La infraestructura de una metrópoli moderna se basa en dispositivos del Internet de las cosas: desde cámaras de vídeo en las carreteras hasta grandes centrales hidroeléctricas y hospitales. Los piratas informáticos pueden convertir cualquier dispositivo conectado en un bot y luego utilizarlo para llevar a cabo ataques DDoS.
Los motivos pueden ser muy diferentes: los piratas informáticos, por ejemplo, pueden recibir dinero del gobierno o de una corporación y, a veces, son simplemente delincuentes que quieren divertirse y ganar dinero.
En Rusia, los militares nos asustan cada vez más con posibles ataques cibernéticos a “instalaciones de infraestructura crítica” (para protegernos contra esto, al menos formalmente, se adoptó la ley sobre Internet soberana).
Sin embargo, esta no es sólo una historia de terror. Según Kaspersky, en la primera mitad de 2019, los piratas informáticos atacaron dispositivos de Internet de las cosas más de 100 millones de veces, utilizando en su mayoría las botnets Mirai y Nyadrop. Por cierto, Rusia ocupa sólo el cuarto lugar en el número de ataques de este tipo (a pesar de la siniestra imagen de “hackers rusos” creada por la prensa occidental); Los tres primeros son China, Brasil e incluso Egipto. Estados Unidos ocupa sólo el quinto lugar.
Entonces, ¿es posible repeler con éxito tales ataques? Primero veamos algunos casos conocidos de este tipo de ataques para encontrar una respuesta a la pregunta de cómo proteger sus dispositivos al menos en un nivel básico.
Presa de la avenida Bowman
La presa Bowman Avenue está ubicada en la ciudad de Rye Brook (Nueva York) con una población de menos de 10 mil personas: su altura es de solo seis metros y su ancho no supera los cinco. En 2013, las agencias de inteligencia estadounidenses detectaron software malicioso en el sistema de información de la presa. Luego, los piratas informáticos no utilizaron los datos robados para interrumpir el funcionamiento de la instalación (probablemente porque la presa se desconectó de Internet durante los trabajos de reparación).
Bowman Avenue es necesaria para evitar la inundación de áreas cercanas al arroyo durante una inundación. Y la rotura de la presa no podría tener consecuencias destructivas: en el peor de los casos, los sótanos de varios edificios a lo largo del arroyo se habrían inundado de agua, pero esto ni siquiera se puede llamar inundación.
El alcalde Paul Rosenberg sugirió entonces que los piratas informáticos podrían haber confundido la estructura con otra gran presa con el mismo nombre en Oregón. Se utiliza para regar numerosas explotaciones agrícolas, donde un fallo causaría graves daños a los residentes locales.
Es posible que los piratas informáticos simplemente estuvieran entrenando en una pequeña presa para posteriormente realizar una intrusión grave en una gran central hidroeléctrica o en cualquier otro elemento de la red eléctrica estadounidense.
El ataque a la presa de Bowman Avenue fue reconocido como parte de una serie de ataques a sistemas bancarios que siete piratas informáticos iraníes llevaron a cabo con éxito a lo largo de un año (ataques DDoS). Durante este tiempo, se interrumpió el trabajo de 46 de las instituciones financieras más grandes del país y se bloquearon las cuentas bancarias de cientos de miles de clientes.
El iraní Hamid Firouzi fue acusado posteriormente de una serie de ataques de piratas informáticos a bancos y a la presa de Bowman Avenue. Resultó que utilizó el método Google Dorking para encontrar “agujeros” en la presa (más tarde la prensa local lanzó una avalancha de acusaciones contra la corporación Google). Hamid Fizuri no estaba en Estados Unidos. Como no existe la extradición de Irán a Estados Unidos, los piratas informáticos no recibieron ninguna sentencia real.
2.Metro gratuito en San Francisco
El 25 de noviembre de 2016 apareció un mensaje en todos los terminales electrónicos que venden abonos de transporte público en San Francisco: “Has sido hackeado, todos los datos están encriptados”. También fueron atacados todos los ordenadores con Windows de la Agencia de Transporte Urbano. El software malicioso HDDCryptor (cifrador que ataca el registro de arranque maestro de una computadora con Windows) llegó al controlador de dominio de la organización.
HDDCryptor cifra los discos duros locales y los archivos de red utilizando claves generadas aleatoriamente y luego reescribe el MBR de los discos duros para evitar que los sistemas se inicien correctamente. El equipo, por regla general, se infecta debido a las acciones de los empleados que abren accidentalmente un archivo señuelo en un correo electrónico y luego el virus se propaga por la red.
Los atacantes invitaron al gobierno local a contactarlos por correo. [email protected] (sí, Yandex). Para obtener la clave para descifrar todos los datos, exigieron 100 bitcoins (en ese momento aproximadamente 73 mil dólares). Los piratas informáticos también ofrecieron descifrar una máquina por un bitcoin para demostrar que la recuperación era posible. Pero el gobierno se enfrentó al virus por sí solo, aunque le llevó más de un día. Mientras se restablece todo el sistema, viajar en el metro es gratuito.
