Category: Artículos


images

A medida que emergen de los laboratorios y se integran al mundo real, las computadoras cuánticas resultarán muy útiles para la humanidad, sin lugar a duda. No sustituirán a las máquinas convencionales, pero toda vez que se trate de optimizar tareas y cálculos estadísticos, superarán a sus antecesoras. Desafortunadamente, la revolución no se limitará a investigar nuevas medicinas y a desarrollar aviones más avanzados, sino que incluirá la violación del cifrado computacional. Puede que pasen entre cinco y veinticinco años antes de que dichos métodos de hackeo se vuelvan viables, pero ten por seguro que existen datos cifrados en el mundo que necesitan permanecer protegidos durante ese tiempo y posteriormente. Por ello, las grandes empresas y las dependencias gubernamentales necesitan prepararse ahora para el futuro cuántico.

El principal obstáculo para esa preparación en el cifrado de la era cuántica es la ausencia de estándares claros. La comunidad global de criptógrafos ya ha desarrollado varios algoritmos prometedores que resistirán los ataques cuánticos; sin embargo, estos algoritmos tienen que pasar las pruebas y la verificación en varias etapas. La resistencia de los algoritmos debe ser verificable no solo frente a ataques cuánticos sino también convencionales. Debe determinarse cuáles son los más rápidos y eficientes en términos de recursos, de modo que puedan usarse en los dispositivos, como aquellos del IdC, que tienen una potencia computacional limitada; y sus parámetros (por ejemplo, longitud de la clave, etc.) tendrán que encontrar equilibrio óptimo entre la fiabilidad y el desempeño.

Pero esto es apenas un comienzo en el cifrado de la era cuántica. Los estándares existentes de comunicación (por ejemplo, TLS) tendrán que integrar los algoritmos y tendremos que establecer reglas para que los nuevos cifrados coexistan con los pasados. Este trabajo tomará algunos años, claramente. ¿Qué deben hacer mientras tanto los desarrolladores de aplicaciones y plataformas, los fabricantes de coches autónomos y los guardianes de datos estratégicos?

Durante la RSAC 2020, una mesa de expertos en criptografía vio la solución en la “agilidad criptográfica.” Dicho de modo sencillo, si actualmente estás desarrollando o dando soporte al cifrado de datos o al sistema de hash, no establezcas restricciones estrictas. Asegúrate de que los algoritmos de cifrado en uso se puedan actualizar y permite un ajuste amplio a los tamaños de la clave y el búfer. En síntesis, permite que el sistema tenga un espacio para crecer. Esto es especialmente importante para las soluciones integradas o de IdC, porque dichas tecnologías necesitan mucho tiempo para implementarse y décadas para modernizarse. Así, si compras un nuevo sistema, pregunta a los desarrolladores acerca de la criptoagilidad.

 

Ciclo de vida de la criptografía: seguridad del algoritmo con el tiempo. Fuente.

Si la ignoran, será un verdadero fastidio tener que eliminar los algoritmos de cifrado obsoletos e insertar otros nuevos. Un buen ejemplo lo da Brian LaMacchia de Microsoft. Cuando estuvo claro que el código hash MD5 podía ser violado y que ya no era adecuado para generar firmas digitales, Microsoft decidió prescindir de él. Una auditoría extensa reveló que los productos de la empresa contenían cerca de 50 versiones independientes del código de cálculo de MD5, y cada una tuvo que ser eliminada por separado. En consecuencia, el proceso tomó cerca de dos años para completarse.

Otro problema potencial que probablemente se agudice a medida que los algoritmos tradicionales se vean reemplazados por aquellos a prueba de ataques cuánticos es la carencia de memoria para almacenar las claves. Si los desarrolladores de tu sistema decidieron en algún momento que un búfer de 4096 bits era suficiente espacio de almacenamiento de clave para cualquier algoritmo de cifrado, entonces tendrás serias dificultades al implementar el cifrado poscuántico, incluso si los nuevos sistemas son compatibles con la incorporación de nuevos algoritmos.

Para comprobar la criptoagilidad de tus sistemas, intenta implementar soluciones criptográficas basadas en aquellos algoritmos que se disputen el título de estándar oficial de cifrado poscuántico. Muchos algoritmos de cifrado y protocolos incipientes se encuentran disponibles a través del proyecto Open Quantum Safe. Además del código fuente de los propios algoritmos, el sitio ofrece compilaciones preconcebidas de los productos populares de software como OpenSSL y una versión del poscuántica de OpenVPN, hecha por Microsoft.

