Blackhat 2014 flota alto en la burbuja de la ciberseguridad

La versión estadounidense de Blackhat2014 se llevó a cabo en Mandalay Bay, Las Vegas, después de haberse realizado en Caesar’s durante los últimos 15 años. Aunque la ubicación no era central como Caesar’s, el hotel era más espacioso, fácil para moverse, más limpio y, en general, una mejora.

Jeff Moss inspiró a la multitud de Blackhat 2014 con su introducción, y dijo que estamos en una burbuja pasajera. No sólo por fin se está tomando en serio a los encargados de la ciberseguridad, sino que nunca antes habían sido tan importantes y ahora están cerca de la cumbre de su apogeo. Los fabricantes de control de acceso, de dispositivos médicos, productores de automóviles como Tesla, y muchas otras compañías ya no solo escuchan. Están integrando la seguridad en sus procesos de producción, que es un gran avance. Hemos progresado. Pero con esta relevancia, si miramos hacia atrás, ¿en qué hemos contribuido?

En su intensa charla introductoria, Dan Geer pasó por una larga lista de propuestas de políticas para algunos de los retos de la seguridad informática actuales. Aunque no estoy de acuerdo con todo lo que dice, es uno de mis pensadores/oradores/escritores favoritos en el tema y busco sus charlas siempre que puedo. Entre los temas más interesantes estaba la obligación de informar sobre las fallas de seguridad a nivel nacional, los contraataques, resistencia de los programas y el derecho al olvido. Había más, muchos más. Una versión de su texto “Cybersecurity as Realpolitik” está disponible en la red y te advierto que es denso y profundo, así que deberías reservar un poco de tiempo para leerlo.

Dan está a favor de que se obligue a informar sobre las intrusiones de seguridad, como dijo en “Sobreviviendo con frutas envenenadas”, y en que se aumente el apoyo para un régimen de denuncia de fallas de seguridad. Explicó los precedentes de las leyes que obligan a que se comunique al público otro tipo de amenazas y ejemplos básicos de por qué funcionaría. Los informes de enfermedades contagiosas del Centro para el Control y Prevención de Enfermedades (CDC) y el centro anónimo Mitre de informes sobre cuasi-accidentes de aviación son ejemplos claros de sistemas en los que alertar sobre sus propias situaciones de riesgo es tan práctico como beneficioso. Construyó un caso sólido en el que una colección de datos de ciberseguridad puede ser práctica y a la vez valiosa, y es hora de que el gobierno nacional y las entidades relacionadas con el gobierno apoyen las colecciones transparentes y anónimas.

La legitimidad de los contraataques defensivos son algo que Dan descartó por extrañas razones, pero la versión de su texto propone un SÍ LIMITADO. Declaró que, mientras Microsoft y el FBI están logrando contraataques exitosos, las organizaciones más pequeñas no tienen los medios para hacerlo. Esto es extraño, porque los negocios pequeños pueden juntar sus recursos cuando están bajo ataque y existen cooperativas y otras estructuras de acumulación que pueden ayudarlos. La Cámara de Comercio de los Estados Unidos, por ejemplo, es una organización muy poderosa que actúa a favor de las pequeñas empresas, acumulando recursos para cuando los necesiten. La Cámara tiene mucho poder en Estados Unidos, y las compañías pequeñas se benefician con algunas de sus acciones (y tal vez también sufren por otras). Y no abordó la idea de que el contraataque no necesita ser caótico, destructivo o sostenible para poner un fin a muchos de los ataques. Pero detener de forma remota un ataque DDoS de gran escala que se lanzó desde servidores comprometidos no siempre requiere una atribución, y sin duda tampoco necesita soluciones caóticas y destructivas. Puede ser preciso, y la atribución suele ser posible. Todos cometemos errores. Mencionó que la dificultad de la atribución agrava el problema. El mayor problema es que estos incidentes cruzan múltiples jurisdicciones, definiciones de ley y autoridades legales. Y hay partes del mundo en que no se persigue a quienes realizan algunas de las actividades que en otros países serían ilegales.

La postura de Dan en el derecho al olvido revela una cuestión inquietante que recuerda a Foucalt: “He hablado en otros lugares sobre cómo ahora todos somos agentes de inteligencia, recolectando información entre nosotros en representación de los gobernantes”, y asegura que quiere mantener algunos derechos en el mundo digital para defender la privacidad: “Quiero tener la capacidad de elegir si tergiversarme a mí mismo”, dijo. Pero es un alivio escuchar que un pensador líder habla de su deseo y derecho de saltar fuera del panóptico digital.

Los representantes de Kaspersky Lab, Vitaly Kamluk y Sergey Belov; y Anibal Sacco, de Cubica, presentaron “Absolute Backdoor Revisted”, una sorprendente actualización del estado de la seguridad de una utilidad de bajo nivel muy utilizada. Presentaron varios comportamientos inusuales que este programa implementa, cosas que rara vez veo en programas legítimos pero con frecuencia en malware. Después lo explotaron en muchas demostraciones en vivo en las que aprovecharon vulnerabilidades de Absolute Computrace para borrar de forma remota la información de un equipo con Windows 8 x64 nuevo de paquete.

Tantos años deberían haber dado una amplia oportunidad para solucionar problemas graves en los mecanismos de actualización, pero parece que se acaba de comenzar en respuesta a la investigación.

Los servicios web recibieron serios ataques este año. “Pivoting in Amazon Clouds” de Andrés Riancho, fue interesante en vista a los ataques recientes a sitios Elasticsearch en la nube de Amazon, ya que demostraron los problemas de post-explotación que permiten que los atacantes se sumerjan más profundo en la nube. Publicó la herramienta Nimbostratus y un entorno Hacme que le ayudaba con sus pruebas de penetración en el pasado y a comprender el problema de seguridad EC2. Stephen Breen, en “Mobile Device Mismanagement”, comprobó que los sistemas de Administración de Dispositivos Móviles están llenos de problemas de aplicaciones web con SQLi, criptografía débil, trucos de cifrado y estrategias de autentificación personalizada con problemas de diseño.

Por último, si tienes un minuto para alejarte de la diversión de Defcon, revisa el informe de Epic Turla y su Apéndice (pdf en inglés) que GReAT publicó este año en Blackhat.