Resumen Black Hat 2018: Lo que más nos sorprendió

23 de agosto 2018

Por Juan Pablo Cerón

HACKING A SISTEMAS SATELITALES (SATCOM)

En Black Hat 2014 nos tocó ver una prueba de concepto realizada por el investigador Rubén Santamarta, acerca de realización de ataques a comunicaciones satelitales. Cuatro años después regresó con nuevas noticias, en la cual presentó que los sistemas SATCOM están llenos de backdoors haciéndolo sumamente sencillo de controal de manera remota y desde Internet.

Se observó en el sistema satelital que había malware tratándose de instalar en aviones, botnets orientados a sistemas marítimos y comunicación con distintos dispositivos críticos. Pero lo más sorprendente, fue poder manipular alguna antena como arma. Esto sería a través de lanzar ondas más poderosas de las cuales está diseñado, para causar fallas en los sistemas que potencialmente podrían explotar y dañar de forma indescriptible tanto sistemas como personas.

SALTANDO SEGURIDAD POR VOZ

En algunas empresas están empezando a usar la voz de los clientes como método de autenticación, como algunos bancos, en el cual la gente dice alguna frase para tener acceso a su cuenta. El factor de la seguridad se puso a prueba a través de validar si se puede ingresar a una cuenta de banco usando una voz sintetizada en un tiempo razonable.

Ya existen algunas herramientas open-source disponibles para probar esto, pero el método consiste en un video de youtube que es capaz de crear una réplica de voz sintetizada en 24hrs. Los investigadores lograron hacerlo en 10 minutos, amplificando el rango de muestras con una técnica conocida como training transfer. Con esta muestra de voz, se logró imitar la voz de una persona y acceder a su cuenta de banco.

AIR GAP’S INSEGUROS

Normalmente algunos datos críticos se almacenan en ambientes sin internet, considerando que de esa forma estará más seguro todo, pero no es así.

Una de las investigaciones que más nos sorprendieron, fue la de Mordechai Guri, en la cual demostró cómo es posible obtener datos de estos ambientes aislados a través de speakers, ventiladores, el sonido de grabado en disco duro y campos magnéticos. En un caso, creó un software que convierte un cable de monitor en una antena FM para transmitir datos.

 

ROBANDO SECRETOS DE VPN’S CON COMPRESIÓN

Usar una VPN siempre es recomendado para navegar de forma segura, y la compresión nos ayuda a transmitir grandes datos en pequeños archivos.

Vimos este año una demostración que es posible robar datos a pesar de la seguridad que tienen, a través de extraer y remplazar pequeñas partes de código, nos permite obtener el ID de la sesión. Y con esto es posible obtener información secreta. Por el momento solo es posible realizar este ataque con protocolo HTTP únicamente.

EL RECHAZO AL DOBLE FACTOR DE AUTENTICACIÓN

Dr. Jean Camp y Sanhari Das de la Universidad de Indiana, realizaron un experimento social, el cual consistía entregarles a un grupo de personas una llave de doble autenticación para ver que hacían las personas.

En una primera prueba, muchas personas completaron el registro y usaron de manera correcta el token, a pesar de que realmente no sabían para que se usaba.

En una segunda prueba, se revisó cuántas personas usaban el token, y se descubrió que menos del 10% de personas lo usaba.

Este estudio nos permitió conocer que los usuarios no conocen los beneficios de usar el doble-factor de autenticación, y también desconocen los riesgos de no usarlo. La gente tiene una gran preocupación de perder el acceso a sus cuentas si algo sale mal, y no se preocupan por la posibilidad que alguien pueda lograr obtener acceso a la cuenta. Los investigadores sugirieron enfatizar campañas para mejorar la concientización, y en casos extremos, ¡mencionarlo en los paquetes de cigarros!

Síguienos en nuestras redes sociales