Fuente | Kaspersky

vehicle_hacking1

El año 2016 ya se conoce como “el año del ransomware“, una amenaza que se ha ganado su fama a pulso. Pero, ¿qué puede ocurrir cuando metemos en la batidora este tipo de amenaza junto con el concepto de Internet de las cosas (IoT)? Aquí tenemos un ejemplo.

> ¿Qué es el jackware?

Podemos definir el jackware como un tipo de software malicioso que intenta tomar el control de un dispositivo cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital, sino un elemento conectado a internet para añadir y/o aumentar sus funcionalidades. Un automóvil, por ejemplo, podría ser uno de estos elementos.

Muchos de los automóviles que existen hoy en día llevan a cabo una gran cantidad de tareas de procesamiento de datos y comunicación; sin embargo, su objetivo principal es llevarte desde el punto A hasta el punto B. Por lo tanto, podemos pensar en el jackware como una forma especializada de ransomware. En el ransomware normal, como Locky y Cryptolocker, el código malicioso cifra los documentos del equipo y exige el pago de un rescate para desbloquearlos. De forma similar, el objetivo del jackware es bloquear un automóvil u otro dispositivo hasta que pagues el rescate.

Pese a que jackware, aparentemente, todavía se encuentra en su etapa teórica, todo hace pensar que será una de esas amenazas que deberemos afrontar a futuro si nos basamos en experiencias pasadas. Ya hemos visto que una empresa automotriz puede vender más de un millón de vehículos con vulnerabilidades que podrían haber sido objeto de ataques de jackware (Jeep, Fiat, Chrysler, etc.)

Sin embargo, la aparente falta de planificación para corregir vulnerabilidades en el diseño del vehículo es igual de grave. En otras palabras, una cosa es vender un producto digital en el que más tarde se descubren errores (de hecho, esto es prácticamente inevitable), pero otra muy distinta y mucho más peligrosa es vender productos digitales sin un medio rápido y seguro de corregir estas posibles vulnerabilidades.

Y aunque la mayoría de las investigaciones y los debates sobre el hacking de automóviles se centran en los problemas técnicos de los vehículos, es importante darse cuenta de que una gran cantidad de dispositivos digitales y de tecnologías del IoT requieren un sistema de soporte que va mucho más allá del propio dispositivo.

Encontramos este problema el año pasado con VTech, un dispositivo de juegos perteneciente a la Internet de las cosas para niños. La seguridad insuficiente del sitio web de la empresa expuso gravemente los datos personales de los niños, recordándoles a todos la gran cantidad de superficies de ataque que crea el IoT. También nos encontramos con este problema de infraestructura a principios de año, cuando se comprometieron algunas cuentas de usuarios de Fitbit (para ser claros, los dispositivos de Fitbit en sí no fueron atacados; Fitbit parece tomarse en serio la privacidad).

Entonces, ¿qué tiene que ver todo esto con los automóviles? Pensemos en el caso reciente de las vulnerabilidades encontradas en la aplicación web de servicios online para ConnectedDrive de BMW. Hay una gran cantidad de aspectos interesantes de IoT relacionados con ConnectedDrive. Por ejemplo, puedes utilizar el servicio para regular la calefacción, las luces y el sistema de alarma de tu casa “cómodamente, desde el interior de tu vehículo“.

La posibilidad de que las funcionalidades y la configuración de un sistema propio de un vehículo se puedan administrar en forma remota a través de un portal que podría ser comprometido es, como mínimo, inquietante.  Y las quejas por el diseño poco seguro de los automóviles inteligentes nos siguen llegando, como desde Mitsubishi con Wi-Fi o la posibilidad de robar automóviles tras acceder a su radio en las marcas BMW, Audi y Toyota.

> Cómo detener el jackware

Para detener el desarrollo y despliegue del jackware deben ocurrir varias cosas en dos ámbitos diferentes de la actividad humana. El primero es el técnico; recordemos que implementar la seguridad en una plataforma automotriz constituye un reto considerable.

Pensemos tan solo en la capacidad de procesamiento y ancho de banda que requieren las técnicas tradicionales de seguridad, como el filtrado, el cifrado y la autenticación. Esto conlleva una sobrecarga de los sistemas, algunos de los cuales necesitan operar con una latencia muy baja. Las técnicas de seguridad como las barreras de aire y la redundancia tienden a incrementar considerablemente el costo de los vehículos. Y sabemos que el control de costes ha sido siempre un requisito fundamental para los fabricantes de automóviles, que cuidan hasta el último céntimo.

