de confidencialidad en la información debido al envío de correo a direcciones equivocadas. Usualmente los balances médicos pueden contener información acerca del número de cuenta, muy útil a la hora de configurar el usuario en línea, y otra información personal acerca de las dolencias médicas que puedan al recipiente legítimo.

Triple-S ha indicado que ha revisado sus procesos de manejo de correo y corregido las fallas que permitieron este error. Sin embargo, no es la primera vez que Triple-S se ve envuelta en este tipo de problemas. Anteriormente en el 2015 el regulador médico ya le había impuesto cuantiosas multas por sus descuidada administración y malas prácticas de seguridad informática.

Como he hecho notar en similares casos, esta información solo es sabida por las estrictas regulaciones existentes en los Estados Unidos y Europa que exigen que se haga público cuando los datos de usuarios son capturados por hackers o simplemente llegan a la persona equivocada. Como es bien sabido, Puerto Rico debe cumplir la legislación norteamericana y por eso hemos sabido del caso Triple-S.

Mientras tanto el resto de usuarios latinoamericanos tenemos que contentarnos con la oscura respuesta “por motivos de seguridad”. Esta falta de transparencia y el atraso latinoamericano en este campo y la ausencia de transparencia nos impide saber si la entidad donde depositamos nuestro dinero o tiene nuestra historia médica falla en su responsabilidad como garante de nuestra privacidad.

martes, 13 de marzo de 2018

El regreso de un viejo conocido. Medidas para defenderse de un DoS


Las noticias sobre el ataque a Github han dado la vuelta alrededor del mundo y ya es sabido que es el mayor ataque realizado hasta ahora. Vale la pena recordar que estos ataques siguen aumentando en capacidad e intensidad.

Pero esto no es nuevo, ya el año 2016 presenció severos ataques contra proveedores de servicio DNS y el conocido periodista del blog KrebsonSecurity. El común denominador de estos ataques fue una capacidad inusitada en el ancho de banda utilizado. Ya no son raros los ataques de 400 Gbs o más.

En la entrega anterior expliqué brevemente como se desarrolla un ataque DoS. La fórmula conocida, pero a veces opacada por su primo ransomware, nos recuerda lo fácil de estos ataques y la magnificación posible por el abuso de dispositivos del Internet de las cosas. Pero a veces los ataques son prevenibles.

En el caso particular de Github, los atacantes aprovecharon una mala configuración que es común en administración de sistemas de información. El software en cuestión, que permite un mejor aprovechamiento de memoria, usa un puerto UDP que estaba expuesto externamente. En otras palabras, el software no tenía todos sus puertos lógicos protegidos por un firewall.

Muchos sistemas de información presentan debilidades porque su configuración simplemente no se ha terminado. A veces esto se debe a el afán, ignorancia o simple desdén burocrático. Sea cual sea la razón, el resultado es la presencia de vulnerabilidades que pueden ser fácilmente prevenidas.

En inglés se utiliza la palabra “hardening” para indicar que una vez un sistema es instalado se debe seguir un proceso de configuración para proteger el mismo sistema.

Algunas buenas prácticas incluyen deshabilitar o proteger puertos TCP o UDP, cambiar las claves del usuario administrador, verificar que el usuario común no tenga capacidades de administración, etc.

¿Cómo asegurar que un departamento de informática siga estas prácticas? La respuesta, como todo en este ramo, depende de la madurez del departamento y el entendimiento del riesgo al que la organización está expuesta. Documentar y poner en práctica procesos es difícil, y aunque no es tan llamativo como comprar y aprender nueva tecnología es vital para la protección de información.

Otras prácticas que ayudan incluyen la regularidad en el uso de escáneres de vulnerabilidades y servicios de pentest. Finalmente, es el apoyo de la alta administración de una empresa la que permite que estas buenas prácticas se den. De poco sirve tener un informe pentest si sus recomendaciones no se siguen.

Así como esperamos que un banco proteja nuestro dinero, las empresas que manejan nuestra información también tienen un deber con sus usuarios y clientes. Ya me he referido en varias oportunidades a la responsabilidad compartida de las empresas que son víctimas de ataques informáticos.

El ataque a Github nos recuerda una vez más que los adversarios y otros delincuentes del ciberespacio siempre aprovecharán cualquier descuido de su personal técnico.


lunes, 5 de marzo de 2018

El regreso de un viejo conocido


Si hubiera un concurso de popularidad para malware sin duda ransomware se llevaría el primer lugar. Un rápido atisbo de las noticias e incluso algunas de mis entradas a este blog muestran que este mal ocupa el tiempo de los profesionales de seguridad informática.

