Este año en Black Hat: Danger Drone y ransomware de termostato

Por Bruce Snell

Lima – Perú,  Agosto de 2016.- La semana pasada fui a uno de los pocos lugares más calientes aquí en Texas: Las Vegas. Cada año, la industria de seguridad se reúne durante una semana para capacitarse, ver demostraciones y socializar en Black Hat, DefCon y BSides. Mucha gente de la industria utiliza estas conferencias como un momento para dar a conocer la investigación en la que han estado trabajando. Asistí a una charla muy interesante impartida por la Dra. Zinaida Benenson acerca de lo que hace que la gente haga clic en enlaces maliciosos. La Ciberguerra es un área de interés para mí y Kenneth Geers presentó un excelente resumen (¡demasiado corto!) sobre el actual conflicto entre algunos países. Sin embargo, hubo unos cuantos temas que repercutieron bastante en las noticias, tanto que una azafata de mi vuelo de regreso a casa me preguntó acerca de ello después de enterarse que yo había asistido a la conferencia. Por supuesto, algunos de estos hackeos pueden sonar aterradores, pero usted no debe asustarse demasiado todavía.

Ransomware para termostatos inteligentes

En el evento “IoT Village” de DefCon, dos investigadores revelaron que era posible cargar malware en termostatos inteligentes.

Como mencioné hace mucho calor en Texas. Imagínese llegar a casa para aliviarse de los 38 grados de afuera, sólo para descubrir que han infectado su termostato con ransomware y ahora tendrá que pagar $100 ¡o el termostato se quedará atascado en 37 grados!

Pero, todavía no se deshaga de su ecobee3. Para conseguir que esto funcione, el malware tendría que ser cargado en el termostato. El modelo utilizado es básicamente una pequeña caja de Linux con una pantalla táctil. El fabricante proporciona una ranura de tarjeta de memoria para que sus clientes puedan subir sus propias fotos. Sin embargo, no verifican para asegurarse de que sólo las fotos se carguen. Los investigadores fueron capaces de cargar su malware simplemente insertando una tarjeta de memoria SD infectada en el dispositivo.

De esta manera, aunque el termostato muy probablemente no vaya a ser hackeado mientras está leyendo esto, se muestra el potencial de que los maleantes sigan atacando a nuestros hogares mediante dispositivos que la mayoría de la gente ni se imaginaría.

Hackeo de Jeep Versión 2

Quizá recuerde la gran historia del año pasado donde dos investigadores hackearon remotamente un Jeep desde el sillón de su casa mientras era conducido por la autopista. Este año, se dio a conocer un nuevo grupo de ataques que tomó el control del frenado, aceleración y dirección a cualquier velocidad. Fueron capaces de superar diversos controles de seguridad en el vehículo, conectándose directamente a la red CAN del carro y enviar señales para aprovecharse de los componentes de control de crucero y estacionamiento asistido del carro.

Aunque esto definitivamente podría ser desastroso para un conductor distraído (los investigadores dijeron que el conductor podría invalidar fácilmente cualquiera de los comandos), tenemos que considerar que esto requeriría de alguien en el carro para tener una laptop enchufada directamente al puerto del diagnóstico de abordo (OBD) del vehículo, para ejecutar cualquiera de estos hackeos. Probablemente usted notaría si hay alguien sentado en el asiento del pasajero intentando enchufarse al puerto que está bajo el tablero del lado del conductor. Esto es algo en lo que la gente debe pensar, pero no aterrorizarse.

Spear Phishing Automatizado

Mientras que los dos anteriores hackeos no fueron necesariamente algo en lo que la persona promedio tiene que preocuparse de inmediato, un par de proyectos revelaron de lo que usted definitivamente debe estar consciente. Dos investigadores desarrollaron una nueva herramienta que utiliza un bot automatizado para analizar la información de una persona de sus mensajes de Twitter y Facebook, para crear una campaña de phishing que tiene mucho mayor probabilidad de engañar a alguien para que haga clic en un enlace. El bot, llamado SNAP_R, observa qué y cuándo publica alguien, y de qué temas publica o responde. Posteriormente crea un mensaje que se asemeja a algo que su víctima probablemente leería y en el que haría clic.

