Blog del CCI

jueves, 29 de noviembre de 2018

Un repaso a las botnets IoT en los últimos tiempos, de Darlloz a Mirai

Pensemos en un momento en las actualizaciones de nuestro teléfono móvil o nuestro ordenador de escritorio. Es un acto rutinario: el sistema avisa de la existencia de una actualización pendiente, pulsamos, aceptamos, se instala y (en el mejor de los casos, si todo va bien y siempre después de un rato…) vuelta al trabajo. Un acto que repetido con asiduidad y que, a veces con resignación, forma parte del aseo rutinario. Ahora pongamos la atención en ese aparato que no es un móvil o un ordenador, puede ser un router, un frigorífico, un termostato o incluso un inodoro con conexión WiFi. Cientos de pequeños cacharros que albergan una CPU, memoria y conexión a la red. Escondidos en techos de escayola o disfrazados de electrodomésticos, no dejan de ser computadoras como la que tenemos delante o la que sostenemos en la palma de la mano. ¿Los actualizamos?, ¿se actualizan?, ¿son vulnerables?



¿Cuánto hace que cambiaste las credenciales de acceso o actualizaste el firmware de tu inodoro? Si la respuesta es nunca, entonces acabas de descubrir la clave para entender la proliferación de malware enfocado al Internet de las cosas: el olvido y la indiferencia, dos factores que no pasan desapercibidos a los creadores de botnets.

Mirai, el "origen"

Aunque ya hubo voces que advirtieron de los retos a los que nos íbamos a enfrentar con la explosión del IoT, posiblemente no nos dimos cuenta de ese potencial hasta que fuimos testigos del crecimiento, auge y capacidad beligerante de Mirai, una botnet compuesta por una amalgama de routers, cámaras IP y, quién sabe, algún que otro frigorífico o lavadora.

El episodio en concreto, ocurrido el 20 de septiembre de 2016, fue el ataque de denegación de servicio contra el sitio web del investigador de seguridad Brian Krebs. Algo más de 600 Gbps insuflados a través de dispositivos infectados por todo el globo en uno de los ataques de denegación de servicio más grandes acaecidos hasta esa fecha.

Mirai ("futuro" en japonés), tenía unos objetivos muy claros cuando fue descubierta y analizada por el grupo MalwareMustDie. Poseía datos de credenciales por defectos de más de 60 tipos de dispositivos a los que atacaba accediendo a su configuración y terminaba agregándolos a la botnet. Curiosamente, aunque escaneaba internet en busca de otros dispositivos con una configuración por defecto o descuidada, se abstenía de "tocar" redes del servicio postal y del departamento de defensa de los Estados Unidos.

El código fuente de Mirai fue liberado en un foro e incluso está publicado en Github. Naturalmente, ese mismo código ha sido usado para crear nuevas versiones personalizadas, más agresivas y con añadidos interesantes, como módulos de explotación de vulnerabilidades conocidas y que han hecho estragos. Por ejemplo, el CVE-2017-5638, que permite ejecutar código arbitrario en Apache Struts; un fallo muy conocido por ser la causa de la brecha de información que afectó a la empresa Equifax.

Desde entonces, Mirai ha tenido varias encarnaciones, por ejemplo: Reaper, Okiru, Satori, Masuta, etc. Desde ese catálogo de credenciales por defecto y su uso como arma en el mercado negro de los DDoS, hasta la inclusión de los mencionados exploits y su orientación al minado masivo de criptomoneda.

Otras botnets de IoT

Otro ejemplar significativo es BASHLITE, aunque también tiene otros muchos nombres, como: Gafgyt, Torlus, Lizkebab. Este malware comenzó a despuntar en 2014, cuando explotaba la conocida vulnerabilidad que afectaba a sistemas UNIX: Shellshock. Una sencilla pero elegante forma de ejecutar código que afectó a numerosos sistemas. Aunque afectaba principalmente a servidores UNIX, la mayoría de los sistemas infectados terminaron siendo IoT. Las siguientes iteraciones de BASHLITE comenzaron a usar la misma vía de propagación que Mirai, esto es, diccionarios contra la autenticación de dispositivos IoT y un catálogo de exploits listos para ampliar su capacidad de difusión.

