El uso indiscriminado del Internet de las cosas

La progresiva miniaturización de diversos dispositivos electrónicos ha sido constante en las últimas décadas. Algunos recordamos aquellos tiempos en que debíamos sentarnos y esperar que el gran televisor se calentara para poder ver nuestro programa favorito. Hoy gozamos del beneficio de tener en la palma de la mano una videoteca casi infinita.

Y en ese proceso continuo de miniaturización podemos tener sensores como Fitbit que miden la calidad de nuestro ejercicio y cantidad de nuestro sueño, vídeo cámaras que nos permiten observar nuestra mascota y estaciones meteorológicas  de relativo bajo precio que nos mantiene actualizados sobre el clima.

Son muchos los beneficios que promete la conectividad de todos estos dispositivos que es conocida como el Internet de las cosas. Sin embargo, el Internet de las cosas aún está en su infancia. La prueba es el abuso por parte de adversarios o actores malintencionados de estos dispositivos.

Expertos del área en ciberseguridad han observado un creciente uso de botnets que automatizan la explotación de redes de datos. Estos ataques hacen uso de un enjambre de dispositivos comprometidos que no se limitan a negar servicios sino también realizan tareas de exploración, descubrimiento de sistemas de información y barrido de puertos TCP/IP.

Aunque estos dispositivos no son tan poderosos como un computador personal, una multitud de miles o cientos de miles de dispositivos permiten a los atacantes gozar de economías de escala que automatizan las primeras etapas de un ataque. Solo cuando el proceso obtiene control de un sistema, es que un ente humano empieza a interactuar con el sistema comprometido.

Este nuevo acercamiento presenta retos para la comunidad de ciberseguridad y para todas las organizaciones y personas naturales. Las tácticas y equipos tradicionales de defensa pueden verse sobrepasados por ataques realizados por dispositivos del Internet de las cosas.

El uso de enjambres tiene potencialidades mas allá de ciberataques. Analistas militares miran con preocupación como estas tácticas pueden dejar sin servicio a equipos sofisticados y costosos de defensa. Por ejemplo, un alto número de drones de muy bajo costo podría deshabilitar una fragata de la armada de un país y dejarla inoperativa completamente.

La nueva realidad no solo requiere una nueva mirada al diseño de la arquitectura que protege la información de una organización sino también estudiar con detenimiento como estos actores maliciosos explotan estos dispositivos de la era moderna.

No siempre es un hacker quien causa la pérdida de confidencialidad

Los ataques de ransomware son tan comunes y hay tanta prensa alrededor de vulnerabilidades como Meltdown, que a veces se pierde de vista que pueden existir otras causas que ocasionen pérdida de datos.

Un ejemplo es el caso del operador de seguros Triple-S en Puerto Rico. Esta empresa notificó a cerca de 36.000 usuarios de la pérdida de confidencialidad en la información debido al envío de correo a direcciones equivocadas. Usualmente los balances médicos pueden contener información acerca del número de cuenta, muy útil a la hora de configurar el usuario en línea, y otra información personal acerca de las dolencias médicas que puedan al recipiente legítimo.

Triple-S ha indicado que ha revisado sus procesos de manejo de correo y corregido las fallas que permitieron este error. Sin embargo, no es la primera vez que Triple-S se ve envuelta en este tipo de problemas. Anteriormente en el 2015 el regulador médico ya le había impuesto cuantiosas multas por sus descuidada administración y malas prácticas de seguridad informática.

Como he hecho notar en similares casos, esta información solo es sabida por las estrictas regulaciones existentes en los Estados Unidos y Europa que exigen que se haga público cuando los datos de usuarios son capturados por hackers o simplemente llegan a la persona equivocada. Como es bien sabido, Puerto Rico debe cumplir la legislación norteamericana y por eso hemos sabido del caso Triple-S.

