Archivos Mensuales: Septiembre 2020

Ransomware: ¡ya basta de bromas!

Primero, una breve introducción…

El 10 de septiembre, el ransomware DoppelPaymer cifró 30 servidores de un hospital en la ciudad alemana de Dusseldorf, por lo que el número de pacientes se redujo drásticamente. Hace una semana, debido a esta reducción, el hospital no pudo acoger a una paciente que necesitaba una operación urgente y tuvo que enviarla a un hospital de una ciudad vecina, pero, desafortunadamente, la paciente falleció en el trayecto. Se trata del primer caso conocido de una pérdida humana como resultado de un ataque de ransomware.

La situación es muy triste, sobre todo si lo analizas más de cerca: un “accidente” mortal (asumiendo que los atacantes no previeron que sus horribles acciones causaran una muerte); también hubo un claro descuido del seguimiento de las reglas básicas de higiene de la ciberseguridad y una incapacidad por parte de las autoridades encargadas de cumplir la ley para contrarrestar con éxito a los delincuentes organizados involucrados en el ataque.

Los ciberdelincuentes atacaron la red del hospital a través de una vulnerabilidad (también conocida como Shitrix) en los servidores Citrix Netscaler, que fue parcheada en enero. Parece que los administradores del sistema esperaron demasiado para instalar el parche y, mientras tanto, los malos pudieron penetrar en la red e instalar una puerta trasera.

Eso es todo lo que sabemos. A continuación, continuaremos con una conjetura que no se puede confirmar, pero que parece algo probable…

No se puede descartar que, después de algún tiempo, el acceso a la puerta trasera se vendiera a otros ciberdelincuentes de foros clandestinos como “acceso a una puerta trasera en una universidad”. De hecho, el ataque estaba inicialmente dirigido a la Universidad Heinrich Heine, cercana al hospital. Y a ellos ser dirigían los chantajistas en su correo, en el que exigían un rescate a cambio de restaurar los datos que habían cifrado. Cuando los ciberdelincuentes descubrieron que se trataba de un hospital, no una universidad, rápidamente entregaron todas las claves de cifrado (y desaparecieron). Parece que enviar troyanos a los hospitales no resulta tan atractivo para los ciberdelincuentes: se consideran activos demasiado “tóxicos” (como se ha demostrado de la peor manera: con la muerte).

Es probable que el grupo de habla rusa, Evil Corp, esté detrás de DoppelPaymer, un grupo con docenas de ciberdelincuentes de alto perfil (incluso en la red de Garmin). En el 2019, el gobierno de EE. UU. emitió una acusación contra las personas involucradas en Evil Corp y ofreció una recompensa de cinco millones de dólares por ayudar a atraparlos. Lo curioso es que se conocen las identidades de los delincuentes y hasta hace poco habían estado fanfarroneando y mostrando su vida de gánster ostentoso, incluso en las redes sociales.

Fuente

Seguir leyendo:Ransomware: ¡ya basta de bromas!

Ciberseguridad: la nueva dimensión de la calidad del automóvil

Parece que mucha gente piensa que los coches del siglo XXI son dispositivos mecánicos. Sí, se ha añadido algo de electrónica para esto y aquello, en algunos más que en otros, pero, aun así, al final del día, se trata de un trabajo de ingeniería mecánica: chasis, motor, ruedas, volante, pedales… La electrónica, “ordenadores” incluso, simplemente ayudan a toda la parte mecánica. Deben hacerlo; después de todo, los salpicaderos actuales están repletos de pantallas digitales, sin apenas botones analógicos a la vista.

Bueno, pues permíteme que te diga que ¡eso no es así!

Hoy en día, un coche es básicamente un ordenador especializado, un “cibercerebro”, que controla la mecánica y la electricidad que tradicionalmente asociamos con la palabra “automóvil”: el motor, los frenos, los intermitentes, los limpiaparabrisas, el aire acondicionado y todo lo demás.

Por ejemplo, antes el freno de mano era 100 % mecánico. Lo activabas tirando de él literalmente con tu “mano” (¡¿te lo imaginas?!) y emitía una especia de chirrido. Hoy presionas un botón. 0 % mecánica. 100 % controlado por ordenador. Y así con casi todo.

Ahora bien, la mayoría de la gente piensa que los coches sin conductor los conduce un ordenador. Pero si hay un humano detrás del volante de un automóvil moderno, entonces es el humano quien conduce (no un ordenador), “¡por supuesto, tonto!”.

Pues… ¡eso tampoco es así!

