Mi nombre es seguridad, ciberseguridad

(Para Fabrizio Colalongo)
02/03/20

Imágenes de armas y hermosas chicas se persiguen en la pantalla grande mientras suena el famoso jingle. Luego, aparece una persona "M" que, con un enfoque autoritario, asigna una tarea imposible a "doble 0-siete". El agente secreto toma de las manos de una "Q" resignada una herramienta improbable y se lanza a la eterna lucha entre el bien y el mal.

Los efectos especiales, los martinis, los golpes de suerte y el giro de eventos inesperados traen la historia al epílogo: los inocentes muertos se vengan, el mundo está a salvo y las huellas del Sr. Bond se pierden en una isla. Tropical u otro lugar agradable.

Todos olvidamos cómo comenzó el cuento de hadas, pero nos vamos a la cama felices de haber estado en la piel de los salvadores de la humanidad y, lo que es más importante, de la corona británica.

Es divertido notar que incluso en el fascinante mundo de fantasía de Fleming, reconstruido en una simplificación paródica, James tenía dos ayudas sin las cuales la historia hubiera caído bajo su propio peso. "M" ya tenía el marco de la misión y "Q" tenía las herramientas de ... agente secreto.

Pero, ¿cómo sabía "M" todo? Leyendo cuidadosamente entre líneas de las novelas de los años 50 descubrimos la intensa actividad de recopilación de información que precedió a la fase "operativa". Aviones espías, periódicos, agentes enemigos traidores, distracciones ... pero, sobre todo, "Q" había inventado una máquina demasiado secreta para permanecer oculta incluso a los ojos de los agentes de doble cero. Un pulpo que funciona en el mundo virtual de la información que tiene acceso a una cantidad infinita de datos, organizado por tipo e indexado por el mejor archivero de todos los tiempos. Para estar seguros, personas bien informadas sospechan que la máquina fue inventada por SPECTRE, pero es cierto que "Q" ha encontrado una manera de usar esta información "dios" poniéndola al servicio del bien común (ver Johnny Long y su proyecto llamado "piratas informáticos para la caridad"). Esta máquina es un motor que busca datos en una gran red de nodos distribuidos y los pone a disposición de los analistas.

Los años de la Guerra Fría y los agentes con licencia han pasado de moda. El muro ha sido derribado; el velo que cubría los grandes secretos se ha ido volando. Se han simplificado los complejos procedimientos de uso de la red, la tecnología se ha vuelto transparente y los muchachos de los 90 se han convertido en aspirantes a agentes. La red se ha extendido y sus tentáculos han entrado en todos los hogares. Ya sea que fueron los británicos, la CIA, la KGB, el SPECTER o los extraterrestres quienes inventaron Internet (y la WWW) no importa, pero para entender cómo funciona este prodigio, se necesita una noción elemental (y espero que no sea trivial) del funcionamiento de un motor. búsqueda tradicional, como Google.

Cuando abre su navegador, se enfrenta a una ventana delgada donde puede ingresar una palabra o frase que devolverá muchos sitios web que tienen una relación con lo que estamos buscando. A veces, la relación es evidente porque la frase buscada está contenida en el texto del periódico o artículo de blog. Otras veces, sin embargo, el sitio que estaba buscando tiene términos completamente diferentes, sin embargo, es exactamente donde quería ir. La magia tuvo éxito y una fría inteligencia entendió lo que quería. Me hago algunas preguntas y, después de un par de clics dobles, tomo decisiones muy importantes que decidirán el futuro de mi familia, el exterminio del planeta Tierra o el color del siguiente felpudo.

Si uno va un poco más profundo, descubre que los motores de búsqueda le permiten ingresar instrucciones que interactúan con su inteligencia artificial. Google los llama Dorks y se encuentran entre las características más útiles del gigante Mountain View. Con ellos puedes organizar, filtrar, expandir y personalizar búsquedas. El uso es simple, simplemente agregue caracteres especiales o comandos a las palabras que se buscarán para obtener diferentes resultados. Por ejemplo, si está buscando información sobre el ~ cernícalo (este símbolo ~ se llama tilde y, con el teclado italiano, se mantiene presionada la tecla Alt y luego, posteriormente, 1-2-6), google devolverá todos aquellos sitios que tengan la palabra buscado o uno de sus sinónimos (con poco rigor científico). De hecho, el encabezado de Google será "Búsquedas relacionadas con Kestrel y Falcon". Si, por el contrario, escribiré "cernícalo" (entre comillas dobles), entonces el resultado se limitará a aquellos sitios que tienen la palabra o frase buscada sin ninguna elasticidad. la idiotas Son cientos. Por ejemplo, simplemente agregando filetype: pdf a una búsqueda, podemos obtener documentos en formato pdf. Pero, ¿cuáles son las posibilidades de esta herramienta? Sin ir demasiado en teoría, escribiendo: "John curriculum vitae" tipo de archivo: pdf obtendrá docenas de currículums que contienen información privada y confidencial de los diversos Johns que han tenido poco cuidado en protegerlos. Hacer esta investigación no es ilegal y abusar de esta información es solo una cuestión de moral, imaginación y una pizca de capacidad técnica.

