Como espias pueden abusar de sistemas de seguridad pública
Los sistemas abiertos, datos abiertos y el software de código abierto proporcionan un medio para promover una mayor transparencia, confianza pública y participación del usuario. Pero, ¿qué sucede cuando los adversarios pueden abusar de los mismos sistemas?
Después de todo, cualquier sistema que esté abierto a todos también está abierto a aquellos que deseen usarlo con fines maliciosos.
Una y otra vez, hemos visto cómo se ha abusado de los ecosistemas de código abierto como npm o GitHub para propagar malware. También hemos visto cómo los puntos de acceso WiFi públicos pueden ser sitios tentadores para los atacantes. También conocemos informes de actores rusos que transmiten en vivo cámaras web que deberían permanecer ocultas.
Del mismo modo, los sistemas de seguridad pública diseñados para proteger y salvaguardar a los ciudadanos son mal utilizados. Muchas veces los mismos adversarios los han mal utilizado para hacer lo contrario.
Estas son ‘vulnerabilidades’ comunes en nuestros sistemas sociales explotados en menor escala.
Pero, ¿qué pasa con los casos de actores de estados nación que apuntan a los sistemas de seguridad nacional? Esto especialmente si son de código abierto; los utilizan con fines maliciosos.
“Datos abiertos” y cámaras de vigilancia
En un informe reciente, se analizó la fuga de datos del Reconocimiento automático de matrículas (Automatic Number-Plate Recognition – ANPR). La fuga se dio desde un sitio en línea que alimenta las cámaras de vigilancia IoT. Una base de datos expuesta públicamente sin contraseña causó esta violación.
En otra investigación supimos que las cámaras de tráfico del Reino Unido y algunas cámaras de seguridad pública seleccionadas son abiertamente visibles para cualquier civil. Esta disponibilidad abierta se debe principalmente a las iniciativas de datos abiertos resultantes de la legislación sobre privacidad y transparencia.
Por ejemplo, a continuación, podemos ver cámaras web de Traffic England y TflJamCams que tiene 877 cámaras en Londres.
Por lo tanto, el Reino Unido ofrece una mayor visibilidad en su red de cámaras de tráfico. Dichas cámaras están ubicadas en las principales ciudades como Londres y las carreteras nacionales.
Dependiendo del estado y la ubicación, los Estados Unidos y otros países tienen cámaras de tráfico similares. Estas difunden abiertamente transmisiones en vivo a cualquier persona a través de la web.
Por ejemplo, se puede ver una vista en vivo de la calle 42, la avenida Madison y el río Hudson de la ciudad de Nueva York. Esto a través de las transmisiones de las cámaras web Skyline. Estas imágenes siguen cambiando mientras capturan carreteras en vivo y diferentes ángulos del área.
Consecuencias
Cuando se le preguntó cuáles podrían ser algunas de las consecuencias que los actores de los estados nación podrían lograr con estos sistemas abiertos, Mark Sangster, vicepresidente y estratega de seguridad de la industria en eSentire, declaró:
“Los delincuentes o los actores patrocinados por el estado podrían usar patrones de tráfico para determinar el alto tráfico. Asimismo, los puntos de parada para garantizar que se produzca el máximo daño en un ataque. [También pueden] maximizar el impacto de un ataque disruptivo, como contra la infraestructura de gestión del tráfico “.
Por ejemplo, las cámaras publicas ubicadas alrededor de Vauxhall Cross, Londres, brindan visibilidad en vivo de las áreas que rodean el famoso edificio MI5.
Las cámaras de vigilancia también existen alrededor de hitos notables, semáforos, puentes, sitios patrimoniales y monumentos.
El ex ejecutivo de la CIA Marcus Fowler, quien actualmente es el Director de Amenaza Estratégica en la firma de seguridad de IA Darktrace, comparte ideas similares. Explica cómo se pueden explotar los sistemas de seguridad pública de código privativo.
Ataque estratégico
“Un ataque estratégico en los semáforos podría causar interrupciones en toda la ciudad. Por ejemplo, los semáforos podrían ser el objetivo el día de una elección. Esto para provocar un estancamiento y ralentizar a las personas mientras viajan a las urnas.
Un grupo de investigadores de la Universidad de Michigan pudo controlar más de 100 semáforos en la ciudad de Michigan. Lo hicieron solo con una computadora portátil y un transmisor de radio listo para usar “, según Fowler.