En la mayoría de los coches actuales, la única diferencia entre los que se conducen solos y los que conduce un humano es que, en el último caso, el humano controla los ordenadores a bordo. Mientras que, en el primero, los ordenadores del automóvil están controlados por otra ordenador principal, central y muy inteligente, desarrollado por compañías como Google, Yandex, Baidu y Cognitive Technologies. Este ordenador recibe el destino, observa todo lo que sucede a su alrededor y luego decide cómo navegar hacia él, a qué velocidad, por qué ruta, etc., basándose en algoritmos mega inteligentes, actualizados por nano segundo.

Una breve historia de la digitalización de los vehículos de motor

Entonces, ¿cuándo comenzó el cambio de la mecánica a lo digital?

Algunos expertos en el campo consideran que la informatización de la industria automotriz comenzó en 1955, cuando Chrysler comenzó a ofrecer una radio de transistores como extra opcional en uno de sus modelos. Otros, tal vez pensando que una radio no es realmente una característica automotriz, consideran que fue la introducción de la ignición electrónica, el ABS o los sistemas electrónicos de control del motor lo que marcó el comienzo de la informatización del automóvil (por Pontiac, Chrysler y GM en 1963, 1971 y 1979, respectivamente).

No importa cuándo comenzó, lo que le siguió fue sin duda más de lo mismo: más electrónica; luego las cosas comenzaron a volverse más digitales y ahora la línea entre ambas tecnologías está borrosa. Pero yo sitúo el inicio de la revolución digital en las tecnologías automotrices en febrero de 1986, cuando, en la convención de la Sociedad de Ingenieros de Automoción, la empresa Robert Bosch GmbH presentó al mundo su protocolo de red digital para la comunicación entre los componentes electrónicos de un automóvil: CAN (controlador de red de zona por sus siglas en inglés). Y hay que darles a esos chicos de Bosch lo que les corresponde: y es que todavía hoy este protocolo sigue siendo totalmente relevante, ¡se utiliza en prácticamente todos los vehículos del mundo!

// Un breve resumen sobre la digitalización automotriz posterior a la introducción de CAN:

Los chicos de Bosch nos ofrecieron varios tipos de buses CAN (baja velocidad, alta velocidad, CAN FD), mientras que hoy existe FlexRay (transmisión), LIN (bus de baja velocidad), MOST (multimedia) y, finalmente, Ethernet (hoy 100 Mbps; en el futuro, hasta 1 Gbps). Ahora, cuando se diseñan los coches se aplican varios protocolos de comunicación. Existe la conducción por cable (sistemas eléctricos en lugar de conexiones mecánicas), lo que nos lleva a los pedales de acelerador electrónicos, pedales de freno electrónicos (usados por Toyota, Ford y GM en sus híbridos y electro-móviles desde 1998), frenos de mano electrónicos, cajas de cambios electrónicas y la conducción electrónica (utilizada por primera vez por Infinity en su Q50 en 2014).

Buses e interfaces de BMW

Seguir leyendo:Ciberseguridad: la nueva dimensión de la calidad del automóvil

Aprende a usar las reglas Yara: cómo predecir cisnes negros

Ha pasado mucho, mucho tiempo desde que la humanidad no se enfrentaba a un año como este. No creo haber conocido un año con una concentración tan alta de cisnes negros de diferentes tipos y formas. Y no me refiero a los que tienen plumas. Me refiero a esos sucesos inesperados con consecuencias de gran alcance, según la teoría de Nassim Nicholas Taleb, publicada en el 2007 en su libro El cisne negro: El impacto de lo altamente probable. Uno de los principios más importantes de esta teoría es que, en retrospectiva, los eventos sorprendentes que ya han ocurrido parecen obvios y predecibles; sin embargo, antes de que ocurran, nadie los predice.

Los expertos en ciberseguridad tienen medios para lidiar con la ambigüedad y predecir cisnes negros

Por ejemplo, este espantoso virus que ha tenido al mundo encerrado desde marzo. Resulta que hay toda una extensa familia de coronavíridos, varias docenas de ellos, y se encuentran otros nuevos con regularidad. Los gatos, los perros, los pájaros y los murciélagos los tienen. Los humanos, también. Algunos provocan resfriados comunes. Otros se manifiestan… de otra forma. Entonces, seguramente, necesitamos desarrollar vacunas para todos ellos como lo hemos hecho para otros virus mortales como la viruela, la polio y demás. Claro, pero tener una vacuna no siempre ayuda. Mira la gripe: ¿todavía no hay una vacuna que inocule a las personas después de tantos siglos? Y, de todos modos, incluso para comenzar a desarrollar una vacuna, necesitas saber lo que estás buscando, y eso es aparentemente más arte que ciencia.

