La cosa se está poniendo interesante. El avance hacia una sociedad conectada de los últimos años, la cantidad de dispositivos IoT que se venden, y especialmente a la velocidad a la que lo hacen, están aumentando exponencialmente la superficie de ataque para los ciberdelincuentes. Y aunque pueda parecer que los objetivos principales de los malos son las empresas (que es cierto), también es cierto que las personas "normales" también somos un objetivo para ellos.
En esta charla veremos hasta dónde llega la imaginación y la pericia de los malos, veremos cómo lo han conseguido y debatiremos sobre el delicado equilibrio entre la digitalización de la vida y nuestra privacidad. Y es que el ciberespacio se parece cada vez más a Gotham, pero con el jefe Wiggum en lugar de Batman...
2. @DogDeveloper
#T3chDays5
Who’s that guy
• Security Advocate & Software Architect en @ITI_TIC
• Actualmente en proyectos de investigación de
ciberseguridad en entornos cloud y detección basada en
Machine Learning
• +10 años con proyectos comerciales
• Profesor en Máster Big Data Analytics de
Universidad Politécnica de Valencia
• Profesor en curso de especialista universitario en
Esquema Nacional de Seguridad en la Universidad
de Mondragón
• Formador y ponente
• +60 cursos y charlas
https://www.linkedin.com/in/fjbarrena
https://twitter.com/DogDeveloper
https://github.com/fjbarrena
https://www.slideshare.net/fjbarrena
9. @DogDeveloper
#T3chDays5
• La mayoría de ataques no son demasiado
sofisticados… pero es que se lo ponemos
muy fácil
• Centraros en resolver lo fácil, lo
previsible. Cuando estéis en ese punto, ya
os preocuparéis de los más inverosímil
• La ciberdefensa no es un sprint, es una
maratón. Requiere entrenamiento y
tiempo, empieza por correr en carreras
más pequeñas y ves subiendo el nivel
poco a poco
Normalmente os diría…
12. @DogDeveloper
#T3chDays5
• Por lo general, el IOT es inseguro
• No se invierte en securizar tu aplicación que gestiona las
nóminas, se va a invertir en securizar un maldito acuario…
• ¿Entonces no compro IOT y tengo que darle de comer a
los peces a mano como UN ANIMAL?
• O eso, o bien montas una WIFI alternativa, que no tenga
acceso a elementos sensibles de tu empresa como la base
de datos de tus clientes HULIO
• No se trata de evitar usar tecnología, se trata de planificar
cómo usarla sin aumentar tus riesgos de seguridad
The rise of the iot
13. @DogDeveloper
#T3chDays5
•Compra IOTs con buenas prácticas de seguridad
• Que tengan contraseña estaría bien…
• Que mandaran la información cifrada estaría mejor…
• Que pudieran actualizar su firmware / SO estaría aún mejor…
• Que la WIFI de los IOTs esté aislada del resto de redes de tu
infraestructura
• Así evitamos que si nos comprometen el IOT nos puedan entrar
en la base de datos de clientes…
• Si no puedes, al menos segmenta tu red y coloca firewalls en la
entrada de cada subred para cortar tráfico extraño
• Monitoriza, monitoriza y monitoriza
The rise of the iot
14. @DogDeveloper
#T3chDays5
medidas
Victim Organizations
Figure 59: Median Loss Based on Presence of Anti-Fraud Controls
Control Percent
of Cases
Control in
Place
Control Not
in Place
Percent
Reduction
Proactive Data Monitoring/Analysis 36.7% $92,000 $200,000 54.0%
Management Review 64.7% $100,000 $200,000 50.0%
Hotline 60.1% $100,000 $200,000 50.0%
Management Certification of Financial Statements 71.9% $104,000 $205,000 49.3%
Surprise Audits 37.8% $100,000 $195,000 48.7%
Dedicated Fraud Department, Function, or Team 41.2% $100,000 $192,000 47.9%
Job Rotation/Mandatory Vacation 19.4% $89,000 $170,000 47.6%
External Audit of Internal Controls over Financial Reporting 67.6% $105,000 $200,000 47.5%
Fraud Training for Managers/Executives 51.3% $100,000 $190,000 47.4%
Fraud Training for Employees 51.6% $100,000 $188,000 46.8%
Formal Fraud Risk Assessments 39.3% $100,000 $187,000 46.5%
Employee Support Programs 56.1% $100,000 $183,000 45.4%
Anti-Fraud Policy 49.6% $100,000 $175,000 42.9%
Internal Audit Department 73.7% $123,000 $215,000 42.8%
Code of Conduct 81.1% $120,000 $200,000 40.0%
Rewards for Whistleblowers 12.1% $100,000 $163,000 38.7%
Independent Audit Committee 62.5% $114,000 $180,000 36.7%
External Audit of Financial Statements 81.7% $150,000 $175,000 14.3%
Figure 60: Median Duration of Fraud Based on Presence of Anti-Fraud Controls
La medida más efectiva
para reducir los fraudes,
pero de las menos
usadas.
