Criptominería, Wall Street y hackers III

En el artículo anterior explico como el malware de criptominería se convierte en la amenaza más seria para los sistemas de información de organizaciones públicas y privadas. Un factor en esta propagación es la facilidad de contaminación. La infección no es solo posible cuando se recibe un archivo por correo electrónico sino con la simple visita a un sitio web contaminado. Esta multiplicidad de métodos de contaminación es obviamente preocupante, en especial cuando el usuario no sospecha que su equipo está infectado.

Dada esta situación, varias entidades gubernamentales han empezado a tomar cartas en el asunto. Ese es el caso de la comisión federal de comercio de Estados Unidos (Federal Trade Comission, FTC) que está empezando a investigar malware de criptominería. En el caso latinoamericano no ha habido mayores pronunciamientos al respecto, pero no sería una sorpresa que haya miles de empresas y usuarios contaminados con este tipo de malware.

Pero la criptominería no solo ha atraído hackers o el interés de gobiernos. También hay otros actores interesados en la alta demanda de cómputo de este mercado. Por ejemplo, fabricantes chinos de circuitos integrados de aplicación específica (ASIC por sus siglas en inglés) han anunciado productos para criptominería.

Vale recordar que un ASIC es un circuito construido para realizar funciones muy específicas. No tiene la versatilidad de un procesador como el Intel I7, pero su costo por capacidad de proceso es muy inferior. En condiciones de mercado normales, empresas como AMD y NVIDIA no competirían directamente con fabricantes ASIC. Pero este anuncio altera el panorama económico de estas empresas.

El gigante tecnológico Apple también medió en el asunto al bloquear aplicaciones móviles de criptominería en su tienda electrónica para proteger a sus usuarios. La razón detrás de esta decisión es el abuso de estas aplicaciones que "chupan" la batería de un celular después de unos cuantos minutos.

Que actores tan disímiles como un jugador de video juegos, bancos centrales y el mercado bursátil de Wall Street sean afectados por Blockchain es un serio indicador de que esta tecnología puede afectar de forma definitiva ciertas actividades económicas y tecnológicas. Esa evolución también explica el ascenso del malware de criptominería que era totalmente desconocido hace unos pocos años.

Durante décadas los profesionales de informática solo tenían que preocuparse por el avance tecnológico y poco les importaba el ascenso de economías no tradicionales. El mercado ilegal de malware ha cambiado para siempre esa realidad.

La prevalencia de malware y sus diversas variantes tiene como denominador común el beneficio financiero. En otras palabras, hoy en día el malware es una actividad económica con grandes incentivos que aprovecha oportunidades disponibles como criptominería.

Como consecuencia, los responsables de sistemas de información deben ser conscientes que muchos de sus dolores de cabezas los causarán actores bien financiados y con alta iniciativa.

Criptominería, Wall Street y hackers II

En la entrega anterior expliqué a grandes rasgos el funcionamiento de Blockchain y la economía alrededor de la minería de criptomonedas. Como indiqué el incentivo financiero es alto, pero también la complejidad matemática de las operaciones.

La demanda por capacidad de cómputo es tan alta que existen centros de cómputo enteros  dedicados a la criptominería. En este caso es mejor utilizar procesadores especializados y no los procesadores genéricos que se encuentran en un procesador personal. Por ejemplo, un procesador I7 de Intel es extremadamente rápido, pero está diseñado para efectuar múltiples tareas muchas disímiles entre si. Un usuario puede simplemente ver videos, otro crear tablas de Excel y la mayoría de empresas usarlo para aplicaciones de oficina. Este uso genérico no lo hace la mejor opción para el procesamiento matemático de alta intensidad de Blockchain.

Existen mejores procesadores para uso intensivo de operaciones matemáticas, y son los procesadores gráficos de empresas como NVIDIA y AMD. Durante muchos años estas empresas han servido un nicho que compra con ansia estos procesadores. Este nicho está conformado principalmente por los usuarios de video juegos, las empresas de la industria de vídeos y cine y en menor grado universidades y otros centros de investigación.

La llegada de la criptominería cambió esta economía y al mismo tiempo ha generado un boom en estas empresas que gozan de altas ventas en sus productos de alta gama.