VPNFilter es creación del grupo ruso Fancy Bear. Os recomendamos una entrada en el blog de ciberseguridad de ElevenPathsdónde se habla de éste y otros malware de actualidad. Aunque VPNFilter se diseñó en principio para afectar a objetivos situados en Ucrania, terminó expandiéndose por todo el mundo, e incluso hizo que el propio FBI norteamericano publicase un anuncio donde pedía que se reiniciaran los routers para erradicar el proceso afectado por VPNFilter de la memoria.

Tanto VPNFilter como GhostDNS pertenecen, podríamos decir, a una nueva generación de malware, donde se busca modularidad, resiliencia, múltiples etapas de infección y nuevas e innovadoras vías de comunicación con el C&C. Por ejemplo, en el caso de VPNFilter se llegó a usar los metadatos de imágenes (campos EXIF) publicadas en ciertas webs para enviar comandos a los bots.

En el caso de GhostDNS, el modus operandi no es algo novedoso, su armazón básico es el de un DNS Changer, cambiar la dirección IP de los servidores DNS por defecto o configurados. Este cambio afecta a la forma en la que se resuelven las peticiones de dominio de una red. En vez de responder con la dirección IP original, el dominio es resuelto a una dirección de un servidor controlado por los atacantes. GhostDNS está compuesto por múltiples scripts de shell, Javascript, Python y PHP que forman tres módulos principales. Cada uno de ellos se especializa en un vector de ataque y posee submódulos especializados en un tipo de router. A destacar el módulo de Javascript que puede ser inyectado en una web y usado para afectar al router del visitante del sitio cuando el código es ejecutado en su navegador. Malware sin fronteras.

Pero aun así, ¿fue Mirai la primera botnet que aprovechaba la hiperconectividad? No. Ya en 2013, antes de toda la nueva ola IoT, Darlloz afectaba específicamente a routers además de otros objetivos. El malware se centraba en la explotación de CVE-2012-1823, un exploit para php-cgi, que es un módulo PHP y es usado en los paneles de administración web de algunos routers. Darlloz escaneaba aleatoriamente Internet enviando una petición HTTP POST con el payload incrustado en un formulario. Si el router era vulnerable, terminaba infectado con una versión de Darlloz y pasaba a formar parte de la botnet.

En conclusión, escondidos o camuflados, estamos rodeados de pequeños artefactos que necesitan de atención. Solo con una pequeña parte de la misma atención que dedicamos a nuestros terminales móviles u ordenadores de escritorio, podríamos evitar un mal mayor que, a veces, encuentra una puerta completamente abierta en estos sistemas. Telefónica y su unidad de ciberseguridad ElevenPaths, ofrece servicios de seguridad IoT que se apoyan en las redes para reducir la complejidad en el punto final y asegurar su integración con la plataforma de servicios. Además, se han creado servicios específicos de seguridad IoT, que se apoyan en la fortaleza de los once SOCs de Telefónica. Los servicios de seguridad de ElevenPaths se amplían para cubrir y proteger el mundo IoT.



David García
david.garcianunez@telefonica.com
Equipo de Innovación y Laboratorio de ElevenPaths

martes, 13 de febrero de 2018

Right to repair (also the digital)


Like many things that revolve around technology, the issue we echo today arises from a movement in the US that is none other than being able to repair machinery that incorporates hardware and software for its operation, by the owner or any workshop. 

This seems more or less reasonable and that's how it works, for example, in the automotive sector, in the issue of information technology is not so. Thus, those with diagnostic and repair tools are the companies owning this technology, or some to which they have granted that power.

This right to repair what it mean1 for manufacturers, is the duty to sell spare parts and diagnostic tools to any workshop or individual that so demands. 


And where did it start? 

Few American territories deserve more to be considered the heart of the country  -to be in the depths of deep America-  than the State of Nebraska. A quick glance at the map of continental US (with permission from Alaska) will clear any doubt about it.

