Entradas de la categoría ‘Underground’

OPM

Si no es ya una máxima, debería serlo: cada gran hack descubierto, con el tiempo llegará a ser más grave de lo que en un principio se creyó. Esto se sostiene como especialmente apropiado con el pirateo que sucedió hace ya casi un año contra la Oficina Federal de Administración de Personal, la división de recursos humanos del gobierno estadounidense (la OPM, por sus siglas en inglés).

Al principio, el gobierno dijo que la brecha expuso la información personal de aproximadamente cuatro millones de ciudadanos, información tal como números de la seguridad social, fechas de nacimiento y direcciones de trabajadores federales actuales y ya jubilados. Poco más tarde, el director del FBI James Comey dio la cifra de 18 millones de personas. La violación de datos, que había comenzado en marzo de 2014 (o puede que antes), fue detectada por la OPM en abril de 2015, considerándola por las autoridades federales como uno de los mayores fallos de seguridad de los datos del gobierno en toda la historia de los Estados Unidos.

El 9 de julio de 2015, la estimación del número de registros robados había aumentado a 21,5 millones, esto incluía los registros de las personas que se habían sometido a verificaciones de antecedentes, pero que no eran empleados del gobierno actuales o anteriores. Poco después, Katherine Archuleta, a la sazón directora de la OPM, renunció “voluntariamente” a su cargo. El escándalo había sido mayúsculo.

Y es que resulta que los hackers, que se cree que pudieran ser de China, también pudieron acceder a los formularios conocidos como SF-86, documentos utilizados para la realización de controles de antecedentes y autorizaciones de seguridad de los trabajadores americanos. Estos formularios pueden contener una gran cantidad de datos sensibles, no sólo acerca de los trabajadores que solicitan autorizaciones de seguridad, sino también acerca de sus amigos, cónyuges y otros miembros de la familia. También pueden incluir información potencialmente sensible sobre las interacciones de los demandantes con ciudadanos extranjeros que podrían utilizarse en contra de esos ciudadanos en su propio país.

Sede de la OPM en Washington, D. C.

Las repercusiones podrían ser mucho más graves de lo que nadie pensó en su día. Aunque los informes son contradictorios acerca de cómo la OPM se habría dado cuenta de la infracción, lo que está claro es que los investigadores tardaron más de un año en descubrirla, lo cual significa que el sistema EINSTEIN (un software de detección de instrusión de la NSA) falló. De acuerdo con un comunicado de la propia Oficina, la violación fue encontrada después de que los administradores tuvieran que realizar mejoras en sistemas no especificados. Pero el diario Wall Street Journal informó de que la brecha de seguridad fue descubierta, realmente, durante una demostración de ventas de una empresa de seguridad llamada CyTech Services.

A medida que fueron saliendo más datos sobre los tipos de información a la que los hackers habían accedido, las repercusiones se antojaban mucho más graves de lo que nadie imaginó al principio, porque, de hecho, los datos consultados por los intrusos pudieron representar todavía un abanico mucho más amplio de pensado. Las 127 páginas de los formularios SF-86 que se cree que fueron visitadas por los hackers, también incluían información financiera, historias detalladas de empleo (con motivos de despidos), así como antecedentes penales, registros psicológicos e información sobre el consumo de drogas en el pasado.

Hubo otro motivo de mucha preocupación, también, incluso más allá del riesgo de chantaje por la información recabada. Los formularios SF-86, como decíamos antes, pueden incluir una lista de personas en el extranjero con las que un trabajador haya estado en contacto. Por lo tanto, diplomáticos y empleados con acceso a información clasificada se afanaron en proporcionar una lista de estos contactos (y de ir a avisarlos), pues existía la preocupación de que el gobierno chino se apoderara de relaciones con nombres de los ciudadanos de su país que hubieran estado en contacto con trabajadores del gobierno de Estados Unidos y que pudieran utilizar estos hechos para chantajearlos o castigarlos.

Los millones de víctimas de esta falla de seguridad de la OPM, como no puede ser de otra manera, expresaron su indignación por el derrame masivo de datos personales. J. David Cox, el presidente del sindicato de empleados del gobierno federal, escribió una enérgica carta a la directora de la OPM, Katherine Archuleta, censurando la mala gestión de la seguridad que llevó a la brecha y, también, la respuesta de la agencia a la misma.