Con los recientes ataques cibernéticos dirigidos a la industria de la salud, Fowler expresó su preocupación. Está preocupado sobre cómo los actores maliciosos también podrían interrumpir los sistemas de respuesta de emergencia:
“Ha habido un aumento en los ataques contra la industria de la salud durante la pandemia. Esto me lleva a creer que los ciberdelincuentes podrían extender estos ataques a los sistemas de respuesta de emergencia. Si los atacantes pueden obtener el control de estos sistemas, podrían causar caos en todo el país y poner en riesgo la vida de pacientes”.
Si bien pueden escucharse algunos de los ataques, como los de las redes eléctricas, los sistemas de generación de energía (pienso en Stuxnet) y las IoT que impulsan las “ciudades inteligentes“, quedan objetivos menos populares capaces de tener graves consecuencias en las poblaciones.
Fowler explicó: “Las instalaciones portuarias son objetivos cada vez más convincentes para los atacantes. Esto por la creciente dependencia del público en los envíos de mercancías y la tensión que la pandemia ha puesto en las cadenas de suministro.
Imaginémonos que un ataque desconectara las computadoras en una instalación portuaria. Esto significa que los suministros, incluidos alimentos, suministros médicos o incluso EPP, podrían no llegar a los destinos previstos”.
Drones, vehículos inteligentes y IoT
Las tecnologías de vigilancia se expanden cada vez más en forma de sistemas autónomos como drones, automóviles autónomos y robots. Entonces, ¿Cuáles son las implicaciones de seguridad de tales movimientos?
Stephen Cobb, un investigador de seguridad independiente con sede en el Reino Unido brinda su punto de vista. El uso creciente de vehículos controlados de forma remota y autónomos para la seguridad pública y vigilancia abre un nuevo conjunto de vectores de ataque. Esto atrae oportunidades para el abuso criminal.
“Hace unos años, acuñé el término jackware para una categoría de ataques basados en malware que incluyen el secuestro de automóviles autónomos. Empero, esto también puede aplicarse a vehículos autónomos o controlados de forma remota, en el aire o en tierra. Vehículos que son desplegado con fines de seguridad pública”.
“Del mismo modo que un coche de policía o una ambulancia pueden convertirse en un arma, también lo puede hacer un dron de vigilancia o un robot de seguridad. El uso de vehículos autónomos o controlados a distancia para la seguridad pública es un nuevo vector de ataque preocupante.
Según Cobb los esfuerzos de ciberseguridad con frecuencia no se priorizan para los vectores de ataque como estos hasta que ocurren graves consecuencias.
“El análisis histórico de las implementaciones de tecnología anteriores sugiere que no se establecen niveles apropiados de protección hasta que ocurra un abuso malicioso importante”.
Documentos de política pública e ingeniería social.
A menudo, los sitios web del gobierno ponen a disposición del público, sin darse cuenta, manuales de aplicación de la ley y procedimientos operativos estándar (SOP).
Si un actor malintencionado puede obtener un número de línea de ayuda especialmente “para uso exclusivo de la oficina” de estos manuales puede causar daño. Este puede hacerse pasar por uno de los empleados, como un oficial de impuestos o un detective de la policía. De esta manera puede obtener información confidencial sobre individuos y archivos de casos.
Por ejemplo, un atacante podría espiar las finanzas de un individuo rico si conoce su número de seguro social. Esto podría hacerse personificando a la víctima mientras llama al IRS y solicita información sobre la cuenta de impuestos.
Debido a la reciente filtración BlueLeaks, que expuso información confidencial, existe la preocupación de que los actores patrocinados por estados puedan abusar de los datos. Los pueden explotar de múltiples maneras.
“En este caso, el grupo que instigó la filtración afirmó que estaba destinado a combatir la brutalidad policial. Sin embargo, al mismo tiempo, publicaron miles de números de cuentas bancarias, direcciones, nombres de víctimas de delitos y presuntos delincuentes que nunca fueron acusados”
“La recopilación de esta información podría resultar increíblemente útil para actores extranjeros maliciosos o sindicatos del crimen organizado. Ambos grupos podrían usar esta información para cualquier fin malicioso que elijan, todo gracias a los intercambios de información destinados a la sociedad policial.
En conclusión, la tecnología ha proporcionado medios innovadores a los gobiernos para garantizar la seguridad ciudadana y la seguridad nacional. Aun así, las políticas deben estar en su lugar para que estos dispositivos e iniciativas de “información abierta” no sean abusados. Como hemos visto pueden ser explotados por los adversarios contra los que deben defendernos.