Sin embargo, siempre hay otros tipos de ataques igualmente severos y sería peligroso desestimar esta realidad. Un vector conocido, pero a veces relegado son los ataques de negación de servicio o DoS (Denial of Service por sus siglas en inglés). Como su nombre lo indica, DoS simplemente niega el acceso a un servicio en particular.

Hoy en día el servicio más común es un sitio web, pero un ataque DoS se puede dar contra un servidor de correo o sistemas de administración. Al final el resultado es que el usuario legítimo no puede acceder los servicios que necesita.

Desafortunadamente para nuestra profesión realizar un ataque DoS es relativamente sencillo. Este hecho se da porque existe el fenómeno de amplificación. En términos generales amplificación funciona de esta manera: el adversario envía datos a dispositivos en Internet que previamente ha identificado con la dirección IP de origen de la víctima y estos realizan el ataque.

¿Cómo es posible personificar a una víctima? En el mundo de redes esto es conocido como IP spoofing. Herramientas de libre distribución como Scapy permiten construir un paquete TCP/IP con los atributos y valores que uno quiera. Uno de esos atributos es la dirección IP y quien construye el paquete TCP/IP puede usar cualquier dirección de origen, en este caso la dirección IP del sistema a atacar.

Otra característica común es que el paquete original enviado es relativamente pequeño y su tamaño es de solo unos bytes. Una vez se envía este paquete a una multitud de destinos con una sola dirección falsa de origen (la de la víctima), estos destinatarios responderán a la víctima y no a quien originó el ataque.

Además, estos paquetes de datos contienen algún error o tipo de datos que obliga al dispositivo que lo recibe a responder con un paquete de datos más grande (debe recordarse que el dispositivo no responderá al atacante sino a la víctima).

El sistema víctima entonces recibe cientos o miles de paquetes de gran tamaño que consume recursos de procesador o memoria. Luego, el sistema víctima tratará de responder a los dispositivos que le enviaron datos y estos a su vez responderán con un paquete más grande. Este círculo vicioso continua hasta que el sistema no es capaz de responder o el ancho de banda utilizado es tan grande que simplemente no hay más acceso a Internet.

Capturar o identificar un alto número de destinatarios es hoy posible por la omnipresencia del llamado Internet de las Cosas (Internet of Things, IoT). Las cámaras de vídeo vigilancia como Ring o Blink  son de relativo bajo costo y hoy miles de hogares tienen sistemas de este tipo, pero a veces conectados directamente a Internet. Son este tipo de dispositivos que los atacantes han identificado previamente y magnifican la capacidad del atacante.

Dada estas características, un ataque DoS no requiere sistemas sofisticados ni poderosos y para empeorar la víctima nunca sabrá quién le atacó. En una próxima entrega esta breve descripción de un ataque DoS servirá para explicar el ataque contraGithub que sucedió el primero de marzo.

martes, 20 de febrero de 2018

Otro ataque devastador


No había terminado el primer mes del 2018 y ya se anuncia un ataque severo que posiblemente afecte a la mitad de la población de Noruega. La autoridad regional de salud del país nórdico hizo público que fue víctima de un ataque sofisticado que expuso los datos de cerca de 3 millones de usuarios.

El ataque fue descubierto por HelseCert, el equipo de incidencia de Noruega, que informó a la entidad afectada. Desafortunadamente, la autoridad regional tomó varios días antes de hacer público el hallazgo. Esta demora va en contravía de las nuevas normas europeas (conocida como General Data Protection Regulation o GDPR) que demandan que ataques contra datos deben hacerse públicos en menos de 72 horas.

Al parecer los atacantes tenían un buen arsenal a su disposición lo que puede indicar un actor poderoso. La pérdida de tantos datos es un fuerte golpe a los ciudadanos de ese país y no hay duda que los delincuentes harán uso de esa mina de información.

Aunque los detalles técnicos son escasos, en lo personal dudo de prontas afirmaciones que achacan la autoría a “actores poderosos”. El análisis digital forense toma tiempo y los profesionales de seguridad son muy cautos al señalar autorías. Dado el impacto político de este ataque, no sería raro que los oficiales de la entidad afectada usen esta común excusa para clamar impotencia.

Ya he escrito anteriormente acerca de la responsabilidad compartida que los ejecutivos de empresas y organizaciones víctimas tienen como garantes de la protección de la información de ciudadanos y clientes. Que haya sido una tercera entidad la que descubrió el ataque (hecho nada inusual) podría indicar pobreza en las prácticas de seguridad informática de la entidad afectada.

Un hecho a resaltar es la normatividad europea, GDPR. Es exigente y acorde a los nuevos tiempos. Muy contraria a la situation latinoamericana donde los medios no están obligados a hacer público que entidades sufren ataques de hackers y la legislación existente es débil o inexistente. Los ciudadanos de países latinoamericanos están totalmente desamparados en estos casos y desconocen casi por completo que sucede con su información privada.