While in other latitudes -for example, the European ones- what is debated, or has recently been debated, are rights, born at the mercy of "digital", as the "right to be forgotten", in rural Nebraska the debate, also propitiated as an effect of "digital", revolves around the "right to repair", ... to repair tractors.

Digitization ravages. Few activities, if any, escape their influence and those related to agricultural and livestock production are no exception. Modern tractors are, in fact, computers on big wheels. The manufacturers have "refilled" them with embedded software which, among other things, has allowed them to launch a lucrative business model around maintenance and repairs.

However, this "novelty" clashes directly with the interests of farmers, who are not willing to go through the hoop of the manufacturers from the economic point of view (the costs of software and other supplements are exorbitant, as well as the tariffs of the authorized workshops), nor from the agility that requires to solve a breakdown when the tractor stops in the middle of the country 40 miles away from the nearest workshop.

While Nebraska farmers await the approval, or not, of the state law "LB 67 on the right to repair", Polish and Ukrainian hackers are providing them with the spare parts -basically, pirated and sabotaged/manipulated software- that their tractors need. 

But not only Nebraska farmers are interested in the law, they have joined the states of Minnesota, New York, Massachusetts, Kansas and Wyoming. 

And, of course, not only affects tractors and farmers, but any device that includes software or hardware for its operation, which is almost everything. 

---------------------------------- 
1https://motherboard.vice.com/en_us/article/mg7nbv/five-states-are-considering-bills-to-legalize-the-right-to-repair-electronics  

Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center 

Maria Jose de la Calle
Colaboradora CCI
CCI, Industrial Cybersecurity Center 




lunes, 12 de febrero de 2018

El derecho a reparar (también lo digital)



Como muchas cosas que giran alrededor de la tecnología, el tema del que nos hacemos eco hoy surge de un movimiento en los EEUU que no es otro que el poder reparar maquinaria que lleve incorporado hardware y software para su funcionamiento, por el propietario o cualquier taller.

Esto que parece más o menos razonable y que así funciona, por ejemplo, en el sector del automóvil, en el tema de las tecnologías de la información no lo es tanto. Así, los que disponen de herramientas de diagnóstico y reparación son las propias empresas propietarias de dicha tecnología, o algunas a las que éstas les hayan concedido esa potestad.

Este "derecho a reparar" lo que supone1 para los fabricantes, es el deber de vender repuestos y herramientas de diagnóstico a cualquier taller o particular que así lo demande.


¿Y dónde empezó esto?

De pocos territorios estadounidenses puede decirse que se encuentran más en el corazón del país  -en lo más profundo de la América profunda-  que del Estado de Nebraska. Una rápida mirada al mapa de los EEUU continentales (con permiso de Alaska) le despejará cualquier duda al respecto.

Mientras en otras latitudes -por ejemplo, las europeas- lo que se debate, o se ha debatido en fechas recientes, son derechos, nacidos al albur de “lo digital”, como el “derecho al olvido”, en la Nebraska rural el debate, propiciado también como efecto de “lo digital”, gira en torno al “derecho a reparar”, … a reparar tractores.

La digitalización arrasa. Pocas actividades, si acaso alguna, se escapan a su influencia y las relacionadas con la producción agrícola y ganadera no son una excepción. Los tractores modernos son, en realidad, ordenadores sobre grandes ruedas. Los fabricantes los han “rellenado” de software empotrado lo que, entre otras cosas, les ha permitido poner en marcha un lucrativo modelo de negocio en torno al mantenimiento y las reparaciones.

Sin embargo, esa “novedad” choca frontalmente con los intereses de los granjeros, quienes ni están dispuestos a pasar por el aro de los fabricantes desde el punto de vista económico (los costes del software y otros complementos son desorbitados, así como las tarifas de los talleres autorizados), ni desde el de la agilidad que requiere solventar una avería cuando el tractor se para en medio del campo a 80 kilómetros del taller más cercano.

Mientras los granjeros de Nebraska esperan a la aprobación, o no, de la ley estatal “LB 67 sobre del derecho a reparar”, los 'hackers' polacos y ucranianos están sirviéndoles los recambios -básicamente, software pirateado y saboteado/manipulado- que sus tractores necesitan.

