Hablando de TI

Categoría: Kaspersky

  • Kaspersky Labs, atrapados entre política y seguridad

    Kaspersky Labs, atrapados entre política y seguridad

    La firma rusa de seguridad se ha visto involucrada últimamente en las noticias, no sólo por sus éxitos en seguridad, sino por acusaciones en medios que los acusan de ser traidores y patriotas para varios países, entre ellos Rusia, Estados Unidos y hasta Ucrania

     

    La empresa de seguridad Kaspersky Labs ha tenido unos días de mucha exposición mediática y no precisamente gracias a su gran rendimiento descubriendo botnets y campañas maliciosas. A la empresa, o al menos a algunos de sus empleados, se les acusó de traidora a la patria o de patriota cooperante, según el país de donde se origine la acusación.

    Dos oficiales de la FSB (Servicio Federal de Seguridad de Rusia) y el jefe del departamento de investigación de incidentes de Kaspersky Labs, Ruslan Stoyanov, fueron acusadas en febrero de este año de cometer traición a favor de los Estados Unidos y cooperación con sus servicios secretos. Aunque Kaspersky reconoció el arresto, se argumentó que los cargos en su contra se fundamentaron en hechos realizados al menos un año antes de que Stoyanov se uniera a la empresa. Otro de los detenidos se supone era el líder de un grupo de hackers conocidos como Humpty Dumpty, sindicado de apoyar a Ucrania. Algunas versiones no oficiales indican que parte de las acusaciones podrían tener que ver con la presunta intervención de hackers en las elecciones de EUA, modificando escenarios a favor de Donald Trump.

    Antes de esto, un ciber investigador aseguró haber logrado quebrar la seguridad de los productos de Kaspersky, hacia finales del año pasado, llamando la atención mediática sobre la prensa.

    Y cuando parecía que se calmaba el ruido en los medios, en el día 9 de Mayo se hizo público que en un memorando secreto el Comité de Inteligencia de Senado advertía al Fiscal General de la nación y al Director de Inteligencia Nacional, su preocupación por que Kaspersky Lab pudiera estar en riesgo de ser comprometida y usada contra blancos en los Estados Unidos. Además se señala una investigación del FBI para establecer nexos entre Kaspersky Labs y el gobierno ruso.

    Eugene Kaspersky, presidente de la empresa, ha sido considerado como “persona de interés” por el gobierno norteamericano, basado en hechos puntuales, como el haber estudiado en una escuela patrocinada por la KGB. Kaspersky en persona me negó en una oportunidad, hace ya varios años en su oficina en Moscú que ese vínculo existiera, y por mucho tiempo esa idea fue descartada por la prensa, pero ha vuelto a resurgir en los últimos tiempos y se supone que una investigación en el 2012 fue llevada a cabo por el FBI, e incluso habría recibido ofertas para trabajar como cooperante con ellos, las cuales habría rechazado. Además es común que los investigadores de la empresa sufran retardos al entrar en los EUA, ya que el hecho de ser rusos y expertos en virus y seguridad digital, hace que las autoridades les presten atención extra.

     

    El verdadero lado oscuro de la situación: menos colaboración

    Más allá de que en realidad no se ha podido demostrar mala intención de Kaspersky Labs, las acusaciones de EUA y Rusia contra la empresa, no pueden sino afectar negativamente las relaciones de cooperación entre las empresas de seguridad que hacen vida en países con cierto grado de antagonismo. Si bien aquí se habla de Rusia y Estados Unidos, es fácil agregar a esta ecuación al Reino Unido, Francia y China, por citar ejemplos importantes y predecir que los atacantes contarán con una mayor ventaja al limitarse la cooperación entre empresas de seguridad de cada uno de estos países.

    La consecuencia directa de las acusaciones será menos colaboración entre empresas y gobiernos, o en todo caso colaboraciones mucho más restringidas, incluso censuradas, lo que en muchos casos dará ventajas a los cibercriminales, algo que no beneficia al público en general.

    Así que estén pendientes de estas acusaciones y de sus consecuencias, que de seguro me tendrán hablandodeti, Kaspersky y de las consecuencias de estas acusaciones, por mucho más tiempo.

  • ¿La Internet de las cosas o el Apocalipsis del mundo que conocemos?