El segundo ámbito es en el de la política y el establecimiento de medidas. Las perspectivas no son nada buenas, ya que hasta ahora el mundo ha fracasado estrepitosamente cuando se trata de disuadir los delitos cibernéticos. Estamos presenciando un fracaso colectivo internacional para prevenir el establecimiento de una infraestructura criminal próspera en el ciberespacio, que ahora ya está amenazando a todos los tipos de innovaciones en tecnología digital, desde la telemedicina hasta los drones, los grandes grupos de datos y los vehículos que se manejan en forma automática.

El ransomware se está extendiendo de forma descontrolada. Cientos de miles de personas ya han desembolsado millones de euros a cibercriminales para recuperar el uso de sus propios archivos y/o dispositivos. Y todas las señales indican que el ransomware seguirá creciendo en escala y alcance. Las primeras variantes de ransomware no eran capaces de cifrar las imágenes del sistema y las unidades de backup conectadas, por lo que algunas víctimas lograban recuperarse con bastante facilidad. Sin embargo, ahora también existe ransomware que cifra o elimina las imágenes del sistema, y que busca incansablemente las unidades de backup conectadas para cifrarlas también.

En un primer momento, los delincuentes que se dedicaban al ransomware se aprovechaban de las víctimas que hacían clic en enlaces de correos electrónicos, abrían archivos adjuntos o visitaban sitios infectados. Pero ahora también utilizan técnicas como la inyección SQL para entrar en la red de una organización específica y luego propagan estratégicamente el ransomware hasta llegar a los servidores (muchos de los cuales ni siquiera están protegidos con un programa antimalware).

Aunque cada día siguen produciéndose nuevos ataques, se han realizado muy pocas actuaciones legales en contra de los atacantes. Teniendo en cuenta los desafíos técnicos a los que habrá que enfrentarse para proteger los vehículos cada vez más conectados y la falta de progreso aparente en la disuasión de la delincuencia cibernética, las perspectivas del jackware no son nada buenas (a menos que seas un delincuente y estés planificando tus actividades a largo plazo).

> Conclusiones

Se podría argumentar que la razón por la que el jackware todavía no es algo común es simplemente porque aún no es el momento correcto. Después de todo, no hay tanta necesidad de pasar a otra cosa cuando el ransomware de cifrado tradicional sigue cumpliendo su función.

En este momento, el jackware automotriz es solo un “proyecto futuro” para los delincuentes informáticos. Técnicamente aún falta recorrer un buen trecho, por lo que los automóviles del mañana quizás estén mejor protegidos; sobre todo si FCA aprendió algo del hacking de su Jeep y VW, del escándalo con las pruebas de emisiones diesel; y si el programa de recompensas de errores de GM llega a funcionar; y si la infraestructura de soporte para vehículos conectados se crea teniendo en cuenta la seguridad.

Fuente | We live Security

En esta alianza participan investigadores y compañías líderes en el sector

Ni los gobiernos ni los ciudadanos aún están concienciados de lo importante que será velar por la seguridad informática de sus ciudades para evitar graves problemas. La iniciativa ‘Securing Smart Cities’ pretende crear conciencia y trabajar, desde ya mismo, para defender las ciudades inteligentes del futuro ante posibles ataques.

La ciudad ha quedado a oscuras, cunde el pánico, solo se escuchan sirenas y gritos. Hay accidentes de tráfico en cada esquina, han saltado las alarmas por inundación, el metro ha colapsado, miles de personas se aglomeran en las calles desorientadas y sin saber muy bien qué ocurre. Podríamos estar hablando de una ciudad propensa a sufrir desastres naturales, pero, si así fuera, sus autoridades tendrían planes de emergencia para controlar una situación crítica. También habrían hecho simulacros para que los ciudadanos supieran actuar en el momento del caos.

Pero, ¿y si ese caos no lo hubiera provocado un terremoto ni un tsunami? ¿Y si esa situación casi apocalíptica hubiera sido provocada por un ciberataque a gran escala? Aunque pocos sean conscientes del peligro, cada vez es mayor el número de tecnologías que se implementan en nuestras ciudades, casi siempre sin un plan de emergencia asociado que permita actuar ante un ataque o en el caso de que un sistema critico fallara.