Por ejemplo, en el 2017 AMD sorprendió a los analistas financieros de Wall Street con sus crecimiento en ventas de sus procesadores gráficos (conocidos como GPU). Mientras que el mercado accionario de Estados Unidos subió un 14% entre 2016 y 2017 (cifra nada despreciable), la acción de AMD subió más del doble durante el mismo periodo.

NVIDIA, líder en este segmento, no se ha quedado atrás y sus ventas durante el 2017 también estuvieron disparadas. De hecho, los distribuidores y ventas mayoristas de partes de cómputo no tienen disponibilidad de tarjetas gráficas. El mercado está sobrevendido y los precios disparados.

Esta época de vacas gordas no durará por siempre y ya hay analistas que prevén un caída en el valor de las acciones de AMD y NVIDIA. Mientras tanto esta bonanza ha causado resentimiento en los clientes tradicionales de tarjetas de vídeo por el inesperado costo de su producto principal.

La situación para estas empresas es paradójica, por un lado sus ventas no paran, pero al mismo tiempo su dependencia de criptominería está en aumento. Como todo buen gerente debe saber, las finanzas sanas no son sinónimo de un mercado volátil que esté al vaivén de las fiebres de clientes que desconoces.

Aunque aún es posible que un pequeño usuario entre a competir en esta minería digital, la barrera de entrada es alta. No solamente está el valor del equipo de cómputo; una tarjeta NVIDIA de alta gama está por encima de los u$1000. Pero el mayor rubro es el costo de la energía. Estos equipos consumen mucha energía y como no siempre la criptominería dará réditos, el operador deberá aumentar su capacidad de cómputo para generar mas bloques que sean aceptados.

Entonces, ¿Qué alternativas existen para bajar los costos? Uno es realizar las operaciones de cómputo en países o regiones donde el costo de la electricidad sea bajo. Otra opción es utilizar capacidad de cómputo disponible y “gratis”. Y es en este escenario que entran los hackers.

Los participantes de la economía de malware tienen una larga experiencia en distribución de software no autorizado que contamina computadores de usuarios inocentes e instalar un programa de criptominería que realice operaciones matemáticas no autorizadas es una tarea simple.

En este caso las víctimas no sufren las nefastas consecuencias del Ransomware. El computador contaminado sigue funcionando, pero mas lentamente. Es incluso posible que el usuario no note la diferencia o culpe al antivirus o a Excel de la lentitud de su equipo. Es tal los réditos económicos que malware de criptominería ha sobrepasado ransomware como el malware mas rentable y popular en el 2018.

Criptominería, Wall Street y hackers I

El advenimiento de criptomonedas como Bitcoin ha creado otro incentivo para hackers y otros cibercriminales. Independiente de las falencias que estas monedas tienen como medio de pago, el rápido ascenso en su valor generó apetito en aquellos que quieran obtener indebidos beneficios financieros.

Pero primero hay que entender como funciona una criptomoneda y la tecnología que la respalda conocida como Blockchain. Al contrario de lo que muchos piensan, Blockchain no es usado exclusivamente para transferencias financieras. Es en realidad un “libro mayor” donde activos fijos de información, tales como títulos bancarios, canciones o datos personales pueden ser almacenados. El mayor atractivo de Blockchain es que no necesita de una autoridad central para verificar o realizar una transacción.

Para entenderlo mejor, pongamos el caso de una transacción bancaria. Cuando se hace una transferencia de fondos entre cuentas, existe una entidad central que verifica la identidad de las partes envueltas. Solo así un usuario puede estar seguro que su dinero será consignado al cuentahabiente de otro banco. En la mayoría de los países esta autoridad central es el emisor nacional o banco central. A nivel internacional, estas entidades centrales se reconocen mutuamente. Esta confianza en el sistema bancario es fundamental para el comercio internacional y podría decirse que la viabilidad del sistema financiero se basa en la confianza que se deposita en los diversos gobiernos nacionales y sus bancos centrales (En realidad no todos los bancos centrales gozan de la misma confianza, pero esa es otra historia).

En el caso de Blockchain no habría necesidad de usar una entidad central para realizar una transacción y reconocerla como válida. Como su nombre en inglés lo indica, Blockchain es una cadena de bloques donde cada bloque contiene una pieza de información. Si volvemos al caso de la transacción financiera, la cadena de bloques puede tener la información de las transacciones de una cuenta específica y su saldo remanente. Para tener una nueva transacción, digamos una compra, deberá haber un nuevo bloque que se unirá a la cadena indicando el pago.

