20 jul. 2019

Hacknet: juego para aprender de hacking y ciberguerra

Cuando Matt Trobbiani creó Hacknet, su intención era crear un juego, nada más -hasta que descubrió que era utilizado para entrenar a grupos de ciberguerra. Ahora, esta probando versiones educativas del juego para enseñar a los niños y a todo aquel que le interese la ciberseguridad.

Hacknet es un simulador inmersivo de hacking basado en terminales. Accede al sistema y sigue las instrucciones de un hacker recientemente fallecido, cuya muerte puede que no sea accidental como señalan los medios de comunicación.
Todo comenzó en una competición de juegos, como un prototipo para un simulador de terminal. En el juego no hay protagonistas o un papel que desempeñar. Como jugador te enfrentas contra un terminal de ordenador para descifrar la historia de un pirata informático fallecido el cual puede haber sido asesinado. Debes crear sigilosamente tu camino a través de diversos sistemas informáticos e ir descubriendo pistas, mientras intentas que no te detecte ninguna alerta de seguridad.

En el proceso se aprende sobre Linux, comandos de terminar y sobre el poder y las técnicas de hacking.

Trobbiani no tenia intención alguna de crear un producto educativo. Al final ha resultado que ese esfuerzo "combinado el proceso de dos años y medio de refinamiento y experimentación" para terminar el juego "han traído algo diferente e importante para el proyecto".

Pero la cosa no se quedó aquí y el proyecto dio un giro de 360º cuando Trobbiani se enteró que los expertos del U.S. Pacific Command Security de Estados Unidos estaban usando su "juego" para entrenar a sus equipos en ciberguerra.

De esta forma fue como el instructor del MET, Martin Bencic, oyó hablar por primera vez de el durante una reunión con los instructores de ciberguerra. A los cuales no les hacía mucha gracia de que los estudiantes usasen el juego.

Después de haberlo probado él mismo, se encontró que era un "gran recurso para probar la capacidad de los estudiantes para infiltrarse en las redes y darles las mismas herramientas que los malos usan en un ambiente seguro". Mentor Palokaj, blogger y emprendedor, le ha dado un uso completamente distinto al juego. Lo ha usado para que niños en edades comprendidas entre los 16 y los 22 años aprendan comandos básicos de los terminales.

No esperes grandes gráficos, no hay más escenario que una consola en tu pantalla… Eso sí, si te gusta el mundo de la ciberseguridad -tanto profesional como aficionado- es simplemente genial, ya que enseña multitud de conceptos, herramientas de hacking, comandos y además serás parte de una red de hackers que te enseñarán durante todo el proceso.

Si te interesa, puedes encontrarlo en STEAM y GOG.

Fuente: Derecho de la Red

Morpheus, el procesador que regenera su código cada 50 milisegundos "para evitar ser hackeado"

En temas de seguridad, los procesadores han sido uno de los objetivos principales de los atacantes en los últimos meses. Una vez se descubre una vulnerabilidad en un procesador es mucho más difícil bloquear el ataque o mitigar en comparación con un software u otros componentes. Pero unos investigadores creen tener la solución a esto: han desarrollado un procesador que es capaz de cambiar sus algoritmos cada 50 milisegundos para que los ataques sean en vano.

Meldown y Spectre impactaron de forma importante en la seguridad de los procesadores a nivel mundial y en su posterior rendimiento. Una serie de vulnerabilidades que Intel y otras compañías simplemente no podían solucionar, tan sólo mitigar el daño a cambio de reducir la potencia de sus procesadores. Para evitar algo así de nuevo, unos investigadores de la Universidad de Michigan en Estados Unidos dicen haber creado el "primer procesador que no se puede hackear" (sic) .

Cambios en el código completamente aleatorios y de forma constante

En realidad no es que el procesador no se pueda hackear, sino que hacerlo es inútil. Tal y como han desarrollado este nuevo procesador, bajo el nombre de Morpheus, un hackeo sólo servirá para controlar el procesador durante, literalmente, 50 milisegundos. Esto se debe a que la arquitectura del procesador está diseñada para modificarse y colocar partes del código de forma aleatoria cada 50 milisegundos.

Como intentar escribir con un teclado que cambia la posición de sus teclas cada 50 milisegundos. Al estar cambiando constantemente algunas partes del código del procesador, el atacante nunca sabe de forma concreta a qué está intentando acceder y dónde tiene que atacar.

¿Cómo puede hacer Morpheus esto? En teoría si se cambia la arquitectura del procesador también dejarían de funcionar los programas y el sistema operativo del equipo. Pero para evitar esto, Morpheus tan sólo cambia las partes de código conocidas como undefined semantic, son aquellas relacionadas con el tamaño o la ubicación de las apps por ejemplo. Es decir, partes del código que no impiden el funcionamiento correcto del software.

