Entrevista a los investigadores de ciberseguridad Thijs Alkemade y Daan Keuper

Entrevista a los investigadores de ciberseguridad Thijs Alkemade y Daan Keuper

7 May 2022 Sin categoría 0

Hoy les traígo una interesantísima entrevista a dos investigadores internacionales de de ciberseguridad.Thijs Alkemade y Daan Keuper son dos investigadores de seguridad informática que en el campeonato Pwn2Own, en el que se han proclamado ganadores, han sido capaces de penetrar en sistemas como los que controlan las infraestructuras críticas de todo el mundo.

1) Enhorabuena por ganar el reciente campeonato Pwn2Own tras ejecutar software contra redes eléctricas, gasoductos y otras infraestructuras críticas del mundo. ¿Cómo se sienten ustedes tras lograr este premio?

Español:

¡Gracias! Ha sido genial ganar esta competencia. Teníamos algunos errores interesantes, pero como no conocíamos lo qué podrían tener otros equipos, solo sabíamos que teníamos posibilidades de ganar una vez que llegáramos a Miami. Esta vez fue una competición bastante reñida, con múltiples equipos con algunos errores muy interesantes. ¡También pasamos un buen rato con los otros equipos y Zero Day Initiative (ZDI) en Miami!

Inglés:

Thank you! It was great to win this competition. We knew we had some interesting bugs, but as we did not know what other teams might have, we only knew that we’d a chance at winning once we arrived in Miami. It was a pretty close race this time, with multiple teams with some very interesting bugs. We also had a good time hanging out with the other teams and ZDI in Miami!

2) ¿Los sistemas que han atacado son los mismos que podemos encontrar en el mundo real?

Español:

El organizador de la competición, ZDI, se asegura de seleccionar objetivos que son importantes en la seguridad del mundo real de las redes ICS. También consultan con expertos de la industria para asegurarse de que se utilicen objetivos representativos y escenarios de ataque. Por supuesto, existen algunos límites prácticos sobre qué tipo de objetivos se pueden usar. Atacar los dispositivos de hardware que se utilizan en estos entornos es bastante difícil incluso en una configuración de prueba, ya que estos dispositivos son caros y difíciles de obtener. Lamentablemente, atacar una PCL está descartado.

Inglés:

The organizer of the competition, ZDI, makes sure that they select targets that are important in the real world security of ICS networks. They also consult with industry experts to make sure representative targets and attack scenarios are used. Of course, there are some practical limits to what kind of targets can be used. Attacking hardware devices that are used in these environments is quite difficult even in a test setup, as these devices are expensive and hard to obtain. Sadly, attacking a PCL is out.

3) Por sus experiencias, ¿las infraestructuras críticas del mundo están en peligro? ¿Qué es lo peor que podría pasar?

Español:

En la mayoría de los casos, una sola vulnerabilidad no es suficiente para interrumpir este tipo de sistemas. A menudo, existen múltiples capas de seguridad entre la Internet pública y los sistemas críticos, y se implementa un monitoreo para garantizar que cualquier operación anormal se detecte rápidamente. Sin embargo, estas vulnerabilidades podrían formar un paso importante en un ataque que cause una interrupción o daño.

Inglés:

In most cases, a single vulnerability is not enough to disrupt these types of systems. There are often multiple security layers in between the public internet and critical systems, and monitoring is in place to make sure that any abnormal operation is detected quickly. However, these vulnerabilities could form an important step in an attack that causes a disruption or damage.

4) ¿Qué grado de dificultad les ha supuesto operar en este entorno?¿Es difícil o sencillo operar en este entorno?

Español:

Para buscar vulnerabilidades, necesitábamos cierta comprensión de las aplicaciones y los protocolos en uso. Estas son aplicaciones muy complejas y grandes y los manuales no están dirigidos a piratas informáticos con poco o ningún conocimiento de ICS. Ponerse al día en este entorno fue definitivamente todo un desafío. Sin embargo, una vez que tuvimos esa comprensión, estos errores fueron bastante fáciles de detectar.

Inglés:

In order to look for vulnerabilities, we needed some understanding of the applications and protocols in use. These are very complex and large applications and the manuals aren’t aimed at hackers with little to none ICS knowledge. Getting up to speed in this environment was definitely quite a challenge. However, once we had that understanding, these bugs were quite easy to spot.

5) ¿Cuánto tiempo les ha llevado atacar infraestructuras críticas? ¿En el mundo real sería el mismo tiempo?