Como puede deducirse, esta cadena de bloques es independiente de cualquier entidad central. Los bloques son en realidad datos que estarán almacenados en la “red” de computadores que estén participando en Blockchain. Estos datos están encriptados y por lo tanto protegidos.

Esta arquitectura distribuida tiene ventajas desde el punto de vista de recuperación de desastre porque la cadena no está almacenada en un solo equipo o entidad. Si un computador en la red falla, habrá muchos otros que tengan la misma información. Sin embargo, esta arquitectura presenta una amenaza para las entidades que viven de cobros a transacciones financieras. Como no hay necesidad de intermediarios bancarios, las partes envueltas en una transacción pueden hacerlo directa y privadamente. Obviamente esta total privacidad es un beneficio para aquellos envueltos en actividades criminales.  El uso de bloques de datos enlazados en una cadena es lo que criptomonedas como bitcoin utilizan. Y cada bloque nuevo es una nueva transacción financiera.

Alguien preguntará ¿Cuál es el beneficio de participar en la cadena de bloques BlockChain? Al no existir una entidad central, alguien tiene que generar ese nuevo bloque de información que valida la transacción de nuestro ejemplo. Para generar un nuevo bloque es necesario manipular matemáticamente la cadena de bloques. Dada la complejidad matemática de estas operaciones, es necesario usar computadores poderosos. Esa operación de generación de nuevos bloques (realmente el hash) es lo que es conocido como minería de criptomonedas. Como bitcoin es la criptomoneda más popular el término más común es “minería de bitcoins”.

El primero que genere um nuevo bloque recibe un incentivo financiero en bitcoins (o en la criptomoneda que esté realizando la transacción). La velocidad en la generación de nuevos bloques es directamente proporcional a la potencia de cómputo y por lo tanto quien tenga el computador más poderoso y rápido resolverá mas operaciones matemáticas. Obviamente entre más bloques resuelva un participante más bitcoins recibe. En otras palabras, hay un fuerte incentivo financiero para realizar minería de criptomonedas.

Esta minería incentiva la demanda de alta capacidad de procesamiento que ha afectado el mercado bursátil de Wall Street, a los entusiastas de videojuegos, las finanzas de muchas empresas y generado apetito en muchos hackers.

El uso indiscriminado del Internet de las cosas

La progresiva miniaturización de diversos dispositivos electrónicos ha sido constante en las últimas décadas. Algunos recordamos aquellos tiempos en que debíamos sentarnos y esperar que el gran televisor se calentara para poder ver nuestro programa favorito. Hoy gozamos del beneficio de tener en la palma de la mano una videoteca casi infinita.

Y en ese proceso continuo de miniaturización podemos tener sensores como Fitbit que miden la calidad de nuestro ejercicio y cantidad de nuestro sueño, vídeo cámaras que nos permiten observar nuestra mascota y estaciones meteorológicas  de relativo bajo precio que nos mantiene actualizados sobre el clima.

Son muchos los beneficios que promete la conectividad de todos estos dispositivos que es conocida como el Internet de las cosas. Sin embargo, el Internet de las cosas aún está en su infancia. La prueba es el abuso por parte de adversarios o actores malintencionados de estos dispositivos.

Expertos del área en ciberseguridad han observado un creciente uso de botnets que automatizan la explotación de redes de datos. Estos ataques hacen uso de un enjambre de dispositivos comprometidos que no se limitan a negar servicios sino también realizan tareas de exploración, descubrimiento de sistemas de información y barrido de puertos TCP/IP.

Aunque estos dispositivos no son tan poderosos como un computador personal, una multitud de miles o cientos de miles de dispositivos permiten a los atacantes gozar de economías de escala que automatizan las primeras etapas de un ataque. Solo cuando el proceso obtiene control de un sistema, es que un ente humano empieza a interactuar con el sistema comprometido.

Este nuevo acercamiento presenta retos para la comunidad de ciberseguridad y para todas las organizaciones y personas naturales. Las tácticas y equipos tradicionales de defensa pueden verse sobrepasados por ataques realizados por dispositivos del Internet de las cosas.

