CORTE A TRAVÉS DE LAS NOTICIAS DE SEGURIDAD CIBERNÉTICA
Con Paul Ducklin y Chester Wisniewski
Música de introducción y final de Edith Mudge.
Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.
Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.
LEER LA TRANSCRIPCIÓN
[MÓDEM MUSICAL]
PATO. Hola todos.
Bienvenidos a otro episodio del podcast Naked Security.
Soy Paul Ducklin y me acompaña mi amigo y colega Chester Wisniewski de Vancouver.
¡Hola, Chet!
CHET. Hola Pato.
Es bueno estar de vuelta en el podcast.
PATO. Desafortunadamente, la razón por la que estás de vuelta en este en particular es que Doug y su familia tienen la temida lurgy...
.. están teniendo un brote de coronavirus en su hogar.
Muchas gracias por intervenir en tan poco tiempo, literalmente esta tarde: "Chet, ¿puedes saltar?"
Entonces, pasemos directamente al primer tema del día, que es algo que usted y yo discutimos en parte en el episodio de mini-podcast lo hicimos la semana pasada, y ese es el tema de la violación de Uber, la violación de Rockstar y este misterioso grupo de ciberdelincuencia conocido como LAPSUS$.
¿Dónde estamos ahora con esta saga en curso?
CHET. Bueno, creo que la respuesta es que no lo sabemos, pero ciertamente ha habido cosas que diré que se han percibido como desarrollos, lo cual es...
…No he oído hablar de ningún otro hackeo después del hackeo de Rockstar Games o el hackeo de Take-Two Interactive que ocurrió hace poco más de una semana, al momento de esta grabación.
Un individuo menor de edad en el Reino Unido fue arrestado, y algunas personas han dibujado algunas líneas punteadas que dicen que es una especie de pieza clave del grupo LAPSUS$, y que esa persona está detenida por la policía del Reino Unido.
Pero debido a que son menores, no estoy seguro de que realmente sepamos mucho de nada.
PATO. ¡Sí, hubo muchas conclusiones a las que se saltó!
Algunos de ellos pueden ser razonables, pero vi muchos artículos que hablaban como si los hechos se hubieran establecido cuando no fue así.
La persona arrestada era un joven de 17 años de Oxfordshire en Inglaterra, y esa es exactamente la misma edad y ubicación de la persona arrestada en marzo que supuestamente estaba conectada con LAPSUS$.
Pero todavía no sabemos si hay algo de cierto en eso, porque la fuente principal para ubicar a una persona LAPSUS$ en Oxfordshire es otro ciberdelincuente desconocido con el que se pelearon y los engañó en línea:
Así que creo que tenemos que ser, como dices, muy cuidadosos al afirmar como hechos cosas que bien pueden ser ciertas pero que bien pueden no serlo...
…y de hecho no afectan realmente las precauciones que debe tomar de todos modos.
CHET. No, y volveremos a hablar de esto en una de las otras historias en un minuto.
Pero cuando aumenta la temperatura después de uno de estos grandes ataques, muchas veces la gente se esconde, ya sea que alguien haya sido arrestado o no.
Y ciertamente vimos eso antes, creo que en el otro podcast mencionamos al grupo de piratería Lulzsec que era bastante famoso hace unos diez años por hacer similares... "hacks acrobáticos", los llamaría, solo cosas para avergonzar a las empresas y publicar un un montón de información sobre ellos públicamente, incluso si tal vez no tenían la intención de extorsionarlos o cometer algún otro delito para obtener alguna ventaja financiera para ellos mismos.
Varias veces, diferentes miembros de ese grupo... un miembro era arrestado, pero claramente, creo, al final había cinco o seis miembros diferentes de ese grupo, y todos dejaban de piratear durante unas semanas.
Porque, por supuesto, la policía de repente se interesó mucho.
Entonces esto no es inusual.
El hecho es que todas estas organizaciones han sucumbido a la ingeniería social de alguna manera, con la excepción... No diré con "la excepción" porque, de nuevo, no sabemos, realmente no entendemos cómo entraron en Juegos Rockstar.
Pero creo que esta es una oportunidad para volver atrás y revisar cómo y dónde está usando la autenticación de múltiples factores [MFA] y tal vez cambiar el dial un poco más sobre cómo podría haberlo implementado.
En el caso de Uber, estaban usando un sistema de notificaciones automáticas que muestra un aviso en su teléfono que dice: “Alguien está tratando de conectarse a nuestro portal. ¿Quiere Permitir o Bloquear?”
Y es tan simple como tocar el gran botón verde que dice [Allow].
