10 atacs de pirates més escarpats de barret negre 2014

Black Hat aquest any ha estat dos dies intensos d’informació, ja que els investigadors en seguretat van demostrar el fàcil que era anar a cotxes, termòstats, comunicacions per satèl·lit i hotels. Al mateix temps, hi va haver moltes converses sobre com millorar la seguretat. Les deu propostes polítiques del discurs principal de Dan Geer es van centrar en fer del món un lloc millor millorant el nostre enfocament a la seguretat de la informació. Entre els problemes que va abordar hi havia la cursa d’armaments de vulnerabilitat actual, el programari obsolet i la necessitat de tractar la seguretat de la informació com una professió. Tots ens vam apartar amb el cap nedant amb nous fets, idees i, sobretot, preocupacions. Així que moltes preocupacions.

Una de les coses en què sempre podeu comptar a Black Hat és escoltar vulnerabilitats en coses que ni tan sols pensàveu que podrien ser atacades. És tranquil·litzador saber que aquestes demostracions són sobretot acadèmiques i que actualment aquestes qüestions no s’estan explotant en estat salvatge. Però, al mateix temps, és espantós adonar-se que si els presentadors de Black Hat han trobat els defectes, qui vol dir que algú amb intencions molt més malicioses (i possiblement millor finançament) no ho farà, o no?

Penseu en això: vam saber parlar de piratejar caixers automàtics a Black Hat fa tres anys, i els delinqüents finalment han començat a saquejar caixers automàtics a Europa just aquest any. Aquest any hi ha hagut almenys tres sessions sobre com es pot piratejar els terminals puntuals de venda de targetes xip i PIN. Si no escoltem i protegim la nostra infraestructura de pagaments, d’aquí a tres anys, veurem una altra vulneració de proporcions semblants a objectius mitjançant targetes xip i PIN? Això és un pensament veritable.

Pot ser que Black Hat 2014 s’acabi, però parlarem de les coses impactants que vam veure allà des de fa força temps. Tant de bo siguin les lliçons apreses que han donat lloc a solucions implementades, i no a les oportunitats perdudes que van provocar terribles delictes.

Aquí teniu l’aprofitament de Security Watch sobre les coses que vam veure a Black Hat que ens mantindran al dia.

1 1. Internet de falla

Defensar l’ordinador o el telèfon és bastant fàcil; només cal seguir alguns consells de sentit comú i instal·lar programari de seguretat. Però, i l’internet de les coses? En sessió rere sessió, els investigadors van demostrar que els dispositius crítics connectats a Internet eren fàcilment accessibles. L'equip que pirata el termòstat intel·ligent Nest va disminuir els seus atacs fins a 15 segons, i ara treballen en un atac aeri. Billy Rios va trobar contrasenyes predeterminades codificades en les màquines d’exploració obligatòries per utilitzar-les als punts de control TSA de tot el país. Encara ens sorprèn la pirateria de 15 segons.

• 2 2. Hacking Airliners, Ships and More!

  Pel que fa a les zones posteriors, tampoc no són tan segurs com pensàvem els dispositius en què es basen els avions, avions, periodistes i (potser) els militars. Ruben Santamarta d’IOActive va demostrar que molts d’aquests sistemes disposen de portes posteriors, aparentment per a manteniment o recuperació de contrasenya. Tot i que se suposava que alguns dels jardins posteriors estaven assegurats, va poder evitar les salvaguardies. L’atac que va arribar més a prop de casa va ser, sorprenentment, l’afirmació de Santamarta que pogués piratejar avions mitjançant Wi-Fi inflight. Tenia clar que això no el deixaria "caure avions", però també va assenyalar que les comunicacions crítiques corren per aquest mateix sistema. En la seva intervenció, va piratejar una balisa nàutica per mostrar una màquina escurabutxaques en lloc d’un SOS. Penseu en el mateix tipus de pirates del vostre jet de jumbo i us feu la idea del preocupant que pot ser.



3 3. Robar contrasenyes amb Google Glass, smartwatches, telèfons intel·ligents i càmeres de vídeo

Hi ha moltes maneres de robar una contrasenya, però un enfocament novedós permet que els nois dolents (o una agència governamental) puguin distingir les teves claus sense veure la pantalla o instal·lar programari maliciós. Un presentador de Black Hat va mostrar el seu nou sistema que llegeix automàticament contrasenyes amb un 90 per cent de precisió. Fins i tot funciona quan l’objectiu està a nivell de carrer i l’atacant té quatre pisos a l’altre costat del carrer. El mètode funciona millor amb càmeres de vídeo digitals, però l’equip va comprovar que els telèfons intel·ligents, els rellotges intel·ligents i fins i tot Google Glass es podrien fer servir per capturar vídeos usables a curt abast. Els forats de vidre, de fet!

Imatge mitjançant l’usuari de Flickr Ted Eytan



4 4. Oblideu de MasterKey, Meet Fake ID

Jeff Forristal va dirigir el cap l'any passat quan va donar a conèixer l'anomenada vulnerabilitat de MasterKey que va permetre que les aplicacions malicioses es passessin com a legítimes. Aquest any, va tornar amb Fake ID, que aprofita els defectes fonamentals en l'arquitectura de seguretat d'Android. Concretament, com les aplicacions signen els certificats i com Android processa aquests certificats. El resultat pràctic és que amb una aplicació maliciosa que no necessita permisos especials, Forristal va poder injectar codi maliciós a cinc aplicacions legítimes del telèfon. Des d'allà, va tenir un accés profund i coneixement del que era el telèfon infectat.