El uso de enjambres tiene potencialidades mas allá de ciberataques. Analistas militares miran con preocupación como estas tácticas pueden dejar sin servicio a equipos sofisticados y costosos de defensa. Por ejemplo, un alto número de drones de muy bajo costo podría deshabilitar una fragata de la armada de un país y dejarla inoperativa completamente.

La nueva realidad no solo requiere una nueva mirada al diseño de la arquitectura que protege la información de una organización sino también estudiar con detenimiento como estos actores maliciosos explotan estos dispositivos de la era moderna.

No siempre es un hacker quien causa la pérdida de confidencialidad

Los ataques de ransomware son tan comunes y hay tanta prensa alrededor de vulnerabilidades como Meltdown, que a veces se pierde de vista que pueden existir otras causas que ocasionen pérdida de datos.

Un ejemplo es el caso del operador de seguros Triple-S en Puerto Rico. Esta empresa notificó a cerca de 36.000 usuarios de la pérdida de confidencialidad en la información debido al envío de correo a direcciones equivocadas. Usualmente los balances médicos pueden contener información acerca del número de cuenta, muy útil a la hora de configurar el usuario en línea, y otra información personal acerca de las dolencias médicas que puedan al recipiente legítimo.

Triple-S ha indicado que ha revisado sus procesos de manejo de correo y corregido las fallas que permitieron este error. Sin embargo, no es la primera vez que Triple-S se ve envuelta en este tipo de problemas. Anteriormente en el 2015 el regulador médico ya le había impuesto cuantiosas multas por sus descuidada administración y malas prácticas de seguridad informática.

Como he hecho notar en similares casos, esta información solo es sabida por las estrictas regulaciones existentes en los Estados Unidos y Europa que exigen que se haga público cuando los datos de usuarios son capturados por hackers o simplemente llegan a la persona equivocada. Como es bien sabido, Puerto Rico debe cumplir la legislación norteamericana y por eso hemos sabido del caso Triple-S.

Mientras tanto el resto de usuarios latinoamericanos tenemos que contentarnos con la oscura respuesta “por motivos de seguridad”. Esta falta de transparencia y el atraso latinoamericano en este campo y la ausencia de transparencia nos impide saber si la entidad donde depositamos nuestro dinero o tiene nuestra historia médica falla en su responsabilidad como garante de nuestra privacidad.

El regreso de un viejo conocido. Medidas para defenderse de un DoS

Las noticias sobre el ataque a Github han dado la vuelta alrededor del mundo y ya es sabido que es el mayor ataque realizado hasta ahora. Vale la pena recordar que estos ataques siguen aumentando en capacidad e intensidad.

Pero esto no es nuevo, ya el año 2016 presenció severos ataques contra proveedores de servicio DNS y el conocido periodista del blog KrebsonSecurity. El común denominador de estos ataques fue una capacidad inusitada en el ancho de banda utilizado. Ya no son raros los ataques de 400 Gbs o más.

En la entrega anterior expliqué brevemente como se desarrolla un ataque DoS. La fórmula conocida, pero a veces opacada por su primo ransomware, nos recuerda lo fácil de estos ataques y la magnificación posible por el abuso de dispositivos del Internet de las cosas. Pero a veces los ataques son prevenibles.

En el caso particular de Github, los atacantes aprovecharon una mala configuración que es común en administración de sistemas de información. El software en cuestión, que permite un mejor aprovechamiento de memoria, usa un puerto UDP que estaba expuesto externamente. En otras palabras, el software no tenía todos sus puertos lógicos protegidos por un firewall.

Muchos sistemas de información presentan debilidades porque su configuración simplemente no se ha terminado. A veces esto se debe a el afán, ignorancia o simple desdén burocrático. Sea cual sea la razón, el resultado es la presencia de vulnerabilidades que pueden ser fácilmente prevenidas.

En inglés se utiliza la palabra “hardening” para indicar que una vez un sistema es instalado se debe seguir un proceso de configuración para proteger el mismo sistema.

Algunas buenas prácticas incluyen deshabilitar o proteger puertos TCP o UDP, cambiar las claves del usuario administrador, verificar que el usuario común no tenga capacidades de administración, etc.

¿Cómo asegurar que un departamento de informática siga estas prácticas? La respuesta, como todo en este ramo, depende de la madurez del departamento y el entendimiento del riesgo al que la organización está expuesta. Documentar y poner en práctica procesos es difícil, y aunque no es tan llamativo como comprar y aprender nueva tecnología es vital para la protección de información.

