TECNOLOGÍA: Los “hackers” expanden su foco hacia los celulares y los cajeros automáticos

18-8-2010 - Un especialista argentino, que participó en la última conferencia mundial de intrusos informáticos en Las Vegas, reveló las principales tendencias en violaciones a los sistemas de seguridad tecnológicos

Los “hackers”, los especialistas informáticos que vulneran sistemas de computadoras, han comenzado a explorar otros ambientes y más allá de su escenario tradicional de los ordenadores, y ahora se enfocan en los celulares de alta y media gama, los cajeros automáticos y las redes sociales basadas en Internet.

El nuevo panorama de los ataques a equipos y sistemas de las tecnologías de la información y la comunicación (TIC) salió a la luz en la última edición de la conferencia Defcon, uno de los encuentros sobre seguridad informática más grande y reconocido en el mundo, que se llevó a cabo en la ciudad estadounidense de Las Vegas.

Uno de los pocos argentinos presentes en la edición 18ª de la Defcon fue Ezequiel Sallis, director de la empresa de seguridad informática Root-Secure, quien reveló a iProfesional.com cuáles fueron las principales tendencias en esta materia.

Sallis, quien participó en las ediciones 16 y 17 de la conferencia, estuvo en el hotel Riviera junto a unos 12 mil participantes de la reunión.

Las cinco series de conferencias simultáneas no dieron abasto para albergar a todos los asistentes, por lo que en algunas de las más interesantes y promocionadas había que llegar con bastante tiempo de antelación, bajo riesgo de quedarse afuera.

Teléfonos móviles
Sallis explicó que el especialista Chris Paget mostró a sala llena cómo se puede, con un dispositivo de muy bajo costo y de fabricación casera, interceptar todas las comunicaciones entrantes y salientes de los teléfonos celulares de los asistentes que tuvieran la tecnología GSM, la predominante en el mundo.

“Fue una excelente exposición y un trabajo de investigación muy interesante (…) a tal punto que la compañía AT&T, que fue la utilizada en el ejemplo, está actualmente buscando los medios para sancionar a Paget por la demostración”, destacó el especialista argentino.

El investigador en seguridad informática desarrolló el aparato que por 1.500 dólares puede, incluso, grabar conversaciones de otros celulares, a pesar de que las autoridades policiales le advirtieron que estaría violando las leyes de grabación de Estados Unidos.

El sistema de seguridad que tienen los teléfonos GSM no logra diferenciar una antena AT&T de la que Paget había creado porque su base vulnera la encriptación al teléfono. Una vez que hace esto, puede hasta grabar la llamada en cuestión.

“No entiendo cómo puede pasar, y espero que, si es verdad, me contacten primero para discutir sus inquietudes”, escribió en su blog Paget, quien dejó en evidencia la vulnerabilidad de la tecnología GSM.

“El GSM ha sido destrozado”, aseguró. Actualmente, cerca de tres cuartos de los celulares en el mundo utilizan esta tecnología, de acuerdo a una investigación de la GSM Association, quienes resaltaron los obstáculos para ser interceptados, como la cercanía física. Además, indicaron que sólo las llamadas salientes pueden ser vulneradas.

Paget construyó el interceptador con materiales posibles de encontrar en Internet a un precio accesible. Hasta ahora, los equipos que podían hacer esta violación costaban cientos de miles de dólares.

“Es un cambio interesante de investigar. Es un quiebre importante para todos”, sostuvo Don Bailey, un experto en la tecnología GSM que no estuvo involucrado en la investigación de Paget.

Cajeros automáticos
Otra de las charlas que dio que hablar y mucho fue la de Barnaby Jack, quién demostró dos formas distintas para la explotación de vulnerabilidades en cajeros automáticos (ATM, sigla en inglés) que le permitieron la extracción de dinero.

Sallis aclaró que las demostraciones “se llevaron a cabo en un entorno controlado y fueron muy ilustrativas. Sólo bastaba ver como salía el dinero a montones de los ATM”.

Los modelos de cajeros que fueron sujetos de la investigación no se encuentran en la Argentina pero si son muy comunes en los Estados Unidos, por lo que “seguramente las compañías afectadas ya estén trabajando en un pronta solución”, estimó el director de Root-Secure.

