Imagine un carrito de supermercado que se bloquea y desbloquea mediante una sencilla clave que viaja por radiofrecuencia. Esta frecuencia es «oíble» por las tarjetas de sonido de los ordenadores, que pueden grabarla, convertirla en un tono para móviles en MP3 y ponerla a disposición de todo el mundo por Internet. Este fue uno de […]
Imagine un carrito de supermercado que se bloquea y desbloquea mediante una sencilla clave que viaja por radiofrecuencia. Esta frecuencia es «oíble» por las tarjetas de sonido de los ordenadores, que pueden grabarla, convertirla en un tono para móviles en MP3 y ponerla a disposición de todo el mundo por Internet. Este fue uno de los inquietantes experimentos que se vieron en la conferencia SOURCE, celebrada recientemente en Barcelona.
Philippe Langlois, fundador del primer ISP de Francia y viejo experto en seguridad, explicó que esta prueba, realizada con los carritos de un supermercado francés, puede extrapolarse a cualquier sistema de seguridad con radiofrecuencia, siempre que esta pueda ser «oída» por la tarjeta de un ordenador, incluidos los sensores ultrasónicos para abrir coches o garajes.
Lo peligroso del experimento no es sólo que se pueda romper fácilmente la protección, sino que lo democratiza: con el código descubierto, Langlois creó dos canciones, «lock.mp3» y «unlock.mp3», para bloquear y desbloquear los carritos. Estas canciones se compartieron por Internet como tonos para móviles, de forma que cualquiera podía descargarlas, acercar su móvil a la antena del carrito, hacer sonar la canción adecuada y conseguir la acción deseada.
Destacó también en SOURCE otro experimento, que presentó Brian Honan, editor europeo del boletín «NewsBites» del SANS Institute. Honan explicó que una periodista irlandesa le retó a robar su identidad, a partir sólo de los datos públicos que de ella hubiese en Internet. Uniendo los retazos de información que encontró en Google, LinkedIn, Flickr, Facebook o Twitter, Honan descubrió los nombres de sus padres, su fecha de nacimiento e incluso su dirección física, que figuraba en su «Lista de Deseos» de Amazon.
«Con estos datos, en Irlanda podría haber abierto una cuenta bancaria en su nombre, hacerme un pasaporte nuevo o un carné de conducir. Incluso tenía fotos de carné, sacadas de Flickr», explicó Honan, quien aseguró que el viejo chiste de que «En Internet nadie sabe que eres un perro» hoy es al revés: «Nuestra identidad está repartida en miles de sitios que no controlamos, desde las bases de datos de nuestro lugar de trabajo hasta la basura».
Honan destacó que donde se dan más fugas de información privada es «en las redes sociales, los robos de bases de datos de servicios de los que somos clientes y la información que nuestros amigos puedan dar de nosotros en Internet». No sería la primera vez que los criminales usen estos datos para robar la identidad de personas y chantajearlas.
Otro punto caliente de las jornadas fue la inseguridad de la banca en línea. Michael Baentsch, de IBM, destacó que algunos juzgados norteamericanos están considerando responsables a los bancos por no hacer todo lo posible para proteger a sus clientes. En cuanto a esos clientes, una tercera parte de sus ordenadores no están actualizados y los antivirus que utilizan detectan como mucho el 4% de los virus.
La lección que han aprendido los expertos es que «para una transacción en línea no se puede confiar en lo que se ve o se teclea en el ordenador», afirmó Baentsch. Asimismo, los sistemas de autentificación doble para realizar operaciones bancarias en línea, como las tarjetas de coordenadas o los «tokens» que dan una contraseña distinta cada vez, «no protegen nada».
El principal responsable de esta situación es el código malicioso, que sigue su imparable explosión. Según Ero Carrera, de VirusTotal, se recolecta un millón mensual de nuevos virus, la mayoría dirigidos al robo de información financiera. A esos virus se une el avance de otro tipo de ataque, llamado «Amenaza avanzada y persistente» («Advanced Persistent Threat» (APT)).
Este sofisticado ciberataque consiste en robar información de grandes compañías del sector financiero, industrial y de defensa, usando el código malicioso y la perseverancia para saltarse las barreras informáticas y mantenerse el mayor tiempo posible oculto en los ordenadores. Peter Silberman, del sistema Mandiant, que recolecta estos virus únicos, aseguró tener unos 300, entre ellos algunos usados contra siete compañías de la lista Fortune 50.
Según Silberman, sólo se detectan un 31% de esos ataques. Son virus que abren puertas traseras permanentes en determinados ordenadores de la empresa y buscan parecer un archivo más del sistema, para no levantar sospechas. El envío de la información robada se hace usando cifrado y a través del protocolo HTTP, que la mayoría de cortafuegos dejan pasar sin problemas, ya que se trata de tráfico web.
La mala noticia, según Ero Carrera, es que el código malicioso tradicional se está pareciendo cada vez más a esos ataques persistentes, usando canales de comunicación que no levanten sospechas, transmisión cifrada de la información robada y con una gran preocupación por estar el mayor tiempo posible dentro del sistema infectado, sin que nadie se dé cuenta.
En las mismas jornadas SOURCE vimos y escuchamos a otros expertos en seguridad y programadores de fama internacional, como el hacker británico Adam Laurie, quien demostró cómo manipular de forma indetectable la foto y otros datos, incluida la clave criptográfica, de los pasaportes electrónicos.
Estuvieron también en SOURCE Fyodor Yarochkin, creador del programa XProbe, que identifica sistema operativos remotamente; Bernardo Damele A.G., desarrollador de SQLMap, una herramienta de inyección automática de código en bases de datos; Fermín Serna, ingeniero de seguridad de Microsoft; o el doctor Dieter Bartmann, experto en seguridad bancaria.
A pesar de ser sólo la segunda edición de estas jornadas -la primera fue en Boston, en primavera-, SOURCE cuenta ya con muy buena reputación por la calidad de sus ponentes, menos preocupados por dibujar un panorama apocalíptico de la seguridad que por mostrar los fallos, cara a encontrar soluciones. Según la organizadora del evento, Stacy Thayer, hubo 75 asistentes y se espera repetir la cita otoñal en Barcelona el año que viene.
SOURCE Barcelona 2009 http://www.sourceconference.com/index.php/source-barcelona-2009
Copyright 2009 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved. http://ww2.grn.es/merce/2009/source.html