Mientras tanto el resto de usuarios latinoamericanos tenemos que contentarnos con la oscura respuesta “por motivos de seguridad”. Esta falta de transparencia y el atraso latinoamericano en este campo y la ausencia de transparencia nos impide saber si la entidad donde depositamos nuestro dinero o tiene nuestra historia médica falla en su responsabilidad como garante de nuestra privacidad.

El regreso de un viejo conocido. Medidas para defenderse de un DoS

Las noticias sobre el ataque a Github han dado la vuelta alrededor del mundo y ya es sabido que es el mayor ataque realizado hasta ahora. Vale la pena recordar que estos ataques siguen aumentando en capacidad e intensidad.

Pero esto no es nuevo, ya el año 2016 presenció severos ataques contra proveedores de servicio DNS y el conocido periodista del blog KrebsonSecurity. El común denominador de estos ataques fue una capacidad inusitada en el ancho de banda utilizado. Ya no son raros los ataques de 400 Gbs o más.

En la entrega anterior expliqué brevemente como se desarrolla un ataque DoS. La fórmula conocida, pero a veces opacada por su primo ransomware, nos recuerda lo fácil de estos ataques y la magnificación posible por el abuso de dispositivos del Internet de las cosas. Pero a veces los ataques son prevenibles.

En el caso particular de Github, los atacantes aprovecharon una mala configuración que es común en administración de sistemas de información. El software en cuestión, que permite un mejor aprovechamiento de memoria, usa un puerto UDP que estaba expuesto externamente. En otras palabras, el software no tenía todos sus puertos lógicos protegidos por un firewall.

Muchos sistemas de información presentan debilidades porque su configuración simplemente no se ha terminado. A veces esto se debe a el afán, ignorancia o simple desdén burocrático. Sea cual sea la razón, el resultado es la presencia de vulnerabilidades que pueden ser fácilmente prevenidas.

En inglés se utiliza la palabra “hardening” para indicar que una vez un sistema es instalado se debe seguir un proceso de configuración para proteger el mismo sistema.

Algunas buenas prácticas incluyen deshabilitar o proteger puertos TCP o UDP, cambiar las claves del usuario administrador, verificar que el usuario común no tenga capacidades de administración, etc.

¿Cómo asegurar que un departamento de informática siga estas prácticas? La respuesta, como todo en este ramo, depende de la madurez del departamento y el entendimiento del riesgo al que la organización está expuesta. Documentar y poner en práctica procesos es difícil, y aunque no es tan llamativo como comprar y aprender nueva tecnología es vital para la protección de información.

Otras prácticas que ayudan incluyen la regularidad en el uso de escáneres de vulnerabilidades y servicios de pentest. Finalmente, es el apoyo de la alta administración de una empresa la que permite que estas buenas prácticas se den. De poco sirve tener un informe pentest si sus recomendaciones no se siguen.

Así como esperamos que un banco proteja nuestro dinero, las empresas que manejan nuestra información también tienen un deber con sus usuarios y clientes. Ya me he referido en varias oportunidades a la responsabilidad compartida de las empresas que son víctimas de ataques informáticos.

El ataque a Github nos recuerda una vez más que los adversarios y otros delincuentes del ciberespacio siempre aprovecharán cualquier descuido de su personal técnico.

El regreso de un viejo conocido

Si hubiera un concurso de popularidad para malware sin duda ransomware se llevaría el primer lugar. Un rápido atisbo de las noticias e incluso algunas de mis entradas a este blog muestran que este mal ocupa el tiempo de los profesionales de seguridad informática.

Sin embargo, siempre hay otros tipos de ataques igualmente severos y sería peligroso desestimar esta realidad. Un vector conocido, pero a veces relegado son los ataques de negación de servicio o DoS (Denial of Service por sus siglas en inglés). Como su nombre lo indica, DoS simplemente niega el acceso a un servicio en particular.

Hoy en día el servicio más común es un sitio web, pero un ataque DoS se puede dar contra un servidor de correo o sistemas de administración. Al final el resultado es que el usuario legítimo no puede acceder los servicios que necesita.