Jack se aprovechó de una vulnerabilidad de Windows CE, una versión del famoso sistema operativo de Microsoft, y la poca rigurosidad de los fabricantes de cajeros automáticos, para conseguir dinero como si se hubiese ganado el premio mayor en las máquinas del casino.

Jack, director de investigación de seguridad para la empresa IOActive, demostró sobre el escenario de la conferencia como violó dos cajeros comunes y corrientes en los Estados Unidos.

El “hacker” utilizó una llave universal para abrir el compartimiento electrónico del cajero y luego ejecutó “Scrooge”, un “rootkit” propio. Un “rootkit” es una herramienta que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible.

Jack utilizó “Scrooge” con una llave de memoria (“pendrive”, en inglés) USB, que le permite tomar control de la máquina para que le entregara los billetes.

También desarrolló un sistema de administración en línea que le permite vigilar las máquinas y recolectar datos de las tarjetas de personas que utilicen ese equipo.

Los cajeros en peligro son los que usan Windows CE sobre plataformas ARM o Xscale. Los fabricantes fueron advertidos con anticipación a esta demostración en Las Vegas para que tomaran medidas.

Sin embargo, Jack indicó que existen cajeros que son vulnerables a este ataque cuyos fabricantes no pudieron ser identificados como para alertar de esta vulnerabilidad.

Guerras cibernéticas
En la Defcon también se difundió un trabajo muy inquietante: la organización de una invasión informática de los Estados Unidos es posible si se disponen de dos años y 100 millones de dólares, según un especialista informático.

Charlie Miller, investigador en Independent Security Evaluators y que trabajó cinco años en la Agencia de Seguridad Nacional de EE.UU. (NSA), afirmó que su modelo era fruto de un encargo supuesto de Corea del Norte, un enemigo histórico de la Casa Blanca.

“Hice lo que si Corea del Norte me hubiera pedido orquestar un ataque cibernético contra Estados Unidos, trabajé en condiciones reales”, comentó.

Miller afirmó que había recibido una solicitud del Centro de Excelencia en Ciberdefensa de Estonia para que diseñara medios de defensa contra un ataque cibernético similar al modelo que presentó en Las Vegas. El investigador presentó sus conclusiones en una reunión de la OTAN en el país báltico en junio.

“Sabía que era fácil, pero no sabía lo dañino que podría llegar a ser”, comentó con ironía, y afirmó que Estados Unidos era “muy vulnerable” a un ataque cibernético generalizado. Sobre todo, señaló, teniendo en cuenta que 100 millones de dólares es una cifra pequeña en comparación con todo lo que se gasta para protegerse de una catástrofe.

Su estrategia se centró en la distribución de la electricidad, la banca, las telecomunicaciones y otros elementos de la infraestructura tecnológica del país. El “ciberejército” constaría sólo de un centenar de “soldados” entre comandos de élite y estudiantes aficionados a la informática.

Una de las claves, según Miller, es entrar furtivamente en las redes y establecer “cabezas de playa” en los sistemas informáticos durante un período de tiempo de dos años antes de la “invasión general”.

“Una vez transcurridos esos dos años, no hay nada que hacer”, se jactó Miller. “No obstante, durante ese período de preparación, aún puede descubrirse lo que está pasando y actuar contra el problema”.

El experto aseguró que un sólo objetivo, como la bolsa de valores o una red militar, se pueden ocupar por un costo menor.

Miller optó por Corea del Norte para establecer el escenario porque este país tiene la ventaja de estar tan aislado de la tecnología que una invasión de Internet lo dejaría relativamente indemne.

Según Miller, algunos países ya están haciendo lo que pueden para poder orquestar una invasión de Internet a escala general, y afirmó que existen dos soluciones: “Limitar nuestra dependencia a Internet o hacer esfuerzos para descubrir y encontrar los medios políticos para detenerlos”.

No obstante, según su deducción, los mejores expertos informáticos capaces de realizar este tipo de ataque se refrenan por cuestiones de patriotismo y moral. “Podrían tener miedo de ser asesinados”, justificó, “algo que, por otro lado, parece un pensamiento bastante realista”.

