Saltar al contenido

Los errores, trucos y predicciones más aterradores revelados en RSAC 2021

mayo 22, 2021
(Imagen: Getty)

La Conferencia RSA es típicamente una experiencia extensa que llena varios edificios del centro de convenciones y se extiende a los hoteles adyacentes y espacios para reuniones. Este año, sin embargo, los asistentes tuvieron más probabilidades de lidiar con pantallas de carga y conexiones caídas que con largas filas para la escalera mecánica. Debido a la pandemia de COVID-19 en curso, RSAC estuvo solo en línea este año.

En lugar del Moscone Center en San Francisco, RSAC se basó en un “entorno virtual” donde los asistentes podían ver charlas y discursos, generalmente en forma de video pregrabado con preguntas respondidas en vivo en un chat de texto.

La experiencia fue similar a la conferencia 2020 de Black Hat, que también se movió en línea debido al brote de coronavirus, y en nuestra opinión fue bastante fluida. Sin embargo, la mayor parte de RSAC siempre ha sido su enorme exposición y las interacciones personales con los proveedores de seguridad. Si bien la conferencia tuvo una alternativa digital para las experiencias de networking que brindó el evento en persona, es difícil imaginar que este nuevo formato supere al anterior.

Esto es lo que escuchamos en algunas de las sesiones más interesantes.


¿Pueden las criptomonedas reemplazar al dólar todopoderoso?

los precios de las criptomonedas se muestran en la pantalla de un teléfono inteligente
Foto de Beata Zawrzel / NurPhoto a través de Getty Images

En 2010, uno de los primeros mineros de Bitcoin intercambió 10,000 bitcoins por un par de pizzas. Con los tipos de cambio modernos, esas pizzas costarían cientos de millones de dólares hoy. El mundo parece aceptar cada vez más las criptomonedas. ¿Podría reemplazar al dólar estadounidense como patrón de reserva de divisas del mundo?

En su sesión, el Dr. Kenneth Geers, analista de comunicaciones externas de Very Good Security, trazó un camino a través de la historia del dólar y las criptomonedas para responder esa misma pregunta.

El dólar estadounidense ha sido el estándar mundial desde el acuerdo de Bretton Woods después de la Segunda Guerra Mundial, y mantuvo esa posición incluso después de que dejó de respaldar cada dólar con oro. Los países cuya moneda propia es inestable dependen del dólar y los acuerdos financieros internacionales se llevan a cabo utilizando dólares. El dólar es una cantidad conocida.

La criptomoneda, por otro lado, ha existido durante apenas una década. No puede doblar un Bitcoin y ponerlo en su billetera, pero un libro de contabilidad de blockchain que registra las transacciones de Bitcoin es más seguro que los dólares que existen solo en los libros de contabilidad de doble entrada.

Cambiar a un mundo donde la criptomoneda es la reserva crearía una transparencia significativamente mayor, tanto en las empresas como en el gobierno. “¿Pero los gobiernos realmente quieren ser menos corruptos?” preguntó Geers. “No hay duda de que la criptomoneda cambia las reglas del juego”, continuó. “Pero a corto plazo, no reemplazará al dólar estadounidense. A largo plazo, todo es posible, pero espere la resistencia del gobierno “.


Hackear controles remotos

control remoto
Imagen: Getty

La mayoría de nosotros tenemos una imagen específica de un dispositivo de “Internet de las cosas”, pero es posible que eso no incluya el control remoto que viene con su decodificador. Ofri Ziv y JJ Lehmann, vicepresidente de investigación e investigador principal de Guardicore, respectivamente, demostraron por qué debería hacerlo. Con algo de esfuerzo, transformaron un control remoto estándar en un dispositivo de escucha.

Su trabajo, publicado originalmente en octubre de 2020, se centró en el control remoto XR11, que se incluye con algunas cajas de cable Xfinity. Hay dos cosas sobre el XR11 que interesaron a los investigadores. Primero, tiene un micrófono incorporado, por lo que los usuarios pueden controlar sus sistemas de entretenimiento en el hogar por voz. En segundo lugar, hizo un uso intensivo de las transmisiones de radiofrecuencia en lugar de las señales infrarrojas de las que suelen depender los mandos a distancia. Las transmisiones de RF no requieren una conexión de línea de visión, lo que les dio a los investigadores el acceso que necesitaban.

