Resumen de un año:12 consideraciones de seguridad de IoT

Desde el punto de vista del consumidor, las mayores preocupaciones de seguridad de IoT son la privacidad -relacionado. Una familia puede preocuparse de que sus cámaras de seguridad le permitan a un extraño echar un vistazo a su hogar. O que los datos que recopilan sus altavoces inteligentes son vulnerables.

Si bien esas preocupaciones son legítimas, no se ajustan a los modelos de amenazas más comunes ni representan los riesgos de seguridad de IoT más importantes. Es más probable que un atacante que se dirija a dispositivos de IoT vea esos dispositivos como un medio para un fin. Quizás podrían aprovechar muchos de ellos en un ataque de denegación de servicio distribuido. O utilícelos como un punto de pivote para alcanzar objetivos más valiosos en la red.

En una charla reciente en DEFCON en Las Vegas, Bryson Bort, director ejecutivo de Scythe, presidente de GRIMM y asesor del Army Cyber ​​Institute en West Point, arrojó luz sobre algunas de las tendencias más significativas en el campo de la ciberseguridad relacionadas con IoT y sistemas de control industrial en el último año.

1. La atribución de Estado-nación es cada vez más común

No hace mucho, los grupos del crimen organizado parecían estar detrás de la gran mayoría de los ciberataques. Pero ahora, los actores del estado-nación están mejorando su juego, a veces reclutando talentos del inframundo cibernético.

El Informe de Investigaciones de Violación de Datos más reciente de Verizon muestra que el volumen de violaciones asignadas a grupos del crimen organizado disminuyó considerablemente desde 2015. En ese mismo período de tiempo, la actividad de afiliados estatales aumentó.

A medida que aumenta el nivel de actividad del estado-nación, también han aumentado los intentos de atribuir qué país estaba detrás de un ataque determinado. Si bien los investigadores de ciberseguridad a menudo se enfocan en el lado técnico de los ataques, Bort dijo que es esencial comprender el papel de las posibles motivaciones de los estados-nación en un ataque dado.

2. Atacar los dispositivos de IoT como un punto de pivote es una preocupación real

El riesgo de que un atacante te espíe cuando sales de la ducha a través de una cámara conectada a Internet es real. Pero ese tipo de infracción no se alinea con los objetivos más comunes de los actores de amenazas de obtener ganancias financieras o espionaje dirigido a empresas o gobiernos.

Sin embargo, una amenaza más importante es el uso de dispositivos IoT para ataques laterales. Infringir muchos dispositivos de IoT básicos es relativamente trivial y proporciona un punto de partida para un mayor espionaje o sabotaje.

El Centro de Respuesta de Seguridad de Microsoft informó recientemente que había observado a un actor de amenazas dirigido a "un teléfono VOIP, una impresora de oficina y un decodificador de video". La aparente motivación del atacante era obtener acceso a una variedad de redes corporativas. "Una vez que el actor había establecido con éxito el acceso a la red, un simple escaneo de red para buscar otros dispositivos inseguros les permitió descubrir y moverse a través de la red en busca de cuentas con mayores privilegios que otorgarían acceso a datos de mayor valor", el informe explicado. Microsoft atribuyó la actividad a un grupo al que llama "Strontium", que también se conoce como APT 28 de Fancy Bear. También se cree que el colectivo estuvo involucrado en el hackeo de DNC en 2016.

3. El espacio de aire (aún) no existe

En teoría, una red aislada está físicamente aislada del resto del mundo, lo que la hace inmune a los ataques que atraviesan Internet. En realidad, las organizaciones que aprovechan un enfoque de seguridad por oscuridad enfrentan un riesgo elevado de ser violadas. "¿Alguien ha visto alguna vez un espacio de aire real?" Preguntó Bort. "No, porque en realidad no existen. Ni una sola vez en toda mi vida de pruebas de pluma en entornos de control industrial [he visto uno] ”, agregó.

El ejemplo más famoso de una violación de un sistema supuestamente con espacio de aire es probablemente Stuxnet. En esa brecha, el atacante pudo obtener acceso a una red dentro de una instalación nuclear iraní, probablemente a través de una memoria USB.

4. El lado oscuro de la energía verde es la ciberseguridad

El hecho de que la red eléctrica de Estados Unidos sea vulnerable a un ciberataque ha ganado notoriedad gracias a los esfuerzos de periodistas experimentados como Ted Koppel, cuyo libro de 2015 “Lights Out” cubre ese tema. También en 2015, supuestamente piratas informáticos rusos pudieron cerrar temporalmente para aproximadamente 230.000 personas. Mientras tanto, los periódicos de EE. UU. Han publicado una serie de artículos que afirman que Rusia está apuntando a la red eléctrica de EE. UU. Más recientemente son revelaciones anónimas de que Estados Unidos también está apuntando a Rusia.

