RSAC 2019: Entrando en la mente de un hacker

Cuando se trata de entrar en la mente de un hacker, quién mejor para descifrar cómo piensa que un “hacker blanco” (hacker ético).

Joseph Carson ha dedicado las dos últimas décadas a aconsejar a las empresas cómo frustrar los mejores planes de atacantes utilizando la experiencia que ha acumulado como hacker y veterano examinador de pruebas de penetración (PEN tester), para encontrar vulnerabilidades u otras fallas de seguridad en sus redes.

“Soy un hacker”, dijo Carson, al presentarse al público reunido en una sala lateral donde se escuchaba el bullicio en la exhibición de seguridad RSA 2019. Hoy en día, Carson se desempeña como científico jefe de seguridad para Thycotic, una compañía de software con sede en Talinn, Estonia. (También trabajó en Symantec durante una década en una variedad de puestos de administración de productos).

Participó en la conferencia para compartir algunos de los métodos más comunes que los intrusos usan en su intento de engañar a los defensores. Carson instó a las organizaciones a no volverse complacientes con la naturaleza de la amenaza que enfrentan. Al mismo tiempo, subrayó que tienen aliados en lugares aparentemente inciertos.

“Hay una percepción errónea de que todos los hackers son malos”, dijo Carson. “Los delincuentes son los que quieren aprovecharse y robar a la gente. La mayoría de los hackers están dispuestos a ayudarte”.

Y eso es bueno porque Carson demostró lo fácil que es para un atacante decidido derribar una ciberdefensa supuestamente impenetrable

En este caso, el objetivo era una central eléctrica, una instalación que controla estrechamente el acceso a su planta física y donde se utilizan sistemas SCADA para monitorear y controlar los equipos. En otras palabras, es el tipo de lugar donde la seguridad es el trabajo número 1, número 2 y número 3.

Al menos esa es la teoría.  A Carson, quien fue contratado hace 3 años, correspondió  probar la celeridad de seguridad de la empresa. (Por motivos obvios, no reveló la identidad de la compañía involucrada en la prueba).

“Es sumamente importante saber cómo los ciberdelincuentes lo atacarán para que pueda protegerse mejor”, dijo Carlson, quien habló sobre el enfoque de prueba y error que empleó para obtener acceso interno.

“Cuando comencé mi investigación de recursos, comencé a preguntarme en qué me había metido. Las centrales eléctricas son muy diferentes. Su seguridad física es impresionante. Ni siquiera podía acercarme a las puertas. “No se podía hacer volar un dron (sobre la instalación) porque es ilegal y porque obtener acceso físico al perímetro era imposible”.

Aparte de eso, resultó muy fácil.

“Lo primero que hago siempre es el reconocimiento, hago un plan digital para entender todo lo que puedo (sobre el objetivo). Puedo ver videos sobre lo que están haciendo, revisar los currículos de las personas que contratan e intentar comprender qué tecnologías están usando”.

Sin embargo, en este caso  necesitaba perfeccionar el plan habitual.

“No puedo comprar sistemas SCADA en eBay para obtener cierta experiencia práctica. Leer toda la documentación disponible sobre los sistemas era una opción, pero esta no es de fácil acceso. Luego me concentré en cosas como «¿Quiénes son las personas más fáciles de atacar? ¿A dónde van a tomar café? ¿De qué equipos de fútbol son  aficionados ?», etc.”.

Carson estuvo tentado a iniciar una campaña de phishing que normalmente le permite poner un pie en la puerta. Recordó que a menudo envía a las víctimas correos electrónicos falsos los viernes por la tarde después de que sus oficinas cierran, en el que les notifica el exceso de velocidad en el que habían incurrido y que tenían poco tiempo para pagar la multa.

“Todos se han ido a casa y la oficina cierra a las 5. Nadie quiere violar la ley. Otra de las cosas que enfrentamos es el temor a infringir la ley por incumplir los plazos. Además, enfatizábamos que si no pagaba la multa, se triplicaría en 24 horas”.

