28/09/09 11:31:41
DE CÓMO ABRIR UN CARRO CON UN MP3
Mercè Molist
Imagine
un carrito de supermercado que se bloquea y desbloquea mediante una
sencilla clave que viaja por radiofrecuencia. Esta frecuencia es
"oíble" por las tarjetas de sonido de los ordenadores, que pueden
grabarla, convertirla en un tono para móviles en MP3 y ponerla a
disposición de todo el mundo por Internet. Este fue uno de los
inquietantes experimentos que se vieron en la conferencia SOURCE,
celebrada recientemente en Barcelona.
Philippe Langlois,
fundador del primer ISP de Francia y viejo experto en seguridad,
explicó que esta prueba, realizada con los carritos de un supermercado
francés, puede extrapolarse a cualquier sistema de seguridad con
radiofrecuencia, siempre que esta pueda ser "oída" por la tarjeta de un
ordenador, incluídos los sensores ultrasónicos para abrir coches o
garajes.
Lo peligroso del experimento no es sólo que se pueda
romper fácilmente la protección, sino que lo democratiza: con el código
descubierto, Langlois creó dos canciones, "lock.mp3" y "unlock.mp3",
para bloquear y desbloquear los carritos. Estas canciones se
compartieron por Internet como tonos para móviles, de forma que
cualquiera podía descargarlas, acercar su móvil a la antena del
carrito, hacer sonar la canción adecuada y conseguir la acción deseada.
Destacó también en SOURCE otro experimento, que presentó Brian
Honan, editor europeo del boletín "NewsBites" del SANS Institute. Honan
explicó que una periodista irlandesa le retó a robar su identidad, a
partir sólo de los datos públicos que de ella hubiese en Internet.
Uniendo los retazos de información que encontró en Google, LinkedIn,
Flickr, Facebook o Twitter, Honan descubrió los nombres de sus padres,
su fecha de nacimiento e incluso su dirección física, que figuraba en
su "Lista de Deseos" de Amazon.
"Con estos datos, en Irlanda
podría haber abierto una cuenta bancaria en su nombre, hacerme un
pasaporte nuevo o un carné de conducir. Incluso tenía fotos de carné,
sacadas de Flickr", explicó Honan, quien aseguró que el viejo chiste de
que "En Internet nadie sabe que eres un perro" hoy es al revés:
"Nuestra identidad está repartida en miles de sitios que no
controlamos, desde las bases de datos de nuestro lugar de trabajo hasta
la basura".
Honan destacó que donde se dan más fugas de
información privada es "en las redes sociales, los robos de bases de
datos de servicios de los que somos clientes y la información que
nuestros amigos puedan dar de nosotros en Internet". No sería la
primera vez que los criminales usen estos datos para robar la identidad
de personas y chantajearlas.
Otro punto caliente de las
jornadas fue la inseguridad de la banca en línea. Michael Baentsch, de
IBM, destacó que algunos juzgados norteamericanos están considerando
responsables a los bancos por no hacer todo lo posible para proteger a
sus clientes. En cuanto a esos clientes, una tercera parte de sus
ordenadores no están actualizados y los antivirus que utilizan detectan
como mucho el 4% de los virus.
La lección que han aprendido
los expertos es que "para una transacción en línea no se puede confiar
en lo que se ve o se teclea en el ordenador", afirmó Baentsch.
Asimismo, los sistemas de autentificación doble para realizar
operaciones bancarias en línea, como las tarjetas de coordenadas o los
"tokens" que dan una contraseña distinta cada vez, "no protegen nada".
El
principal responsable de esta situación es el código malicioso, que
sigue su imparable explosión. Según Ero Carrera, de VirusTotal, se
recolecta un millón mensual de nuevos virus, la mayoría dirigidos al
robo de información financiera. A esos virus se une el avance de otro
tipo de ataque, llamado "Amenaza avanzada y persistente" ("Advanced
Persistent Threat" (APT)).
Este sofisticado ciberataque consiste
en robar información de grandes compañías del sector financiero,
industrial y de defensa, usando el código malicioso y la perseverancia
para saltarse las barreras informáticas y mantenerse el mayor tiempo
posible oculto en los ordenadores. Peter Silberman, del sistema
Mandiant, que recolecta estos virus únicos, aseguró tener unos 300,
entre ellos algunos usados contra siete compañías de la lista Fortune
50.
Según Silberman, sólo se detectan un 31% de esos ataques.
Son virus que abren puertas traseras permanentes en determinados
ordenadores de la empresa y buscan parecer un archivo más del sistema,
para no levantar sospechas. El envío de la información robada se hace
usando cifrado y a través del protocolo HTTP, que la mayoría de
cortafuegos dejan pasar sin problemas, ya que se trata de tráfico web.
La
mala noticia, según Ero Carrera, es que el código malicioso tradicional
se está pareciendo cada vez más a esos ataques persistentes, usando
canales de comunicación que no levanten sospechas, transmisión cifrada
de la información robada y con una gran preocupación por estar el mayor
tiempo posible dentro del sistema infectado, sin que nadie se dé cuenta.
En
las mismas jornadas SOURCE vimos y escuchamos a otros expertos en
seguridad y programadores de fama internacional, como el hacker
británico Adam Laurie, quien demostró cómo manipular de forma
indetectable la foto y otros datos, incluída la clave criptográfica, de
los pasaportes electrónicos.
Estuvieron también en SOURCE Fyodor
Yarochkin, creador del programa XProbe, que identifica sistema
operativos remotamente; Bernardo Damele A.G., desarrollador de SQLMap,
una herramienta de inyección automática de código en bases de datos;
Fermín Serna, ingeniero de seguridad de Microsoft; o el doctor Dieter
Bartmann, experto en seguridad bancaria.
A pesar de ser sólo la
segunda edición de estas jornadas -la primera fue en Boston, en
primavera-, SOURCE cuenta ya con muy buena reputación por la calidad de
sus ponentes, menos preocupados por dibujar un panorama apocalíptico de
la seguridad que por mostrar los fallos, cara a encontrar soluciones.
Según la organizadora del evento, Stacy Thayer, hubo 75 asistentes y se
espera repetir la cita otoñal en Barcelona el año que viene.
SOURCE Barcelona 2009
http://www.sourceconference.com/index.php/source-barcelona-2009
Copyright 2009 Mercè Molist.
Verbatim
copying, translation and distribution of this entire article is
permitted in any digital and no commercial medium, provide this notice
is preserved.
<<