Otras prácticas que ayudan incluyen la regularidad en el uso de escáneres de vulnerabilidades y servicios de pentest. Finalmente, es el apoyo de la alta administración de una empresa la que permite que estas buenas prácticas se den. De poco sirve tener un informe pentest si sus recomendaciones no se siguen.

Así como esperamos que un banco proteja nuestro dinero, las empresas que manejan nuestra información también tienen un deber con sus usuarios y clientes. Ya me he referido en varias oportunidades a la responsabilidad compartida de las empresas que son víctimas de ataques informáticos.

El ataque a Github nos recuerda una vez más que los adversarios y otros delincuentes del ciberespacio siempre aprovecharán cualquier descuido de su personal técnico.

El regreso de un viejo conocido

Si hubiera un concurso de popularidad para malware sin duda ransomware se llevaría el primer lugar. Un rápido atisbo de las noticias e incluso algunas de mis entradas a este blog muestran que este mal ocupa el tiempo de los profesionales de seguridad informática.

Sin embargo, siempre hay otros tipos de ataques igualmente severos y sería peligroso desestimar esta realidad. Un vector conocido, pero a veces relegado son los ataques de negación de servicio o DoS (Denial of Service por sus siglas en inglés). Como su nombre lo indica, DoS simplemente niega el acceso a un servicio en particular.

Hoy en día el servicio más común es un sitio web, pero un ataque DoS se puede dar contra un servidor de correo o sistemas de administración. Al final el resultado es que el usuario legítimo no puede acceder los servicios que necesita.

Desafortunadamente para nuestra profesión realizar un ataque DoS es relativamente sencillo. Este hecho se da porque existe el fenómeno de amplificación. En términos generales amplificación funciona de esta manera: el adversario envía datos a dispositivos en Internet que previamente ha identificado con la dirección IP de origen de la víctima y estos realizan el ataque.

¿Cómo es posible personificar a una víctima? En el mundo de redes esto es conocido como IP spoofing. Herramientas de libre distribución como Scapy permiten construir un paquete TCP/IP con los atributos y valores que uno quiera. Uno de esos atributos es la dirección IP y quien construye el paquete TCP/IP puede usar cualquier dirección de origen, en este caso la dirección IP del sistema a atacar.

Otra característica común es que el paquete original enviado es relativamente pequeño y su tamaño es de solo unos bytes. Una vez se envía este paquete a una multitud de destinos con una sola dirección falsa de origen (la de la víctima), estos destinatarios responderán a la víctima y no a quien originó el ataque.

Además, estos paquetes de datos contienen algún error o tipo de datos que obliga al dispositivo que lo recibe a responder con un paquete de datos más grande (debe recordarse que el dispositivo no responderá al atacante sino a la víctima).

El sistema víctima entonces recibe cientos o miles de paquetes de gran tamaño que consume recursos de procesador o memoria. Luego, el sistema víctima tratará de responder a los dispositivos que le enviaron datos y estos a su vez responderán con un paquete más grande. Este círculo vicioso continua hasta que el sistema no es capaz de responder o el ancho de banda utilizado es tan grande que simplemente no hay más acceso a Internet.

Capturar o identificar un alto número de destinatarios es hoy posible por la omnipresencia del llamado Internet de las Cosas (Internet of Things, IoT). Las cámaras de vídeo vigilancia como Ring o Blink  son de relativo bajo costo y hoy miles de hogares tienen sistemas de este tipo, pero a veces conectados directamente a Internet. Son este tipo de dispositivos que los atacantes han identificado previamente y magnifican la capacidad del atacante.

Dada estas características, un ataque DoS no requiere sistemas sofisticados ni poderosos y para empeorar la víctima nunca sabrá quién le atacó. En una próxima entrega esta breve descripción de un ataque DoS servirá para explicar el ataque contraGithub que sucedió el primero de marzo.

Otro ataque devastador

No había terminado el primer mes del 2018 y ya se anuncia un ataque severo que posiblemente afecte a la mitad de la población de Noruega. La autoridad regional de salud del país nórdico hizo público que fue víctima de un ataque sofisticado que expuso los datos de cerca de 3 millones de usuarios.