El equipo descubrió que podían secuestrar una solicitud de actualización regular desde el control remoto al decodificador de cable con sus propias instrucciones. Una vez instalado, engañó al control remoto haciéndole creer que se estaba presionando el botón de control por voz, capturando todo el audio a 15 pies del control remoto con una claridad notable. Lo que es realmente impresionante es que el equipo demostró que podían llevar a cabo el ataque desde el exterior de una casa con el objetivo a distancia en el interior, hasta a 20 metros de distancia. Tampoco requería equipos costosos, solo un transceptor de radio de $ 30.

Afortunadamente, las fallas que los investigadores descubrieron ya han sido reparadas. Sin embargo, los investigadores señalaron que ataques como estos que dependen de dispositivos que normalmente se encuentran en el hogar también podrían afectar a las corporaciones. Después de todo, millones de personas se han ido de la oficina a la oficina en casa a raíz del COVID-19.


Hackear IoT: ya no es fácil, pero no seguro

“La seguridad integrada definitivamente está mejorando”, dijo Waylon Grange, investigador de amenazas en Stage 2 Security. “Muchas de las victorias fáciles ya no existen”.

En su charla, Grange explicó cómo realizó ingeniería inversa y atacó con éxito el sistema de energía solar doméstico de Enphase, un objetivo elegido por Grange sin otra razón que él estaba mucho en casa debido a las restricciones de COVID-19 y notó que su vecino tenía tal sistema. instalado.

Lo que encontró fue que, si bien los caminos fáciles y obvios para que los usara un atacante estaban cerrados, no estaban totalmente seguros. Por ejemplo: cifrar el firmware y no codificar la clave de cifrado son cosas buenas. Pero Grange descubrió que Enphase intercambiaba una clave codificada por una clave calculada de forma predecible.

“El resultado es el mismo”, dijo Grange. “Sé que el [encryption] clave.”

Asimismo, Enphase evitó la trampa de tener una única contraseña para todos sus dispositivos. Sin embargo, Grange descubrió que la contraseña se calculó utilizando el número de serie único del dispositivo, que estaba impreso en el dispositivo, en su empaque y se podía encontrar en línea.

Grange especuló que estas decisiones de seguridad incompletas se tomaron porque alguien recibió instrucciones sobre lo que no hacer, en lugar de seguir las mejores prácticas. Su consejo fue que los desarrolladores que trabajan en estos problemas deberían mirar a su alrededor para ver qué otras soluciones existen, en lugar de intentar resolver el problema por sí mismos.


¡Aprenda a usar su administrador de contraseñas!

imagen de los campos de nombre de usuario y contraseña que se muestran en una computadora portátil
Imagen: Getty

No hay forma de que un internauta moderno pueda aplicar una contraseña única y segura a cada sitio seguro sin la ayuda de un administrador de contraseñas. Pero incluso si instala un administrador de contraseñas, aún debe usarlo correctamente.

Stuart Schechter, profesor y líder del curso de la sección de Seguridad y Privacidad Usable de UC Berkeley, observó que, si bien podemos recopilar estadísticas sobre las ventas de administradores de contraseñas, no sabemos nada sobre cómo las personas las usan. Sus estudiantes de posgrado, representados en la charla RSAC por David Ng, asumieron la tarea de averiguarlo.

Todos los beneficios de usar un administrador de contraseñas dependen de tres suposiciones: Asumimos que los usuarios memorizarán una contraseña segura; que dependerán de la capacidad del administrador de contraseñas para generar contraseñas aleatorias; y que cambiarán las contraseñas débiles, reutilizadas o comprometidas. El equipo de estudiantes de posgrado elaboró ​​un estudio destinado a determinar la validez de estos supuestos.

¿No lo sabrías? Resulta que la gente simplemente no hace lo que debería. Pocos realmente memorizaron una contraseña maestra segura, y demasiados reutilizaron una contraseña existente como clave para proteger todos sus otros secretos. Todos los que participaron en el estudio tuvieron acceso a un panel de administración de contraseñas que informaba sobre contraseñas débiles, reutilizadas y comprometidas. La mayoría estuvo de acuerdo en que algunas de sus contraseñas realmente necesitaban ser cambiadas. Y la mayoría ofreció una excusa u otra para no ocuparse del asunto.

“No asuma que las personas elegirán contraseñas maestras seguras”, concluyó Ng. “No asuma que usarán contraseñas creadas por el administrador de contraseñas. Y no asuma que reemplazarán contraseñas débiles, reutilizadas o comprometidas, incluso cuando se lo recuerde “.