Parece que, en este caso, fatigaron a alguien para que se enojara tanto después de recibir 700 de estas indicaciones en su teléfono que simplemente dijeron [Allow] para que deje de pasar.
Escribí un artículo en el blog de Sophos News sobre algunas de las diferentes lecciones que se pueden extraer del lapsus de Uber y lo que Uber podría implementar para evitar que estas mismas cosas vuelvan a ocurrir:
PATO. Desafortunadamente, creo que la razón por la que muchas empresas optan por eso, "Bueno, no tiene que ingresar un código de seis dígitos, solo toca el botón" es que es la única forma en que pueden hacer que los empleados estén dispuestos. lo suficiente como para querer hacer 2FA en absoluto.
Lo cual me parece un poco lamentable...
CHET. Bueno, la forma en que te pedimos que lo hagas hoy es mucho mejor que llevar un token RSA en tu llavero como solíamos hacer antes.
PATO. ¡Uno para cada cuenta! [RISAS]
CHET. Sí, no echo de menos llevar el fob en mi llavero. [RISAS]
Creo que tengo uno por aquí en alguna parte que dice "Murciélago muerto" en la pantalla, pero no deletrearon "muerto" con una A.
Era dEdbAt...
PATO. Sí, son solo seis dígitos, ¿verdad?
CHET. Exactamente. [RISAS]
Pero las cosas han mejorado, y ahora hay muchas herramientas multifactoriales muy sofisticadas.
Siempre recomiendo usar tokens FIDO siempre que sea posible.
Pero fuera de eso, incluso en los sistemas de software, estas cosas pueden diseñarse para que funcionen de diferentes maneras para diferentes aplicaciones.
A veces, tal vez solo necesites hacer clic [OK] porque no es algo súper sensible.
Pero cuando estás haciendo algo sensible, tal vez tengas que ingresar un código.
Y a veces el código va en el navegador, oa veces el código va en tu teléfono.
Pero todo... Nunca he pasado más de 10 segundos autorizándome a participar en algo cuando ha aparecido un factor múltiple, y puedo dedicar 10 segundos a la seguridad no solo de los datos de mi empresa, sino también de nuestros empleados y clientes. datos.
PATO. ¡No podría estar más de acuerdo, Chester!
Nuestra próxima historia se refiere a una empresa de telecomunicaciones muy grande en Australia llamada Optus:
Ahora, fueron hackeados.
Eso no fue un truco 2FA, fue quizás lo que podría llamarse "fruta madura".
Pero en el fondo, hubo un montón de travesuras cuando la policía se involucró, ¿no?
Así que... cuéntanos qué pasó allí, según tu leal saber y entender.
CHET. Exactamente, no estoy leyendo esto de manera detallada, porque no estamos involucrados en el ataque.
PATO. Y creo que todavía están investigando, obviamente, ¿no?
Porque eran, ¿qué, millones de registros?
CHET. Sí.
No sé la cantidad precisa de registros que fueron robados, pero afectó a más de 9 millones de clientes, según Optus.
Y eso podría deberse a que no están muy seguros de a qué información de los clientes se puede haber accedido.
Y eran datos confidenciales, desafortunadamente.
Incluía nombres, direcciones, direcciones de correo electrónico, fechas de nacimiento y documentos de identidad, que presumiblemente son números de pasaporte y/o permisos de conducir emitidos en Australia.
Así que ese es un tesoro bastante bueno para alguien que busca hacer un robo de identidad, no es una buena situación.
El consejo para las víctimas que reciben una notificación de Optus es que si usaron su pasaporte, deben reemplazarlo.
¡Eso no es algo barato de hacer!
Y, desafortunadamente, en este caso, se alega que el perpetrador obtuvo los datos mediante el uso de un punto final de API no autenticado, lo que en esencia significa una interfaz programática frente a Internet que no requiere ni siquiera una contraseña...
…una interfaz que le permitió recorrer en serie todos los registros de los clientes y descargar y desviar todos esos datos.
PATO. Entonces eso es como si fuera a example.com/userrecord/000001 y obtengo algo y pienso: "Oh, eso es interesante".
Y luego voy, -2, -3, -4, 5, -6... y ahí están todos.
CHET. Absolutamente.
Y estábamos discutiendo, en preparación para el podcast, cómo esto se hizo eco del pasado, cuando un hacker conocido como Weev realizó un ataque similar contra AT&T durante el lanzamiento del iPhone original, enumerando la información personal de muchas celebridades de una API de AT&T. punto final
Aparentemente, no siempre aprendemos lecciones y volvemos a cometer los mismos errores...