¿Qué representa esto para usted? Muy probablemente podríamos ver un aumento en campañas de phishing a lo largo de Twitter y Facebook. Lamentablemente, incluso si usted es muy cuidadoso al pensar antes de hacer clic en un enlace, eso no significa que todos sus amigos lo sean. Los ciberdelincuentes son partidarios de utilizar una cuenta invadida para propagar malware hacia otras personas. Si usted recibe un mensaje instantáneo extraño en Facebook de un amigo, puede ser que su cuenta ha sido invadida. En su estudio, los investigadores observaron  que en 60% de los mensajes generados por su herramienta, se hizo clic. ¡Esté atento a más phishing en el futuro!

¡Danger Drone!

Si es un fan de Top Gun o Archer, la canción de Kenny Loggins, probablemente pasó por su cabeza cuando leyó «Danger Drone«.

Este proyecto se inició porque Fran Brown estaba viendo la película y pensé «Danger Drone» (Vehículo Aéreo No Tripulado Peligroso) sería un gran nombre. Esto se convirtió en una combinación de $500 usd de Raspberry Pi / quadcopter, que es efectivamente una laptop de hackeo voladora. Muchos dispositivos de «hogar inteligente» sufren de problemas de seguridad. Un dispositivo puede ser hackeable, pero debido a que no se conecta directamente a Internet, el riesgo parece bajo. Con algo como un Danger Drone, este riesgo podría aumentar drásticamente.

Ustedes en casa podrían estar preguntándose, «¿Por qué crear algo como eso?». Con la mayoría de los proyectos como este, la intención no es facilitar la vida de los maleantes. De hecho es aumentar la conciencia del problema, y obligar a los fabricantes a prestar más atención a la seguridad. Muchas veces una compañía será alertada de una vulnerabilidad de seguridad, pero no hace ningún esfuerzo para solucionar el problema hasta que es del conocimiento público. En el caso del Danger Drone, el objetivo es proporcionar a los profesionales de seguridad mejores herramientas para evaluar la seguridad de una organización, y elevar la conciencia de los problemas de seguridad en torno a Internet de las Cosas (IoT).

¿Así que qué puedo hacer para permanecer seguro?

El termostato inteligente y los hackeos de Jeep no deberían afectar a la persona promedio en absoluto, ya que ambos requieren de acceso físico a los dispositivos. Estos están destinados a crear conciencia de los problemas. Aunque no es algo que tiene que enfrentar hoy, definitivamente es algo que debe considerar.

Para el spear phishing bot y el Danger Drone (mi nuevo término favorito), se pueden emplear algunas prácticas de seguridad básicas para ayudarle a mantenerse seguro.

1. Actualización – Para las tradicionales laptops, tablets, smartphones y cualquier dispositivo inteligente como termostatos inteligentes, iluminación conectada y televisores inteligentes, es extremadamente importante que esté atento sobre cómo mantener sus dispositivos actualizados con las más recientes actualizaciones y parches de software. Esto le ayudará a protegerse contra virus y ransomware, así como contra un Danger Drone volando arriba de usted en búsqueda de fallas de seguridad.
2. Sea Escéptico – El phishing es una manera muy común para la propagación de malware y para robar información personal. Con el advenimiento de herramientas como SNAP_R, debemos esperar que el phishing continúe en aumento. Siempre piense dos veces antes de hacer clic en un enlace que no espera, incluso si es de alguien que usted conoce.
3. Utilice Software de Seguridad – En caso de que accidentalmente haga clic en un enlace malicioso, el contar con un software de seguridad integral instalado en el dispositivo le ayudará a evitar que el malware infecte el sistema.

Siempre disfruto de mi peregrinación anual a estas conferencias de seguridad, y siempre es mi esperanza que las herramientas y las técnicas que se presentan ahí, puedan ayudar a hacer que nuestro mundo digital sea un lugar seguro.

Manténgase a la delantera de las más recientes amenazas para la seguridad móvil y de consumidores siguiéndome y consultado @IntelSec_Home en Twitter, y dándonos un «Me gusta» en Facebook.

¡Manténgase seguro!

Link al blog https://blogs.mcafee.com/languages/espanol/este-ano-en-black-hat-danger-drone-y-ransomware-de-termostato/

(Nota de Prensa)