¿Y usted? ¿Está utilizando correctamente su administrador de contraseñas?


El futuro del cifrado de zoom

Reunión de zoom abarrotada en la pantalla de un portátil
Imagen: Zoom

Zoom surgió como uno de los grandes ganadores durante el repentino giro hacia el trabajo desde casa que muchos de nosotros experimentamos el año pasado. Si bien el servicio de videoconferencia se ha utilizado para todo, desde graduaciones hasta bodas y negociación de contratos sindicales justos, no siempre fue seguro. En un momento dado, Zoom estaba en problemas por resistir el cifrado de extremo a extremo (E2EE), que habría brindado a sus usuarios la máxima protección contra la vigilancia. Esto fue especialmente urgente ya que las protestas se extendieron por todo el mundo, muchas de las cuales se organizaron con Zoom.

Finalmente, Zoom cedió e instituyó E2EE. ¿Pero que pasa ahora? Max Krohn, jefe de Ingeniería de Seguridad de Zoom, explicó en RSAC que la compañía estaba trabajando en una nueva implementación de su esquema E2EE que se lanzaría pronto.

Uno de los cambios más grandes y notables será el uso de servicios de terceros para autenticarse con Zoom. En un contexto corporativo, estos probablemente serían proveedores de inicio de sesión único. Krohn explicó que esto alejaría la confianza de los servidores de Zoom y la haría descansar en servicios que ya son confiables.

Krohn dijo que Zoom también está trabajando para que sea más fácil y menos doloroso agregar y eliminar dispositivos de su cuenta de manera segura sin activar alertas de seguridad. Esto, además de cambiar la forma en que los participantes intercambian claves para las reuniones, es parte de un esfuerzo mayor para hacer que Zoom sea más seguro y resistente a la manipulación, pero también más fácil de usar. Curiosamente, Krohn insinuó que parte del trabajo que había realizado Zoom podría aplicarse a las comunicaciones asincrónicas, como la mensajería de texto.

Recomendado por nuestros editores


Olvídese de los piratas informáticos humanos: los piratas informáticos de inteligencia artificial están llegando

La televisión y las películas nos han enseñado a pensar que los piratas informáticos están socialmente al límite. Chicos desaliñados en sótanos. Chicas góticas con habilidades increíbles. Pero todos estos estereotipos son humanos. Bruce Schneier, Gran Maestro de Criptografía, cree que debemos buscar en otra parte. Los piratas informáticos de IA pueden ser extraordinariamente eficaces, en gran parte porque no son humanos.

“Cualquier buen sistema de IA encontrará naturalmente hacks”, dijo Schneier. “Encuentran soluciones novedosas porque carecen de contexto humano, y la consecuencia es que algunas de esas soluciones romperán las expectativas que tienen los humanos, por lo tanto, un truco”. Señaló que un hack puede ser cualquier cosa que permita un sistema pero que no fue anticipada por sus diseñadores, sin embargo, los hacks relacionados con computadoras están especialmente abiertos a los hackers de IA.

Las preocupaciones de Schneier pueden parecer descabelladas, pero el aprendizaje automático y las aplicaciones maliciosas para la IA han surgido varias veces en RSAC 2021. Parece que este concepto de ciencia ficción está lejos de ser ficción.


El ataque de SolarWinds es peor de lo que pensábamos

fuera de un edificio de oficinas de solarwinds
Foto de SUZANNE CORDEIRO / AFP a través de Getty Images

SolarWinds dominó los ciclos de noticias hacia fines de 2020. Los ciberataques que operan a través de esta empresa de cadena de suministro afectaron a innumerables entidades comerciales y gubernamentales. Y, como el presidente y director ejecutivo de SolarWinds, Sudhakar Ramakrishna, reveló en RSAC, estos ataques comenzaron mucho antes de lo que pensamos inicialmente.

Ramakrishna explicó que el punto de entrada era el software SolarWinds Orion. Los atacantes pusieron en peligro el sistema SolarWinds para distribuir actualizaciones de software y lo utilizaron para propagar malware a sus clientes. Y esto estaba sucediendo ya en enero de 2019.

Entrevistado por la vicepresidenta de Forrester, Laura Koetzle, Ramakrishnan explicó qué sucedió, qué está haciendo SolarWinds …