Desafortunadamente para nuestra profesión realizar un ataque DoS es relativamente sencillo. Este hecho se da porque existe el fenómeno de amplificación. En términos generales amplificación funciona de esta manera: el adversario envía datos a dispositivos en Internet que previamente ha identificado con la dirección IP de origen de la víctima y estos realizan el ataque.

¿Cómo es posible personificar a una víctima? En el mundo de redes esto es conocido como IP spoofing. Herramientas de libre distribución como Scapy permiten construir un paquete TCP/IP con los atributos y valores que uno quiera. Uno de esos atributos es la dirección IP y quien construye el paquete TCP/IP puede usar cualquier dirección de origen, en este caso la dirección IP del sistema a atacar.

Otra característica común es que el paquete original enviado es relativamente pequeño y su tamaño es de solo unos bytes. Una vez se envía este paquete a una multitud de destinos con una sola dirección falsa de origen (la de la víctima), estos destinatarios responderán a la víctima y no a quien originó el ataque.

Además, estos paquetes de datos contienen algún error o tipo de datos que obliga al dispositivo que lo recibe a responder con un paquete de datos más grande (debe recordarse que el dispositivo no responderá al atacante sino a la víctima).

El sistema víctima entonces recibe cientos o miles de paquetes de gran tamaño que consume recursos de procesador o memoria. Luego, el sistema víctima tratará de responder a los dispositivos que le enviaron datos y estos a su vez responderán con un paquete más grande. Este círculo vicioso continua hasta que el sistema no es capaz de responder o el ancho de banda utilizado es tan grande que simplemente no hay más acceso a Internet.

Capturar o identificar un alto número de destinatarios es hoy posible por la omnipresencia del llamado Internet de las Cosas (Internet of Things, IoT). Las cámaras de vídeo vigilancia como Ring o Blink  son de relativo bajo costo y hoy miles de hogares tienen sistemas de este tipo, pero a veces conectados directamente a Internet. Son este tipo de dispositivos que los atacantes han identificado previamente y magnifican la capacidad del atacante.

Dada estas características, un ataque DoS no requiere sistemas sofisticados ni poderosos y para empeorar la víctima nunca sabrá quién le atacó. En una próxima entrega esta breve descripción de un ataque DoS servirá para explicar el ataque contraGithub que sucedió el primero de marzo.

Otro ataque devastador

No había terminado el primer mes del 2018 y ya se anuncia un ataque severo que posiblemente afecte a la mitad de la población de Noruega. La autoridad regional de salud del país nórdico hizo público que fue víctima de un ataque sofisticado que expuso los datos de cerca de 3 millones de usuarios.

El ataque fue descubierto por HelseCert, el equipo de incidencia de Noruega, que informó a la entidad afectada. Desafortunadamente, la autoridad regional tomó varios días antes de hacer público el hallazgo. Esta demora va en contravía de las nuevas normas europeas (conocida como General Data Protection Regulation o GDPR) que demandan que ataques contra datos deben hacerse públicos en menos de 72 horas.

Al parecer los atacantes tenían un buen arsenal a su disposición lo que puede indicar un actor poderoso. La pérdida de tantos datos es un fuerte golpe a los ciudadanos de ese país y no hay duda que los delincuentes harán uso de esa mina de información.

Aunque los detalles técnicos son escasos, en lo personal dudo de prontas afirmaciones que achacan la autoría a “actores poderosos”. El análisis digital forense toma tiempo y los profesionales de seguridad son muy cautos al señalar autorías. Dado el impacto político de este ataque, no sería raro que los oficiales de la entidad afectada usen esta común excusa para clamar impotencia.

Ya he escrito anteriormente acerca de la responsabilidad compartida que los ejecutivos de empresas y organizaciones víctimas tienen como garantes de la protección de la información de ciudadanos y clientes. Que haya sido una tercera entidad la que descubrió el ataque (hecho nada inusual) podría indicar pobreza en las prácticas de seguridad informática de la entidad afectada.

