Si has visto la película de 1983, Juegos de guerra, en la que el joven Matthew Broderick accidentalmente usa una computadora para llevar al mundo al borde de la "guerra termonuclear global", entonces tienes una idea bastante clara de lo que preocupa a los hackers y a los investigadores de seguridad informática estos días... en la vida real.
En la conferencia de hackers Black Hat en el Caesars Palace de Las Vegas, expertos en seguridad informática demostraron cómo pueden utilizar las herramientas virtuales para aprovechar y manipular todo tipo de cosas en el mundo real, que es la esencia de lo que hacía a Juegos de guerra tan atemorizante.
Ya no más limitados al ámbito digital, los hackers —muchos de ellos trabajando para el bien— están enfocándose en los sistemas penitenciarios, la red de energía y los automóviles. Ellos apuntan a cualquier objetivo con una minicomputadora en su interior. En estos días, esa definición encaja para casi todo.
El arma de la ciberguerra
Un gusano de computadora llamado Stuxnet es la principal razón de que los hackers y los expertos en seguridad se estén enfocando en estas "vulnerabilidades en el mundo real" en este momento. Aunque Stuxnetno ha conseguido tantos titulares en estos días como Anonymous y LulzSec —dos colectivos de hackers que han estado robando datos personales e irrumpiendo en importantes sitios web—, expertos en seguridad y exfuncionarios del gobierno estadounidense dicen que la idea detrás de ese gusano es en realidad mucho más aterradora.
“El ataque de Stuxnet es el Rubicón de nuestro futuro”, dijo Cofer Black, el exjefe del Centro de Contraterrorismo de la CIA, durante una charla magistral.
Stuxnet mostró, por primera vez, que un poco de código informático malicioso puede apoderarse de sistemas de control industrial. La creencia común es que el gusano, que se extendió por todo internet el año pasado, fue diseñado para atacar y posiblemente hacer explotar las instalaciones nucleares de Irán.
Nadie sabe con certeza quién programó el gusano, y sus poderes nunca fueron utilizados. Sin embargo, el código está ahí fuera, y los investigadores de seguridad y los hackers están aprovechando la oportunidad de estudiar el código y descubrir qué otra cosa podría hacer este gusano o uno parecido.
Los ejemplos mostrados en Black Hat y DEF CON, una conferencia dehackers conjunta a la que asistieron 15,000 personas, suenan como si estuvieran sacados de una película de Hollywood.
Las cárceles
Tiffany Rad, profesora de ciencias de la computación, demostró que un componente electrónico poco conocido en los centros penitenciarios podría ser hackeado y utilizado para abrir todas las puertas que encierran a los presos en sus celdas.
“Cuando existe una computadora, hay una posibilidad de irrumpir en esa computadora”, dijo Teague Newman, quien trabajó con Rad en elhackeo. Ambos dicen que han llevado su investigación ante el gobierno federal estadounidense. No van a publicar el código exacto que alguien podría utilizar para irrumpir en los sistemas de cerraduras de la prisión por temor a que un evento así realmente ocurra.
Hackear la prisión ni siquiera era tan difícil, dijeron. Trabajando en el sótano de su casa en Virginia con un presupuesto de 2,000 dólares, llevó al par solo dos horas descubrir y explotar la falla, que ataca a un componente de red de Siemens llamado controlador lógico programable (PLC, por sus siglas en inglés).
“No fue difícil”, dijo Newman.
Siemens está trabajando en una solución, pero ésta no necesariamente llegará hoy.
“Necesitamos tiempo para solucionar esas vulnerabilidades”, dijo un ingeniero de Siemens, quien pidió no ser identificado porque no está autorizado para hablar sobre el tema. “No es como en el mundo de las tecnologías de la información, donde puedes crear rápidamente un parche. Realmente estamos hablando de sistemas críticos aquí... y si creas un parche debes asegurarte de que el parche no influye en las operaciones y que el PLC (el componente de red) siga funcionando después como fue diseñado”.
Rad y Newman dijeron que la empresa no se merece toda la culpa. La forma en que son instrumentadas las redes en los sistemas de seguridad penitenciarios, y la forma en que los empleados las usan, también tienen responsabilidad.
Las computadoras centrales que controlan las cerraduras no deben estar conectadas a internet, por ejemplo, pero lo están a menudo, dijeron los investigadores.
Otros oradores en la convención Black Hat discutieron lasvulnerabilidades del sistema de la red eléctrica y del sistema de aguas, que, en teoría, podrían ser atacados con métodos similares. Y otros ataques se enfocaron en brechas en las redes celulares.
Una vez más, los objetivos son en el mundo real, no en el virtual.
Hackear tu auto ya es de amateurs
Bailey, de iSEC Partners, demostró una forma de hackear los componentes móviles en muchos coches para abrir o arrancar los vehículos enviando algunos mensajes de texto desde su teléfono con Android. Sin embargo, abrir los coches no es la parte atemorizante, dijo Bailey en una entrevista.
“Me importa poco si puede abrir la puerta de un auto”, dijo. “Es genial. Es sexy. Sin embargo, el mismo sistema se utiliza para controlar los sistemas de teléfono, energía, y tráfico. Creo que esa es la verdadera amenaza”.
En cuanto a las soluciones, Bailey dijo que el problema es el costo y la falta de regulación.
“La cuestión no es sólo de arquitectura, sino su costo”, dijo. “Muchos de los errores y vulnerabilidades que estoy viendo están en la arquitectura general. Son todos los sistemas, ya sea que se trate de tu coche o de tu dispositivo de rastreo o de tu frasco de pastillas o lo que sea.
“Es el tema de la no reglamentación, de que no existan estándares y que nadie aplique ningún tipo de seguridad”.
Los profesionales de la seguridad necesitan dar un paso atrás desde la tecnología y ver cómo estos sistemas del mundo real –desde las prisiones hasta las plantas de energía– están diseñados, dijo Tom Parker, vicepresidente de servicios de seguridad en FusionX, una empresa de seguridad informática.
“Estamos cometiendo los mismos errores una y otra vez”, dijo, y agregó que estos componentes de red en riesgo están haciendo más de lo que fueron diseñados para hacer.
Ninguno de los investigadores sostiene que la sociedad debe dejar de poner computadoras dentro de todas las cosas. Por el contrario, dijo, tenemos que trabajar más duro para hacer que esas pequeñas computadoras sean seguras. Si no, las consecuencias podrían ser enormes, dicen.
No comments:
Post a Comment