El ataque fue descubierto por HelseCert, el equipo de incidencia de Noruega, que informó a la entidad afectada. Desafortunadamente, la autoridad regional tomó varios días antes de hacer público el hallazgo. Esta demora va en contravía de las nuevas normas europeas (conocida como General Data Protection Regulation o GDPR) que demandan que ataques contra datos deben hacerse públicos en menos de 72 horas.

Al parecer los atacantes tenían un buen arsenal a su disposición lo que puede indicar un actor poderoso. La pérdida de tantos datos es un fuerte golpe a los ciudadanos de ese país y no hay duda que los delincuentes harán uso de esa mina de información.

Aunque los detalles técnicos son escasos, en lo personal dudo de prontas afirmaciones que achacan la autoría a “actores poderosos”. El análisis digital forense toma tiempo y los profesionales de seguridad son muy cautos al señalar autorías. Dado el impacto político de este ataque, no sería raro que los oficiales de la entidad afectada usen esta común excusa para clamar impotencia.

Ya he escrito anteriormente acerca de la responsabilidad compartida que los ejecutivos de empresas y organizaciones víctimas tienen como garantes de la protección de la información de ciudadanos y clientes. Que haya sido una tercera entidad la que descubrió el ataque (hecho nada inusual) podría indicar pobreza en las prácticas de seguridad informática de la entidad afectada.

Un hecho a resaltar es la normatividad europea, GDPR. Es exigente y acorde a los nuevos tiempos. Muy contraria a la situation latinoamericana donde los medios no están obligados a hacer público que entidades sufren ataques de hackers y la legislación existente es débil o inexistente. Los ciudadanos de países latinoamericanos están totalmente desamparados en estos casos y desconocen casi por completo que sucede con su información privada.

Ataques de Ransomware. Un escalamiento peligroso

Durante el mes de enero tres diferentes ataques a entidades de salud en Estados Unidos demuestran el escalamiento de los ataques ransomware que sin duda se extenderán a entidades de países latinoamericanos.

Estos ataques recientes usan malware común para encriptar grandes cantidades de datos. Hasta ahí nada fuera de lo usual, pero los métodos, las similitudes y variaciones del malware utilizado genera alarma.

Las entidades afectadas, ambos hospitales ubicados en el estado de Indiana, EEUU, sufrieron un ataque con una variante del software ransomware conocido como SamSam. Incluso una de las entidades admitió pagar más de U$40,000 de rescate para recuperar sus datos capturados. Y se desconoce si la segunda entidad afectada también haya pagado rescate por sus datos. No se ha indicado en ninguno de los casos que datos de pacientes hayan sido “secuestrados”.

Una tercera entidad, un proveedor de sistemas en la nube, también anunció que sus sistemas de información fueron contaminados por ransomware. El ataque fue tan severo que la entidad debió desconectar sus centros de cómputos remotos para minimizar la contaminación. Afortunadamente para este proveedor, su equipo de respuesta parece ser experimentado y actuó rápidamente.

Este escalamiento que puede afectar enteros centros de cómputo es ciertamente preocupante. Tal como indiqué hace un tiempo, este es el mayor riesgo del ransomware. Debe recordarse que un ataque de ransomware no se limita a los archivos almacenados localmente en el computador de la víctima, y el malware intentará encriptar todo archivo que se encuentre en un folder local o remoto, que usualmente radica en servidores.

La contaminación de un laptop o varios equipos en una red definitivamente pueden causar interrupciones y dolores de cabeza, pero si los servidores de archivos llegan a ser contaminados la operación puede detenerse completamente. Como estos casos bien demuestran, los servicios al público sufren interrupciones severas y en el caso del sector salud las consecuencias podrían ser mortales.

En el caso particular de estos ataques, al parecer ciertos servicios de administración remota estaban disponibles. Como es bien conocido en el medio de seguridad informática, tener acceso remoto directo a servicios de administración de un sistema como RDP en Windows o similares es una pésima práctica.

La creciente sofisticación de los ataques ransomware obliga que el personal de seguridad informática conozca los datos más críticos de su organización e identifique los posibles vectores de ataque que puedan afectar esos datos.

Pero más allá de la vulnerabilidad específica, la lección es que las organizaciones deben reconsiderar su acercamiento a la protección de los datos de sus clientes y la profesionalización de su personal de seguridad informática. Desafortunadamente, aún hay mucho camino por recorrer en Latinoamérica.

