News

EuSecWest 2012: Eso que llevas en el bolsillo

AMSTERDAM.- Como parte de mi trabajo de monitoreo de las tendencias y amenazas contra la seguridad informática para el equipo mundial de investigación de Kaspersky Lab, me veo expuesto a una saludable dosis de paranoia de parte de los investigadores “white hat”, para los que el hackeo de los modernos sistemas operativos y plataformas es algo trivial.

Después de algunos días de charlas con los autores de exploits, me encuentro apretando mi laptop contra mi pecho y dando constantes vistazos a mi teléfono móvil para asegurarme de que no ocurre nada fuera de lo común.

Toda esta paranoia tiene sentido. Sólo hay que prestar atención a las lecciones de los desafíos Pwn2Own organizados por los amigos de CanSecWest/EuSecWest (hay que agradecer a Dragos Ruiu por informar sobre acontecimientos claves) para obtener una visión real de por qué resulta casi imposible mantener a raya a un adversario motivado.

Esta semana he tenido la oportunidad de entrevistar a equipos de hackers que usaban vulnerabilidades tipo día-cero y astutas técnicas de explotación para hackear iPhone4S y Android 4.0.4 (Samnsung S3) con todos sus parches de seguridad instalados, y su mensaje fue muy simple: no uses tu dispositivo móvil para nada de valor, especialmente para el correo del trabajo o para enviar documentos corporativos confidenciales.

Para muchos, este no es un consejo práctico. Después de todo, tu dispositivo móvil es una extensión del ordenador y hay una necesidad legítima de acceder al correo corporativo desde teléfonos inteligentes iPhone/iPad, Android o Blackberry. Sin embargo, ya seas un empresario, una celebridad o un consumidor corriente, es importante empezar a pensar que hay que separar el ocio y el negocio en los dispositivos móviles.

No cabe duda de que los antiexploits, como ASLR y DEP, difícultan que los hackers penetren en las plataformas móviles, pero con el tiempo son cada vez más fáciles de evitar. El equipo de hackers de Certified Secure me comentó que les tomó menos de tres semanas hackear el iPhone 4S, incluyendo la búsqueda de una vulnerabilidad y la creación de un exploit limpio que evitara las barreras antiexploit. Su motivación: Publicidad y un premio de 30.000 $.

La motivación que mueve a los atacantes maliciosos, ya sea ciberespionaje gubernamental o APTs contra corporaciones o activistas políticos, es mucho más poderosa. Como comprobamos aquí, un hacker experto puede enviar un exploit mediante NFC para abrir de forma automática un documento maliciosamente instalado en tu dispositivo Android. Unos cuantos trucos de explotación más, y se acabó el juego.

En el iPhone, con su sistema operativo aclamado como el más seguro, WebKit sigue siendo una pesadilla de seguridad y un blanco preferido de los hackers creadores de exploits de descargas al paso, o drive-by. Hay varias formas de burlar el código de acceso y la caja de arena de Apple.

El hecho de que las tres principales plataformas (iOS, Android y Blackberry) usen WebKit y que todas tengan problemas con los parches para las vulnerabilidades de WebKit, no deja de ser una gran preocupación.

Particularmente me impresiona el enfoque de RIM con ”Balance”, la tecnología que separa y protege la información personal y corporativa en los dispositivos Blackberry. Al separar los aspectos corporativos y personales, RIM ofrece mayor control sobre el acceso de las aplicaciones personales a las aplicaciones y datos corporativos. “Balance” asegura que la información corporativa se mantenga protegida y separada, que las aplicaciones personales del usuario no accedan a su información corporativa, y que no se pueda copiar ni pegar en aplicaciones personales o mensajes de correo.

”Balance” no es perfecto y estoy seguro de que un investigador astuto encontrará la manera de vulnerarla, pero representa la forma correcta de pensar sobre la seguridad de la información en plataformas móviles. Si podemos mantener las aplicaciones Angry Birds, Facebook y Twitter alejadas de nuestros informes de ventas y archivos Excel, vamos a sentirnos más tranquilos sobre eso que llevamos en nuestros bolsillos.

Si hay información que de ninguna manera debe caer en manos de los ciberdelincuentes (fotos personales, mensajes de correo y SMS), entonces no la guardes en un dispositivo móvil que sea fácil de hackear.

Recuerda las sencillas recomendaciones, como tener un sólido código de acceso, desinstalar los programas bloatware en dispositivos Android, mantener siempre actualizados el sistema operativo móvil y las aplicaciones instaladas en el dispositivo, y tratar de mantener separadas la vida personal de la laboral.

Es importante comprender que cada vez que manipulas los datos en tu dispositivo móvil, corren el riesgo de ser hackeados (por ejemplo, en un ataque masivo mediante una red de avisos publicitarios comprometida), por lo que debes tratar de minimizar los riesgos.

EuSecWest 2012: Eso que llevas en el bolsillo

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada