10 ataques de hack más terroríficos de black hat 2014

Black Hat este año fue dos días intensos de sesiones informativas, ya que los investigadores de seguridad demostraron lo fácil que era piratear automóviles, termostatos, comunicaciones satelitales y hoteles. Al mismo tiempo, hubo muchas conversaciones sobre cómo reforzar la seguridad. Las diez propuestas de políticas del discurso de apertura de Dan Geer se centraron en hacer del mundo un lugar mejor al mejorar nuestro enfoque de la seguridad de la información. Entre los problemas que abordó estaban la actual carrera armamentista por vulnerabilidad, el software obsoleto y la necesidad de tratar la seguridad de la información como una profesión. Todos nos fuimos con la cabeza nadando con nuevos hechos, ideas y, sobre todo, preocupaciones. Muchas preocupaciones.

Una de las cosas con las que siempre puede contar en Black Hat es escuchar sobre vulnerabilidades en cosas que ni siquiera pensó que podrían estar bajo ataque. Es tranquilizador saber que estas demostraciones son principalmente académicas y que estos problemas no se están explotando actualmente en la naturaleza. Pero, de la misma manera, es aterrador darse cuenta de que si los presentadores de Black Hat han encontrado los defectos, ¿quién puede decir que alguien más con intenciones mucho más maliciosas (y posiblemente una mejor financiación) no lo ha hecho o no lo hará?

Considere esto: escuchamos sobre hackear cajeros automáticos en Black Hat hace tres años, y los delincuentes finalmente comenzaron a saquear cajeros automáticos en Europa solo este año. Hubo al menos tres sesiones este año sobre cómo se pueden hackear terminales de punto de venta para tarjetas con chip y PIN. Si no escuchamos y aseguramos nuestra infraestructura de pago, en tres años, ¿veremos otra violación de las proporciones similares a Target a través de tarjetas con chip y PIN? Ese es un pensamiento verdaderamente aterrador.

Puede que Black Hat 2014 haya terminado, pero hablaremos de las cosas impactantes que vimos allí durante bastante tiempo. Con suerte, será como lecciones aprendidas que llevaron a implementar soluciones, y no como oportunidades perdidas que condujeron a crímenes terribles.

Aquí está la visión de Security Watch sobre las cosas que vimos en Black Hat que nos mantendrán despiertos por la noche.

1 1. Internet del fracaso

Defender tu computadora o tu teléfono es bastante fácil; solo siga algunos consejos de sentido común e instale un software de seguridad y listo. ¿Pero qué pasa con el Internet de las cosas? En una sesión tras otra, los investigadores mostraron que los dispositivos críticos que se conectaban a Internet eran fácilmente accesibles. El equipo que pirateó el termostato inteligente Nest redujo su ataque a 15 segundos, y ahora están trabajando duro en un ataque por aire. Billy Rios encontró contraseñas predeterminadas codificadas en las máquinas de escaneo obligatorias para su uso en los puntos de control de la TSA en todo el país. Todavía estamos sorprendidos por el truco de 15 segundos.

• 2 2. ¡Hackear aviones, barcos y más!

  Sobre el tema de las puertas traseras, los dispositivos que envían, los aviones, los periodistas y (tal vez) los militares en los que confían para comunicarse tampoco son tan seguros como pensábamos. Ruben Santamarta de IOActive demostró que muchos de estos sistemas tienen puertas traseras, aparentemente para mantenimiento o recuperación de contraseña. A pesar de que supuestamente algunas de las puertas traseras estaban aseguradas, pudo eludir las salvaguardas. El ataque que golpeó más cerca de casa fue, como era de esperar, la afirmación de Santamarta de que podía piratear aviones usando Wi-Fi a bordo. Estaba claro que esto no le permitiría "estrellar aviones", pero también señaló que las comunicaciones críticas se ejecutan a través de este mismo sistema. En su charla, pirateó una baliza de emergencia náutica para mostrar una máquina tragamonedas de video en lugar de un SOS. Considera el mismo tipo de pirateo en tu jumbo jet, y te haces una idea de lo preocupante que puede ser.



3 3. Robar contraseñas con Google Glass, Smartwatches, Smartphones y videocámaras

Hay muchas formas de robar una contraseña, pero un enfoque novedoso permite a los malos (o una agencia gubernamental) discernir sus pulsaciones de teclado sin ver su pantalla o instalar malware. Un presentador de Black Hat mostró su nuevo sistema que lee automáticamente las contraseñas con una precisión del 90 por ciento. Incluso funciona cuando el objetivo está al nivel de la calle y el atacante cuatro pisos arriba y al otro lado de la calle. El método funciona mejor con videocámaras digitales, pero el equipo descubrió que los teléfonos inteligentes, los relojes inteligentes e incluso Google Glass podrían usarse para capturar videos utilizables a corto alcance. Agujeros de vidrio, de hecho!

Imagen vía el usuario de Flickr Ted Eytan.



4 4. Olvídese de MasterKey, Meet Fake ID

Jeff Forristal llamó la atención el año pasado cuando reveló la llamada vulnerabilidad MasterKey que podría permitir que las aplicaciones maliciosas se hicieran pasar por legítimas. Este año, regresó con Fake ID, que aprovecha las fallas fundamentales en la arquitectura de seguridad de Android. Específicamente, cómo las aplicaciones firman certificados y cómo Android procesa esos certificados. El resultado práctico es que con una aplicación maliciosa que no requiere permisos especiales, Forristal pudo inyectar código malicioso en cinco aplicaciones legítimas en un teléfono. A partir de ahí, tuvo acceso profundo y una visión de lo que estaba haciendo el teléfono infectado.

