Se filtraron armas cibernéticas de EE. UU. Y ahora se están utilizando contra PanaTimes


La reportera del New York Times Nicole Perlroth dice que Estados Unidos pasó de tener el arsenal cibernético más fuerte del mundo a convertirse en el más susceptible a los ataques. Su libro es Así es como me dicen que termina el mundo.

En diciembre de 2020, una empresa de ciberseguridad de EE. UU. Anunció que recientemente había descubierto una violación cibernética masiva. El ataque se remonta a marzo de 2020, y posiblemente incluso antes, cuando un adversario, que se cree que es Rusia, se infiltró en las redes informáticas de agencias gubernamentales y empresas privadas de EE. UU. A través de SolarWinds, un software de seguridad utilizado por miles de organizaciones en EE. UU. Y alrededor del mundo.

La reportera de seguridad cibernética del New York Times, Nicole Perlroth, llama al hack de SolarWinds “uno de los mayores fallos de inteligencia de nuestro tiempo”.

“Realmente no sabemos su alcance”, dice Perlroth. “Lo que sabemos es que esto ha afectado al Departamento de Seguridad Nacional, la misma agencia encargada de mantenernos a salvo, el Tesoro, el Departamento de Estado, el Departamento de Justicia, el Departamento de Energía, algunos de los laboratorios nucleares, los Centros para Control de Enfermedades.”

Perlroth dice que el hecho de que la infracción no haya sido detectada durante tanto tiempo significa que los piratas informáticos probablemente colocaron un código de “puerta trasera”, que les permitiría volver a ingresar a los sistemas en una fecha posterior.

“Todavía estamos tratando de averiguar dónde están esas puertas traseras”, dice Perlroth. “Y eso podría llevar meses, si no años, para llegar al fondo”.

En su nuevo libro, Así es como me dicen que termina el mundo, Perlroth escribe sobre la carrera mundial de armas cibernéticas y cómo Estados Unidos pasó de tener el arsenal cibernético más fuerte del mundo a volverse tan vulnerable a los ataques.

“Somos una de las superpotencias cibernéticas más avanzadas, si no la más avanzada, del mundo, pero también somos los más atacados y vulnerables”, dice.

Parte del problema, dice Perlroth, es que Estados Unidos ha gastado más energía en piratear a otros países que en defenderse.

“Realmente necesitamos tomar una decisión como sociedad y dentro del gobierno para dejar de dejarnos vulnerables”, dice. “Tenemos que tomarnos en serio nuestra propia seguridad. También tenemos que dejar de dejar grandes agujeros en el software que los adversarios podrían utilizar para llevar a cabo algunos de estos ataques”.

Puntos destacados de la entrevista

En SolarWinds, la empresa de ciberseguridad a través de la cual entraron los piratas informáticos, que utilizó la contraseña “solarwinds123”

Su seguridad simplemente no estaba a la altura. Aprendimos que tenían contraseñas realmente básicas. Nos enteramos de que se les advirtió desde dos años antes de que comenzara este ataque que si no se tomaban su seguridad más en serio, podría ser catastrófico.

Cuando comencé a llamar a algunas de las víctimas de este ataque, muchas de ellas ni siquiera sabían que usaban el software SolarWinds hasta que se supo que la compañía había sido violada. … Entonces, lo que estábamos viendo realmente era una empresa que no tenía muy buena seguridad, pero que estaba tocando algunos de los sistemas más sensibles que tenemos. Esto se usó dentro del Pentágono. La NSA usó eso. Sabemos que Hacienda lo utilizó y todas las demás víctimas que están saliendo, incluidas nuestras empresas de servicios públicos.

Sobre cómo los piratas informáticos de SolarWinds pueden haber accedido a Black Start, el nombre de EE. UU. Planea restaurar la energía en caso de un apagón catastrófico

Originalmente, cuando se descubrió este truco, uno de los aspectos positivos fue que creían que los piratas no se habían abierto camino en los sistemas clasificados. Pero lo que seguí escuchando de los investigadores de seguridad y de las personas que trabajaban en estas agencias era cuántos datos vulnerables había fuera de estos sistemas clasificados. Y una de esas cosas fue Black Start.

Black Start es solo un documento muy técnico. Y es esencialmente una lista de tareas pendientes. Si pudiéramos tener una falla de energía importante, dice, ya sabes, vamos a encender la energía aquí primero, luego vamos a movernos aquí y hacer esto. Y con ese documento en la mano, eso podría ser muy valioso para un adversario porque esencialmente le daría la lista de resultados perfecta para asegurarse de que no haya electricidad.

En un ataque cibernético reciente al suministro de agua en Oldsmar, Florida, en el que los piratas informáticos intentaron aumentar la cantidad de lejía en el agua potable

Creo que es solo una llamada de atención en general que muchas de estas instalaciones permiten que los contratistas e ingenieros ingresen, obtengan acceso remoto desde millas de distancia o en todo el país. Y creo que debemos empezar a repensar ese acceso. ¿Realmente queremos que extraños puedan acceder a estos sistemas desde lejos? Y creo que ahora mismo sería un buen momento para preguntarnos. Y creo que la respuesta probablemente sea no.

Esto es realmente peligroso. Sabes, aumentaron la cantidad de lejía en el agua de 100 partes por millón a 11.000 partes por millón. Dio la casualidad de que había un ingeniero de software sentado frente a su computadora observando cómo el cursor se movía en su pantalla y luego vio a alguien entrar en estas funciones y aumentar la cantidad de químico. Si eso no hubiera sucedido, entonces habríamos estado viendo un ataque que habría enfermado gravemente a mucha gente.