Ahora son la excepción, pero en un futuro no muy lejano las ciudades inteligentes serán la norma. Trabajar desde ya en mecanismos de seguridad es una cuestión imprescindible. Defenderlas, blindarlas y hacer que los gobiernos tengan en cuenta la faceta digital de la seguridad es el objetivo de Securing Smart Cities, una iniciativa global y sin ánimo de lucro que pretende hacer frente a los problemas que podrían enfrentar estas ciudades incluso antes de que existan.

En la alianza participan investigadores, organizaciones y compañías punteras en seguridad informática entre las que se encuentran IOActive, Kaspersky Lab, Bastille y Cloud Security Alliance. Ha sido impulsada por el ‘hacker’ argentinoCésar Cerrudo, después de publicar un estudio (‘An Emerging US (and World) Threat: Cities Wide Open to Cyber Attacks‘) en el que recopila toda una serie de problemas que pueden darse (y ya se han dado) en las ciudades que no invierten lo que deberían en ciberseguridad.

“Me di cuenta de que necesitaba hacer algo para mejorar esto”, explica Cerrudo. Según el investigador, muchas de las ciudades que se preparan para convertirse en inteligentes están empezando a invertir en soluciones y en productos de seguridad, pero ” no se están enfocando en las causas de los problemas ni en prevenirlos”. A su juicio, producir parches puntuales y no atacar la base del problema es un gran error. Hay que buscar soluciones reales.

> LUCES FUERA

Varias ciudades de todo el mundo han implantado o planean implementar todo tipo de dispositivos relacionados con la energía inteligente, capaces de regular el consumo de las farolas teniendo en cuenta factores como la hora, la cantidad de luz natural o el lugar en que se encuentran. Un cibercriminal que se proponga causar daño a través de estos dispositivos podría alterar la actividad normal del alumbrado público.

Con luces interconectadas unas con otras que se pueden manejar de forma centralizada podrían dejar toda una ciudad sin energía o causar apagones en sectores determinados. “Cuando una ciudad no tiene energía es como cuando una persona se va quedando sin sangre”, afirma Cerrudo. “No puede hacer nada porque todo depende de ello”.

¿Te imaginas lo que podría suceder si las carreteras se quedaran completamente a oscuras?

Según la investigación del ‘hacker’, muchos sistemas de alumbrado público inalámbrico – con problemas evidentes de cifrado – se están empezando a utilizar en ciudades de todo el mundo. En la misma línea, los investigadores españoles Alberto García y Javier Vázquez descubrieron en 2014 que los contadores inteligentes de una importante compañía que opera en España eran vulnerables y cualquiera con los conocimientos adecuados podría controlarlos.

> ACCIDENTES MASIVOS

Atacar los sistemas inteligentes que controlan (o controlarán) el tráfico – semáforos, cámaras y todo tipo de pantallas señalizadoras – tampoco es un escenario de ciencia ficción. El propio Cerrudo descubrió que cerca de 200.000 dispositivos relacionados con el tráfico de ciudades como Washington DC, Nueva York, Seattle, San Francisco, Londres, Lyon o Melbourne eran vulnerables, no estaban cifrados y, por tanto, cualquier atacante podría controlarlos a su antojo.

Si esos sistemas dejaran de funcionar o comenzaran a comportarse de forma inusual, “en ciudades con mucha población y tráfico generaría el caos”, afirma el investigador. Los coches no podrían circular debidamente, y se producirían atascos o accidentes, solo con modificar un semáforo. ” Un simple problema en una esquina se puede propagar a muchos kilómetros”.

Si además un ciberdelincuente logra vulnerar las cámaras de vigilancia de una ciudad, las autoridades no podrán ver qué está pasando. “Se quedarán ciegas”. Además, Cerrudo nos recuerda que muchas localidades emplean cámaras del mismo fabricante: si una se ve comprometida, lo están todas.

Está probado que los sistemas de control del tráfico pueden tener vulnerabilidades

Está probado que los sistemas de control del tráfico pueden tener vulnerabilidades

El caos podría desatarse no solo por un ciberataque, sino también por culpa de algún fallo en una infraestructura crítica. En 2012, un error informático en California citó a 1.200 personas a declarar en el mismo juzgado y en la misma mañana. Todos intentaron llegar a tiempo a la cita, a las ocho de la mañana, pero lo único que consiguieron fue crear un gran atasco en las carreteras principales. También en California, en 2013, un problema informático provocó el cierre del metro de San Francisco durante toda una noche, lo que afectó a 19 trenes y dejó a cerca de 1.000 pasajeros atrapados en su interior.