Imagen vía el usuario de Flickr JD Hancock



5 5. Un USB malvado podría apoderarse de su PC

Has oído que las unidades USB pueden ser peligrosas si no desactivas la reproducción automática. La última amenaza basada en USB es mucho peor. Al piratear el firmware de la unidad USB, un par de investigadores lograron una gran variedad de pirateos en máquinas con Windows y Linux, incluido el equivalente de un virus del sector de arranque. Su dispositivo USB trucado emuló un teclado USB y ordenó a un sistema de prueba que descargara malware. Ofreció un falso concentrador de Ethernet en otra prueba, por lo que cuando la víctima visitó PayPal en el navegador, en realidad fue a un sitio de imitación de PayPal que robaba una contraseña. Este no fue un mero ejercicio teórico; demostraron estos y otros hacks en el escenario. ¡Nunca volveremos a ver un dispositivo USB de la misma manera!

Imagen vía el usuario de Flickr Windell Oskay



6 6. ¿Tiene radio? ¡Hackéelo!

La radio puede parecer una tecnología anticuada en la era de Internet, pero sigue siendo la mejor manera para que dispositivos como monitores para bebés, sistemas de seguridad para el hogar y arrancadores remotos de automóviles transmitan información de forma inalámbrica. Y eso lo convierte en un objetivo principal para los hackers. En una charla, Silvio Cesare mostró cómo derrotó a cada uno de ellos usando la radio definida por software y un poco de celo aficionado. La suya no fue la única charla en la radio definida por software. Balint Seeber le dijo a una multitud cómo pudo escuchar los platos del radar de tráfico aéreo y rastrear objetos cerca del nivel del suelo. No es tan aterrador, pero muy, muy genial.

Imagen vía el usuario de Flickr Martin Fisch



7 7. No podemos detener el malware del gobierno

Usted ha oído hablar del gusano Stuxnet patrocinado por el gobierno que saboteó el programa nuclear de Irán, los generales chinos demandados por nuestro gobierno por piratería, y más. El Director de Investigación de F-Secure, Mikko Hypponen, advirtió que el malware patrocinado por el gobierno ha existido por más tiempo de lo que cree y solo aumentará con el tiempo. Con los recursos de una nación-estado detrás de ellos, estos ataques pueden ser casi imposibles de bloquear. Para que no piense que nuestro propio gobierno no se rebajaría tanto, hojeó una colección de ofertas de trabajo de contratistas militares que buscan específicamente malware y escritores de exploits.

Imagen vía el usuario de Flcikr Kevin Burkett



8 8. One Swipe piratea lectores de tarjetas de crédito

Después de las infracciones minoristas de 2013 y 2014, todo el mundo habla sobre el lanzamiento actual de las tarjetas con chip y PIN. Resulta que a menos que cambiemos el funcionamiento del procesamiento de pagos, solo estamos cambiando un conjunto de problemas por otro. También vimos cómo los dispositivos móviles de punto de venta que manejan tarjetas con chip y PIN pueden verse comprometidos al usar tarjetas creadas con fines maliciosos. Los atacantes pueden simplemente deslizar una tarjeta en el lector y cargar un troyano que recolecta los PIN en el lector. Una segunda tarjeta maliciosa copia el archivo que contiene la información recolectada. ¡La segunda tarjeta podría incluso eliminar el troyano, y el minorista podría nunca estar al tanto de la violación! Esto es suficiente para casi hacernos querer volver a una sociedad basada en efectivo.

Imagen vía el usuario de Flickr Sean MacEntee



9 9. Su unidad de red lo está espiando

Recientemente hemos centrado mucha atención en los enrutadores domésticos y en cómo los atacantes los comprometen. Resulta que los dispositivos de almacenamiento conectados a la red son igual de problemáticos, si no más, según Jacob Holcomb de Evaluadores de seguridad independientes. Observó los dispositivos NAS de 10 fabricantes: Asustor, TRENDnet, QNAP, Seagate, Netgear, D-Link, Lenovo, Buffalo, Western Digital y ZyXEL, y encontró vulnerabilidades en todos ellos. Los problemas son fallas comunes, como la inyección de comandos, la falsificación de solicitudes entre sitios, desbordamientos de búfer, omisiones y fallas de autenticación, divulgación de información, cuentas de puerta trasera, gestión de sesión deficiente y recorrido de directorio. Al combinar algunos de estos problemas, los atacantes pueden obtener un control total sobre los dispositivos. ¿Qué hay en su NAS?

Imagen a través del usuario de Flickr wonderferret



10 10. Ataques a dispositivos médicos: una cuestión de vida o muerte

Nadie en la industria de seguridad de la información se rió de la noticia de que los médicos del ex vicepresidente Dick Cheney estaban preocupados por el pirateo de su marcapasos. La mesa redonda de dispositivos médicos en Black Hat analizó cómo equilibrar la salud del paciente con la seguridad. Lo último que queremos es seguridad que ralentice la atención médica, donde los segundos pueden significar la diferencia entre la vida y la muerte, señaló el moderador Jay Radcliffe. La comprensión sobria de que no podemos usar las mejores prácticas de seguridad normales para dispositivos médicos nos siguió a DEF CON, donde los investigadores de SecMedic discutieron un proyecto que examinaba vulnerabilidades en todo tipo de dispositivos, incluidos los desfibriladores . ¿La parte más aterradora? Muchos de estos defectos se encontraron en una hora, utilizando herramientas de código abierto. Ahora realmente no quieres ir a un hospital, ¿verdad?

Vía usuario de Flickr Phalinn Ooi