Español:

Comenzamos nuestra investigación alrededor del momento del anuncio de los objetivos, en octubre del año pasado. Sin embargo, este fue un proyecto paralelo para nosotros, por lo que en total solo dedicamos un par de semanas. En un ataque del mundo real, la mayoría de los atacantes probablemente usarían otras técnicas además de abusar de nuevas vulnerabilidades. Por ejemplo, un ataque de phishing contra un empleado o fuerza bruta de una contraseña, en lugar de encontrar un nuevo Zero Day. Los atacantes del mundo real también deben invertir tiempo en el reconocimiento de las redes de destino y deben tomar medidas para garantizar que sus ataques sean lo más silenciosos posible, por lo que es difícil comparar los dos.

Inglés:

We started our research at around the time of the announcement of the targets, October last year. However, this was a side-project for us, so in total we only spent a couple of weeks on it. In a real world attack, most attackers would probably use other techniques than abusing new vulnerabilities. For example, a phishing attack against an employee or by brute-forcing a password, instead of finding a new 0day. Real world attackers also need to invest time in reconnaissance of the target networks and need to take measures to ensuring that their attacks are as quiet as possible, so it is hard to compare the two.

6) ¿Qué técnicas han utilizado para llevar a cabo este tipo de ataque?

Español:

Hemos utilizado diferentes tipos de vulnerabilidades. Como los proveedores aún deben corregir los errores, aún no podemos entrar en detalles, pero en la mayoría de los casos se trataba de errores lógicos. Estos tipos de vulnerabilidades a menudo son fáciles de explotar una vez que se encuentra la vulnerabilidad.

Inglés:

We have used a number of different types of vulnerabilities. As the bugs still need to be fixed by the vendors, we can not yet go into detail, but in most cases these were logic bugs. These types of vulnerabilities are often easy to exploit once the vulnerability is found.

7) ¿Cualquiera podría atacar una infraestructura crítica? ¿Existe el cybercrime as a service?

Español:

La suposición debe ser que cualquier sistema que esté conectado a Internet puede ser atacado por cualquier persona. Por supuesto, dedicar suficiente tiempo y recursos para preparar un ataque de este tipo requiere una gran inversión, que es poco probable que la mayoría de los grupos de ciberdelincuencia hagan. Atacar una red de TI más habitual probablemente generaría un mejor retorno de la inversión cuando el objetivo es un ataque de ransomware.

Inglés:

The assumption should be that any system that is connected to the internet can potentially be attacked by anyone. Of course, devoting enough time and resources to prepare such an attack takes a large investment, which is unlikely to be done by most cybercrime groups. Attacking a more usual IT network would probably yield a better return on the investment when the goal is a ransomware attack.

8) ¿El ‘gran apagón’ es imposible, improbable? ¿O no?

Español:

En teoría, podría ser posible atacar la red de energía para provocar un gran apagón, pero en la práctica tal ataque requeriría una enorme inversión de tiempo y esfuerzo. Sería necesario atacar varios sitios diferentes al mismo tiempo, todos los cuales tendrán una arquitectura de red única y diferentes tipos de sistemas. El atacante necesitaría explorar y comprometer cada una de esas redes por separado y permanecer bajo el radar el tiempo suficiente para atacarlas todas a la vez. Si se detectan en un lugar, es probable que los demás sepan qué buscar y también los echen.

Inglés:

Attacking the energy grid to cause a large blackout might theoretically be possible, but in practice such an attack would take an enormous investment of time and effort. Multiple different sites would need to be attacked at the same time, which will all have a unique network architecture and different types of systems. The attacker would need to explore and compromise each of those networks separately and needs remain under the radar long enough to attack all of them at once. If they are detected at one location, it is likely that the others will know what to look for and kick them out too.

9) ¿Consideran que la seguridad es una tarea pendiente en este entorno?

Español:

La seguridad definitivamente recibe atención en estos entornos, pero la disponibilidad de estos sistemas es crítica. Esto significa que cualquier cambio debe ocurrir con cuidado y lentamente. La instalación de una sola actualización de seguridad puede ser un proyecto de varios años. Algunas aplicaciones o sistemas son inseguros por diseño, lo que significa que la seguridad depende de que los atacantes no puedan llegar a ellos en absoluto. Por ejemplo, mediante la creación de una red de espacios de aire. Incluso cuando se implementa correctamente ahora, esto aún puede ser un gran riesgo, ya que los cambios en la red podrían exponer accidentalmente estos sistemas.

Inglés:

Security definitely receives attention in these environments, but the availability of these systems is critical. This means that any changes need to happen carefully and slowly. Installing a single security update might be a multi-year project. Some applications or systems are insecure by design, which means the security hinges on attackers being unable to reach them at all. For example, by creating an air-gapped network. Even when properly implemented now, this can still be a big risk, as changes to the network could accidentally expose these systems.