En lo que es un “día cero”

Un día cero es solo un agujero en el software que aún no se ha descubierto. Y, ya sabes, una vez que se descubren estos días cero, se parchean y se implementa un parche a través de las actualizaciones de software. Pero si un gobierno descubre este agujero primero, entonces puede usarse para espionaje, puede usarse para armas cibernéticas.

Y así, durante mucho tiempo, hemos reconocido el tipo de espionaje y potencial de campo de batalla de un día cero. Y a partir de la década de 1990, aprendí a través del proceso de informar este libro, que el gobierno de EE. UU. Estaba pagando activamente a los piratas informáticos y a los contratistas de defensa para encontrar estos días cero para escribirlos en exploits confiables que podrían usar para espiar a nuestros adversarios. O, esencialmente, dejar caer un arma cibernética en sus sistemas si es necesario algún día.

En el mercado clandestino para la compra y venta de vulnerabilidades cibernéticas

Los piratas informáticos pueden encontrar un día cero en un sistema crítico como Microsoft o tal vez el software de su iPhone de Apple, y tienen una decisión: pueden darle esa vulnerabilidad a Microsoft o Apple, que en estos días les pagará pequeñas recompensas por cambiar eso, o ellos puede obtener tasas mucho más altas dando ese día cero a un corredor de armas digitales esencialmente, o vendiéndolo directamente a un gobierno.

Debido a que los gobiernos reconocen que estos días cero tienen un tremendo potencial de espionaje, están dispuestos a pagar entre 2 y 3 millones de dólares en estos días por un día cero importante en el software de su teléfono iPhone o Android. Y no es solo Estados Unidos, aunque Estados Unidos fue el primer gobierno que esencialmente comenzó a pagar a los piratas informáticos para que entregaran estos días cero y luego se mantuvieran muy callados al obligarlos a firmar acuerdos de no divulgación. Y luego, muchos de estos programas fueron clasificados.

Pero durante los últimos 10 años, este ya no es solo un mercado del gobierno de EE. UU. … Es un corredor de los Emiratos Árabes Unidos y Arabia Saudita que paga mucho dinero por una forma de acceder a su iPhone. Así que este mercado está realmente fuera del control de Estados Unidos o incluso, ya sabes, del control de nuestros aliados occidentales.

Sobre la renuencia de Estados Unidos a firmar un tratado que prohíba la piratería

Estados Unidos se ha mostrado muy reacio a firmar cualquier tratado cibernético o incluso cualquier norma que impida que Estados Unidos piratee la infraestructura en otros países. Y parte de esto es solo que Estados Unidos ha sido durante mucho tiempo el jugador más avanzado en el espacio.

Entonces, al firmar cualquier tipo de acuerdo para no piratear la infraestructura de los demás, creo que la teoría era que nos estaríamos esposando. Pero en este momento, el problema ha empeorado tanto … que creo que puede haber una oportunidad aquí para proponer nuevas reglas del juego, para decir tal vez, está bien, no aceptaremos piratear la infraestructura crítica de los demás, pero no puedes atacar los hospitales.

No se puede atacar los controles de nuestras centrales nucleares sin algún tipo de repercusión aquí o algún tipo de repercusión internacional. Entonces ese podría ser un buen lugar para comenzar.

Pero me sorprendería mucho que se nos ocurriera algún tipo de tratado que nos detuviera o que lo accediéramos. Y una de las cosas que dirán los funcionarios estadounidenses es, claro, que podríamos acordar un tratado. Pero el hecho es que aquí, cuando hacemos nuestros propios ataques, se realizan dentro del Cyber ​​Command, en el Pentágono.

En China, Rusia e Irán, subcontratan ese trabajo a contratistas, a ciberdelincuentes. Y así, incluso si esos países acordaron no realizar un ataque a la red, por ejemplo, no hay mucho que impida que este tipo de contratistas de nivel inferior y ciberdelincuentes hagan el trabajo sucio del gobierno por ellos.

Sobre por qué prefiere vivir “fuera de la red” en una cabaña

Aquí no hay neveras inteligentes. No hay Alexa. Nuestro sistema inalámbrico es realmente deficiente y aquí tampoco hay monitores para bebés. Y ese no es el caso en mi casa en el Área de la Bahía. Así que terminé escribiendo mucho del libro aquí solo porque era un lugar tranquilo para alejarme de mi hijo de dos años. Pero también, cuando comencé a mirar a mi alrededor, me sentí mucho más seguro aquí, ya que estaba sumergiéndome en las vulnerabilidades de nuestro software cotidiano en el que confiamos.

Cuando comencé a cubrir este ritmo, todos me advirtieron que me preocupara por las cámaras web y me preocupara por esto. Y sí, tengo un trozo de cinta sobre mi cámara web. Pero lo que lamentablemente sucedió en los últimos 10 años es que cubrí un ataque que ha afectado a cada una de estas cosas. …

Estos ya no son escenarios hipotéticos. No eres una persona con sombrero de papel de aluminio para sospechar de algunos de estos dispositivos. Se han utilizado y se seguirán utilizando para el espionaje y la vigilancia. Y debido a que cubro estas cosas todo el tiempo, me siento mucho más seguro en mi cabaña en el bosque.

.



Source link