Falta por ver cómo afecta esto al rendimiento del procesador, hacer tantos cambios y a semejante velocidad requiere de cálculos que no se pueden destinar al funcionamiento del sistema operativo en sí. Los investigadores aseguran que Morpheus es capaz de realizar este cambio con extrema rapidez y sin un consumo excesivo de energía. Eso sí, una leve caída en el rendimiento y unos chips más grandes parecen inevitables.

Teniendo en cuenta la seguridad que promete este procesador (a cambio de los sacrificios en rendimiento y tamaño), puede ser muy útil para sectores concretos que requieren de una seguridad extra y no tanta potencia. Por ejemplo, se puede utilizar en la industria militar o en sectores financieros donde prima más la seguridad que la velocidad.

De momento Morpheus es solo un prototipo basado en la arquitectura de chips de código abierto RISC-V, pero ya tienen planes para comercializarlos a medio plazo. El prototipo ya ha aguantado un ataque de flujo de control, proceso mediante el cual se modifica el chip para que se le pueden insertar malware y ver cómo resiste. Para que lo veamos en procesadores Intel vendidos en masa por ejemplo quizás quede mucho, pero existe la posibilidad.

Fuente: Xataka

19 jul. 2019

pyattck: paquete para interactuar con el framework MITRE ATT&CK

Contenido completo e Si te dedicas a threat hunting y tienes el foco en las tácticas, técnicas y procedimientos (TTP) utilizados por ciertos actores/grupos, entonces ya sabes que el framework de MITRE ATT&CK es muy valioso...
MITRE proporciona una guía con un diseño simple y directo, pero puede ser útil también usarlo mediante programación para medir (o asignar) ciertos controles de seguridad utilizando su framework. Afortunadamente el equipo de investigación de Swimlane ha lanzado pyattck, un paquete Python para interactuar con el framework Mitre ATT&CK de una manera bastante sencilla y que nos permitirá identificar relaciones conocidas entre todas las verticales en MITRE ATT&CK.
Imagina que queremos asegurarnos que estamos protegidos contra las TTP relacionadas con Dragonfly y en lugar de mirar a través de un mapa visual la información sobre este actor, podremos usar pyattck para extraer las herramientas, el malware y las técnicas asociadas o utilizadas por este grupo. Entonces, para recuperar las técnicas usadas por Dragonfly podemos instalar pyattck (pip install pyattck) y programar un sencillo script:
import sys
from pyattck import Attck
attack = Attck()
for actor in attack.actors:
 if sys.argv[1] in actor.name:
  for technique in actor.techniques:
   print(technique.name)

Y basta con ejecutarlo para obtener las técnicas:
$ python actor.py Dragonfly
Luego, si queremos saber como mitigar unas de estas técnicas podemos usar este otro script:
import sys
from pyattck import Attck
attack = Attck()
for technique in attack.techniques:
 if sys.argv[1] in technique.name:
  for mitigation in technique.mitigation:
   print(mitigation.description)

Especificando una concreta:
python mitigation.py 'Spearphishing Link'
Because this technique involves user interaction on the endpoint, it's difficult to fully mitigate. However, there are potential mitigations. Users can be trained to identify social engineering techniques and spearphishing emails with malicious links. Other mitigations can take place as [User Execution](https://attack.mitre.org/techniques/T1204) occurs.
Y esto son sólo unos ejemplos. Actualmente, pyattck admite la identificación de las siguientes relaciones (y se agregarán más):

Actores

  • Herramientas utilizadas por el actor o grupo.
  • Malware utilizado por el actor o grupo.
  • Técnicas utilizadas por el actor o grupo.

Malware

  •  Actor o grupo que utiliza este malware.
  • Técnicas con las que se utiliza este malware.

Mitigación

  • Técnicas relacionadas con un conjunto específico de sugerencias de mitigación.

Táctica

  • Técnicas encontradas en una táctica específica (fase).

Técnica

  • Tácticas en las que se encuentra una técnica.
  • Sugerencias de mitigación para una técnica dada.
  • Actor o grupo (s) identificado (s) utilizando esta técnica.

Herramientas

  • Técnicas utilizadas dentro de las herramientas especificadas.
  • Actor o grupo (s) utilizando una herramienta específica.
Fuentes:

18 jul. 2019

Europa simulará una ciberguerra para prepararse ante posibles ataques

Los gobiernos europeos están preocupados por una serie de incidentes en la red que han hecho que la Unión Europea quiera empezar a prepararse para una ciberguerra y para combatir la desinformación mediante simulaciones, según informa The Guardian.