No son situaciones hipotéticas que puedan darse en una futura ciudad inteligente: es algo que ya ha ocurrido con programas informáticos sencillos cuando no se había implementado una correcta estrategia de seguridad.

> APLICACIONES LOCAS

La situación podría ser aún más apocalíptica si alguien decidiera atacar un gran número de diferentes tipos de sensores inalámbricos, “que son el punto clave de estas ciudades, pues son los que están enviando continuamente a los sistemas [en tiempo rea] información para que tomen decisiones”. Por ejemplo, los atacantes podrían simular terremotos, derrumbes en puentes o túneles, inundaciones y desatar un pánico generalizado en base a una falsa alarma.

Si una ciudad es propensa a sufrir inundaciones, un cibercriminal podria manipular ciertos sensores encargados de controlarlas (de avisar, prevenir y anticipar) para que envíen información falsa a los sistemas, provocando que expertos y ciudadanos piensen – aunque sea por un momento – que una parte de la ciudad se está inundando.

Ahora que hay aplicaciones para casi todo, las que se encargan de enviar advertencias podrían informar a sus usuarios sobre las medidas deben tomar, haciendo que el impacto sea aún mayor. A través de esas ‘apps’, en un contexto más cotidiano, se podría hacer llegar al ciudadano el bulo de que su autobús va a retrasarse varias horas, forzando que decida coger el coche para desplazarse de un lugar a otro. Cientos o miles de personas tomarían simultáneamente la misma decisión.

Las aplicaciones móviles también pueden ser manipuladas para confundir a los ciudadanos

En tiempos de la ciudad inteligente, los atacantes no tendrían que actuar a ciegas. Pueden basarse en datos reales que las autoridades ponen a disposición de desarrolladores y ciudadanos a través de portales públicos. De esta forma, gracias al llamado ‘open data’, un cibercriminal puede saber exactamente cuándo va a llegar un autobús, en qué momentos el tráfico es más intenso o en qué lugares hay una aglomeración mayor de peatones. Información de acceso libre que puede ser utilizada para planear y coordinar ataques.

Además, algunas de las vulnerabilidades aparecen, según Cerrudo, por la intersección entre tecnología antigua y tecnología nueva. Lo explica con el ejemplo del Burj Khalifa, un rascacielos de Dubai que, a pesar de estar entre los más ‘inteligentes’ del mundo, utiliza como sistema operativo el viejo Windows XP, que ya no tiene soporte técnico de Microsoft. Su inseguridad hace difícil (casi imposible) proteger debidamente el edificio.

Los fabricantes deberían preocuparse más por sus productos

Lo más preocupante desde el punto de vista de los investigadores es que un incidente aislado puede descencadenar todo un efecto dominó. ” Un problema pequeño en un susbistema puede tener un efecto impredecible en toda la ciudad”, dice Cerrudo. Hay tres especialmente relevantes – los que regulan el tráfico, los que se encargan de las comunicaciones y los que gestionan el suministro eléctrico – y están interconectados. Por ejemplo, si un tranvía tiene que pasar por una calle, los semáforos deberán ponerse en rojo para permitirle el acceso. Si alguien modificara esos semáforos, el convoy no pararía y podría provocar un accidente.

Si las ciudades no están invirtiendo cómo deberían en seguridad informática, de acuerdo con Cerrudo, es por falta de conocimiento. “Además, no hay un reclamo por parte de la ciudadanía, no lo ven como un problema porque aún no son comunes los ataques a sistemas de la ciudad”. Sin embargo, “el ciberterrorismo podría estar a la vuelta de la esquina”. No pretende hacer que cunda el pánico, pero el investigador señala que también los grupos extremistas reclutan a gente capacitada, con estudios universitarios, y pueden utilizar sus habilidades para conseguir sus objetivos.

“Cuando los terroristas tengan gente capacitada para lanzar ciberataques de gran impacto no dudo que lo vayan a hacer”, sentencia César. Que lo consigan o no dependerá en buena medida de lo preparadas que estén las ciudades para evitar que sus infraestructuras y sistemas informáticos sean atacados.

Fuente | Hojaderouter

A %d blogueros les gusta esto: