Ciberguerra Posts

Rugged OS, sistema operativo de misión crítica con grave vulnerabilidad

Antes que nada para los que no tienen lo conocen, un sistema operativo de misión crítica es un sistema que se espera que nunca falle porque si algo los paralizara, aunque fuera durante un breve espacio de tiempo, no sólo podría haber grandes pérdidas materiales, también se pondría en peligro la vida de mucha personas y la seguridad de la población.

Hablamos de los servicios de emergencia, de las urgencias hospitalarias, de los sistemas de trading en los que se basan las operaciones en Bolsa, de las redes de cajeros automáticos, de la defensa nacional, etc.

Sin duda, cualquier corte en el funcionamiento de alguno de los servicios mencionados causaría graves trastornos, por lo que es lógico que en materia de infraestructuras TI se haga todo lo posible para que esto no suceda.

En estados Unidos el Departamento de Seguridad Nacional ha lanzado una alerta tras el descubrimiento por un investigador de seguridad, de una grave vulnerabilidad en el sistema operativo Rugged OS utilizado en dispositivos de redes de misión crítica de la compañía canadiense RuggedCom.

Esta vulnerabilidad consiste en la identificación en Rugged OS de la clave privada RSA para la comunicación SSL entre un cliente y un dispositivo RuggedCom. Esta clave privada permitiría a un atacante interceptar el tráfico de red y acceder a los dispositivos.

Dispositivos que no son cualquiera ya que están destinados a una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

Es la segunda vez en cuatro meses que se descubren vulnerabilidades en estos sistemas y en abril, el mismo investigador descubrió una puerta trasera en el sistema operativo de Rugged que permitía acceder a los dispositivos con un nombre de usuario tan simple como “factory” y una contraseña fácilmente revelada escribiendo únicamente la dirección MAC del equipo en cuestión en un script simple en Perl.

Acceso sumamente sencillo para alguien sin grandes conocimientos vía telnet o una shell remota para acceso a todo el sistema. Seguimos preguntándonos ¿son seguros estos sistemas de misión crítica?

Dorifel y Gauss nuevos virus de espionaje bancario

Virus Dorifel

Un nuevo malware conocido como Dorifelha infectado miles de negocios en Holanda y Europa y los investigadores dicen que está robando datos de banca online. La empresa de seguridad rusa Kaspersky Lab ha dicho que el ataque muestra un patrón de comportamiento algo extraño, como cifrar la información descargada y establecer conexiones de red seguras.

Los investigadores aseguran que Dorifel podría estar relacionado con Zeus, porque han descubierto que los servidores que alojan los componentes de control del malware también almacenan otros ataques, así como la información financiera robada.

Inicialmente la infección de Dorifel se extiende a través de email con un enlace que, cuando se ingresa lleva al usuario a un sitio web desde el que se descarga un código binario. Después del malware descarga un segundo componente que cifra los archivos en la máquina infectada. Dorifel también busca en las redes compartidas y cifra todos los archivos que encuentra.

Virus Gauss

De nuevo la empresa de seguridad rusa Kaspersky, ha publicado información de un nuevo especimen bautizado como Gauss (Trojan-Spy.Win32.Gauss) capaz de espiar las transacciones bancarias, robar información de acceso a redes sociales o correo electrónico y atacar infraestructuras críticas.

De la misma saga que armas cibernéticas como Stuxnet y Flame, con los que comparten algunas funciones como subrutinas de infección por USB, se cree que Gauss fue creado a mediados de 2011 y desplegado en septiembre del mismo año en oriente Medio, con objetivos como las entidades BlomBank en Líbano, ByblosBank y Credit Libanais, además de Citibank y PayPal.

Gauss fue descubierto en el transcurso de los esfuerzos iniciados por la Unión Internacional de Telecomunicaciones (UIT), tras la aparición de Flame. El esfuerzo está dirigido a la mitigación de los riesgos planteados por las ciberarmas, un componente clave en la consecución del objetivo general global en materia de paz.

Gauss es un complejo conjunto de herramientas de espionaje cibernético creado por los mismos actores detrás de la plataforma de software malicioso Flame. Es altamente modular y soporta nuevas funciones que se pueden desplegar de forma remota por los operadores en forma de plug-ins.

Además de robar varios tipos de datos de máquinas Windows infectadas, incluye una carga desconocida, cifrada, que se activa en determinadas configuraciones del sistema.

Todas estas herramientas de ataque representan el extremo del ciberespionaje y las operaciones de guerra cibernética patrocinadas por los estados

Señala Kaspersky Lab en su informe.

¿Deseas saber si te encuentras infectado? visita la siguiente dirección:
http://95.211.172.144/gauss/ si ves un mensaje que dice “”Palida Narrow was not found.” no estás infectado.

La agencia de seguridad nacional, solicita ayuda a los hackers del Defcon

La conferencia de hackers Defcon, tuvo un arranque inesperado con una conferencia a cargo del director de la Agencia de Seguridad Nacional estadounidense, el general Keith Alexander, es la primera vez que un responsable de la NSA acude a un evento de estos.

Cuando terminan las conferencias del Black Hat que es más enfocada a seguridad corporativa, comienza el Defcon, el mayor evento hacking mundial y que este año celebra su vigésima edición.

Y comenzó con una gran fuerza ya que es la primera vez que alguien de la NSA acude a una de las conferencias. Y no es cualquiera, sino el jefazo, el patrón, el mero chingón de la agencia y responsable del comando cibernético estadounidense. Una visita posible ya que el fundador de Defcon, Jeff Moss es consultor de la NSA además de responsable de seguridad de la ICANN.

El general no decepcionó a una audiencia expectante y masiva, mostrando que algo está cambiando en las relaciones entre gobierno y hackers tras dos décadas de desconfianza. En un contexto de incesante ciberespionaje a empresas y agencias gubernamentales con vulnerabilidades y exploits afectando a infraestructuras críticas, limó asperezas y pidió ayuda:

Defcon es la mejor comunidad cibernética mundial, en esta sala se encuentra el talento que necesitamos para asegurar el ciberespacio, ustedes saben que pueden proteger las redes, las libertades civiles y la privacidad, ustedes pueden ayudar a conseguirlo.

Podemos quedarnos al margen y dejar que otros que no entienden este espacio nos digan lo que hay que hacer o podemos ayudarles a desarrollar la estrategia. Esta es la verdadera razón por la que vine aquí. Para solicitar su apoyo, ustedes tienen el talento y la experiencia

Indicó el director del NSA Keith Alexander en unas declaraciones impensables hasta hace muy poco.

También hubo tiempo para alguna declaración que pocos creyeron, cuando a una pregunta si la NSA espiaba a ciudadanos estadounidense respondió que era un “absoluto disparate”. Algo que han denunciado distintas organizaciones que sospechan un espionaje masivo con 1.700 millones de comunicaciones electrónicas interceptadas a diario en Estados Unidos sin orden judicial ni control, facultadas tras los atentados terroristas del 11 de septiembre.

La relación entre Hackers – Gobierno ha evolucionado, al menos en Estados Unidos, aquí en México y más en Campeche escucharías algo como “El nos chingó y nos dejó como uno p3nd3j05, ¡¡¡maldito quémenlo vivo!!!”

Crean herramienta para hackear UAV militares

Estudiantes de la Universidad de Texas en Austin, Estados Unidos, liderado por el profesor Todd Humphreys, demostró que los drones militares (UAV -vehículo aéreo no tripulado) pueden ser hackeados fácilmente. Los investigadores crearon un spoofer, dispositivo que costó menos de mil dólares, y con el que pueden engañar a la nave para que reciba sus órdenes e ignore las del controlador original similar a un ataque man-in-the-middle.

Los UAV, son cada vez más usados en tareas de vigilancia e inteligencia, son monitoreados mediante GPS. El controlador envía coordenadas que limitan el movimiento de la nave. El spoofer es capaz de emitir señales más fuertes que las originales y así engañar al sistema de navegación.

Este ataque es la misma ideología que se usa para hackear celulares con el OpenBTS y un USRP, amplificando la señal y neutralizando los puntos de acceso.

El proceso de toma de control es simple: primero, el dispositivo replica la señal original, para que el UAV crea que es la fuente real. Después, la nave termina aceptando sus órdenes, tras lo cual el spoofer tiene total control.

Humphreys dijo a Fox News que su preocupación es que, controlados por fuerzas externas, “estas naves podrían convertirse en potenciales misiles usados para atacarnos”.

El gobierno de Estados Unidos está al tanto del concepto de los spoofers y también ha visto algunas de las demostraciones de los investigadores de Austin. Actualmente, el Departamento de Seguridad Nacional trabaja en un plan para solucionar los problemas de interferencia del sistema de navegación por GPS.

Esta no es la primera vez que el gobierno de estados Unidos tiene un problema así, ya que en Diciembre de 2011 Irán hackeo un RQ-170 Sentinel, quizás de la misma forma que los estudiantes de Austin.

Google amenaza a los países que deseen hackearlo

Google informó que agregó una característica a su motor de búsqueda para advertir a los usuarios que sean parte de una botnet de “ataques patrocinados por el estado”, aunque el gigante de la internet no mencionó a ningún gobierno en especial.

En el 2010 Google Inc. cerró su motor de búsqueda en China tras afirmar que ya no quería cooperar con los censores de la red mundial en Beijing tras detectar ataques de hackers que fueron rastreados hasta territorio chino.

Un mensaje que dice:

Advertencia: Creemos que ataques patrocinados por el Estado podrían estar intentando poner en riesgo su cuenta o computadora

Esto aparecerá en la pantalla si los usuarios son blanco de ataques, escribió Eric Grosse, vicepresidente de ingeniería de seguridad, en un blog de la compañía.

Google no puede revelar cómo sabe que las agresiones son patrocinadas por el Estado sin dar información que ayudaría a los atacantes, escribió Grosse. Pero un análisis detallado y reportes de víctimas “apuntan fuertemente a la participación de estados o de grupos patrocinados por el Estado”, escribió.

Un informe de agencias de inteligencia estadounidenses dado a conocer en noviembre indicó que servicios de inteligencia chinos y rusos, así como compañías vinculadas al Estado, ingresan sistemáticamente a sistemas de cómputo estadounidenses para robar información comercial.

Expertos occidentales en seguridad dicen que las fuerzas militares de China son líderes en investigación de guerras cibernéticas.

Beijing ha rechazado las insinuaciones de expertos occidentales en seguridad de que sus agencias militares o gubernamentales hayan estado involucradas en el ataque a Google.

Pero no ha respondido públicamente a las exhortaciones de la secretaria de Estado estadounidense Hillary Rodham Clinton y otros funcionarios para ayudar a investigar los ataques de hackers.

Google tomó la medida de advertir sobre posibles ataques del Estado después de que la semana pasada la compañía agregó una característica a su motor de búsqueda en chino en Hong Kong, la cual le advierte a los usuarios en China que introducen ciertas palabras de búsqueda que podrían producir resultados que pudieran estar bloqueados.

Destaca los términos que podrían generar filtros, lo cual desafía los esfuerzos del gobierno chino por ocultar la censura.