10) ¿Qué medidas habría que adoptar para reducir la amenaza contra las infraestructuras críticas? ¿Deberían ser con carácter urgente?

Español:

Este es un problema complejo, que no se puede resolver con unos pocos pasos sencillos. Una cosa que pensamos es que tratar la seguridad de TI y OT por separado, con equipos separados, no es útil. Ambos necesitan proteger las redes de la empresa de los atacantes. Tener un plan completamente separado para OT que no se alinee con el plan para TI no conduce a una red bien protegida. Al final, todas estas son solo máquinas conectadas a una red.

Inglés:

This is a complex problem, which can not be solved with just a few easy steps. One thing we think is that treating IT and OT security separately, with separate teams, is unhelpful. Both need to protect the company’s networks from attackers. Having a completely separate plan for OT that does not line up with the plan for IT does not lead to a well protected network. In the end, these are all just machines connected to a network.

11) CISA, FBI, NSA y socios internacionales han emitido un aviso sobre amenazas y capacidad demostradas de ciberdelincuentes rusos contra infraestructuras críticas. ¿Cómo valoran este aviso?

Español:

Es genial que se publique tanta información sobre estos grupos criminales. Muestra la diversidad de objetivos y métodos que deben tener en cuenta todos los que defienden una red. Como consejo de seguridad, las recomendaciones son bastante básicas, casi un cliché, pero eso demuestra que los atacantes a menudo no necesitan vulnerabilidades avanzadas de día cero para sus ataques.

Inglés:

Its great that so much information about these criminal groups is published publicly. It shows the diversity in targets and methods that has to be kept in mind by everyone defending a network. As security advice the recommendations are quite basic, almost cliché, but that does show that attackers often don’t need advanced 0day vulnerabilities for their attacks.

12) Los grupos más peligrosos hoy en día. ¿Quiénes son? ¿Cómo están compuestos?

Español:

Hay dos categorías principales de atacantes de los sistemas ICS: atacantes de estados-nación y grupos de ciberdelincuencia. Los ataques a estados-nación, como Stuxnet, son en promedio más sofisticados e invierten mucho esfuerzo en permanecer ocultos el mayor tiempo posible. Estos ataques a veces pueden ser solo para espionaje, en lugar de intentar causar una interrupción.

Los atacantes del cibercrimen a menudo no están interesados ​​en las redes ICS en sí, pero a veces pueden interrumpir una accidentalmente. Por ejemplo, el ataque de ransomware Colonial Pipeline no apuntó a las redes de ICS, sino solo a la red administrativa, lo que les impidió facturar a sus clientes. Sin embargo, esto los llevó a cerrar el oleoducto.

Si bien los atacantes de los estados-nación suelen tener cuidado con sus ataques, los ataques de los grupos de ciberdelincuencia pueden tener grandes consecuencias no deseadas, por lo que pueden ser más peligrosos en algunos casos.

Inglés:

There are two main categories of attackers for ICS systems: nation-state attackers and cybercrime groups. Nation-state attacks, like Stuxnet, are on average more sophisticated and invest a lot of effort in remaining hidden as long as possible. These attacks can sometimes be for just espionage, instead of intent on causing any disruption.

Cybercrime attackers are often not interested in the ICS networks itself, but they may sometimes accidentally disrupt one. For example, the Colonial Pipeline ransomware attack did not target the ICS networks, but only the administrative network, which prevented them from billing their customers. Nevertheless, this did lead to them shutting down the pipeline.

While nation-state attackers are usually careful with their attacks, such attacks by cybercrime groups can have large unintended consequences, so can be more dangerous in some cases.

13) ¿De que forma, si la hay, podemos perseguir a los ciberdelincuentes ante un ataque a infraestructuras críticas?

Español:

Es poco probable que se procese con éxito a los atacantes de Rusia o China, ya que no hay tratados de extradición con estos países. Con la situación política actual, es poco probable que eso cambie pronto.

Inglés:

Successfully prosecuting attackers from Russia or China is unlikely, as there are no extradition treaties with these countries. With the current political situation, that is unlikely to change anytime soon.

14) ¿Qué esperan de 2022 en cuanto a estos peligros contra infraestructuras críticas?

Español:

No podemos mirar hacia el futuro, pero está bastante claro que Rusia ha intentado atacar la red de energía de Ucrania y esperamos ataques similares en el futuro, no solo de Rusia sino también de otros países. Cada vez más países querrán tener las herramientas y el acceso listos para realizar un ataque como ese.

Inglés:

We can not look into the future, but it is pretty clear that Russia has attempted to attack the energy grid of Ukraine and we expect similar attacks in the future, not just from Russia but potentially other countries as well. More and more countries will want to have the tools and access ready to perform an attack like that.

 

Deja un comentario