Pero no sólo los granjeros de Nebraska están interesados en la ley, a ellos se han unido los estados de Minnesota, Nueva York, Massachusetts, Kansas y Wyoming.

Y, por supuesto, no sólo afecta a tractores y granjeros, sino a cualquier dispositivo que incluya para su funcionamiento software o hardware, que ya es casi todo.

---------------------------------------------

1https://motherboard.vice.com/en_us/article/mg7nbv/five-states-are-considering-bills-to-legalize-the-right-to-repair-electronics   

Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center 

Maria Jose de la Calle
Colaboradora CCI
CCI, Industrial Cybersecurity Center


jueves, 11 de enero de 2018

15 predicciones de riesgos en el escenario digital de 2018

¿Qué ocurrirá en torno a la seguridad ligada al [mal] uso de lo digital a lo largo de este año?“

¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto -por cuanto en él cabe- hacen, aún, más complejo.

Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance.

En el presente caso, está Ud. a sólo doce meses de comprobar las capacidades predictivas de quien le dirige estas líneas.


1: Pérdida total de confianza.
Sentirse desamparado, no tener y/o no saber dónde acudir es, a mi juicio, la amenaza más grave que puede cernirse sobre la confianza que clientes/usuarios depositan en una organización.
Los ataques que vulneran la confianza de los consumidores por completo pueden tener efectos devastadores para las organizaciones.
Me refiero a aquellos en los que las propias fuentes de confianza dejan de ser fiables: caso “CCleaner” (septiembre, 2017) u otros similares ocurridos con anterioridad en la órbita de fabricantes de soluciones/software industrial, cuyas fuentes habían sido también contaminadas (comprometidas).
Pienso que el caso (o casos) “Intel” de que somos testigos estos días tiene perfecta cabida en esta categoría.

2: Vulnerabilidades de Hora-0.

El margen de tiempo en el que se aprovecharán las vulnerabilidades de Día-0 se han ido reduciendo. Aún lo harán más. Pasaremos a hablar de márgenes de horas, desde que la vulnerabilidad sea descubierta hasta que sea explotada.

3: Amenaza de oscuridad total.
Puesto a elucubrar, ¿por qué no hacerlo a lo grande? Hemos visto ataques a infraestructuras industriales y críticas (las redes eléctricas ocupan un lugar destacado en este poco honroso ‘ranking’). Seguiremos viendo ataques a esas y otras infraestructuras y servicios públicos.
Pero, lo que aún nos queda por ver, a pesar de lo largamente que ha sido anunciado, es un ciberincidente de proporciones planetarias o, al menos, continentales. Se viene hablando de él desde hace años: lo han denominado “ciber Pearl Harbour”; lo han llamado “Armagedón cibernético”; ahora lo denominan “ciber-botón rojo” (la capacidad de enviar a un adversario a la Edad Media, o más allá, tras pulsar un botón -tal vez, una tecla; o una pantalla táctil, 😉- de color rojo).
Personalmente, es algo que no me gustaría ver y confío en que no se produzca -sinceramente, no termino de verlo realista-; pero, como señala el dicho popular, “torres más altas han caído”. No parecería, por tanto, muy prudente eliminar esta entrada de una lista en la que lleva alojada varios años (haciéndose cada vez más verosimil, por desgracia).

4: El sur también existe.Los EEUU/Europa no son el ombligo del mundo. Según algunos análisis, países como Corea del Sur y Japón están más sensibilizados en relación a las ciberamenazas internacionales. Pero, también, regiones emergentes (o en vías de estarlo), como África, pueden ser un objetivo deseable en el futuro cercano.
¡Obsérvela a lo largo de los próximos meses!