Imatge mitjançant l'usuari de Flickr JD Hancock



5 5. Un mal USB podria fer-se càrrec del vostre ordinador

Heu sentit que les unitats USB poden ser perilloses si no desactiveu la reproducció automàtica. La darrera amenaça basada en USB és molt pitjor. Al piratar el firmware de la unitat USB, un parell d’investigadors van gestionar una àmplia varietat d’hacks en màquines Windows i Linux, inclòs l’equivalent a un virus del sector d’arrencada. La seva unitat USB emmanillada emulava un teclat USB i manava un sistema de prova per descarregar programari maliciós. Va oferir un concentrador Ethernet fals en una altra prova, de manera que quan la víctima va visitar PayPal al navegador, va anar a un lloc de mímica de PayPal que robava amb contrasenya. Aquest no era un simple exercici teòric; van demostrar aquests i altres hacks a l'escenari. Mai no mirem cap dispositiu USB de la mateixa manera!

Imatge mitjançant l’usuari de Flickr Windell Oskay



6 6. Té una ràdio? Anem a piratar-ho!

La ràdio pot semblar una tecnologia antiga en l’època d’Internet, però no deixa de ser la millor manera perquè dispositius com monitors per a nadons, sistemes de seguretat domèstics i arrencadors de cotxes remots transmetin informació sense fil. I això el converteix en un objectiu principal per als pirates informàtics. En una xerrada, Silvio Cesare va mostrar com va derrotar a cadascun d’aquests al seu torn mitjançant la ràdio definida per programari i una mica de zel aficionat. No va ser l'única xerrada sobre ràdio definida pel programari. Balint Seeber va explicar a la multitud com va poder escoltar plats de radar de trànsit aeri i rastrejar objectes propers al nivell del sòl. No és tan aterrador, però molt, molt divertit.

Imatge mitjançant l’usuari de Flickr Martin Fisch



7 7. No podem aturar el programari maliciós del govern

Heu sentit a parlar del cuc Stuxnet patrocinat pel govern que sabotejava el programa nuclear d'Iran, els generals xinesos demandats pel nostre govern per pirateria i molt més. El director d’investigació de F-Secure, Mikko Hypponen, va advertir que el programari maliciós patrocinat pel govern ha estat durant més temps del que se n’adona i només augmentarà amb el temps. Amb els recursos d’un estat nació al darrere, aquests atacs poden ser gairebé impossibles de bloquejar. Si penses que el nostre propi govern no s’atacaria tan baix, va recórrer una col·lecció de publicacions laborals de contractistes militars que buscaven específicament programari maliciós i explotaven els escriptors.

Imatge mitjançant l'usuari de Flcikr Kevin Burkett



8 8. Unes lliscadores llisquen targetes de crèdit

Després dels incompliments minoristes de 2013 i 2014, tothom està parlant del llançament actual de targetes xip i PIN. Resulta que a menys que modifiquem el funcionament del processament de pagaments, només tractem un conjunt de problemes per un altre. També vam veure com els dispositius mòbils de punt de venda que gestionen targetes xip i PIN poden estar compromesos mitjançant targetes mal dissenyades. Els atacants només poden fer lliscar una targeta al lector i carregar un troià que recopila PIN al lector mateix. A continuació, una segona targeta canya copia el fitxer que conté la informació recollida. La segona targeta fins i tot podria esborrar el troià, i el minorista pot no ser conscient de l'incompliment! Això és suficient per fer-nos voler tornar a una societat basada en efectiu.

Imatge mitjançant l’usuari de Flickr, Sean MacEntee



9 9. La unitat de xarxa us espia

Recentment hem dedicat molta atenció als encaminadors domèstics i a com els atacants els comprometen. Resulta que els dispositius d'emmagatzematge connectats a la xarxa són igual de problemàtics, si no és més important, segons Jacob Holcomb, de la independència. Va mirar els dispositius NAS de 10 fabricants -Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital i ZyXEL- i va trobar vulnerabilitats en tots ells. Els problemes són problemes defectuosos, com ara la injecció d’ordres, la falsificació de sol·licituds entre llocs, els desbordaments del buffer, les desviacions d’autenticació i les fallades, la divulgació d’informació, els comptes de darrere, la mala gestió de la sessió i el creuament de directoris. Combinant alguns d’aquests problemes, els atacants poden obtenir un control total sobre els dispositius. Què hi ha al vostre NAS?

Imatge mitjançant meravella de l'usuari de Flickr



10 10. Atacs en dispositius mèdics: una qüestió de vida i mort

Ningú de la indústria de la seguretat de la informació va riure de la notícia que els metges de l’exvicepresident Dick Cheney estaven preocupats perquè el marcapasos es piratés. La taula rodona de dispositius mèdics de Black Hat va estudiar com equilibrar la salut dels pacients amb la seguretat. L’últim que volem és la seguretat que alenteixi l’assistència sanitària, on uns segons poden significar la diferència entre la vida i la mort, va assenyalar el moderador Jay Radcliffe. La sòbria comprensió que no podem fer servir només les bones pràctiques de seguretat per a dispositius mèdics ens va seguir a DEF CON, on investigadors de SecMedic van discutir un projecte que examinava les vulnerabilitats de tot tipus de dispositius, inclosos els desfibril·ladors . La part més espantosa? Molts d'aquests defectes es van trobar en una hora amb les eines de codi obert. Ara, realment , no voleu anar a un hospital, oi?

L’usuari de Flickr Phalinn Ooi