No corras a solucionar Meltdown y Spectre

Como es bien sabido investigadores de varios centros universitarios y del grupo “Parche cero” de Google revelaron en los primeros días del año que microprocesadores modernos sufren de una seria vulnerabilidad que permite acceso a datos no autorizados.

La complejidad de la vulnerabilidad es alta y requiere buenos conocimientos de arquitectura de computadores para entenderla. Por fortuna, algunos medios la han explicado en términos simples. Desafortunadamente, la alta exposición de los medios también ha creado cierto sentimiento de pánico que puede ocasionar problemas sino se analiza las consecuencias de los parches para Meltdown/Spectre.

El título de hoy puede sonar extraño viniendo de un profesional de seguridad informática, pero los reportes del impacto al rendimiento de microprocesadores causados por los parches no paran de circular en la red. En algunos casos el impacto puede ser severo.

La razón de este impacto se debe a como los microprocesadores modernos ejecutan sus tareas, de manera casi paralela y anticipativa (Sin esperar a saber si algunos datos se necesitan o no el procesador ejecuta algunas tareas con anticipación). Para “solucionar” la vulnerabilidad, los parches eliminan o limitan la “ejecución anticipativa”, y esto puede disminuir el rendimiento de los computadores.

De acuerdo a Microsoft, sus parches de seguridad afectan de manera negativa el rendimiento en algunos procesadores.  En los computadores más nuevos y equipos de usuario este puede no ser un problema, pero Microsoft indica que el impacto es perceptible en servidores y esto puede ser un serio problema en muchas aplicaciones. En algunos procesadores, el parche parece generar serios problemas de estabilidad e incluso causa el tan temido pantallazo de la muerte (la muy conocida pantalla azul cuando tu computador no responde para nada).  

El impacto al computador también depende del sistema operativo. Windows 10 parece responder mejor a los parches que Windows 8 y Windows 7. Adicionalmente, algunos antivirus rechazan el parche de seguridad de Microsoft lo cual ha generado una cadena de validación de software no solo a nivel de sistema operativo sino de aplicaciones.

¿Qué hacer entonces? La respuesta, de nuevo, es: los directivos de informática deben analizar la situación y sopesar los pasos a seguir. En otras palabras, deben analizar el riesgo. Cada situación es independiente y cada empresa tendrá diferentes soluciones.

Por ejemplo, si una empresa tiene un centro de llamadas que usa escritorio virtual deberá revisar si usa servidores relativamente nuevos o no. Uso este caso porque un servidor de escritorio virtual (i.e. Citrix) es altamente sensible al rendimiento de sus procesadores y el parche de Microsoft impactaría negativamente la operación. Como la mayoría de centros de llamadas calculan su costo por minuto, una desmejora en la velocidad del servicio tiene impactos financieros fácilmente medibles que no serían bienvenidos por los ejecutivos de la operación.

Si el servidor está protegido y aislado en una zona con listas restrictivas de acceso de usuario y software, el contraargumento (y de nuevo este es un caso hipotético) sería que los controles existentes compensan la falta del parche de seguridad.

¿Qué hacer? Nadie conoce mejor el ambiente informático de una empresa que su propio departamento de sistemas o informática. No existe una receta única sino una solución que depende del ambiente y procesos particulares de una organización.

La mejor respuesta la da el propio Microsoft (la traducción es mía): “…y es por esta razón que se debe ser cuidadoso al evaluar el riesgo de código no seguro en cada instancia de un servidor Windows, y hacer un balance de la seguridad versus el rendimiento de su ambiente”.

Nunca dejes tu laptop solo

Para nosotros los latinoamericanos este parece un consejo de sobra, o eso creemos, porque los amigos de lo ajeno siempre están atentos para tomar ventaja de cualquier descuido. Sin embargo, aquellos familiarizados con técnicas de ingeniería social saben muy bien que puedes tener tu laptop a tu lado y aun así ser víctimas de otros ataques.

La compañía F-Secure anunció que descubrió una vulnerabilidad en el sistema de administración remota de Intel AMT (por sus siglas en inglés Active Management Technology) que permitiría burlar las claves de acceso al BIOS de un laptop e instalar un backdoor. Los procesadores con Intel V-Pro y algunos Xeon parecen ser los más susceptibles a esta vulnerabilidad.

