Semana de la Seguridad 10: Conferencia RSA y Conciencia de Ciberseguridad

La próxima conferencia de seguridad cibernética, RSA Conference 2020, se celebró en San Francisco la semana pasada, un evento en el que hay poco más negocios que tecnología. Las características comerciales de la industria no son menos importantes que las técnicas, aunque esta interacción está bajo el signo de algún tipo de antagonismo: los gerentes de desarrollo comercial dicen buenas palabras y los técnicos están aburridos. Hablando de palabras: así es como los principales temas de la Conferencia RSA han evolucionado, las palabras clave de una sola conferencia, en los últimos cinco años. En 2016, el tema principal fue la seguridad de IoT, en 2017 - inteligencia artificial, en 2018 - la falta de balas de plata y soluciones simples en defensa cibernética, en 2019 - el problema de la reputación.

En 2020, el presidente de RSAplanteó el tema de dividirse en técnicos y hombres de negocios, convirtiendo inesperadamente la gran apertura en una discusión sobre el problema real, aunque en términos generales: “Nuestros asuntos serán juzgados por la historia que se contará sobre ellos. Y queremos que esto sea una historia sobre la resistencia exitosa a las amenazas cibernéticas, y no historias técnicas sobre el ciber ping pong ". Es decir: la comunidad de seguridad informática está cerrada, es incomprensible para una persona y debemos cambiar esto. Comparta no solo problemas, sino también soluciones exitosas: "Reformatee la cultura de una elitista a una abierta".


Hermosas palabras, pero deberíamos esperar la apertura de los técnicos: una gran pregunta. No se trata de la naturaleza de personas específicas, sino de las características del trabajo, que requieren la máxima concentración en pequeños detalles, el mismo ping-pong. Para transmitir victorias en seguridad de TI, debe poder explicarlas en palabras que sean entendibles para el público. Al menos formule qué considerar una victoria. Esto no siempre se obtiene, y para muchos participantes de la industria esta tarea está lejos de ser una prioridad. Quien le da a la cultura un nuevo formato también es una buena pregunta: la mayoría de las veces la misma gerencia no técnica, cuyo representante es Rohit Gai, se dedica a esto. Resulta que cuando él exige cambios desde la tribuna de la Conferencia RSA, ¿el requisito se dirige a sí mismo? Esta es una tarea honorable. Aclare la seguridad cibernéticamás precisamente, es necesario ayudar a una percepción realista de esta área de conocimiento. De lo contrario, hay situaciones que a menudo observamos recientemente: cuando los ataques cibernéticos y la defensa cibernética se discuten en un plano político en completo aislamiento de la situación real.

Revisaremos brevemente discursos interesantes en la RSA Conference 2020. El criptógrafo Bruce Schneier continuó con el tema de la apertura, pero desde un ángulo diferente: sugiere introducir una "cultura de piratería" (en este caso, la capacidad de resolver problemas usando métodos no estándar) fuera de TI. Por ejemplo, en la legislación o en la política fiscal. De lo contrario, las vulnerabilidades en el software se encuentran y cierran con éxito, y las brechas en el código tributario permanecen allí durante años.


El investigador Patrick Wardle habló sobre los casos de malware de ingeniería inversa en el lado de los cibercriminales. Al estudiar los ataques cibernéticos en las computadoras Apple, encontró ejemplos en los que los atacantes toman el código malicioso distribuido por otra persona y lo adaptan a sus propias necesidades. Los representantes de Checkmarx contaron ( noticias , investigaciones ) sobre vulnerabilidades en una aspiradora robot inteligente. La aspiradora está equipada con una cámara de video, por lo que un pirateo exitoso permite no solo observar a los propietarios del dispositivo, sino también cambiar el punto de observación si es necesario. Otro estudio de IoT se centra en las vulnerabilidades en el monitor para monitorear a un niño.

ESET encontró la vulnerabilidad Kr00k ( noticias , información sobresitio web de la empresa) en módulos de Wi-Fi, que descifra parcialmente el tráfico transmitido entre dispositivos. Se utilizan los módulos producidos por Broadcom y Cypress, que se utilizan tanto en teléfonos móviles y portátiles como en enrutadores. Finalmente, el panel de criptógrafos (un rudimento de los viejos tiempos cuando la Conferencia RSA era un nicho entre los expertos en cifrado) nuevamente pasó por la cadena de bloques. A los criptógrafos no les gusta la industria de las criptomonedas para asignar el prefijo "cripto", pero en este caso se trataba de usar blockchain para las elecciones. El representante del MIT Ronald Rivest presentó los resultados de un cierto análisis de oportunidades, cuya conclusión es que las papeletas son más confiables. Incluso usando blockchain, es difícil crear un sistema de software para registrar votos en los que se pueda confiar.

¿Qué más pasó?

Vulnerabilidad crítica de día cero en Zyxel NAS y firewalls. El exploit fue descubierto en venta abierta en el mercado negro. El error le permite ejecutar código arbitrario en el dispositivo, que por definición debería ser accesible desde la red, obteniendo un control total sobre él. El parche se ha lanzado para una gran cantidad de dispositivos Zyxel, pero no para todos: algunos NAS vulnerables ya no son compatibles.

ThreatFabric ha descubierto una nueva versión del troyano Cerberus para Android, que puede extraer códigos de autenticación de dos factores de la aplicación Google Authenticator.

Erroren la integración de las billeteras de Paypal con el servicio de pago de Google Pay, permitió un corto tiempo para robar fondos sin el conocimiento del propietario. No hay detalles, pero supuestamente los atacantes encontraron una manera de extraer los datos de las tarjetas de pago virtuales que se crean cuando el servicio está vinculado a Google Pay.

Un investigador alemán reveló una aplicación iOS "maliciosa" que monitorea constantemente el portapapeles disponible para todos los programas en el teléfono. Lógica del investigador: si se copia un número de tarjeta de crédito en el búfer, un atacante puede robarlo. Reacción de Apple: sí, pero es un portapapeles. Debe estar disponible para todas las aplicaciones, de lo contrario no tiene sentido.