5: IA.
Sin ánimo de resultar muy simplista, podría decirse que los delitos, al final, son siempre los mismos. Eso, por ejemplo, supone que seguiremos viendo -a veces sufriendo- robos de datos (identidades u otros datos personales, propiedad intelectual, etc.).
Lo que realmente cambia -avanza- son los modos, los medios, las herramientas. Todo apunta a una expansion, cada vez más amplia, de la Inteligencia Artificial como una herramienta de verdadera “inteligencia” (ciberinteligencia) capaz de idenficar, por ejemplo, “qué atacar” y “dónde”.
Hay quien aboga por eliminar el componente humano, dejando todo acto defensivo -doy por hecho que también los ofensivos- en manos de algoritmos: protección para el pueblo; pero sin el pueblo.
Mi opinion -y creo no estar solo- es que algoritmos y personas han de ir de la mano (más aún, sería bueno que los primeros fueran de la mano de las segundas).

6: Ciberseguridad Industrial en entornos "no-industriales".
2018 puede ser el desgraciado momento de los edificios inteligentes (BMS/BAS) y de los hospitales (hablamos de los ciberriesgos para la actividad de ingeniería hospitalaria, no de ‘ransomware’ atacando los sistemas de información hospitalaria (historia clínica electronica, receta eléctronica, etc.) que ya han tenido su momento en los últimos años -y que, por otro lado, segurán teniéndolo-.

7: Ransomware.
Hemos visto ‘ransomware’ para sacar dinero (así empezó la cosa). Hemos visto, más recientemente, ‘ransomware’ que más que obtener dinero, parecía buscar, simplemente, la perturbación de operaciones o instalaciones. Pero lo que no hemos visto tanto y, probablemente, tendremos que acostumbrarnos a empezar a ver en el contexto industrial, será ‘ransomware’ dirigido específicamente a los sistemas de control industrial (SCI), en lugar de a las usuales plataformas informáticas/ofimáticas, como viene siendo habitual.

8: Monetización.
No sería extraño ver cómo se amplían las formas de monetización de los ataques; pero eso ya no es ciberseguridad, eso es mera delincuencia (creatividad/innovación, se dice ahora; el ingenio de toda la vida).

9: Presupuestos.
Como señalan nuestros informes reiteradamente, cabe pensar que los presupuestos de ciberseguridad tenderán al alza.

10: CICSO/CIXO (Chief Industrial Cyber Security Officer).
Se mantendrá la escasez de profesionales que combinen experiencia TI/TO/CIBER, a todos los niveles. Eso incluye desde el Consejo de Administración hasta el último especialista técnico.
Necesariamente ha de surgir la figura de un responsable operativo: Director de Ciberseguridad Industrial (en inglés, Chief Industrial Cyber Security Officer -CICSO/CIXO-).

11: DevSecOps.
Habrá una mayor adopción de prácticas e integración DevOps + Seguridad: DevSecOps.

12: Salas/Centros de Control.
Se tenderá a una integración de las consolas (HMI) de supervisión/operación de la seguridad en las salas de control/centros de control de los procesos industriales.
Estarán operadas por personal especializado específico (no de operación); pero integrado con aquél, de forma que resulte fácil verificar las consecuencias sobre el proceso, de aquellas anomalías que se detecten a nivel de ciberseguridad industrial.

13: Marcos de referencia.
Se acelerará la adopción de marcos de referencia para la Ciberseguridad Industrial (NIST CSF, NERC CIP, ISA/IEC 62443, …). Entre ellos, por qué no decirlo, el SGCI de CCI.

14: Notificación de incidentes.
La nueva regulación también acelerará, previsiblemente, la notificación de incidentes, como exigencia de la nueva regulación.

15: Cifrado.
Se hará más habitual el uso de protocolos seguros (con cifrado).


Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center

Análisis de la ciberseguridad industrial en Argentina, Chile, Perú y Francia


A finales de 2017, el Centro de Ciberseguridad Industrial (CCI) ha presentado 4 estudios sobre la situación de la ciberseguridad industrial en Argentina, Chile, Perú y Francia. Los países latinoamericanos muestran un contexto bastante parecido, donde destacan la falta de concienciación de las empresas, así como de un adecuado marco normativo que ayude a crearla. En Francia, en cambio, el esfuerzo normativo está ya maduro y se aborda el siguiente paso: la certificación de los servicios.