De acuerdo a F-Secure, esta vulnerabilidad no está relacionada con Meltdown/Spectre. Aunque la vulnerabilidad requiere acceso físico al laptop, la rapidez con que se puede realizar el ataque es preocupante. Un ataque de ingeniería social puede distraer a la víctima momentáneamente mientras un segundo sujeto compromete al equipo. Ejemplos donde esta situación puede suceder incluye los vuelos (¿Quién se roba un laptop en un avión?), conferencias o cualquier Starbucks.

Mientras que una clave en el BIOS de un equipo usualmente previene acceso a su configuración, la clave no previene acceso desautorizado a la configuración de AMT lo que permite al atacante reconfigurar AMT y habilitar explotación remota si la clave no ha sido cambiada (Usualmente los departamentos de sistemas solo cambian la clave de BIOS no la de AMT). Una vez existe acceso a AMT, el atacante puede configurar el laptop para permitir acceso remoto sin el conocimiento de su legítimo dueño. Una condición necesaria para que el acceso remoto funcione es que la víctima y el atacante tienen que estar en la misma red, situación muy frecuente en estos días.

Muchas compañías tienen sus laptops con disco duros encriptados, pero esa defensa no es útil en esta situación porque AMT actúa al nivel del BIOS. Una vez el usuario autorizado se conecta al equipo, el atacante puede observar toda la actividad que realiza el usuario con total desconocimiento del mismo. AMT realiza todas sus comunicaciones vía SSL, y esto previene que los equipos de respuesta a incidentes (SIRT) puedan detectar anomalías en el tráfico.

Al parecer existe un paliativo y es que algunas organizaciones han deshabilitado el servicio Windows LMS por causa de la vulnerabilidad CVE-2017-5698. Aunque AMT necesita de este servicio para la administración remota, no es claro si es posible tomar ventaja de la vulnerabilidad o no sin el servicio.  

¿Qué hacer? Las organizaciones deben evaluar la susceptibilidad de sus laptops a esta vulnerabilidad (hacer un análisis de riesgo ¿recuerdan?) y actuar de acuerdo a las recomendaciones de la evaluación. Realizar cambios en configuraciones del BIOS puede ser una pesadilla logística y tomará un buen tiempo actualizar todos los equipos con configuraciones seguras de AMT (o deshabilitar totalmente la función).

Mientras tanto no dejes tu laptop solo.

Un año difícil

El 2018 apenas inicia, pero las consecuencias y el trabajo a realizar para mitigar vulnerabilidades públicas continua de manera inexorable.

Y no es de sorprender que este sea el caso, el año 2017 fue difícil y los profesionales de seguridad presenciaron el ascenso de ransomware más poderoso y versátil. A principios del 2017 no solo mencioné como el ransomware atacaba y evolucionaba, sino también como los administradores de sistemas de información y los ejecutivos del área comparten la responsabilidad cuando hay fallas en las defensas informáticas.

Los daños causados por ataques en el 2017 fueron tan altos que la BBC calificó el año como el ciber - armagedón. Esta referencia bíblica no es exagerada, fueron muchos las empresas e individuos que sufrieron altas pérdidas económicas causados por hackers y otros delincuentes del mundo virtual. Este costo financiero ya no puede ser considerado un campanazo de alerta sino el anuncio final de la llegada de organizaciones con intereses financieros e ingentes recursos que les permiten atacar a blancos alrededor del mundo.

Como enfrentar esta situación y prevenir o al menos minimizar los daños causados por la explotación de vulnerabilidades no es imposible. Actuar a la loca tolondra y enviar técnicos a solucionar problemas sin antes realizar un juicioso análisis es un uso ineficiente de recursos y tiempo que las organizaciones modernas no tienen el lujo de desperdiciar.

A riesgo de sonar reiterativo, un adecuado análisis de riesgo es el primer paso que las organizaciones y sus ejecutivos deben tomar. Hay mucho en juego, no solo hay pérdida de información sino de trabajos y la preciosa privacidad de muchos ciudadanos que ameritan la profesionalización de la seguridad informática. Esta es la nueva realidad que los ejecutivos deben tener presente si quieren que sus compañías sigan siendo competitivas en el mundo de hoy.