Por Juan Turello. Por momentos, Argentina suele estar aislada del resto del mundo en...
Suscribite al canal de Los Turello.
Por Sergio Mabres. Una vez más los hackers se dieron cita en la conferencia Black Hat USA 2015, realizada en Las Vegas, para aprender unos de otros y tratar varios temas vinculados a la tecnología. La reconocida analista Jennifer Granick dió una charla sobre «El ciclo de vida de una revolución«.
La ponencia de Granick discurre sobre cómo a través del tiempo se esfumaron las esperanzas y sueños que tuvimos al comienzo de esta revolución gracias a las tecnología de la información. Al inicio se la pensaba como niveladora de oportunidades, promotora de nuevas ideas, generadora de políticas y liberadora de males. Pero la actualidad muestra otra cosa: la vigilancia, el software espía, la censura y el robo catastrófico de datos. Esta revolución está en su promedio de vida y, según Granick, si no se hace algo para enderezarla la siguiente etapa promete ser gris, nebulosa y muy triste.
En la nebulosa de la revolución preocupa que los «oportunistas tecnológicos» aprovechen las amenazas que dejan las puertas abierta de Internet de las Cosas, los dispositivos conectados y tecnologías de movilidad. Estas amenazas no solo van a tener implicancias en las empresas sino en la vida de las personas comunes. Los objetivos preferidos para atacar por los hackers podrían ser los automóviles, las plantas industriales, los surtidores de naftas, los servidores con Windows, los teléfonos con Android, los lectores de huella digital y, hasta ayer, las inexpugnables Macs.
A continuación, los principales riegos que se han discutido en Black Hat USA 2015.
Hackeo de plantas químicas
Marina Krotofil una consultora de seguridad europea demostró como dañar y detener totalmente la producción en una planta química. Aunque el hack es complicado y requiere muchas habilidades, la presentación mostró lo débil que son realmente estas plantas y lo peligroso que es la desidia de los responsables de seguridad en sistemas industriales anticuados.
Hackeo de automóviles
Probablemente el riego más difundido antes de la conferencia ha sido la posibilidad de tomar el control de un automóvil inteligente. Hace una semanas Charlie Miller y Chris Valasek explicaron cómo controlar el motor, los frenos y hasta la dirección de una Jeep Cherokee usando la debilidad zero-day. Los detalles ya se conocen por la comunidad de hackers por lo que el consejo sería que espere que el fabricante arregle el problema antes de comprar un automóvil inteligente.
Ataques a las ex inexpugnables Apple Macs
Los dispositivos con Android y Windows Phone son conocidos por sus debilidades a los hackeos. La novedad fue una presentación donde se indicó con lujo de detalles como crear un malware (software malicioso) que se reproduzca e infecte otras Macs. También se mostró como hacer ataques de software al firmware de las Macs, hecho que se considera sólo posible en PC. La presentación terminó indicando los puntos débiles de los dispositivos móviles con iOS 8 (iPhone y iPad) para que la comunidad investigue y termine arruinando los teléfonos de las minorías.
Ataques biométricos
El investigador de seguridad Di Shen, de la empresa Qihoo360, detalló cómo usar las debilidades de la tecnología ARM TrustZone para obtener las imágenes de las huellas digitales almacenadas en dispositivos Android o evitar su lector de huellas, especialmente en los equipos de Huawei con procesador.
La debilidad Pánico Escénico (Stagefright)
Fue noticia la semana pasada; la posibilidad de infectar y tomar control de un dispositivo Android a través de un mensaje multimedia (texto más una foto o video) infectado. La debilidad descubierta por Zimperium zLabs abrió la puerta de controlar un dispositivo con solo saber el número de teléfono. El investigador Joshua Drake determinó que el 95% de los dispositivos son vulnerables.
Ataque a Tarjetas o chips SIM
Sabíamos que la agencia NSA y GCHQ habían robado la contraseña de millones de tarjetas SIM y que usaban esa información para escuchar nuestras llamadas, como así también leer nuestros mensajes de texto. Ahora en una presentación el experto Yu Yu mostró como clonar tarjetas 3G/4G usando análisis diferencial de la potencia y determinar las contraseñas de los SIM en menos de una hora, usando un osciloscopio, un analizador de protocolo MP300-SC2 y un lector de tarjetas. Un clon del SIM de su teléfono le permite a cualquier persona escuchar sus llamadas y leer sus mensajes.
Otros ataques
● A Active Directory de Microsoft y Apple Pay: sólo a expertos preocupo un ataque que se mostró a Active Directory de Microsoft, usando la técnica «Golden Tickets» que le da al atacante una llave maestra de todo el servidor Windows. También se discutió, aunque no se mostró como copiar o clonar dispositivos de pagos móviles basados en NFC como Apple Pay.
● A surtidores de nafta que leen tarjetas de crédito: en el mundo de la Internet de las Cosas (IoT) se demostró cómo con un simple script tomar el control de los surtidores Guardian AST para llenar el tanque de varios vehículos.
● A rifles conectados: se manipuló un rifle conectado hasta el punto de dejarlo inutilizado. El experto Runa Sandvik y Michael Auger demostraron como con ingeniería reversa se puede conocer y modificar al rifle, los sensores, la mira y la programación.