Un hecho a resaltar es la normatividad europea, GDPR. Es exigente y acorde a los nuevos tiempos. Muy contraria a la situation latinoamericana donde los medios no están obligados a hacer público que entidades sufren ataques de hackers y la legislación existente es débil o inexistente. Los ciudadanos de países latinoamericanos están totalmente desamparados en estos casos y desconocen casi por completo que sucede con su información privada.

Ataques de Ransomware. Un escalamiento peligroso

Durante el mes de enero tres diferentes ataques a entidades de salud en Estados Unidos demuestran el escalamiento de los ataques ransomware que sin duda se extenderán a entidades de países latinoamericanos.

Estos ataques recientes usan malware común para encriptar grandes cantidades de datos. Hasta ahí nada fuera de lo usual, pero los métodos, las similitudes y variaciones del malware utilizado genera alarma.

Las entidades afectadas, ambos hospitales ubicados en el estado de Indiana, EEUU, sufrieron un ataque con una variante del software ransomware conocido como SamSam. Incluso una de las entidades admitió pagar más de U$40,000 de rescate para recuperar sus datos capturados. Y se desconoce si la segunda entidad afectada también haya pagado rescate por sus datos. No se ha indicado en ninguno de los casos que datos de pacientes hayan sido “secuestrados”.

Una tercera entidad, un proveedor de sistemas en la nube, también anunció que sus sistemas de información fueron contaminados por ransomware. El ataque fue tan severo que la entidad debió desconectar sus centros de cómputos remotos para minimizar la contaminación. Afortunadamente para este proveedor, su equipo de respuesta parece ser experimentado y actuó rápidamente.

Este escalamiento que puede afectar enteros centros de cómputo es ciertamente preocupante. Tal como indiqué hace un tiempo, este es el mayor riesgo del ransomware. Debe recordarse que un ataque de ransomware no se limita a los archivos almacenados localmente en el computador de la víctima, y el malware intentará encriptar todo archivo que se encuentre en un folder local o remoto, que usualmente radica en servidores.

La contaminación de un laptop o varios equipos en una red definitivamente pueden causar interrupciones y dolores de cabeza, pero si los servidores de archivos llegan a ser contaminados la operación puede detenerse completamente. Como estos casos bien demuestran, los servicios al público sufren interrupciones severas y en el caso del sector salud las consecuencias podrían ser mortales.

En el caso particular de estos ataques, al parecer ciertos servicios de administración remota estaban disponibles. Como es bien conocido en el medio de seguridad informática, tener acceso remoto directo a servicios de administración de un sistema como RDP en Windows o similares es una pésima práctica.

La creciente sofisticación de los ataques ransomware obliga que el personal de seguridad informática conozca los datos más críticos de su organización e identifique los posibles vectores de ataque que puedan afectar esos datos.

Pero más allá de la vulnerabilidad específica, la lección es que las organizaciones deben reconsiderar su acercamiento a la protección de los datos de sus clientes y la profesionalización de su personal de seguridad informática. Desafortunadamente, aún hay mucho camino por recorrer en Latinoamérica.

No corras a solucionar Meltdown y Spectre

Como es bien sabido investigadores de varios centros universitarios y del grupo “Parche cero” de Google revelaron en los primeros días del año que microprocesadores modernos sufren de una seria vulnerabilidad que permite acceso a datos no autorizados.

La complejidad de la vulnerabilidad es alta y requiere buenos conocimientos de arquitectura de computadores para entenderla. Por fortuna, algunos medios la han explicado en términos simples. Desafortunadamente, la alta exposición de los medios también ha creado cierto sentimiento de pánico que puede ocasionar problemas sino se analiza las consecuencias de los parches para Meltdown/Spectre.

El título de hoy puede sonar extraño viniendo de un profesional de seguridad informática, pero los reportes del impacto al rendimiento de microprocesadores causados por los parches no paran de circular en la red. En algunos casos el impacto puede ser severo.

La razón de este impacto se debe a como los microprocesadores modernos ejecutan sus tareas, de manera casi paralela y anticipativa (Sin esperar a saber si algunos datos se necesitan o no el procesador ejecuta algunas tareas con anticipación). Para “solucionar” la vulnerabilidad, los parches eliminan o limitan la “ejecución anticipativa”, y esto puede disminuir el rendimiento de los computadores.

De acuerdo a Microsoft, sus parches de seguridad afectan de manera negativa el rendimiento en algunos procesadores.  En los computadores más nuevos y equipos de usuario este puede no ser un problema, pero Microsoft indica que el impacto es perceptible en servidores y esto puede ser un serio problema en muchas aplicaciones. En algunos procesadores, el parche parece generar serios problemas de estabilidad e incluso causa el tan temido pantallazo de la muerte (la muy conocida pantalla azul cuando tu computador no responde para nada).  

El impacto al computador también depende del sistema operativo. Windows 10 parece responder mejor a los parches que Windows 8 y Windows 7. Adicionalmente, algunos antivirus rechazan el parche de seguridad de Microsoft lo cual ha generado una cadena de validación de software no solo a nivel de sistema operativo sino de aplicaciones.

¿Qué hacer entonces? La respuesta, de nuevo, es: los directivos de informática deben analizar la situación y sopesar los pasos a seguir. En otras palabras, deben analizar el riesgo. Cada situación es independiente y cada empresa tendrá diferentes soluciones.

Por ejemplo, si una empresa tiene un centro de llamadas que usa escritorio virtual deberá revisar si usa servidores relativamente nuevos o no. Uso este caso porque un servidor de escritorio virtual (i.e. Citrix) es altamente sensible al rendimiento de sus procesadores y el parche de Microsoft impactaría negativamente la operación. Como la mayoría de centros de llamadas calculan su costo por minuto, una desmejora en la velocidad del servicio tiene impactos financieros fácilmente medibles que no serían bienvenidos por los ejecutivos de la operación.

Si el servidor está protegido y aislado en una zona con listas restrictivas de acceso de usuario y software, el contraargumento (y de nuevo este es un caso hipotético) sería que los controles existentes compensan la falta del parche de seguridad.

¿Qué hacer? Nadie conoce mejor el ambiente informático de una empresa que su propio departamento de sistemas o informática. No existe una receta única sino una solución que depende del ambiente y procesos particulares de una organización.

La mejor respuesta la da el propio Microsoft (la traducción es mía): “…y es por esta razón que se debe ser cuidadoso al evaluar el riesgo de código no seguro en cada instancia de un servidor Windows, y hacer un balance de la seguridad versus el rendimiento de su ambiente”.

Nunca dejes tu laptop solo

Para nosotros los latinoamericanos este parece un consejo de sobra, o eso creemos, porque los amigos de lo ajeno siempre están atentos para tomar ventaja de cualquier descuido. Sin embargo, aquellos familiarizados con técnicas de ingeniería social saben muy bien que puedes tener tu laptop a tu lado y aun así ser víctimas de otros ataques.

La compañía F-Secure anunció que descubrió una vulnerabilidad en el sistema de administración remota de Intel AMT (por sus siglas en inglés Active Management Technology) que permitiría burlar las claves de acceso al BIOS de un laptop e instalar un backdoor. Los procesadores con Intel V-Pro y algunos Xeon parecen ser los más susceptibles a esta vulnerabilidad.

De acuerdo a F-Secure, esta vulnerabilidad no está relacionada con Meltdown/Spectre. Aunque la vulnerabilidad requiere acceso físico al laptop, la rapidez con que se puede realizar el ataque es preocupante. Un ataque de ingeniería social puede distraer a la víctima momentáneamente mientras un segundo sujeto compromete al equipo. Ejemplos donde esta situación puede suceder incluye los vuelos (¿Quién se roba un laptop en un avión?), conferencias o cualquier Starbucks.