Estas preparaciones tienen un objetivo concreto: hacer frente a las supuestas ofensivas que la Unión Europea atribuye a Rusia. Finlandia, por ejemplo, acusa al Kremlin de interferir de bloquear las señales de GPS durante un ejercicio de la OTAN en Noruega en el que participaban las fuerzas finlandesas.

Rusia también ha sido responsabilizada de un intento de ciberataque contra la sede del organismo internacional de control de armas químicas en una operación que acabó siendo frustrada por la inteligencia militar holandesa, según informó también The Guardian.

Desde Moscú niegan la veracidad de estas acusaciones, al igual que China, también en el ojo del huracán después de que se haya acusado esta semana a hackers del ministerio de robar propiedad intelectual de grandes servicios de tecnología.

Finlandia va a ocupar la presidencia de la Unión durante los próximos seis meses y ha hecho de la ciberseguridad su principal prioridad. Durante su mandato, el país quiere fomentar la cooperación los Estados de la Unión, establecer un grupo de trabajo permanente, combatir la desinformación y las noticias falsas con información veraz y reforzar los mecanismos de alerta y prevención de nuevas amenazas, según informa la agencia Efe.

El ministro de Exteriores de Finlandia, Pekka Haavisto, cree que los ciberataques de otros países obligan a la Unión Europea a reforzar su capacidad de respuesta, por lo que se llevarán a cabo simulaciones de posibles escenarios de una ciberguerra: "Queremos que la Unión y los Estados miembros refuercen sus capacidades de prevención y respuesta. Las autoridades militares y civiles sólo pueden hacer en tiempos de crisis aquello para lo que han sido entrenadas".

Por ello, Finlandia ha convocado varias reuniones en materia de cambio climático y ciberseguridad y durante algunas de las reuniones que se celebrarán en Helsinki en julio y septiembre, se pedirá a los ministros de Interior y Economía de la UE que gestionen escenarios ficticios.

Fuente: Computer Hoy

Microsoft lanza soporte de llaves de seguridad: la vida sin contraseñas se acerca

Con más de 551 millones de contraseñas reales expuestas por el robos de datos y con la creciente facilidad con la que podrían ser violadas con fuerza bruta, el dejar de usar contraseñas tiene mucho sentido…

Microsoft dice que las empresas ahora pueden implementar el uso de claves de seguridad a escala, al lanzar un adelanto público del soporte de claves de seguridad FIDO2 en Azure Active Directory (AD). El movimiento es un paso importante hacia un entorno empresarial sin contraseña. (Azure AD es la plataforma de administración de identidad y acceso de Microsoft).

Las llaves de seguridad están disponibles en una variedad de formatos, pero comúnmente vienen como un pequeño llavero USB que crea una clave pública y privada cuando se registra. La clave privada solo se puede desbloquear mediante un gesto local, como uno biométrico o un PIN. Los usuarios tienen la opción de iniciar sesión directamente a través del reconocimiento biométrico, como escaneo de huellas dactilares, reconocimiento facial o escaneo de iris, o con un PIN que está bloqueado y asegurado en el dispositivo.

Compatibilidad con claves de seguridad de Microsoft

La medida será bien recibida por muchas empresas preocupadas por la creciente facilidad con que las contraseñas pueden ser forzadas bruscamente o comprometidas de otra manera: es decir, si no han sido robadas en una violación de datos.

Aproximadamente el 81 por ciento de los ataques cibernéticos exitosos comienzan con un nombre de usuario y contraseña comprometidos y no hay escasez de estos en la red: https://haveibeenpwned.com enumera 551,509,767 contraseñas del mundo real previamente expuestas en violaciones de datos.

Alex Simons, vicepresidente del departamento de Identidad y Seguridad de Microsoft, dijo que la compañía también "ha activado un nuevo conjunto de capacidades de administración en el portal de Azure AD que le permite a uno administrar los factores de autenticación para los usuarios y grupos de su organización".

Actualmente, los administradores pueden usar claves de seguridad o la app de autenticación de Microsoft para la autenticación. (Esta última es una aplicación de Microsoft que permite potenciar una contraseña a los empleados con un código de acceso único o una notificación push; en lugar de usar una contraseña, los usuarios confirman su identidad utilizando el teléfono móvil mediante escaneo de huellas dactilares, reconocimiento facial o de iris o PIN para la autenticación).

Simons agregó: "Verán que agregaremos la capacidad de administrar todos nuestros factores de autenticación tradicionales (autenticación multifactor, token OATH, inicio de sesión de número de teléfono, etc.). Nuestro objetivo es permitirle utilizar esta única herramienta para administrar todos sus factores de autenticación".

Microsoft ha probado cinco llaves de seguridad certificadas por FIDO2 (un estándar de seguridad de la industria) y tiene promociones activas en curso con tres: Yubico, HID y Feitian Technologies; estas ofrecen una variedad de formatos, incluidos dispositivos biométricos y llaves de seguridad USB.