La medida más
extendida, pero
la menos
efectiva
16. @DogDeveloper
#T3chDays5
The rise of the iot
•¿De verdad estás en un
restaurante
encendiendo el horno
por bluetooth?
•Deshabilita las opciones
que no utilices
•No compres features
que no necesitas…
20. @DogDeveloper
#T3chDays5
•El cibercrimen es muy lucrativo
• Algunos dicen que mueve más dinero que el narcotráfico
•La escalada armamentística en el lado de los malos
está siendo muy significativa
• Se contratan ingenieros para desarrollar herramientas
que serán utilizadas para estafas y engaños
• Uno de los primeros ataques que hacen uso de IA es el
vishing (voice phishing)
• Utilizando Machine Learning y con un conjunto de datos
públicos, son capaces de generar un DEEPFAKE para
engañar a través de una llamada telefónica
vishing
21. @DogDeveloper
#T3chDays5
• Este caso (2019):
• Sucursal de UK de una multinacional alemana
• El CEO alemán tiene muchos videos y charlas en Internet
• Los malos cogieron esos videos y entrenaron un modelo
de Machine Learning que imitaba su voz
• Escriben el texto que quieren que diga
• Y el software lo habla con las peculiaridades de la víctima
• Llamaron al CEO de la sucursal de UK y, usando la voz del
CEO alemán, ordenaron un pago de más de 250.000€ a
un supuesto proveedor húngaro
• Como tuvieron éxito, lo repitieron, con una cifra mucho
más astronómica, que levantó sospechas
• En cualquier caso, nunca recuperaron los 250.000€
vishing
22. @DogDeveloper
#T3chDays5
•Técnicamente es bastante difícil parar estos ataques
•El éxito de estos ataques evidencian una carencia en
los procesos en una empresa, y de eso se
aprovechan los malos
• Por muy CEO que seas, ni siquiera tú deberías estar por
encima de los procesos
• La mejor defensa en estos casos es tener varios filtros y
realizar comprobaciones antes de transferir un pastizal a
una cuenta húngara…
• Implanta un proceso en tu empresa, añade
comprobaciones rigurosas y no permitas que nadie se la
salte, ni siquiera tú
vishing
24. @DogDeveloper
#T3chDays5
• Muchas infraestructuras críticas, como los hospitales, no mantienen
una buena higiene de ciberseguridad
• Tampoco los ayuntamientos por ejemplo, aunque no se si tildarlo de
infraestructura crítica ;)
• Son por tanto objetivos plausibles para ciberdelincuentes sin
demasiados escrúpulos…
• Juegan no solo con el volúmen y la sensibilidad de los datos
• Si no también con la urgencia de reponerse al ciberataque
• Ya que estos ataques pueden llegar a paralizar operaciones y ser un riesgo
para la salud de los pacientes
•Esto es más habitual de lo que nos pensamos
infraestructuras críticas
29. @DogDeveloper
#T3chDays5
• Ni siquiera la protección de infraestructuras críticas parece ser
robusta
•Y es que la ciberseguridad es difícil
• Y no me refiero a que ”escaseen perfiles cualificados”
• HAY perfiles cualificaos
• Lo que NO ABUNDA son perfiles cualificados a precio de CRIMPACABLES
• Me refiero a que la seguridad de una infraestructura o un sistema es un
CONTINUO
• No se invierte una vez al año para pasar la certificación…
• Es un trabajo continuo, constante y minucioso que requiere que DIRECCIÓN
lo VALORE ADECUADAMENTE y deje de considerarlo como un GASTO
infraestructuras críticas
30. @DogDeveloper
#T3chDays5
• No hay balas de plata
• Mantén tu infraestructura actualizada
• Reduce la superficie de ataque
• Sigue el principio del mínimo privilegio
• Evita tener software del año de la POLKA
• Añade elementos de protección, “cuantos más mejor”
(seguridad por capas)
• MONITORIZA, MONITORIZA, MONITORIZA
• Y que alguien esté pendiente de lo que monitorizas
claro…
• Las certificaciones, los sellos y las MAMANDURRIAS
están muy bien, pero CÉNTRATE EN TRABAJAR
infraestructuras críticas
33. @DogDeveloper
#T3chDays5
• El propio desarrollo de software, y las fases por las que éste pasa, se
considera un objetivo
• Pensadlo, ¿qué hay en vuestro Git y en vuestro pipeline de CI/CD?