Mientras que una clave en el BIOS de un equipo usualmente previene acceso a su configuración, la clave no previene acceso desautorizado a la configuración de AMT lo que permite al atacante reconfigurar AMT y habilitar explotación remota si la clave no ha sido cambiada (Usualmente los departamentos de sistemas solo cambian la clave de BIOS no la de AMT). Una vez existe acceso a AMT, el atacante puede configurar el laptop para permitir acceso remoto sin el conocimiento de su legítimo dueño. Una condición necesaria para que el acceso remoto funcione es que la víctima y el atacante tienen que estar en la misma red, situación muy frecuente en estos días.

Muchas compañías tienen sus laptops con disco duros encriptados, pero esa defensa no es útil en esta situación porque AMT actúa al nivel del BIOS. Una vez el usuario autorizado se conecta al equipo, el atacante puede observar toda la actividad que realiza el usuario con total desconocimiento del mismo. AMT realiza todas sus comunicaciones vía SSL, y esto previene que los equipos de respuesta a incidentes (SIRT) puedan detectar anomalías en el tráfico.

Al parecer existe un paliativo y es que algunas organizaciones han deshabilitado el servicio Windows LMS por causa de la vulnerabilidad CVE-2017-5698. Aunque AMT necesita de este servicio para la administración remota, no es claro si es posible tomar ventaja de la vulnerabilidad o no sin el servicio.  

¿Qué hacer? Las organizaciones deben evaluar la susceptibilidad de sus laptops a esta vulnerabilidad (hacer un análisis de riesgo ¿recuerdan?) y actuar de acuerdo a las recomendaciones de la evaluación. Realizar cambios en configuraciones del BIOS puede ser una pesadilla logística y tomará un buen tiempo actualizar todos los equipos con configuraciones seguras de AMT (o deshabilitar totalmente la función).

Mientras tanto no dejes tu laptop solo.

Un año difícil

El 2018 apenas inicia, pero las consecuencias y el trabajo a realizar para mitigar vulnerabilidades públicas continua de manera inexorable.

Y no es de sorprender que este sea el caso, el año 2017 fue difícil y los profesionales de seguridad presenciaron el ascenso de ransomware más poderoso y versátil. A principios del 2017 no solo mencioné como el ransomware atacaba y evolucionaba, sino también como los administradores de sistemas de información y los ejecutivos del área comparten la responsabilidad cuando hay fallas en las defensas informáticas.

Los daños causados por ataques en el 2017 fueron tan altos que la BBC calificó el año como el ciber - armagedón. Esta referencia bíblica no es exagerada, fueron muchos las empresas e individuos que sufrieron altas pérdidas económicas causados por hackers y otros delincuentes del mundo virtual. Este costo financiero ya no puede ser considerado un campanazo de alerta sino el anuncio final de la llegada de organizaciones con intereses financieros e ingentes recursos que les permiten atacar a blancos alrededor del mundo.

Como enfrentar esta situación y prevenir o al menos minimizar los daños causados por la explotación de vulnerabilidades no es imposible. Actuar a la loca tolondra y enviar técnicos a solucionar problemas sin antes realizar un juicioso análisis es un uso ineficiente de recursos y tiempo que las organizaciones modernas no tienen el lujo de desperdiciar.

A riesgo de sonar reiterativo, un adecuado análisis de riesgo es el primer paso que las organizaciones y sus ejecutivos deben tomar. Hay mucho en juego, no solo hay pérdida de información sino de trabajos y la preciosa privacidad de muchos ciudadanos que ameritan la profesionalización de la seguridad informática. Esta es la nueva realidad que los ejecutivos deben tener presente si quieren que sus compañías sigan siendo competitivas en el mundo de hoy.