Pero, ¿qué sabe Google y cómo sabe qué contiene el sitio que estoy buscando? La respuesta está contenida en dos palabras: metadatos y arañas (cama espía ... der). El motor de búsqueda envía pequeños agentes móviles que, como las arañas torpes, se infiltran en cada parte de los servidores web (y no solo ...) y recopilan datos útiles para indexar sus contenidos. Cada palabra se inserta en un contexto y la inteligencia artificial, también evaluando posibles interpretaciones y traducciones, extrapola conexiones y significados. Hasta ahora, todo está bien. Sin embargo, ya desde los primeros años en que el conocido motor de búsqueda comenzó a popularizar Internet, se notó que las arañas, junto con inmensas cantidades de datos "legítimos" sacó una gran cantidad de información confidencial de los servidores.

En este punto, quedará claro que un usuario inteligente puede usar fácilmente Google Dorks para buscar, indexar y organizar los datos de la manera que considere más apropiada. Si el usuario inteligente está armado con malas intenciones, el mismo día que sale una nueva herramienta malvada (técnicamente "malware": software malicioso), puede llevar a cabo una búsqueda exhaustiva para identificar aquellos servidores que tienen problemas de seguridad y atacarlos sin piedad . Los hackers llaman a este tipo de actividad "la recolección de fruta baja"frutas bajas"). La metáfora se refiere al hecho de que, evidentemente, las frutas que cuelgan de los árboles son las más fáciles de alcanzar, pero por esta razón, no tienen tiempo para madurar adecuadamente. Al no estar protegido, puede comer lo suficiente para sobrevivir incluso aquellos que no están equipados con habilidades o técnicas refinadas y se contentan con tomar menos azúcar.1.

Junto con estas herramientas, simples y accesibles para todos, pero poderosas para ser utilizadas por especialistas en ciberseguridad, existen herramientas aún más orientadas a la seguridad para recopilar información. Para nombrar algunos de los más conocidos, hay "Maltego", "TheHarvester", "Recon-Ng", "SpiderFoot" y, sobre todo, "Shodan". Este último es el favorito de muchos ciber-operadores y analistas porque devuelve todo tipo de información útil para evaluar el nivel de seguridad implementado en casi todos los dispositivos conectados a la red. Ya sea que esté considerando una computadora portátil, una computadora de escritorio o un horno de microondas, Shodan podrá identificar el objetivo al proporcionarnos información esencial. Los spodans de shodan.io (arañas avanzadas que realizan una búsqueda exhaustiva que también explotan las pancartas de las direcciones IP) siempre están trabajando para buscar contraseñas predeterminadas, puertos de red expuestos, vulnerabilidades, servicios activos, sistemas operativos no configurados y actualizados adecuadamente, etcétera

Con la llegada deIoT - Internet de las Cosas (y peor aún será con elYo y - Internet of Everything), estamos presenciando un Difusión de dispositivos capaces de conectividad pero incapaces de actualizar. De hecho, hace tiempo que se sabe que las computadoras deben adaptarse a las necesidades cambiantes de protección (actualizaciones de seguridad, antimalware, antivirus, firewalls de software, parches de vulnerabilidades de hardware, etc.) y hoy, cada empresa que produce software, invierte recursos grandes (pero en cualquier caso insuficientes) en seguridad. Sin embargo, lo mismo puede decirse de quienes fabrican cámaras de vigilancia, sensores de incendios, automóviles, televisores, electrodomésticos, enchufes inteligentes, hogares inteligentes, etc.

Cada uno de estos objetos puede representar un punto de acceso para curiosos y maliciosos. De hecho, el peligro de estos dispositivos no solo está relacionado con su funcionamiento y los datos que contienen. Con la excepción de casos específicos relacionados con sistemas de alarma o control remoto, el problema común ocurre cuando un dispositivo IoT se convierte en la puerta de entrada a áreas más confidenciales o cuando se coordinan muchos dispositivos diferentes para llevar a cabo un ataque colectivo (o más adecuadamente "distribuido") hacia un servicio de terceros.

Pero eso no es todo.

Durante años ha estado bajo la ilusión de que los sistemas electrónicos de comando y control de las infraestructuras mecánicas de las grandes empresas estaban a salvo porque estaban desconectados del exterior. Sin embargo, por miles de razones, SCADA (del inglés "Supervisory Control and Data Acquisition", es decir, "supervisión y adquisición de datos" de sistemas de automatización industrial, puertos, aeropuertos, etc.) ha estado en internet desde hace mucho tiempo. ; en consecuencia, la distancia entre elTI - Tecnología de la información y L 'OT - Tecnología operativa Está adelgazando. En un contexto ideal, la red de comunicación que contiene dispositivos sensibles debe estar desconectada de Internet y, por lo tanto, no debe ser accesible para aquellos que no están autorizados. Pero las noticias muestran que elEntrehierro, o la separación física de diferentes contextos, ya no se considera una barrera inaccesible (Piense en el caso de Stuxnet en el que se atacaron las centrifugadoras de la central nuclear iraní "Natanz"). Si IT es el tejido nervioso del organismo social, OT representa su musculatura. El riesgo hoy ya no está solo en el "dominio de la información" sino que está en el "dominio cibernético", es decir, entra en ese espacio donde el pensamiento se transforma en acción.

Entonces, ¿tenemos que preocuparnos? La respuesta es un simple "no". La informática es una herramienta formidable que ha multiplicado la capacidad del hombre para actuar en el mundo en el que vive. Pero es una herramienta y, como tal, tiene ventajas y peligros. En los últimos años hemos explotado algunos de se beneficia de este progreso al enfrentar solo marginalmente sus riesgos, pero la seguridad cibernética está comenzando a ser una necesidad que se siente también a nivel político nacional e internacional y, estoy seguro de que los James Bonds del siglo XXI ya están funcionando. Sin embargo, lo que sería apropiado es una mayor conciencia por parte de todos. De hecho, nadie se "preocupa" cuando sale de la casa a caminar porque cada uno es patrimonio de diligencia en la gestión de los peligros del dominio físico. Todos aprendimos a cruzar la calle desde una edad temprana sin subestimar sus riesgos. Incluso aquellos que nacieron en la época en que los autos eran una rareza, tuvieron que aprender a vivir con ellos, explotando su potencial pero manteniendo los ojos abiertos. Lo mismo deberíamos enseñarles a nuestros hijos que, voluntaria o involuntariamente, serán adultos que vivirán en el dominio cibernético.

Retrocedamos un poco y volvamos a la recopilación de información, la fase prodrómica de cada operación exitosa, tanto ofensiva como defensiva. Con Shodan, los administradores de red con una simple solicitud (por ejemplo, agregando la etiqueta: "pirateado por") pueden obtener información sobre el estado de una innumerable cantidad de servidores cuya violación ha sido firmada. En este punto, las grandes organizaciones a las que se refieren podrán identificar fácilmente las fallas en el sistema y establecer las contramedidas necesarias para evitar la repetición del evento.

Para concluir, revelaré un secreto que me dijo "mi primo que es amigo de un amigo de ese James": hay hackers que no actúan para fines nobles y, ciertamente, aquellos que pertenecen al ESPECTRO no firman ni denuncian las puertas que abre. Es tráfico sucio. Para contrarrestarlos, necesita conocimiento, prácticas complejas, recursos y mucho estudio. Sin embargo, este compromiso común no se requiere del hombre común. Es suficiente para él saber que, dado que existen varios Google Hacking y Shodan, no es apropiado dejar sus datos en la web. Es suficiente que aprenda que la privacidad y el CV de John no estaban protegidos por su anonimato. "¿Quién me está buscando?" No es una técnica de defensa.

Un poco más tiene que hacer la "Q" y la "M", es decir, gerentes y operadores del sector de TI, porque es necesario que tengan una idea clara de riesgos, su gestión y prácticas de protección. Sin embargo, incluso este último simplemente puede mantenerse al día y hacer bien su trabajo porque los agentes de doble cero y los escritores de novelas de espías están a la vanguardia del mal.

1 El hecho de que sea fácil explotar una vulnerabilidad no significa que sea legal. Robar fruta baja todavía es robar. El único acceso abusivo en un sistema informático es un delito punible según el art. 615 ter del Código Penal que establece, en ausencia de circunstancias, la prisión de hasta tres años. El activo legalmente protegido es la confidencialidad de los datos, por lo que no importa si se cometen otros delitos "en el robo". Sin embargo, una investigación simple con las herramientas descritas en este artículo es una actividad legal que no configura per se sin riesgo

Foto: Comando del Ciberespacio de las Fuerzas del Cuerpo de Marines de EE. UU.