PATO. Porque Weev, famosa o infamemente, fue acusado por eso, y condenado, y fue a prisión...
…y entonces fue volcado en apelación, ¿no?
Creo que el tribunal formó la opinión de que aunque pudo haber violado el espíritu de la ley, creo que se sintió que en realidad no había hecho nada que realmente involucrara algún tipo de "robo y entrada" digital.
CHET. Bueno, la ley precisa en los Estados Unidos, la Ley de abuso y fraude informático, es muy específico sobre el hecho de que está infringiendo esa Ley cuando se excede en su autoridad o tiene acceso no autorizado a un sistema.
¡Y es difícil decir que no está autorizado cuando está abierto al mundo!
PATO. Ahora, mi entendimiento en el caso de Optus es que la persona que supuestamente obtuvo los datos parecía haber expresado interés en venderlos...
…al menos hasta que la Policía Federal Australiana [AFP] intervino.
¿Es eso correcto?
CHET. Sí. Había publicado en un foro del mercado oscuro ofreciendo los registros, que según él eran de 11.2 millones de víctimas, ofreciéndolos a la venta por $ 1,000,000.
Bueno, debería decir un millón de dólares no reales... 1 millón de Monero.
Obviamente, Monero es un token de privacidad que los delincuentes suelen utilizar para evitar ser identificados cuando paga el rescate o les hace una compra.
Dentro de las 72 horas, cuando la AFP comenzó a investigar e hizo una declaración pública, parece haber rescindido su oferta de vender los datos.
Entonces tal vez se haya escondido, como dije en la historia anterior, con la esperanza de que tal vez la AFP no lo encuentre.
Pero sospecho que, independientemente de las migas de galleta digital que haya dejado atrás, la AFP está tras la pista.
PATO. Entonces, si ignoramos los datos que se han ido, y la criminalidad o no de acceder a ellos, ¿cuál es la moraleja de la historia para las personas que proporcionan API RESTful, API de acceso basadas en la web, a los datos de los clientes?
CHET. Bueno, no soy un experto en programación, pero parece que se necesita algo de autenticación... [RISAS]
…para garantizar que las personas solo accedan a su propio registro de cliente si existe una razón para que sea de acceso público.
Además de eso, parece que una cantidad significativa de registros fueron robados antes de que se notara algo.
Y no es diferente de lo que debemos monitorear, digamos, limitando la tasa de nuestra propia autenticación contra nuestras VPN o nuestras aplicaciones web para asegurarnos de que alguien no esté realizando un ataque de fuerza bruta contra nuestros servicios de autenticación...
…usted esperaría que una vez que haya consultado un millón de registros a través de un servicio que parece estar diseñado para que usted busque uno, ¡quizás sea necesario un poco de monitoreo!
PATO. Absolutamente.
Esa es una lección que todos podríamos haber aprendido desde el truco de Chelsea Manning, ¿no es así, donde ella copió, qué era?
30 años de cables del Departamento de Estado copiados en un CD... ¿con los auriculares puestos, fingiendo que era un CD de música?
CHET. Britney Spears, si mal no recuerdo.
PATO. Bueno, eso estaba escrito en el CD, ¿no?
CHET. Sí. [RISAS]
PATO. Entonces dio una razón por la que era un CD regrabable: "Bueno, solo le puse música".
Y en ningún momento saltó ninguna alarma.
Puede imaginar, tal vez, si copió los datos del primer mes, bueno, eso podría estar bien.
¿Un año, una década tal vez?
Pero 30 años?
Esperarías que para entonces la alarma de humo esté sonando muy fuerte.
CHET. Sí.
"Copias de seguridad no autorizadas", podría llamarlas, supongo.
PATO. Si…
…y esto es, por supuesto, un gran problema en el ransomware de hoy en día, ¿no es así, donde muchos de los ladrones extraen datos por adelantado para darles una ventaja adicional de chantaje?
Entonces, cuando regresa y dice: "No necesito su clave de descifrado, tengo copias de seguridad", ellos dicen: "Sí, pero tenemos sus datos, así que los derramaremos si no nos los da". el dinero."
En teoría, esperaría que fuera posible detectar el hecho de que todos sus datos estaban siendo respaldados pero no seguían el procedimiento habitual de respaldo en la nube que usa.
Es fácil decir eso... pero es el tipo de cosas que debes tener en cuenta.
CHET. Hubo un informe esta semana que, de hecho, como el ancho de banda se ha vuelto tan prolífico, uno de los grupos de rescate ya no está encriptando.
Están sacando todos sus datos de su red, tal como lo han hecho los grupos de extorsión durante un tiempo, pero luego están limpiando sus sistemas en lugar de encriptarlos y diciendo: "No, no, no, le daremos la datos de vuelta cuando usted paga.”