El presidente de la National Security Corporation, Mark Harding, apuntó cómo Estados Unidos no está preparado para contrarrestar tales ataques. “Algunos dicen que pueden tumbar Internet y es verdad que pueden hacerlo”, admitió, y añadió: “No lo hacen porque creen en las virtudes de no dañar o robar cosas que no les pertenecen. Si esta mezcla de moral y disciplina desaparece es más fácil pasarse al lado oscuro”.

Coalición de vigilantes
En la Defcon también salió a la luz una organización que, hasta ese momento, estaba en las sombras. Se trata de “Vigilant”, una alianza privada estadounidense de voluntarios que rastrean delincuentes en la red desde hace más de una década, que anunció que reclutará “hackers”.

“Vigilant” fue descrito por su jefe, Chet Uber, como una suerte de ciber equipo “Clase-A" que actúa contra terroristas, carteles de la droga y la mafia.

“Hacemos cosas que el Gobierno no puede hacer”, indicó Uber. “Se suponía que esto nunca debía ser un asunto público”, agregó.

“Vigilant” es una alianza de algo más de 600 voluntarios y entre sus secretas filas figuran, según informes, los más altos jefes de las principales compañías tecnológicas y ex ciber espías norteamericanos de alto rango.

El grupo escruta el tráfico en Internet para encontrar pistas sobre ataques en línea, terroristas, cárteles y otros objetivos calificados como prioritarios por los integrantes de esta organización privada, que es gestionada en forma democrática.

“Vigilant” afirma tener cooperantes en 22 países que reúnen inteligencia o coordinan las redes en persona. “Nos metemos en los bares y buscamos listas de ‘malos actores’, conseguimos información de la gente”, explicó Uber.

“Pero, una cantidad significativa de la inteligencia que reunimos proviene de nuestro monitoreo en Internet. Nos fijamos en todo lo que sucede en los sitios ‘web’, que son públicos”, indicó.

Uber fue categórico en aclarar que “Vigilant” actúa en el marco de la ley, al tiempo que señaló que tecnológicamente son más ágiles que las agencias del Gobierno, por lo general abrumadas por la burocracia y las rivalidades internas.

“La inteligencia es un subproducto de lo que es nuestra investigación en sí”, señaló Uber. “Nosotros investigamos los ataques, por qué suceden y cómo podemos prevenirlos”, agregó.

“Vigilant” comparte los resultados más importantes con las agencias de espionaje de Estados Unidos. Uber fue invitado a la Defcon para reclutar nuevos talentos.

¿Por qué decidió hacerse pública esta alianza después de 14 años de funcionamiento? Uber respondió que el objetivo de esa decisión es trabajar a “plena capacidad”, con una meta de llegar a 1.750 voluntarios con antecedentes examinados, para el año 2012.

“Somos gente buena, no estamos para hacerle daño a nadie”, aclaró. “Nuestro único juramento es defender la Constitución de los Estados Unidos contra todos los enemigos extranjeros y domésticos”, aseguró.

El objetivo esencial de “Vigilant” es conocer quién está detrás de los ataques cibernéticos. La incapacidad para descubrir quién lanza estos ataques online habitualmente deja a las empresas o gobiernos sin saber a quién responsabilizar.

Argentinos en Defcon
El resto de las charlas trataron tópicos muy fuertes asociados a las redes sociales y la privacidad, a la seguridad asociada a la computación en la nube, a la presentación de nuevas técnicas de hacking y a la presentación de nuevas herramientas de seguridad.

La presencia de oradores argentinos estuvo a cargo de Francisco Amato, Federico Kirshbaun, Alfredo Ortega y Cesar Cerrudo para Defcon, y Nicolas Waisman y Mariano Nuñez de Crocce quienes dieron un conferencia en la reunión denominada “Black Hat”, entre otros.

Además de las conferencias, Defcon tuvo competencias de todo tipo, contó Sallis como LockPicking (apertura de cerraduras), talleres de hardware, y el famoso CFT (Capture de Flag) donde seleccionados de “hackers” de todo el mundo se juntan en una competencia que dura casi tres días en busca del "mejor team".

César Dergarabedian - © iProfesional.com