Los diferentes capítulos de ISACA en Buenos Aires, Santiago de Chile y Lima han participado con el CCI en la difusión de las encuestas para los estudios, que muestran un panorama bastante parecido en toda Latinoamérica, aunque con algunas diferencias. La poca concienciación de ciberseguridad industrial en las empresas, más allá de sus departamentos de Tecnologías de la Información (TI), así como la falta de un marco normativo o la necesidad de mejorar el existente, condicionan la realidad existente.

Las encuestas realizadas han detectado una falta de capacitación en ciberseguridad generalizada entre los empleados, a excepción de los departamentos de TI. También se adolece de la realización de pocas auditorías de evaluación de riesgos y se utilizan tecnologías de ciberseguridad no específicas para sistemas industriales, sino genéricas del entorno corporativo. Existe también una reticencia general a reconocer y modificar los impactos derivados de ciberincidentes ocurridos en las plantas industriales. En el lado positivo destaca que en todos los países hay un número importante de organizaciones que tienen previsto abordar el próximo año iniciativas de ciberseguridad industrial.

De forma más concreta, el [1]"Estudio sobre el estado de la Ciberseguridad Industrial en Argentina" destaca el "poco interés de las organizaciones industriales al no existir regulación formal", así como el "mayor nivel de sensibilización de las empresas de Tecnologías de la Información, lo cual contrasta con la falta de conciencia real sobre las amenazas del sector industrial en general".

Es también destacable, según el estudio, que "los esfuerzos de capacitación en ciberseguridad, en el conjunto de las empresas argentinas estudiadas, siguen dedicándose principalmente a los departamentos de TI, en perjuicio del resto de áreas, especialmente el área de TO, al que no se logra involucrar". El Gobierno Nacional está trabajando actualmente en el desarrollo de una Política de Ciberseguridad Nacional que "probablemente dentro de los próximos años supondrá la obligatoriedad de implementar un Plan Estratégico de Ciberseguridad, especialmente en aquellas empresas que gestionan servicios esenciales".

El estado de la ciberseguridad industrial en Chile[2] es parecido, aunque la mayor participación de empresas del sector financiero y bancario y de tecnologías de la información en el estudio "permite concluir su mayor nivel de sensibilización, pero el resto de sectores ha experimentado también un aumento de conciencia de ciberseguridad". En algunas organizaciones chilenas existe incluso la figura del responsable de ciberseguridad industrial, lo que es un claro síntoma de madurez.

El estudio avisa que "el esfuerzo de concienciación a nivel directivo está avanzado en Chile en la dirección correcta" aunque "es preocupante que casi un cuarto de las industrias del estudio no haya realizado ningún tipo de evaluación de riesgos, sobre todo por el tamaño y nivel crítico de las empresas que han respondido a este estudio".

En Perú[3] la situación es también parecida. Allí "la lenta pero paulatina incorporación de la Ciberseguridad Industrial en las organizaciones peruanas se ve favorecida cuando existen requisitos normativos o de clientes definidos". El estudio recomienda: "El Estado Peruano y el sector privado deben sumar esfuerzos para desarrollar el peCERT o implementar un CSIRT que incorpore a las empresas industriales que gestionan y operan las infraestructuras críticas del país".

El "Estudio sobre el estado de la Ciberseguridad Industrial en Francia"[4], realizado por el CCI junto con el grupo europeo SCASSI Ciberseguridad, denota un nivel claramente diferente. En Francia, "los sectores CI muestran más madurez y nivel de conocimiento respecto a la ciberseguridad, la razón es un contexto legislativo altamente regulado y controlado". Esto provoca que no sólo las empresas que están obligadas adopten las medidas requeridas, también el resto de sectores lo hace, de forma voluntaria y en beneficio de la organización.

La industria y el gobierno franceses centran ahora su esfuerzo en el paso posterior a la estandarización normativa: la certificación, que permite que los usuarios adquieran servicios o productos que cumplen con los estándares mínimos reconocidos. En cuanto a la ciberseguridad industrial, Francia ha realizado grandes avances, trabajando para generar esquemas adecuados para la certificación de los componentes IACS, que CCI apoya.




Merce Molist
Responsable de servicios de comunicación
Centro de Ciberseguridad Industrial
merce.molist@es.cci-es.org