De com obrir un carret amb un MP3

Compartir

SeguretatImagineu-vos un carret de supermercat que es bloqueja i desbloqueja mitjançant una senzilla clau que viatja per radiofreqüència. Aquesta freqüència és "oïble" per les targes de so dels ordinadors, que poden gravar-la, convertir-la en un to per a mòbils en MP3 i posar-la a disposició de tot el món per Internet. Aquest fou un dels inquietants experiments que es van veure a la conferència SOURCE, celebrada recentment a Barcelona.

Mercè Molist – Philippe Langlois, fundador del primer ISP de França i vell expert en seguretat, va explicar que aquesta prova, realitzada amb els carrets d’un supermercat francès, pot extrapolar-se a qualsevol sistema de seguretat amb radiofreqüència, sempre que aquesta pugui ser "escoltada" per la tarja d’un ordinador, inclosos els sensors ultrasònics per a obrir cotxes o garatges.

El més perillós de l’experiment no és només que es pugui trencar fàcilment la protecció, sinó que ho democratitza: amb el codi descobert, Langlois va crear dues cançons, "lock.mp3" i "unlock.mp3", per a bloquejar i desbloquejar els carrets. Aquestes cançons es van compartir per Internet com a tons per a mòbils, de manera que qualsevol podia descarregar-les, acostar el seu mòbil a l’antena del carret, fer sonar la cançó adequada i aconseguir l’acció desitjada.

També va destacar a SOURCE un altre experiment, que va presentar Brian Honan, editor europeu del butlletí "NewsBites" del SANS Institute. Honan va explicar que una periodista irlandesa el va reptar a robar la seva identitat, a partir només de les dades públiques que d’ella hi hagués a Internet. Unint els retalls d’informació que va trobar al Google, LinkedIn, Flickr, Facebook o Twitter, Honan va descobrir els noms dels seus pares, la seva data de naixement i fins i tot la seva adreça física, que figurava en la seva "Llista de Desitjos" d’Amazon.

"Amb aquestes dades, a Irlanda podria haver obert un compte bancari en nom seu, fer-me un passaport nou o un permís de conduir. Fins i tot tenia fotos de carnet, tretes de Flickr", va explicar Honan, qui va assegurar que el vell acudit que "A Internet ningú sap que ets un gos" avui és al revés: "La nostra identitat està repartida en milers de llocs que no controlem, des de les bases de dades del nostre lloc de treball fins a les escombraries".

Honan va destacar que on es donen més fugues d’informació privada és "a les xarxes socials, els robatoris de bases de dades de serveis dels quals en som clients i la informació que els nostres amics puguin donar de nosaltres a Internet". No seria la primera vegada que els criminals empren aquestes dades per a robar la identitat de persones i fer-los xantatge.

Un altre punt calent de les jornades fou la inseguretat de la banca en línia. Michael Baentsch, d’IBM, va destacar que alguns jutjats nord-americans estan considerant responsables als bancs per no fer tot el que es pugui per protegir als seus clients. Pel que fa a aquests clients, una tercera part dels seus ordinadors no estan actualitzats i els antivirus que empren detecten com a màxim el 4% dels virus.

La lliçó que han après els experts és que "per a una transacció en línia no es pot confiar en el que es veu o es tecleja a l’ordinador", va afirmar Baentsch. Així mateix, els sistemes d’autentificació doble per a realitzar operacions bancàries en línia, com les targes de coordenades o els "tokens" que donen una contrasenya diferent cada cop, "no protegeixen res".

El principal responsable d’aquesta situació és el codi maliciós, que segueix la seva imparable explosió. Segons Ero Carrera, de VirusTotal, es recullen mensualment un milió de nous virus, la majoria dirigits al robatori d’informació financera. A aquests virus s’hi afegeix l’avanç d’un altre tipus d’atac, anomenat "Amenaça avançada i persistent" (Advanced Persistent Threat, APT).

Aquest sofisticat ciberatac consisteix en robar informació de grans companyies del sector financer, industrial i de defensa, emprant el codi maliciós i la perseverança per a saltar-se les barreres informàtiques i mantenir-se el major temps possible amagat en els ordinadors. Peter Silberman, del sistema Mandiant, que recull aquests virus únics, va assegurar tenir-ne uns 300, entre ells alguns usats contra set companyies de la llista Fortune 50.

Segons Silberman, només es detecten un 31% d’aquests atacs. Són virus que obren portes del darrera permanents en determinats ordinadors de l’empresa i busquen semblar un arxiu més del sistema, per tal de no aixecar sospites. L’enviament de la informació robada es fa emprant xifrat i a través del protocol HTTP, que la majoria dels tallafocs deixen passar sense problemes, ja que es tracta de tràfic web.

La mala notícia, segons Ero Carrera, és que el codi maliciós tradicional s’està assemblant cada cop més a aquests atacs persistents, emprant canals de comunicació que no desperten sospites, transmissió xifrada de la informació robada i amb una gran preocupació per estar el major temps possible dins del sistema infectat, sense que ningú se n’adoni.

En les mateixes jornades SOURCE vam veure i escoltar a altres experts en seguretat i programadors de fama internacional, com el hacker britànic Adam Laurie, qui va demostrar com manipular de forma indetectable la foto i altres dades, inclosa la clau criptogràfica, dels passaports electrònics.

També van ser a SOURCE Fyodor Yarochkin, creador del programa XProbe, que identifica sistemes operatius remotament; Bernardo Damele A.G., desenvolupador de SQLMap, una eina d’injecció automàtica de codi en bases de dades; Fermín Serna, enginyer de seguretat de Microsoft; o el doctor Dieter Bartmann, expert en seguretat bancària.

Tot i ser només la segona edició d’aquestes jornades -la primera fou a Boston, a la primavera-, SOURCE compta ja amb molt bona reputació per la qualitat dels seus ponents, menys preocupats per dibuixar un panorama apocalíptic de la seguretat que per mostrar les fallades, cara a trobar solucions. Segons l’organitzadora de l’esdeveniment, Stacy Thayer, hi va haver 75 assistents i s’espera repetir la cita tardorenca a Barcelona l’any vinent.

SOURCE Barcelona 2009

Copyright 2009 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

YCOM
Últimes entrades de YCOM (Veure'ls tots)