Yubico, por ejemplo, ofrece YubiKey Starter Kits complementarios a "organizaciones con clientes de Microsoft 365 que están interesados en comenzar su experiencia sin contraseña". Esto incluye dos YubiKeys multiprotocolo. Feitian ofrece a los primeros 500 clientes referidos por Microsoft un 30% de descuento en sus claves biométricas.

Como agregó Microsoft en un documento técnico: "Es una práctica común que el departamento de TI intente disminuir el riesgo de la contraseña al emplear una complejidad de contraseña más fuerte y exigir cambios de contraseña más frecuentes. Sin embargo, estas tácticas elevan los costos de la mesa de ayuda de TI mientras que conducen a una mala experiencia de usuario relacionada con los requisitos de restablecimiento de contraseña. Lo más importante es que este enfoque no es suficiente para las amenazas de seguridad cibernética actuales y no satisface las necesidades de seguridad de la información de la organización".

Traducción: Raúl Batista Redacción de Segu-Info
Autor: Ed Targett
Fuente: Computer Business Review

Nueva campaña de TA505 contra bancos de EEUU, Corea del Sur y Singapur

Proofpoint ha publicado una nueva investigación sobre las amenazas del actor TA505, en concreto en lo referente a sus cargas maliciosas dirigidas a bancos comerciales de Emiratos Árabes Unidos, Corea del Sur, Singapur y Estados Unidos.
El grupo de cibercriminales TA505 ha iniciado una campaña con un nuevo malware descargable denominado AndroMut. Este cuenta con capacidades muy sofisticadas de antianálisis y podría inspirarse en el también downloader Andromeda. Ahora, con esta nueva campaña como impulso, los bancos comerciales de Estados Unidos, Emiratos Árabes Unidos y Singapur pasan a estar en el punto de mira de TA505, siguiendo el patrón de comportamiento habitual de este grupo de atacantes motivados principalmente por el dinero.

"El actor de amenazas TA505 ha sufrido una evolución en los últimos años, pasando de estar implicado en campañas globales de ransomware y troyanos bancarios a centrarse más en campañas regionales y en el uso de malwares como downloaders o troyanos de acceso remoto (RAT)", comenta Chris Dawson, responsable de inteligencia sobre amenazas en Proofpoint. "Las infecciones con este tipo de malwares suelen ser silenciosas: los individuos y las compañías ignoran a menudo que están siendo infectados, a menos que el atacante decida instalar un malware adicional, robar credenciales y otros datos de identificación, o bien lanzar más ciberataques dentro de la misma organización. Este cambio de enfoque del grupo TA505 ha venido también acompañado por el envío masivo de decenas y cientos de miles de mensajes en estas regiones objetivo, con señuelos localizados y técnicas efectivas de ingeniería social".

Desde la compañía señalan que el nuevo downloader AndroMut, combinado con el RAT FlawedAmmy como carga maliciosa, parece haberse convertido en la nueva distracción de estos cibercriminales este verano, "como paso intermedio para infectar ordenador con RAT robustos, capaces de controlar por completo los sistemas atacados".

Fuente: Globbsecurity

17 jul. 2019

Los apagones seguirán. Es hora de mejorar nuestra resistencia cibernética

Rosa Kariger, directora de Seguridad de la Información, Iberdrola
Pierre-Alain Graf, vicepresidente sénior, ABB (*)

Un apagón invernal de seis horas en la Francia metropolitana podría causar daños a hogares, empresas e instituciones esenciales por más de 1500 millones de euros. Un ataque cibernético bien organizado a una infraestructura crítica de electricidad podría tener este tipo de repercusión económica en un país. ¿Es esta una opción realista? En 2018, los funcionarios del Departamento de Seguridad Nacional de los Estados Unidos declararon públicamente que piratas informáticos se habían infiltrado en las salas de control de varias empresas de electricidad de los Estados Unidos, hasta el punto de tener la capacidad de interrumpir el flujo de electricidad a los clientes.

Como copresidentes del pasado año de los sistemas de resistencia cibernética del Foro Económico Mundial: grupo de trabajo público-privado sobre electricidad, hemos dedicado tiempo a analizar la manera de mitigar el riesgo de ataques cibernéticos que afecten a la infraestructura crítica de electricidad y definir el mejor enfoque para la resistencia cibernética en una comunidad eléctrica cada vez más compleja.

En los últimos 10 años, el sector eléctrico ha padecido ataques cibernéticos importantes: el mapa a continuación ofrece una vista rápida no exhaustiva. En 2010, el virus informático Stuxnet ocasionó un daño considerable a las centrifugadoras nucleares de Irán, que fueron manipuladas para quedar fuera de control. En 2014, un equipo de piratas informáticos canceló alrededor de 650 000 dólares de facturas de electricidad, que se debían pagar a una empresa de energía turca. En 2015, los sistemas de control de tres empresas de energía de Ucrania se vieron afectados, y dejaron a 225 000 clientes en la oscuridad. Nuevamente en 2016, el malware 'Crash Override' provocó un segundo apagón cibernético en Ucrania.
Nuestro sector cuenta con una larga experiencia en la protección de infraestructuras críticas contra fenómenos ambientales y ataques físicos, así como en la construcción de redes resistentes. Ahora necesitamos mejorar estos protocolos, mediante la implementación de nuevas prácticas y estrategias para atender los nuevos riesgos digitales. En especial, debido al número cada vez mayor de nuevas tecnologías y agentes que ingresan al ecosistema que, si se ven comprometidos, podrían tener efectos en cadena en todo el sistema eléctrico.

A pesar de las numerosas iniciativas específicas de la electricidad para compartir información cibernética, como se muestra en la ilustración siguiente, el intercambio de información transnacional en tiempo real y conocimiento colectivo de la situación aún están lejos. Si bien la evolución continua de la tecnología ayudará a incrementar la madurez del análisis de seguridad, el aprendizaje automático, la inteligencia artificial e incluso la computación cuántica, siguen existiendo muchos desafíos.
Imagen: Lista no exhaustiva de iniciativas mundiales de intercambio de información sobre seguridad cibernética relacionadas con la energía/ Institute for Security and Safety de la Universidad de Brandeburgo y análisis BCG.

El sector eléctrico siempre ha estado muy interconectado con dependencias en toda la cadena de suministro, por no mencionar con otras industrias de infraestructura crítica, como telecomunicaciones, puertos y plantas de tratamiento de aguas residuales. Esta interconectividad está aumentando. Como dijo la secretaria de Seguridad Nacional de los Estados Unidos, Kirstjen Nielsen: "La hiperconectividad significa que su riesgo es ahora mi riesgo y que un ataque al ‘eslabón más débil’ puede tener consecuencias que nos afecten a todos". En el entorno actual, las empresas no solo deben asegurar su “casa” sino también cooperar con toda la cadena de suministro para garantizar que todo el "vecindario" esté protegido.

Dado que nuestro sector es uno de los más regulados, hacer frente a las cuestiones de normativas es un desafío permanente, en especial para las organizaciones multinacionales que deben cumplir con regulaciones ligeramente diferentes en cada mercado.

No obstante, es fundamental reconocer que, para nuestro negocio, "cumplir con las normas" no significa "ser seguro". La verdadera resistencia cibernética es más una cuestión de estrategia y cultura que de tácticas. Estrategias que lidian con los riesgos cibernéticos de manera tan sistemática como con otros riesgos empresariales y una cultura en la que cada empleado se siente personalmente responsable de la capacidad de recuperación de la empresa.

El resultado de nuestros análisis es el informe recientemente publicado Cyber Resilience in the Electricity Ecosystem (Resistencia cibernética en el ecosistema eléctrico), que enumera siete principios para las juntas directivas de empresas del sector eléctrico. Estos principios de alto nivel están diseñados específicamente para respaldar el avance de la resistencia cibernética de todo el ecosistema en nuestro sector.

La electricidad es mucho más que otro sistema técnico, es la esencia de las sociedades. Para preservar el funcionamiento de este importante sistema, es necesario contar con mejoras continuas. Aprovechando el impulso de 2018, nuestras ambiciones están creciendo. En 2019, como copresidentes, nuestro plan es seguir dirigiendo y trabajando con este grupo público-privado. Con la plataforma neutral única del Foro Económico Mundial, apuntamos a desarrollar de manera conjunta métricas para respaldar a los líderes en el seguimiento de sus esfuerzos de resistencia cibernética. Además, tenemos la intención de presentar recomendaciones a los responsables políticos con respecto a un enfoque común a escala mundial para las políticas de resistencia cibernética, y nuestro objetivo es mejorar la colaboración en la cadena de suministro de electricidad mediante un acuerdo sobre las funciones y responsabilidades entre las diferentes partes interesadas en lo que respecta a la resiliencia cibernética. ¿Es esta una opción realista? Venga a vernos en 12 meses.

(*) Los autores han sido copresidentes de los "Sistemas de resistencia cibernética" del Foro Económico Mundial: grupo de trabajo de electricidad desde mayo de 2018. Este grupo de trabajo, conformado por los socios de la industria eléctrica del Foro Económico Mundial y los principales líderes de los sectores público y privado, junto con Boston Consulting Group, publicó recientemente el informe Cyber Resilience in the Electricity Ecosystem: Principles and Guidance for Boards. (Resistencia cibernética en el ecosistema eléctrico: principios y directrices para las juntas) 

Fuente: WeForum

España descubre un ecosistema multimillonario de criptominería ilegal

Dos investigadores españoles han analizado, por primera vez, la red internacional que infecta ordenadores de terceros y roba su potencia computacional para minar criptomonedas. En los últimos 10 años, los delincuentes han generado cerca de 45 millones de euros con esta técnica.

Esta investigación "A First Look at the Crypto-Mining Malware Ecosystem: A Decade of Unrestricted Wealth" [PDF], que ha abarcado desde los años 2007 hasta 2018, ha servido también para ver la evolución que ha tenido este malware a lo largo del tiempo que, según los investigadores, llega al millar de muestras. Una cifra bastante elevada que ha servido para generar, solo en esta red analizada, unos 50 millones de euros en los últimos 10 años.
Las criptomonedas se han convertido un imán de actividades ilegales como el robo y el fraude. Pero uno de los delitos menos denunciados es el robo de la potencia de procesamiento de terceros para minar criptomonedas como Bitcoin y Monero. El ladrón puede cambiar las criptomonedas que ha generado por dinero real, que puede ascender a grandes sumas.

Pero, ¿Qué extensión tienen estas redes mineras ilegales y cuánto dinero ganan? La respuesta se encuentra en el trabajo del investigador de la Universidad Carlos III de Madrid (España) Sergio Pastrana y del del King's College de Londres (Reino Unido) Guillermo Suarez-Tangil. Ambos han analizado estas redes en detalle por primera vez y aseguran que generan beneficios bastante mayores de lo que se había imaginado.

Pastrana y Suárez-Tangil estiman que, hasta la fecha, este tipo de delito ha generado cerca de 45 millones de euros. La investigación afirma: "Según nuestro conocimiento, este trabajo presenta el mayor estudio sistemático de criptominería binaria maliciosa".

Existen dos formas principales de robar la potencia de procesamiento. La primera consiste en crear una página web con un script que se apropia de la unidad central de procesamiento (CPU, por sus siglas en inglés) del ordenador. De repente, los desprevenidos visitantes de la página encuentran su CPU sobrecargada y sus ventiladores a punto de explotar.

Por supuesto, el problema se puede detener cerrando la página en cuestión. Para analizar el nivel de uso de esta estrategia, los investigadores han analizado el número de páginas web que contienen este tipo de malware y estimando cuántas veces han sido visitadas y durante cuánto tiempo.

El segundo método es mucho más difícil de investigar. Se trata de un malware de criptominería, que se suele esconder en un código legítimo, que los usuarios instalan y ejecutan en sus ordenadores sin sospechar de nada.

Este malware está diseñado para ser difícil de detectar. Algunos se apagan cada vez que el usuario abre el administrador de tareas, por lo que es complicado encontrar pruebas de su actividad. Otros tipos de este malware solo se encienden cuando la CPU está en reposo, suponiendo que el usuario está alejado del dispositivo. Pastrana y Suarez-Tangil han centrado su estudio en este segundo tipo, también conocido como el malware de base binaria. Y sus conclusiones resultan.

En primer lugar, algunos antecedentes. La minería de criptomonedas es el proceso que codifica un registro de transacciones para que no pueda ser modificado ni manipulado posteriormente. Este cifrado debe ser lo suficientemente fuerte para que resulte casi imposible rediseñar el registro. Eso requiere una gran potencia de procesamiento, un recurso cada vez más valioso. Así que los mineros son recompensados ​​por sus esfuerzos con pequeñas cantidades de criptomoneda. Es por eso que el proceso se llama minería: porque crea una nueva moneda.

El proceso de minería consume tanta potencia computacional que los mineros se suelen juntar en grupos. De esta manera, combinan su capacidad de procesamiento y luego comparten las recompensas, que se pagan en carteras de criptomonedas.

El malware de criptominería se dedica a robar el poder de procesamiento del ordenador en el que se ha instalado. El software malicioso descarga el programa de minería de código abierto que realiza el cifrado, luego inicia sesión en un grupo de mineros y transfiere cualquier recompensa a su cartera digital.

Y es exactamente este proceso el que ha permitido a Pastrana y Suárez-Tangil analizar la actividad de estos mineros maliciosos. El malware contiene información sobre los grupos de mineros a los que se conecta y las carteras donde ingresan los pagos. Así que los investigadores solo tuvieron que extraer esta información a escala masiva. Encontraron un millón de ejemplos de malware de criptominería entre 2007 y 2018. Luego analizaron el código involucrado y ejecutaron el malware en un entorno de pruebas protegido (sandbox) para ver qué hacía.

Este proceso reveló los grupos de mineros involucrados con más frecuencia en la criptominería ilegal. También reveló las carteras, lo que permitió a los investigadores calcular cuántas criptomonedas había recibido cada una. La investigación detalla: "Luego, analizamos los pagos disponibles públicamente que se envían a las carteras de los grupos mineros como recompensa y estimamos los beneficios de los diferentes trabajos".

Los resultados de este análisis son muy interesantes. Los investigadores encontraron que Monero es, y con diferencia, la criptomoneda más popular para los delincuentes y que la magnitud de su actividad era asombrosa. Pastrana y Suárez-Tangi afirman que más del 4,3 % de todas las criptomonedas Monero en circulación se han generado a través de esta actividad criminal.

Y es un negocio rentable. Los tipos de cambio de las criptomonedas han variado enormemente a lo largo del tiempo. Como no hay forma de saber cuándo los criminales convirtieron sus ganancias, Pastrana y Suárez-Tangi tuvieron que hacer una estimación. Pero incluso con estimaciones a la baja, los ingresos son muy altos.

El trabajo afirma: "Nuestro análisis de beneficios revela actividades con ganancias multimillonarias". De hecho, la cantidad total generada de esta manera es de alrededor de 50 millones de euros en los últimos 10 años. Y la mayor parte parece haber sido beneficio de un número relativamente pequeño de personas. "Una de las principales razones del éxito de este negocio criminal es su costo relativamente bajo y el alto retorno de la inversión", afirman los investigadores.

Detener esta actividad no será fácil. Durante su investigación, Pastrana y Suarez-Tangi denunciaron algunas carteras ilícitas a los grupos mineros más grandes con la esperanza de que fueran prohibidas. Pero se encontraron con dos problemas. En primer lugar, algunos grupos se negaron a prohibir las carteras vinculadas al malware. En segundo lugar, algunas campañas exitosas de criptominería ilícita usaron varios grupos de mineros al mismo tiempo, lo que las vuelve más resistentes a las operaciones de eliminación.

No obstante, hay una contramedida que parece funcionar bien. De vez en cuando, las autoridades de la criptomoneda realizan cambios en los algoritmos utilizados para minar la moneda. Cuando esto sucede, el software de minería se debe actualizar. Eso no es un problema para los mineros legítimos. Pero los mineros maliciosos deben encontrar una forma de actualizar el malware que han distribuido en la web. Y esa no es una tarea tan fácil. Monero cambió sus algoritmos dos veces en 2018. "En cada cambio, aproximadamente el 73 % y el 90 % de las campañas cesaron sus operaciones", concluye la investigación.

Ese es un trabajo interesante que ha destapado una actividad criminal enormemente rentable poco denunciada. También sugiere una forma efectiva de acabar con ella actualizando periódicamente los algoritmos de minería. Será interesante ver cómo reacciona la comunidad de criptomonedas.

Ref: arxiv.org/abs/1901.00846A First Look at the Crypto-Mining Malware Ecosystem: A Decade of Unrestricted Wealth [PDF]

Fuente: Technology Review

Guía Práctica de Hardening de Linux

Esta The Practical Linux Hardening Guide (de @trimstray) proporciona una descripción general de alto nivel del fortalecimiento de los sistemas GNU/Linux. No es un estándar o manual oficial, pero toca y usa los estándares de la industria.
Esta guía también le proporciona instrucciones prácticas paso a paso para crear sus propios sistemas y servicios reforzados. Uno de los objetivos principales es crear un documento único que cubra las amenazas internas y externas.

Algunas reglas para este proyecto:

La importancia de fortaleces Linux

En pocas palabras, el fortalecimento (hardening) es el proceso de hacer que un sistema sea más seguro. Fuera de la caja, los servidores Linux no se "endurecen" (por ejemplo, con la superficie de ataque minimizada). Depende de usted prepararse para cada eventualidad y configurar sistemas para notificarle de cualquier actividad sospechosa en el futuro.

El proceso de fortalecimento de los servidores implica ambas operaciones de TI. y equipos de seguridad y requieren cambios en la configuración predeterminada de acuerdo con los puntos de referencia de la industria. También para mí, el endurecimiento es el arte de hacer las cosas bien, incluso si no siempre tienen un gran impacto. Siempre es un equilibrio entre la facilidad de uso y la protección.

¿Por qué es importante? Por favor, lea un gran artículo breve que explica el proceso de fortalecimiento paso a paso por Michael Boelen.

Fuente: The Practical Linux Hardening Guide

16 jul. 2019

Revelan nueva vulnerabilidad en el software ICS de Siemens

Investigadores de seguridad han descubierto una nueva vulnerabilidad en una plataforma de software de Siemens que ayuda a mantener los sistemas de control industrial para grandes instalaciones de infraestructuras críticas, como las plantas de energía nuclear. Si son explotados, un atacante podría obtener acceso a estos sistemas por espionaje o causar daños físicos generalizados, advirtieron los investigadores de la firma de seguridad Tenable en un blog publicado el martes.

