Esta semana concluyó la conferencia Suits and Spooks Collision DC 2014, y tuve la oportunidad de dar unas charlas en dos paneles: "Explotación de end-points, dispositivos y la Internet de cosas”, y “¿La nube y la virtualización son el sueño o la pesadilla de los atacantes?".
La primera, cuyo nombre original en inglés es "Exploiting End Points, Devices, and the Internet of Things", contó con los panelistas Dave Dittrich, Kurt Baumgartner, Remy Baumgarten, y Roel Schoewenberg por la ausencia de Terry McCorkle’s, quienes sostuvieron que el ambiente tecnológico de las conexiones en tiempo real, la recopilación masiva de datos y la disponibilidad de rutinas diarias automatizadas, es algo completamente nuevo.
Los acontecimientos actuales demuestran que el malware ataca directamente este ambiente, e indirectamente nuestras rutinas diarias.
Todas estas “cosas” como la reciente adquisición de Nest por parte de Google, las “cosas” Nike, las “cosas” Sonos, las “cosas” sobre la atención médica, todas pueden administrarse con las aplicaciones de Android y iPhone, y suponen la dependencia de los smartphones y tablets. Tanto los iPhone como los Android son probadamente inseguros en muchas formas. Nuestra preocupación es que los atacantes se aprovechen de estos dispositivos para penetrar en infraestructuras críticas.
La segunda, cuyo nombre en inglés es "Is the Cloud and Virtualization an Attacker’s Dream or Nightmare?", contó con los oradores, Anup Ghosh, Kurt Baumgartner, y Billy Rios, que se refirieron a que la investigación de este tema reveló fugas de datos de los usuarios “en nube” debido a deficientes auditorías y a aplicaciones de partners para un proveedor masivo del servicio en nube.
También hay desafíos con el mantenimiento, como el borrado de sistemas de archivos y los niveles de requerimientos de seguridad para las aplicaciones web.
El reciente caso en el que openssl.org y .net quedaron comprometidos y su resultante desfiguración, demostró las dificultades en el acceso a la consola de administración del hipervisor y la protección de la autenticación.
Si bien las características del hardware en que se ejecutan los sistemas en la nube pueden dar lugar a su explotación, hay otros frutos mucho más al alcance de los atacantes.
En el lado de la ofensiva, a los atacantes les encanta la nube. La respuesta a incidentes suele verse obstaculizada por los proveedores de servicios en nube, quienes no trabajan con los equipos de expertos que investigan las caídas, los servidores C2 y otros activos de los ciberdelincuentes, al contrario de los propietarios privados que muy posiblemente lo harían. La rápida implementación de otro servidor C2 es muy fácil. Nuestro informe NetTraveller ofrece un ejemplo de las operaciones de ataques dirigidos que alojan una parte de su infraestructura en el país atacado. Y finalmente, la computación en nube ofrece algunas de las plataformas más poderosas y rentables proclives a ser víctima de piratería y ataques masivos.
Algunas de las discusiones sobre la participación de la NSA en el desarrollo de DUAL_EC_DRBG y las varias compañías que lo implementan como algoritmo por defecto en sus productos, fueron muy encendidas pero quedaron inconclusas. Aunque muchos productos incorporan este algoritmo, parece que sólo un puñado lo usa exclusivamente o por defecto. Y la interrogante sobre los casos de usos permanece sin respuesta.
Hubo otras discusiones muy interesantes sobre la utilidad de crear un marco legal para que las organizaciones puedan defenderse eficazmente.
El organizador de la conferencia, Jeffrey Carr, habló sobre su decisión de cancelar su participación en la conferencia RSA de este año. También hizo notar que Blackberry es el propietario de la patente del algoritmo, pero que su respuesta ante la situación es completamente nula.
Hubo una fantástica lista de oradores. Chris Inglis (ex director de NSA), Christopher Hoff from Juniper, Steve Chabinsky de Crowdstrike, ex comandos Navy Seals y ex miembros de la seguridad técnica del servicio secreto de EE.UU., analistas de inteligencia, y otros contribuyeron con sus conocimientos en debates que aclararon y ampliaron temas extraordinarios. Por desgracia la sede sufrió las inclemencias del invierno, lo que creó dificultades en el desplazamiento de los conferenciantes, pero Jeffrey Carr supo sacar adelante una conferencia extraordinaria sobre seguridad informática.
Conferencia Spooks Collision DC 2014