Aún se sigue investigando aquella filtración de datos, pero no se ha sacado mucho en claro. El hecho fue tan extraordinario que hasta tiene su propia entrada en Wikipedia.

Pixel tracking

Es muy probable que nunca hayas oído hablar de empresas como Yeswear, Bananatag o Streak, sin embargo es casi seguro que ellas saben mucho acerca de ti. Concretamente conocen cuándo has abierto un correo electrónico enviado por uno de sus clientes, dónde te encuentras, qué tipo de dispositivo estás utilizando y si has hecho clic en un vínculo. Y todo ello sin tu conocimiento y sin tu consentimiento. ¿Cómo te quedas?

Ese tipo de mail tracking es más común de lo que piensas. Una extensión de Chrome, llamada UglyEmail, te muestra quién es culpable de hacerlo en tu bandeja de entrada. Sonny Tulyaganov, el creador de UglyEmail, dice que se inspiró para escribir el pequeño script cuando un amigo le habló sobre Streak, un servicio de seguimiento de correo electrónico cuya extensión de Chrome tiene más de 300.000 usuarios. Tulyaganov estaba consternado.

Streak permite a los usuarios rastrear correos electrónicos y ver cuándo, dónde y qué dispositivo se utiliza para abrir el mail. “Lo probé y me pareció muy preocupante, por lo que decidí ver quién es en realidad el que controla los mensajes de correo electrónico en mi bandeja de entrada. Una vez nació la idea, sólo bastaron un par de horas para que fuera una realidad”.

La razón por la que fue tan fácil crear esta aplicación es porque el tipo de seguimiento que supervisa es, en sí mismo, un procedimiento muy sencillo. Los vendedores simplemente insertan una imagen transparente de 1 píxel × 1 píxel en un correo electrónico. Al abrir ese correo, la imagen se conecta con el servidor donde se originó (a través de la URL de su localización mediante, por ejemplo, PHP) extrayendo información como la hora, nuestra ubicación y el dispositivo que estamos usando. Es una confirmación de lectura con esteroides que no hemos aceptado.

El pixel tracking es una práctica extendida desde hace tiempo, y parece no haber nada remotamente ilegal al respecto; Google tiene incluso una página de soporte dedicada a orientar a los anunciantes a través de este proceso. Aunque eso no lo hace menos inquietante.

El uso de UglyEmail es tan simple como eficaz es el servicio. Una vez lo hayas instalado, el código identifica correos electrónicos que incluyen los píxeles de seguimiento de alguno de los tres servicios mencionados anteriormente. Aparecerán, pues, los mensajes en nuestra bandeja de entrada con un icono de un ojo junto al encabezado, de tal forma que nos permita saber que una vez hagamos clic, se alertará al remitente.

El pixel tracking no va a desaparecer en un corto plazo, y UglyEmail es una forma imperfecta de prevenirlo. Pero, aún así, ofrece una visión valiosa de las maquinaciones de marketing a las que estamos expuestos todos los días. Para asustar.

Sistema ¿seguro?

Los sistemas informáticos aislados del exterior por técnicas de air gap no están conectados a otros sistemas ni a Internet, están aislados físicamente porque, por lo común, son equipos que demandan medidas de muy alta seguridad debido a la sensibilidad de sus datos. Se utilizan en redes militares clasificadas, redes de transacciones de crédito o en sistemas de control industrial que operan con infraestructuras críticas. Para extraer datos de estos sistemas, normalmente suele ser necesario acceder físicamente al equipo con algún medio de almacenamiento externo (o no).

Sin embargo, investigadores de seguridad en la Universidad Ben Gurion (Israel) encontraron una manera de recuperar los datos de un equipo air gap utilizando sólo las emisiones de calor de éste y una serie de sensores térmicos incorporados. El método podría permitir a los atacantes obtener subrepticiamente contraseñas o claves de seguridad de un sistema protegido y transmitirlos a otro sistema cercano conectado a Internet. Así mismo, también podrían utilizar el equipo conectado a Internet para enviar comandos maliciosos al sistema air gap con la misma técnica de calor y los sensores.