PATO. Eso es "Exmatter", ¿no?
CHET. Sí.
PATO. “¿Por qué molestarse con toda la complejidad de la criptografía de curva elíptica y AES?
Hay tanto ancho de banda por ahí que en lugar de [RISA]... oh, querido, no debería reírme... en lugar de decir: "Páguenos el dinero y le enviaremos la clave de descifrado de 16 bytes", es "Envíenos el dinero y te devolveremos los archivos.
CHET. Enfatiza nuevamente cómo debemos buscar las herramientas y los comportamientos de alguien que hace cosas maliciosas en nuestra red, porque pueden estar autorizados para hacer algunas cosas (como Chelsea Manning), o pueden estar intencionalmente abiertos, cosas no autenticadas que hacen tener algún propósito.
Pero debemos estar atentos al comportamiento de su abuso, porque no podemos solo observar el cifrado.
No podemos simplemente estar atentos a que alguien adivine la contraseña.
Necesitamos estar atentos a estas actividades más grandes, estos patrones, que indican que está ocurriendo algo malicioso.
PATO. Absolutamente.
Como creo que dijiste en el mini refresco que hicimos, ya no es suficiente esperar a que aparezcan alertas en su tablero para decir que sucedió algo malo.
Debe estar al tanto del tipo de comportamientos que se están produciendo en su red que pueden no ser maliciosos, pero que son una buena señal de que algo malo está por suceder porque, como siempre, la prevención es muchísimo mejor que curar:
Chester, me gustaría pasar a otro tema: esa historia es algo que escribí en Naked Security hoy, simplemente porque yo mismo me había confundido.
Mi suministro de noticias estaba repleto de historias sobre WhatsApp con un día cero:
Sin embargo, cuando revisé todas las historias, todas parecían tener una fuente principal común, que era un aviso de seguridad bastante genérico de WhatsApp que se remontaba a principios de mes.
El peligro claro y presente que los titulares de las noticias me hicieron creer…
…resultó no ser del todo cierto por lo que pude ver.
Cuéntanos qué pasó allí.
CHET. Usted dice, "día cero".
Digo: “Muéstrame a las víctimas. ¿Dónde están?" [LA RISA]
PATO. Bueno, a veces es posible que no puedas revelar eso, ¿verdad?
CHET. Bueno, en ese caso, ¡nos lo dirías!
Esa es una práctica normal en la industria para revelar vulnerabilidades.
Verá con frecuencia, en el martes de parches, Microsoft haciendo una declaración como, "Se sabe que esta vulnerabilidad ha sido explotada en la naturaleza", lo que significa que alguien descubrió esta falla, comenzó a atacarla, luego nos enteramos y fuimos. atrás y lo arregló.
*Eso es* un día cero.
Encontrar una falla de software que no se está explotando, o no hay evidencia de que se haya explotado alguna vez, y solucionarlo de manera proactiva se denomina "Buena práctica de ingeniería", y es algo que hace casi todo el software.
De hecho, recuerdo que mencionaste la actualización reciente de Firefox que solucionó de manera proactiva muchas vulnerabilidades que, afortunadamente, el equipo de Mozilla documenta e informa públicamente, por lo que sabemos que se han solucionado a pesar de que nadie sabía que las estaba atacando.
PATO. Creo que es importante que mantengamos la palabra "día cero" para indicar cuán claro y presente es un peligro.
Y llamar a todo un día cero porque podría causar la ejecución remota de código pierde el efecto de lo que creo que es un término muy útil.
¿Estarías de acuerdo con eso?
CHET. Absolutamente.
Eso no es para disminuir la importancia de aplicar estas actualizaciones, por supuesto: cada vez que vea "ejecución remota de código", alguien puede regresar y descubrir cómo atacar esos errores y las personas que no han actualizado su aplicación.
Por lo tanto, aún es urgente asegurarse de obtener la actualización.
Pero debido a la naturaleza de un día cero, realmente merece su propio término.
PATO. Sí.
Tratar de hacer historias de día cero a partir de cosas que son interesantes e importantes, pero que no necesariamente representan un peligro claro y presente, es simplemente confuso.
En particular, si la solución salió un mes antes y la presentas como una historia como si "esto está sucediendo ahora mismo".
Cualquiera que vaya a su iPhone o su Android dirá: “Tengo un número de versión muy por delante de eso. ¿Que esta pasando aqui?"
La confusión no ayuda cuando se trata de intentar hacer lo correcto en ciberseguridad.
