Black Hat, 15 años hablando de seguridad

Un año más el congreso Black Hat vuelve a celebrarse para poner sobre la mesa los problemas más acuciantes de la industria de la seguridad.

1. Black Hat cumple 15 años

Esta semana ha vuelto a celebrarse el Black Hat, la conferencia de seguridad que se estrenó hace justo 15 años. Algo más de 8.000 de los mejores investigadores del mundo se han dado cita en Los Angeles para hablar de seguridad, hackers y ciberdelincuentes, que este año han estado muy ocupados.

Se ha definido al Black Hat como un “gran espejo” en el que se reflejan las tendencias de seguridad que despiertan más conciencia pública, incluida la prevención de pérdida de datos la recuperación de desastres y la continuidad del negocio.

Y una de las amenazas más importantes tiene que ver con los sistemas industriales. Durante el primer día del congreso se advirtió que los PLC (progammable logic controllers) de Siemens, no son sino una indicación de un problema mucho mayor en los sistemas industriales. Un panel de expertos aseguró que  la mayoría de los vendedores de estos sistemas no proporcionan protección, ni siquiera mínima, a los mismos, aunque el problema real es que la mayoría de los appliances industriales están basados en plataformas con décadas de antigüedad que nunca estuvieron diseñados para ofrecer soporte a infraestructuras de redes sofisticadas. De forma que solucionar el problema va mucho más allá de lanzar algunos boletines de seguridad y algunas recomendaciones a los administradores.

Intentando limitar lo negativo, el panel de expertos aseguró que aunque las infraestructuras son vulnerables, el número y variedad de los sistemas PLC hace que comprometer enteramente una fábrica o una región sea extremadamente difícil.

En el caso de Stuxnet, el gusano que develó los problemas que existían con los sistemas industriales, se explicó que los atacantes se habían especializado y habían estudiado minuciosamente sus objetivos y que sabían cómo acceder a toda la infraestructura de la fábrica.

Pero las amenazas de los sistemas industriales han centrado una atención limitada en el Black Hat, donde también se ha hablado de la botnet Rustock, de la seguridad de Mac o de la neutralidad de la red.



2. Recordado la caída de Rustock

La conferencia Black Hat de este año ha recibido con interés la presencia de Julia Wolf y Alex Lanstein, dons investigadores de FireEye que ayudaron en la desarticulación de la botnet Rustock, que con los añlos se había hecho más sofisticada y eficiente, han asegurado ambos.

A primeros de este año se anunciaba la caída de la botnet Rustock después de que una serie de servidores de comando y control sospechosos fueran anulados. Esta acción dejó fuera de línea una red de malware que había demostrado ser inmune a anteriores intentos de investigadores y empresas de seguridad.

Cuando los investigadores de Microsoft y FireEye siguieron las operaciones de comando y control de la botnet hasta una serie de servidores, convencieron a los tribunales de que había que desconectarlos todos al tiempo, en una acción coordinada, que es algo que suele fracasar cuando se persigue el cibercrimen.

La clave, según han explicado los dos investigadores, fue la existencia de una disposición poco conocida de la Ley de Marcas de Estados Unidos que permite a los titulares de las marcas apoderarse de mercancías falsificadas. El spam enviado a través de Rustock incluida correos de Microsoft, Pfizer y otras compañías, lo que permitió derribar la botnet y hacerse con los datos de los servidores.

3. La seguridad de Mac

Ha sido la empresa de seguridad iSec Partners quien ha hablado de la seguridad de Mac, o más bien de la plataforma para servidores de Apple OS X, considerada “inadecuada” para sun uso empresarial seguro.

El investigador Alex Stamos ha comentado que aunque ante un ataque ATP (advanced persistent threat) los sistemas Mac individuales podrían ser seguros, las vulnerabilidades subyacentes en el protocolo de red de la plataforma ha ce que las redes OS X Server sean fáciles de comprometer.

El problema parece estar en la manera en que las redes OS X gestionan la autenticación de los protocolos. Los investigadores han explicado que los protocolos podrían ser crackeados offline mediante métodos de fuerza bruta.

Pero los investigadores no se han molestado en explicar los problemas, sino que han demostrado sus afirmaciones; fueron capaces de realizar un ataque DNS local para conseguir credenciales y obtener acceso de administrador a una red y comprometer todos los dispositivos.

Los usuarios de Mac se han sentido seguros desde hace tiempo, y eso es algo que ha promocionado Apple como un elemento diferenciador de su plataforma, pero las cosas han cambiado. De hecho, una de las cosas que ha demostrado el gusano Stuxnet es que cualquier sistema puede infectarse con malware.


4. La CIA y la neutralidad de la red

Como no podía ser de otra forma es un congreso de esta magnitud, se ha hablado de cómo los ciberataques pueden afectar a infraestructuras del mundo real. Cofer Black, antiguo director del Centro de Contraterrorismo de la CIA, ha hablado de la “code war”, en la que los hackers comiencen a manipular no sólo Internet sino tecnologías que funcionen en el mundo de la infraestructura real. Como en el mejor montaje de Broadway su discurso se vio interrumpido por alarmas, sirenas y luces parpadeantes mientras una voz robótica pedía calma mientras se investigaba la alarma. Se trataba, ni más ni menos, de lo que podría ocurrir en un futuro.

Cofer Black habló de Guerra Fría, de Guerra Global, de terrorismo y por último de la “code war”, que es en la que estamos inmersos.

No ha quedado claro, por cierto, la causa de la alarma, que podría haber estado planeada por Black, haber sido obra de un hacker –no hay que olvidar que asisten más de 6.000 a la conferencia, o si una mano inocente pulsó el botón oportuno.

En cualquier caso sirvió para ilustrar lo que podría ocurrir y para que Black introdujera palabras clave como 11S o al Qaeda.

Pero en Black Hat no sólo se ha hablado de seguridad, y la neutralidad de la red se ha colado en la conferencia de seguridad, un asunto que ocupa titulares desde hace tiempo. Dan Kaminsky, un experto en seguridad, ha aprovechado la conferencia para presentar una herramienta que detectará a los ISP que filtren el tráfico web.

Bautizada como “n00ter”, el software utiliza una variación de una red privada virtual para esconder el origen del tráfico de un proveedor de servicios, lo que permite a los investigadores detectar cualquier variación en la velocidad generada por el proveedor de servicios.

Kaminsky ha explicado que n00ter está diseñado para detectar la variación del tráfico más sutil que pudiera ser difícil de detectar, de forma que si un ISP reduce, deliberadamente, el tráfico de un competidor, n00ter podrá detectarlo.

La herramienta estará disponible en las próximas semanas y el investigador espera que convenza a los ISPs de que no deben interferir en el tráfico.