Ya que su principal preocupación era no ser detectado, tuvo que modificar el plan de ataque.

“Hacer una campaña de phishing, habría sido alarmante y eso me causaría algunos problemas. Entonces, debí cambiar mi método de acceso y me di cuenta de que tendría que entrar físicamente a la central eléctrica”, explicó.

Carson revisó los datos de reconocimiento que había recopilado y recorrió la cadena de suministro de la planta, pensando que podría postularse para un trabajo que le permitiría ingresar a las instalaciones del sitio. “Incluso estaba dispuesto a lavar los pisos para tener acceso”, dijo Carson.

No hizo falta.

Carson descubrió que un equipo de grabación visitaría la instalación para hacer un comercial de televisión y obtuvo credenciales como fotógrafo que tomaría fotos del equipo.

Este fue un riesgo calculado dada su notoriedad dentro de la industria de la seguridad.

“Estaba despierto la noche anterior, hablando con un amigo sobre la prueba de penetración, cuando él me dijo: «Joe, ¿y si alguien te reconoce?» Cuando uno lleva mucho tiempo haciendo esto, pueden reconocerlo”.

No durmió bien esa noche.

Pero las preocupaciones de Carson eran infundadas. A pesar de lo que recordaba como una “impresionante” seguridad física, fue admitido como invitado.

Mientras cargaba su equipo fotográfico, Carson buscaba oportunidades para aprovechar lo que tenía en los bolsillos, que estaban repletos de dispositivos USB infectados.  

“Normalmente, me gustaría analizar la red. Vivimos de nuestros recursos y normalmente usamos nuestras propias soluciones para hacer el análisis. En este caso, yo no tenía acceso a la red. La estaba viendo. Estuve buscando un lugar para conectarme a la red pero nada estaba expuesto. Todos los controles y las posibles áreas de entrada estaban bajo llave o protegidas en gabinetes.

Cuando llevaron a los visitantes a la sala de máquinas, Carson todavía no había podido infectar la red y estaba casi listo para admitir que esta vez sí lo habían derrotado.

“Sentí que iba a fallar cuando en el escritorio de un ingeniero, vi una hoja de papel impreso que contenía contraseñas y credenciales predeterminadas. Esto me emocionó. Ahí estaban las llaves del reino y me permitirían hacer lo que quisiera”.

 

¿Victoria? Aún no

Pensando que les iba a hacer una presentación espectacular, Carson informó sus hallazgos sobre las fallas y los riesgos potenciales para la ciberseguridad del sitio a la junta directiva.

“No hacen verificaciones de antecedentes de los visitantes. Las contraseñas predeterminadas no se cambian, etc., presenté todas estas vulnerabilidades. Cuando la reunión de la junta terminó. Dijeron: gracias por su tiempo. El presupuesto se rechazó y puede irse a casa. Yo pensé: ¿Qué hice mal?”.

Esto fue revelador. Cuando Carson se sentó con el Director de Seguridad, se enteró de que la presentación no ayudó a resolver ninguno de los problemas comerciales de la junta directiva, por lo que su informe fue infructífero.

“Les hablé sobre la ciberseguridad y me di cuenta de que estaba hablando el idioma equivocado a la junta”, dijo.

Carson obtuvo una segunda oportunidad y regresó un par de días después para contar la misma historia, pero de una manera sin duda diferente.

“Esta vez informé sobre los riesgos, pero me centré en cosas como el costo y la eficiencia. Me referí al negocio y les hablé en sus propios términos. Y aquí es cómo la ciberseguridad puede ayudarles a alcanzar el objetivo”.

Esta vez el mensaje llegó a destino. Y también dejó a Carson con consejos para los profesionales de la ciberseguridad cuando necesitan interactuar con quienes toman las decisiones: Mantenga el mensaje simple y concéntrese en el negocio, no en la tecnología.

“Se necesita un enfoque centrado en las personas”, dijo. “No hay espacio en esta industria para la complejidad”.