• Primero, código. El código hace cosas. Literalmente, puede hacer cualquier
cosa que programes en él…
• Y ese código tiene dependencias… que también es código, y que también pueden hacer cualquier
cosa…
• Segundo, histórico. No solo está el código actual, también está cualquier
commit que se hizo en cualquier momento de la historia de ese proyecto
• Si subiste una contraseña por error, está en el histórico
• Tercero, contraseñas, API Keys... Si, y subidas a propósito… Y de muchas
clases: base de datos, servicios en la nube, entornos de develop, testing,
staging y producción…
• A veces, incluso hay volcados de bases de datos de producción, con sus
usuarios y sus contraseñas…
• ¿Cómo no va a ser un objetivo?
Developers, developers, developers, developers
34. @DogDeveloper
#T3chDays5
• Por otra parte, los desarrolladores no siempre somos diligentes en
temas de seguridad…
• Tenemos muchas features que liberar y poco tiempo para hacerlo
• No solemos tener herramientas de análisis de seguridad en nuestros
pipelines
• A duras penas tenemos de test…
• No solemos gestionar las vulnerabilidades de las dependencias de nuestros
proyectos software
• Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil
• No solemos tener herramientas que evalúen la seguridad de nuestro código
• No solemos prestar atención a la seguridad cuando construimos imágenes
Docker, etc.
Developers, developers, developers, developers
36. @DogDeveloper
#T3chDays5
• Por otra parte, los desarrolladores no siempre somos diligentes en
temas de seguridad…
• Tenemos muchas features que liberar y poco tiempo para hacerlo
• No solemos tener herramientas de análisis de seguridad en nuestros
pipelines
• A duras penas tenemos de test…
• No solemos gestionar las vulnerabilidades de las dependencias de nuestros
proyectos software
• Y nos encanta tener dependencias absurdas que nos hagan la vida más fácil
• No solemos tener herramientas que evalúen la seguridad de nuestro código
• No solemos prestar atención a la seguridad cuando construimos imágenes
Docker, etc.
Developers, developers, developers, developers
39. @DogDeveloper
#T3chDays5
• Os recomiendo empezar por:
• SonarQube para análisis de vulnerabilidades en vuestro código
• OWASP Dependency Track para la gestión de vulnerabilidades en las
dependencias
• Puedes integrarlo en tu pipeline de CI/CD con la ALUCINANTE UTILIDAD…
Developers, developers, developers, developers
https://www.npmjs.com/package/@fjbarrena/dtrack-cli
47. @DogDeveloper
#T3chDays5
• Cómo continuar:
• Configura los equipos de los developers con algún hook de git para evitar el
pusheo de credenciales
• Monitoriza tu base de código en búsqueda de leaks de datos, contraseñas,
etc.
• Siempre hay algún listillo que se desinstala el hook
• Si lo encuentras, golpe de remo
• Activa 2FA en general (Git, NPM…)
• ¿Y si firmas los commits a Git?
• Lo sé, es un coñazo…
• Plantéate usar alguna tecnología como Vault para gestionar las credenciales
y secrets de tus proyectos
• Es muuuuy interesante
• Añade a tus arquitecturas elementos específicos de seguridad como un
WAF, RASP o WAAP
• Que son como que lo mismo pero con nombres marketinianos diferentes
Developers, developers, developers, developers
https://www.vaultproject.io/