La situación plantea la pregunta de por qué países de todo el mundo están haciendo un uso sustancial de la tecnología de la información en sus redes eléctricas si presenta una serie de nuevas amenazas.

Bort preguntó:"¿Por qué no volvemos a lo completamente analógico?"

Parte de la respuesta a la pregunta es la energía verde. Una serie de factores, desde personas de todo el mundo que compran vehículos eléctricos hasta la instalación de paneles solares en sus techos, han cambiado fundamentalmente la ecuación para la distribución de energía. Hace unas décadas, el flujo de electrones de una subestación a un consumidor era unidireccional. Pero ahora, los consumidores, a través de energías renovables como la energía solar, aportan energía de forma intermitente a la red. "Ahora, necesito computadoras para manejar la red eléctrica exponencialmente más compleja", dijo Bort.

5. Los estados-nación apuntan cada vez más a la infraestructura crítica

Puede que la guerra cibernética no sea nueva, pero los estados-nación parecen estar intensificando sus esfuerzos para atacar los sistemas de control industrial y la infraestructura crítica de los rivales. Dicha infraestructura abarca desde máquinas de votación hasta infraestructura de agua y energía.

En general, los actores del estado-nación con las divisiones cibernéticas más avanzadas son Estados Unidos, Reino Unido, Israel, Rusia, Corea del Norte e Irán. Vietnam probablemente recibiría una mención honorífica, dijo Bort. “El año pasado, hemos visto a los vietnamitas llevar a cabo el espionaje del estado-nación a un nivel extremo.

A principios de este año, Bloomberg informó que "los piratas informáticos" alineados con el estado "de Vietnam" están apuntando a empresas automotrices extranjeras para apoyar las florecientes iniciativas de fabricación de vehículos del país.

6. Los ciberataques ayudan a financiar países aislados

En 2017, The New York Times informó que la administración Trump había solicitado $ 4 mil millones para ayudar a financiar armas cibernéticas para sabotear los sistemas de control de misiles de Corea del Norte. La financiación también apoyaría a los drones y aviones de combate para derribar esos misiles antes de que lleguen a las costas de Estados Unidos. La misma publicación había citado fuentes anónimas que afirmaban que una campaña cibernética en curso se había dirigido a los sistemas de misiles del país desde al menos 2014.

La otra arruga de esta historia es un informe de la ONU que divulga cómo Corea del Norte está ayudando a financiar su programa de armas. Afirma que la nación robó $ 2 mil millones en fondos de instituciones financieras e intercambios de criptomonedas.

Bort dijo que es probable que Corea del Norte haya utilizado los fondos para una variedad de compras. “A nadie le importa la moneda [de Corea del Norte]. Están en una economía cerrada ”, dijo. “Si el Querido Líder quiere whisky y Ferrari, no puede comprarlo con la moneda local. Necesita divisas fuertes ”, agregó. "Entonces, su motivo principal desde la perspectiva cibernética es el robo".

7. Un solo ciberataque puede causar cientos de millones de dólares en daños

En términos estrictos, WannaCry y sus variantes no se centran explícitamente en IoT o ICS. Pero el malware, que tiene como objetivo los sistemas operativos Microsoft Windows, provocó un daño similar en sus víctimas. WannaCry demostró que una pieza de malware podría obstaculizar las operaciones del Servicio Nacional de Salud del Reino Unido. El costo del malware para NHS, que también provocó la cancelación de 19.000 citas, fue de £ 92 millones. Mientras tanto, el primo de WannaCry, NotPetya, le costó al conglomerado de envío global entre 200 y 300 millones de dólares.

Después de que el malware se introdujo en la planta de fabricación a través de un proveedor susceptible, la imagen dorada de la planta era tan antigua que no se podía parchear. Después de que se implementó la variante WannaCry en el entorno, "comprometió todo lo que podía tocar y derribó toda la planta", dijo Bort.

Si bien Estados Unidos ha atribuido WannaCry a Corea del Norte, es poco probable que el estado-nación tenga la intención de infectar la planta. “Este era un proveedor que tenía una imagen que estaba infectada y la presentó”, dijo Bort. "Sé. Es una locura ".

8. Trisis debería ser una llamada de atención

Al igual que WannaCry, Trisis aparentemente comenzó en 2017. Los atacantes, que FireEye cree que tienen vínculos con Rusia, utilizaron una combinación de phishing y campañas basadas en abrevaderos contra sus víctimas. Los atacantes primero apuntaron a I.T. infraestructura y luego se trasladó lateralmente a su O.T. red, donde atacaron el sistema instrumentado de seguridad en una instalación de infraestructura crítica. "Eso es muy importante", dijo Bort. “En los sistemas de control industrial, [el SIS] opera los sensores y las computadoras cambiando las cosas en el entorno físico”.