    ¿La Internet de las cosas o el Apocalipsis del mundo que conocemos?

    El ataque sufrido por DynDNS, un proveedor de servicios muy importante, involucró una gran cantidad de dispositivos de la llamada Internet de las Cosas, en lo que puede ser un pequeño adelanto de lo que puede venir en un futuro, cuando muchos dispositivos –incluyendo automóviles, camiones y autobuses—puedan ser manipulados por cibercriminales inescrupulosos

    Twitter, Netflix, Spotify y otros grandes servicios de la Internet quedaron fuera de línea la pasada semana gracias a un intenso ataque de denegación de servicio —DDoS—sufrido por el proveedor de servicios DynDNS. Desde primeras horas del viernes 21 el ataque estuvo creando problemas para los lectores de medios on line como New York Times y Financial Times, problemas a los jugadores d ela red PlayStation Network, o imposibilitando a muchos el acceso a su cuenta de Twitter.

    El ataque funciono atiborrando de trabajo a los servidores de nombres o DNS –esos que traducen las direcciones web que conocemos en números para las máquinas—los cuales no fueron atacados en su seguridad, sino más bien abrumados por la gran cantidad de consultas que empezaron a surgir.

    Del lado de los malhechores destacó el uso, por primera vez en gran escala, de dispositivos de la llamada Internet de las Cosas, IoT, en este caso principalmente cámaras de vigilancia de un fabricante chino. Los delincuentes aprovecharon una política de seguridad muy débil, con contraseñas sencillas y repetidas, para tomar control e infectar a estas cámaras que fueron usadas como una arte importante del ataque.

    Este uso masivo de dispositivos de la IoT levantó la precupación de muchos expertos acerca de la seguridad de estos nuevos dispositivos, algo de lo que algunos hemos estado hablando desde hace mucho.

    La IoT preocupa a los que saben de seguridad

    En el año 2010 conversé con Pavel Mrnustik, en aquel entonces CEO de TrustPort –una empresa de seguridad basada en la ciudad de Brno en la República Checa—y tocamos el tema de la Internet de las cosas y de las posibles consecuencias de un ataque a los dispositivos. En aquel entonces la Internet de las cosas sonaba muy lejana –recién vi la primera aplicación práctica en un laboratorio en Colonia donde DHL e IBM trabajaban en sus aplicaciones sobre el mundo de la logística—pero aún asi Pavel mostraba preocupación al respecto. “Imagina si en medio del invierno los atacantes se conectan y apagan y deshabilitan los dispositivos de calefacción de una ciudad o si les da por poner en verde a todos los semáforos de la misma” comentaba el ejecutivo.

    En varias ocasiones toqué el mismo tema con Eugene Kaspersky, de Kaspersky Labs, y el siempre se mostró reacio a profundizar el tema, dando a entender que las consecuencias podían ser muy graves y era mejor no conversar de eso, dando ideas a los malhechores.

    Varios años más tarde, en el 2013, conversaba del mismo tema con Art Coviello, entonces CEO de RSA, y el usaba una figura para que entendiera el problema. “Actualmente la frontera [digital] que tenemos que defender es como del tamaño de este estado [California]. Pero con la Internet de las cosas la frontera será más grande que todo el territorio entre California y Alaska y no se podrá proteger de manera tradicional. Deberemos incorporar analítica y Big Data para poder vigilarla” aseguró.

    La preocupación por la seguridad de la IoT ha sido tratada muy a la ligera, pero debe estar incluida desde el diseño de los dispositivos. En el ataque de la semana pasada la debil política de seguridad del fabricante chino Hangzhou Xiongmai Technology, dejo paso libre a la instalación del malware conocido como Mirai. Para formar una botnet de gran tamaño que puso a la Internet de rodillas. Debe existir algún tipo d econtrol –que en la actualidad no existe—más allá de la regulación normal del mercado, para limitar la conexión de estos dispositivos, y muchos investigadores y expertos en seguridad están especulando como hacer para implementarlo.

    Para colmo de males, el creador del malware Mirai hizo publico a principios de este mes el código de su malware y ya ha sido utilizado en algunos ataques de DDoS, incluyendo uno contra un investigador de ciberseguridad, Brian Krebs, cuyo blog fue tumbado ¡con la impresionante cantidad de tráfico de 655Gbps!

    Es así como pronto estaré hablandodeti, Internet de las cosas, y de tus fallas de seguridad, ya que es bastante seguro que veremos más ataques de este tipo en los meses por venir.

  • Retrato “hacker” de la Internet

    Retrato “hacker” de la Internet

    mapahackerinternet

    (haga click en la imagen del mapa para ver el mapa dinámico, alojado en el servidor de FastCompany)

    Un tweet de Eugene Kaspersky –presidente de la compañía de seguridad homónima— llamó mi atención sobre un artículo de FastCompany: “Infografía: un hacker crea un retrato ilegal de la Internet”

    La historia detrás de este gráfico sobre el uso de la Internet es interesante. Un aficionado a la programación se dió cuenta de que muchas personas no cambian las contraseñas del usuario “root” de su dispositivo, y decidió comprobar si con esto podía hacer algo a la “escala de la Internet”. El hacker en cuestión logro acceso a poco más de 500.000 dispositivos en todo el mundo, y decidió medir el tráfico, los puertos abiertos y algunos otros parámetros en todos esos dispositivos, varias veces al día y generar un gráfico con esos datos.

    El resultado es ese gráfico animado que podemos ver en este post y que nos permite asociar la actividad de la Internet con la geografía mundial, en un ciclo diario.

    Vemos en el como en la región latinoamericana, la mayor actividad de Internet (en rojo) ocurre después del mediodía, y se prolonga poco después de la puesta del sol. En el mundo, India, Europa y la costa este de Estados Unidos parecen tener la mayor actividad de Internet, también en horas de la tarde y principios de la noche. En todo el mundo la actividad desciende en la noche, pero Europa y Estados Unidos mantienen un nivel de tráfico más importante, lo que indica que muchas conexiones continúan funcionando aún a esas horas. Japón y Corea destacan también, pero su reducida geografía no les da un protagonismo tan importante.

    Detrás del estudio, que luce grandioso, los expertos en seguridad tiemblan. Si un hacker –bueno o malo—puede lograr control de 500.000 dispositivos o más de manera tan sencilla, el peligro es obvio. Un error, o un comando dado a propósito para atacar a alguien, puede tener un impacto muy grande en la Internet.

    Asi que querido lector te sugiero que si tu router, módem o PC no tiene password, o aún conserva el que traía desde la fabrica, te apresures a cambiarlo, no vaya a ser que la próxima vez que hable de un ataque masivo realizados por un hacker que tomó control de miles de dispositivos, esté realmente hablandodeti, y tu sin saberlo.

  • “La CIA elimina a Chávez”, carnada de un malware detectado por Kaspersky

    “La CIA elimina a Chávez”, carnada de un malware detectado por Kaspersky

    chavezmalware2
    Sin entenderse aún por qué los cibercriminales han reaccionado tan lentamente a la muerte de Hugo Chávez –incluso se comenta que Madamme Tusseuads, el famoso museo de cera, ya tiene listas sus imágenes de Chávez— los investigadores de la firma de seguridad Kaspersky afirman haber dado con el primer malware que se aprovecha de la situación.

    El investigador Dmitry Bestuzhev publica en el blog de latinoamérica de Kaspersky el primer hallazgo, una ameaza que tan sólo 8 de 46 antivirus detectan (entre los antivirus que detectan está Kaspersky, que lo hace de manera heurística, es decir como amenaza no conocida). En su post Bestuzhev muestra que el subject utilizado para atraer la atención de la gente es una supuestas “eliminación” de Chávez a manos de la CIA. El malware está alojado en un sitio legítimo ruso que está comprometido y direcciona sus datos a un servidor en Bulgaria.

    Tal como señale en el post anterior, este tipo de ataques son sumamente frecuentes y cabe esperar que se multipliquen en los días por venir, por lo que recomiendo a todos mis lectores que tengan mucho cuidado al abrir correos con títulos sugerentes sobre la muerte de Chávez, incluso si conocen al remitente.

    Les recomiendo seguir en twitter a Bestuzhev en su cuenta @dimitribest para mantenerse informados, así como leer el blog de la empresa.

    Así al seguir hablando de seguridad, espero poder estar hablandodeti querido lector, cuando hable de usuarios que están bien protegidos.