A continuación podemos ver una demostración en vídeo en la que se enseña cómo fueron capaces de enviar un comando de un ordenador a una máquina air gap adyacente para mover un juguete de lanzamiento de misiles.

El ataque de prueba de concepto requiere que ambos sistemas, antes que nada, sean comprometidos con malware. Además, en la actualidad, el ataque permite sólo ocho bits de datos que transmitir de forma fiable, y no grandes cantidades. También funciona sólo si el sistema air gap se encuentra a 40 centímetros del otro equipo de control de los atacantes. Todo ello por ahora, en un futuro dicen que las posibilidades pueden ser infinitas.

¿Y cómo funciona todo esto? Los ordenadores producen diferentes niveles de calor en función de la cantidad de procesos que estén ejecutando. Además de la CPU, el chip gráfico y otros componentes de la placa producen un calor significativo. Para controlar la temperatura, las computadoras tienen una serie de sensores térmicos incorporados que detectan fluctuaciones de calor y provocan que entre en funcionamiento un ventilador interno para enfriar el sistema cuando sea necesario o, incluso, apagarlo para evitar daños.

Este nuevo ataque, al que estos investigadores han llamado BitWhisper (algo así como el susurrador de bits), utiliza estos sensores para enviar comandos a un sistema air gap. La técnica funciona un poco como el código Morse, con el sistema de transmisión provocando aumentos controlados de calor para comunicarse con el sistema de recepción, que utiliza sus sensores térmicos integrados para detectar los cambios de temperatura y traducirlos en dígitos binarios, esto es en ceros y unos.

Precisamente en comunicar un 1 binario consiste esta demostración del vídeo de ejemplo. Los investigadores aumentaron las emisiones de calor del equipo de transmisión sólo 1 grado sobre un marco de tiempo predefinido. Después transmitieron un 0 para restaurar el sistema a la temperatura base durante otro periodo de tiempo predefinido. El equipo que recibe los bits traduce este código binario en un comando que causa la reubicación del lanzador de misiles de juguete (ello gracias al malware que hay por detrás, claro).

Los investigadores diseñaron su malware para tomar en consideración las fluctuaciones de temperatura normales de un ordenador y distinguirlas de las fluctuaciones que señalan que un sistema está tratando de comunicar. Y, aunque este malware aumenta la temperatura un único grado en señal de comunicación, un atacante podría aumentar la temperatura en cualquier cantidad, siempre y cuando sea dentro de lo razonable para evitar la creación de la sospecha que puede levantar un ventilador hiperactivo si el ordenador se sobrecalienta en exceso.

Hack

Si caminamos por el corazón del cuartel general de Facebook en Menlo Park, California, nos podemos encontrar un lugar con un imponente mural de dos pisos de alto pintado por el artista Brian Barnecio. El diseño parece un enorme tótem plagado de formas abstractas y con una sola palabra en el centro: hack.

A finales de los años ochenta, y durante los noventa y principios del siglo XXI, hack era una palabra dañina y canalla, pues evocaba el peligro y la actividad criminal en el submundo cibernético que constituían las redes informáticas. El término trataba de la irrupción en los sistemas informáticos, redes telefónicas y otras tecnologías vulnerables. La mayoría de la gente que conocía la historia del hacking y estaba relacionada con el mundo de la informática no tenían esa impresión de los hackers, pero la connotación negativa se afianzó como la corriente principal entre el pueblo llano.

Mural en las oficinas de Facebook

Sin embargo, en la última década, hack y hacker han sido rehabilitados como términos. Hoy, al parecer, todo el mundo quiere ser un hacker. Facebook, por ejemplo, ha recorrido un largo camino hacia la renovación de estos vocablos; el éxito de la construcción de su empresa se ha gestado alrededor de la idea de que el hacking es algo positivo, una forma de transformar las tecnologías en algo mejor.

Gracias, pues, a Zuckerberg y su Facebook, y a otros tantos ambiciosos desarrolladores de software de todo Silicon Valley, hack es hoy una palabra con dos significados. Por un lado, tenemos a los hackers llamados de sombrero blanco (white hat hackers), que construyen aplicaciones nuevas y geniales y, creativamente, abren nuevos caminos. Y tenemos, también, a los hackers de sombrero negro (black hat hackers), que descaradamente comprometen sistemas informáticos en su propio beneficio.