Si bien los controladores lógicos programables calculan lo que debería suceder en el entorno físico para los controles industriales, "son computadoras tontas", dijo Bort. "No tengo que hackear un PLC. Todo lo que tengo que hacer es decirle a un PLC lo que debe hacer. No me validan. No buscan autoridad. [..] "Eso es lo que hace el SIS".

Si bien las primeras víctimas reveladas de Trisis estaban ubicadas en el Medio Oriente, CyberScoop informa que los autores del ataque ahora apuntan a la red eléctrica de EE. UU.

9. Las campañas de infraestructura crítica están aumentando

Puede haber relativamente pocos ejemplos que indiquen dónde grandes franjas de poblaciones de todo el mundo se vieron afectadas por ciberataques basados ​​en infraestructura crítica. Pero un número creciente de piratas informáticos tiene como objetivo esta infraestructura. "El punto principal aquí con los ataques a la infraestructura crítica es que se trata de campañas de inteligencia iterativas", dijo Bort. “No tenemos muchas pruebas de que lo que se pretendía fuera ser destructivo. Pero definitivamente tenemos pruebas de esta intención de [entrar] en la infraestructura ".

10. El ransomware tiene el potencial de apuntar a dispositivos de IoT

Los investigadores de seguridad han demostrado la viabilidad de mantener como rehenes una serie de dispositivos de IoT. Pero aunque el ransomware está muy extendido, los atacantes que lo implementan han tendido a apuntar a los dispositivos informáticos tradicionales.

Bort predice que en los próximos cinco años, el ransomware se extenderá a nuevos dominios basados ​​en IoT. "Creo que en algún lugar del mundo, alguien se va a despertar por la mañana y van a trabajar hasta su coche para ir a trabajar", dijo. "En el segundo en que enciendan ese automóvil, el sistema de información y entretenimiento aparecerá con:'Ransomware:envíe 3 Bitcoins para encenderlo'".

11. En un mundo conectado, los proveedores son parte del modelo de riesgo

El año pasado, Bloomberg causó sensación al afirmar que China se infiltró en la cadena de suministro de EE. UU. Al comprometer a uno de los principales proveedores mundiales de placas base para servidores. La historia fue cuestionada por varios líderes de las firmas tecnológicas de renombre mencionadas en la historia, incluidos SuperMicro, Apple y Amazon, así como representantes del Departamento de Seguridad Nacional de EE. UU. Y el Centro Nacional de Seguridad Cibernética del Reino Unido.

Si bien los hechos del artículo pueden estar en duda, el llamado "vivir de la tierra" es una amenaza. “Los atacantes no solo traen sus propias herramientas al juego. Están tomando lo que ya está en ese entorno y lo están usando en tu contra ", dijo Bort. “Todo lo que toca su infraestructura es parte de su modelo de riesgo. Ya no eres solo tú ".

12. Tus datos están proliferando. Así es cómo se vende.

"¿Sabías que una televisión inteligente cuesta menos que una televisión sin funciones inteligentes?" preguntó Bort en la sesión de DEFCON. "¿Porqué es eso? Ganan dinero con su telemetría y sus datos ".

Un artículo de abril de Business Insider llega a la misma conclusión:“Algunos fabricantes recopilan datos sobre los usuarios y los venden a terceros. Los datos pueden incluir los tipos de programas que miras, los anuncios que miras y tu ubicación aproximada ".

Algunos fabricantes de automóviles están implementando tácticas similares, dijo Bort. "Hay varios modelos en los que los fabricantes de automóviles están analizando cómo y qué pueden quitarle cuando conduce su automóvil".

Un informe de la Comisión de Revisión Económica y de Seguridad de Estados Unidos y China expresó su preocupación por el "acceso no autorizado a los dispositivos de IoT y los datos confidenciales" del gobierno chino, así como por la expansión de la "autorización del acceso". El informe explica:"El acceso autorizado [de China] a los datos de IoT de los consumidores estadounidenses solo crecerá a medida que las empresas chinas de IoT aprovechen sus ventajas en producción y costos para ganar participación de mercado en los Estados Unidos".

Bort dijo que muchos dispositivos de IoT para consumidores envían datos a China. "Si realmente quiere divertirse, conecte un dispositivo IoT en su hogar, verifique los paquetes y vea a dónde van", dijo. “Todavía no he visto un solo dispositivo al que me conecte y que no vaya a China. Ahora, no estoy sugiriendo que eso sea nefasto o malicioso ". Es típico que estos dispositivos de IoT transmitan datos al país. Preguntó:"¿Dónde se hacen?"