Pero ¿por qué te cuento todo esto? Cuál puede ser la relación con… bueno, seguramente se tratará de una curiosidad cibernética o un viaje exótico, ¿verdad? Hoy comenzamos con el primero.

Actualmente, una de las ciberamenazas más peligrosas que existen son las de día cero: vulnerabilidades raras y desconocidas (para la gente de la ciberseguridad y otros) en el software que pueden hacer daños a gran escala, pero que no se suelen descubrir hasta (o a veces después) el momento en el que se explotan.

Sin embargo, los expertos en ciberseguridad tienen medios para lidiar con la ambigüedad y predecir cisnes negros. Y en esta publicación me gustaría hablar sobre uno de ellos: YARA.

Costin Raiu de GReAT examinó los correos electrónicos de Hacking Team y elaboró prácticamente de la nada una regla YARA, que detectó un exploit de día cero

En resumen, YARA ayuda a la investigación y detección de malware identificando archivos que cumplen ciertas condiciones y proporcionando una estrategia de reglas para crear descripciones de familias de malware basadas en patrones textuales o binarios. (Oh, eso suena complicado. A continuación, te lo explico un poco mejor). Por lo tanto, se usa para buscar malware similar identificando patrones. El objetivo es poder decir que ciertos programas maliciosos parecen haber sido creados por las mismas personas, con objetivos similares.

Bien, pasemos a otra metáfora, ya que hablamos de cisne negro, sigamos con el agua: el mar.

Digamos que tu red es el océano, que está lleno de miles de tipos de peces y tú eres un pescador industrial que arroja al océano enormes redes para capturar peces, pero solo ciertas especies de peces (malware creado por grupos particulares de ciberlincuentes) que te resultan interesantes. Ahora bien, las redes de deriva son especiales. Cuentan con compartimentos y en cada uno de ellos solo quedan atrapados peces de una determinada especie (características de malware).

Después, cuando acabas el turno, tienes una gran cantidad de peces, todos compartimentados, algunos de los cuales son peces relativamente nuevos y nunca vistos (nuevas muestras de malware), por lo que no sabes prácticamente nada. Pero pueden estar en un compartimento determinado, por ejemplo “Parecido a Especie (grupo de ciberdelincuentes) X” o “Parecido a Especie (grupo de ciberdelincuentes) Y”.

Este artículo relata un caso que ilustra la metáfora del pez/pesca. En el 2015, nuestro gurú de YARA y director de GReAT, Costin Raiu, se metió en el papel de Sherlock para encontrar un exploit en el software Silverlight de Microsoft. Te recomiendo que leas el artículo, pero, en resumen, lo que hizo Raiu fue examinar cuidadosamente cierta correspondencia de correo electrónico filtrada por ciberdelincuentes para establecer una regla YARA a partir de prácticamente nada, lo que ayudó a encontrar el exploit y así proteger al mundo de un gran problema. (La correspondencia era de una empresa italiana llamada Hacking Team: ¡hackers hackeando a hackers!)

Y, en cuanto a estas reglas YARA…

Los alumnos reciben un certificado al finalizar que confirma su nuevo estado como ninja de YARA. Como nos han dicho antiguos graduados, realmente supone una ayuda para su carrera.

Llevamos años enseñando el arte de crear reglas YARA. Las ciberamenazas que YARA ayuda a descubrir son bastante complejas, por eso siempre impartimos los cursos en persona, sin conexión, y solo para un grupo reducido de los mejores investigadores de ciberseguridad. Por supuesto, desde marzo, las formaciones sin conexión han estado complicadas debido al encierro; sin embargo, la necesidad de educación apenas ha desaparecido, de hecho, no hemos percibido ninguna caída en el interés por nuestros cursos.

Tiene sentido: Los ciberdelincuentes continúan ideando ataques cada vez más sofisticados, incluso aún más tras el encierro. Como consecuencia, mantener nuestros conocimientos especializados sobre YARA para nosotros durante el encierro habría sido todo un error. Por lo tanto, (1) ahora también impartimos nuestra formación en formato online y (2) la hicimos accesible para todos. No es gratis, pero para un curso de este nivel (el más alto), el precio es muy competitivo y está al nivel del mercado.

Aquí está:

Intercepta las APT con YARA como un ninja de nuestro equipo GReAT]

Seguir leyendo:Aprende a usar las reglas Yara: cómo predecir cisnes negros

Introduce tu dirección de e-mail para suscribirte a este blog
(Required)