Pero, ¿cuál es el verdadero significado de la palabra? ¿Era, originalmente, ese significado positivo o negativo? La cuestión es más complicada de lo que parece. No se puede dar una respuesta definitiva, pero ha aparecido una nueva pieza del rompecabezas. Y es que antes de que llegara al mundo la alta tecnología, la palabra hack conllevaba un significado especial en el mundo de las peleas de gallos, durante el siglo XIX.

Hack se remonta a, por lo menos, el período inglés medio (quizás en algún momento entre 1150 y 1500), y su evolución es seguramente bizantina. Según el afamado Oxford English Dictionary, llegó hace varios siglos, llevando otra forma entre sus acepciones actuales, a saber: “cortar con fuertes golpes de forma irregular o al azar“.

Amén de lo anterior, Emily Brewster, un editor estadounidense de Merriam–Webster Inc., buscó en sus archivos y logró encontrar esta carta fechada el 4 de abril de 1890, dirigida a G. & C. Merriam & Co. y firmada por un tal AW. Douglas. El membrete es de la empresa Simmons Hardware Company, de San Luis (Misuri).

Posible origen de “hack” (clic para ampliar)

Douglas, en su misiva, señala que el diccionario del momento omite una palabra que se utiliza coloquialmente y fue originada en las peleas de gallos. Y dice textualmente: “cuando un gallo da una paliza a otro y, después, el vencido corre siempre que ve al vencedor, eso se conoce con la palabra ‘hackear’ y, por lo tanto, ‘ser hackeado’ es tener miedo de alguien“.

¿Es posible que la jerga de las sureñas peleas de gallos de alguna manera diera el salto a las paredes de Facebook siglo y pico después? Puede ser, quién sabe. Pero no tenemos nada tan definitivo como para afirmar que existe una relación directa entre aquellas peleas de gallos y la actividad relacionada con la informática maliciosa. Es totalmente posible que los significados se desarrollaran de manera completamente independientemente los unos de los otros.

AC/DC

Entre 2009 y 2010 el programa nuclear de Irán fue blanco de un ataque cibernético devastador. Un virus conocido como Stuxnet y colado por un grupo de hackers, según los informes desarrollados por los gobiernos estadounidense e israelí, tomó el control de las instalaciones nucleares en todo el país, causando que miles de máquinas se estropearan. Pero, al parecer, no satisfechos con paralizar los esfuerzos nucleares de Irán, quisieron demostrar su poder de otra manera. Para ello, y siempre según los informes citados, secuestraron estaciones de trabajo de la red iraní y las utilizaron para poner, a todo volumen, música del grupo australiano AC/DC.

Y debieron de poner la música muy, muy alta. En su intervención en la conferencia de seguridad Black Hat, el experto en seguridad informática Mikko Hyppönen recordó el correo electrónico que recibió de un científico iraní en el momento de los ataques de Stuxnet. El contenido se detalla a continuación.

“Había también algo de música tocando al azar en muchas de las estaciones de trabajo durante la noche con el volumen al máximo. Creo que era la banda estadounidense AC-DC Thunderstruck. Todo era muy extraño y sucedió muy rápido. Los atacantes también han logrado ganar acceso root a la máquina por la que entraron y eliminaron todos los logs”.

Por supuesto, Thunderstruck es una canción de 1990 del álbum The Razor Edge, no un sufijo del nombre de la banda australiana (que no estadounidense). Pero ese científico puede ser perdonado por sus altos desconocimientos musicales, y es que bajo las leyes de censura del país, sólo la música floclórica de Irán, la música clásica o la música pop son admitidas allí.

Desde el ataque de Stuxnet, el presidente Obama ha advertido contra el uso de armas cibernéticas para atacar a otros países, por temor a que pueda ser reutilizado su código fuente y se convierta en un ataque inverso contra Estados Unidos. Hasta el momento, el presidente no ha comentado sobre los peligros de la implementación de canciones de AC/DC en estos ataques 😉 .