CHET. Y si encuentra una falla de seguridad que podría ser un día cero, infórmelo, especialmente si hay un programa de recompensas por errores ofrecido por la organización que desarrolla el software.
Vi, esta tarde, alguien durante el fin de semana descubrió una vulnerabilidad en OpenSea, que es una plataforma para intercambiar tokens no fungibles o NFT... que no puedo recomendar a nadie, pero alguien encontró una vulnerabilidad sin parche que era crítica en su sistema durante el fin de semana, lo informó y recibió una recompensa por errores de $ 100,000 hoy.
Por lo tanto, vale la pena ser ético y entregar estas cosas cuando las descubra, para evitar que se conviertan en un día cero cuando alguien más las encuentre.
PATO. Absolutamente.
Te proteges a ti mismo, proteges a todos los demás, haces lo correcto por parte del proveedor... sin embargo, a través de la divulgación responsable proporcionas esa "mini-Espada de Damocles" que significa que los proveedores poco éticos, que en el pasado podrían haber barrido los informes de errores bajo la alfombra, no pueden hacerlo porque saben que al final van a salir del armario.
Así que en realidad bien podrían hacer algo al respecto ahora.
Chester, pasemos a nuestro último tema de esta semana, y ese es el tema de lo que sucede con los datos en los dispositivos cuando ya no los quieres.
Y la historia a la que me refiero es la multa de $ 35,000,000 que se emitió a Morgan Stanley por un incidente que se remonta a 2016:
Hay varios aspectos en la historia... es una lectura fascinante, en realidad, la forma en que se desarrolló todo, y la gran cantidad de tiempo que estos datos vivieron, flotando en lugares desconocidos en Internet.
Pero la parte principal de la historia es que tenían... Creo que eran algo así como 4900 discos duros, incluidos discos que salían de arreglos RAID, discos de servidor con datos de clientes.
“Ya no los queremos, así que los enviaremos a una empresa que los limpiará y luego los venderá, así que recuperaremos algo de dinero”.
Y al final, es posible que la compañía haya borrado algunos de ellos, pero algunos simplemente los envió a la venta en un sitio de subastas sin borrarlos en absoluto.
¡Seguimos cometiendo los mismos errores de siempre!
CHET. Sí.
La primera violación de HIPAA, creo, que se encontró en los Estados Unidos, la legislación de atención médica sobre la protección de la información del paciente, fue por pilas de discos duros en un armario de limpieza que no estaban encriptados.
Y esa es la palabra clave para comenzar el proceso de qué hacer al respecto, ¿verdad?
No hay un disco en el mundo que no deba estar cifrado de disco completo en este momento.
Cada iPhone lo ha sido desde que tengo memoria.
La mayoría de los Android han existido desde que tengo memoria, a menos que todavía esté comprando teléfonos chinos con Android 4.
Y las computadoras de escritorio, desafortunadamente, no se cifran con la frecuencia suficiente.
Pero no deberían ser diferentes a esos discos duros de servidor, esas matrices RAID.
Para empezar, todo debería estar encriptado, para que el primer paso del proceso sea difícil, si no imposible...
…seguido de la destrucción de ese dispositivo si llega al final de su vida útil.
PATO. Para mí, una de las cosas clave en esta historia de Morgan Stanley es que cinco años después de que esto comenzara... comenzó en 2016, y en junio del año pasado, los discos de ese sitio de subastas que habían entrado en la gran incógnita todavía estaban siendo recomprados por Morgan Stanley.
Todavía estaban sin borrar, sin cifrar (obviamente), funcionando bien y con todos los datos intactos.
A diferencia de las bicicletas que se tiran al canal o los desechos del jardín que se depositan en el contenedor de abono, es posible que los datos de los discos duros no se deterioren, posiblemente durante mucho tiempo.
Así que si tienes dudas, bórralo por completo, ¿eh?
CHET. Sí, bastante.
Desafortunadamente, esa es la forma en que es.
Me gusta ver que las cosas se reutilicen tanto como sea posible para reducir nuestros desechos electrónicos.
Pero el almacenamiento de datos no es una de esas cosas en las que podemos darnos el lujo de arriesgarnos...
PATO. Podría ser un verdadero ahorro de datos, no solo para usted, sino también para su empleador, sus clientes y el regulador.
Chester, muchas gracias por dar un paso al frente de nuevo con muy, muy poco tiempo de aviso.
Muchas gracias por compartir con nosotros sus ideas, en particular su mirada a la historia de Optus.
Y, como siempre, hasta la próxima…
AMBAS COSAS. Mantente seguro.
[MÓDEM MUSICAL]