La vulnerabilidad se encuentra en la misma plataforma de software de Siemens utilizada por los creadores de Stuxnet para ayudar a difundir ese malware contra las instalaciones nucleares de Irán hace casi una década.

A principios de este mes, Siemens emitió un parche para la vulnerabilidad, denominado CVE-2019-10915. Joe Bingham, un ingeniero de investigación senior de Tenable, dice que la vulnerabilidad aparentemente no ha sido explotada.
"En julio hemos lanzado una actualización para TIA Administrator, que corrige la vulnerabilidad reportada por la compañía de seguridad Tenable", dijo un portavoz de Siemens. La vulnerabilidad afecta al STEP 7 TIA Portal de Siemens (exploit), un software de diseño y automatización ampliamente utilizado para sistemas de control industrial, según el blog del martes.

Si bien se necesitaría una gran cantidad de habilidades técnicas y conocimientos para explotar esta vulnerabilidad, Bingham dice que una vez dentro de una red industrial, un atacante podría saltar de un sistema a otro y causar un gran daño.

"Esta vulnerabilidad podría usarse para el espionaje cibernético, mapeo de la red, interrupción y exfiltración de datos", dice Bingham. "La falla no solo ofrece otro punto de apoyo, sino que el TIA Portal proporciona control y automatización en entornos de producción, por lo que un atacante también podría modificar fácilmente el código y la lógica del sistema [tecnología de operación]".

Problemas del sistema de control industrial

En los últimos años, los investigadores de seguridad han comenzado a centrarse más en las vulnerabilidades de las tecnologías operativas, como los sistemas de control industrial y los sistemas de control de supervisión y adquisición de datos, que ayudan a mantener, controlar y asegurar las instalaciones a gran escala, incluidas las que se utilizan en el Sector transporte, industrial, médico, manufacturero y energético.

Los investigadores han notado un alza por parte de los actores de amenazas de los estados nacionales que intentan explotar sistemas vulnerables como parte de campañas de espionaje o interrupciones. Estos tipos de operaciones son técnicamente sofisticadas y llevan mucho tiempo, señalan.

En 2017, una firma de petróleo y gas no revelada en Arabia Saudita fue alcanzada por un malware denominado Trisis o Triton, según investigadores de seguridad. El código malicioso se dirigió a los controladores del Sistema de Instrumentos de Seguridad Triconex, desarrollados por Schneider Electric, que están diseñados como un control de seguridad para la maquinaria crítica dentro de las instalaciones industriales. La interferencia con estos controladores podría causar daños masivos a una planta o provocar un cierre completo, según los investigadores.

Un informe reciente de la firma de seguridad Drago vinculó el malware utilizado contra esta compañía de petróleo y gas a un grupo anteriormente desconocido llamado Xenotime.

¿Un escalón?

De acuerdo con la investigación de Tenable, si un atacante lo explotaba, la vulnerabilidad del portal de Siemens podría usarse como un trampolín en un ataque personalizado contra la infraestructura crítica completa de una instalación.

Al explotar CVE-2019-10915, un atacante remoto podría omitir la autenticación HTTP y acceder a todas las funciones de administrador al enviar directamente los comandos de WebSocket a un servidor, dice Tenable. Una vez dentro de la red, el atacante podría realizar acciones administrativas dentro de sistemas vulnerables, incluida la adición de códigos maliciosos a sistemas de control industrial adyacentes dentro de la instalación, según Tenable.

Los investigadores de Tenable señalan que un atacante también podría explotar la vulnerabilidad a la recolección de datos para planear otros ataques dirigidos. Según Bingham, las formas convencionales de proteger los sistemas de control industrial, como las redes segmentadas o los cortafuegos, no pueden impedir que alguien explote la vulnerabilidad.

Lo que hace que esta vulnerabilidad sea algo inusual, señala Bingham, es que se encontró en una moderna plataforma de software que es parcheada regularmente por Siemens. Señala que muchas de las vulnerabilidades explotadas por los atacantes se encuentran en sistemas antiguos y obsoletos que ya no se mantienen o que no se han solucionado.


"La vulnerabilidad no se encuentra específicamente en el código heredado; el software se comercializa para operaciones modernas y se repara y mantiene regularmente", dice Bingham. "Dicho esto, ICS a menudo está plagado de vulnerabilidades, lo que hace que sea aún más crítico que los proveedores de ICS sean rápidos y proactivos cuando se trata de corregir fallas".



Fuente: BankInfoSecurity