"Hemos abierto los torniquetes como medida de precaución para minimizar el impacto de este ataque sobre los pasajeros", explicó el portavoz municipal Paul Rose.
Los delincuentes también afirmaron que habían obtenido acceso a 30 GB de documentos internos de la Agencia de Transporte Metropolitano de San Francisco y prometieron filtrarlos en línea si no se pagaba el rescate en un plazo de 24 horas.
Por cierto, un año antes, el Centro Médico Presbiteriano de Hollywood fue atacado en el mismo estado. Luego, los piratas informáticos recibieron 17 dólares para restaurar el acceso al sistema informático del hospital.
3. Sistema de alerta de emergencia de Dallas
En abril de 2017, 23 sirenas de emergencia sonaron en Dallas a las 40:156 p.m. para notificar al público sobre emergencias. Sólo dos horas más tarde pudieron apagarlos. Durante este tiempo, el servicio 911 recibió miles de llamadas de alarma de los residentes locales (unos días antes del incidente, tres débiles tornados atravesaron el área de Dallas, destruyendo varias casas).
En 2007 se instaló en Dallas un sistema de notificación de emergencia, con sirenas suministradas por Federal Signal. Las autoridades no dieron más detalles sobre cómo funcionaban los sistemas, pero dijeron que usaban "tonos". Estas señales normalmente se transmiten a través del servicio meteorológico utilizando multifrecuencia de doble tono (DTMF) o codificación por desplazamiento de frecuencia de audio (AFSK). Se trata de comandos cifrados que se transmitieron a una frecuencia de 700 MHz.
Los funcionarios de la ciudad sugirieron que los atacantes grabaron señales de audio que se transmitieron durante las pruebas del sistema de alerta y luego las reprodujeron (un clásico ataque de repetición). Para llevarlo a cabo, los piratas informáticos sólo tuvieron que adquirir equipos de prueba para trabajar con radiofrecuencias, que se pueden adquirir sin problemas en tiendas especializadas.
Los expertos de la empresa de investigación Bastille señalaron que llevar a cabo un ataque de este tipo implica que los atacantes han estudiado a fondo el funcionamiento del sistema de notificación de emergencia, las frecuencias y los códigos de la ciudad.
El alcalde de Dallas emitió un comunicado al día siguiente diciendo que los piratas informáticos serían encontrados y castigados y que todos los sistemas de alerta en Texas serían modernizados. Sin embargo, los culpables nunca fueron encontrados.
***
El concepto de ciudades inteligentes conlleva serios riesgos. Si se piratea el sistema de control de una metrópoli, los atacantes obtendrán acceso remoto para controlar situaciones de tráfico y objetos urbanos estratégicamente importantes.Los riesgos también están asociados con el robo de bases de datos, que incluyen no solo información sobre toda la infraestructura de la ciudad, sino también datos personales de los residentes. No debemos olvidarnos del consumo excesivo de electricidad y la sobrecarga de la red: todas las tecnologías están vinculadas a canales y nodos de comunicación, incluida la electricidad consumida.
El nivel de ansiedad de los propietarios de dispositivos IoT se acerca a cero
En 2017, Trustlook realizó un estudio sobre el nivel de conciencia de los propietarios de dispositivos IoT sobre su seguridad. Resultó que el 35% de los encuestados no cambia la contraseña predeterminada (de fábrica) antes de comenzar a utilizar el dispositivo. Y más de la mitad de los usuarios no instalan ningún software de terceros para protegerse contra ataques de piratas informáticos. El 80% de los propietarios de dispositivos IoT nunca han oído hablar de la botnet Mirai.
Al mismo tiempo, con el desarrollo del Internet de las cosas, el número de ciberataques no hará más que aumentar. Y mientras las empresas compran dispositivos "inteligentes", olvidándose de las reglas básicas de seguridad, los ciberdelincuentes obtienen cada vez más oportunidades de ganar dinero con usuarios descuidados. Por ejemplo, utilizan redes de dispositivos infectados para realizar ataques DDoS o como servidor proxy para otras actividades maliciosas. Y la mayoría de estos incidentes desagradables se pueden prevenir si se siguen reglas simples:
- Cambie la contraseña de fábrica antes de comenzar a usar el dispositivo
- Instale software confiable de seguridad de Internet en sus computadoras, tabletas y teléfonos inteligentes.
- Investigue antes de comprar. Los dispositivos se están volviendo inteligentes porque recopilan una gran cantidad de datos personales. Debe tener en cuenta qué tipo de información se recopilará, cómo se almacenará y protegerá y si se compartirá con terceros.
- Consulte periódicamente el sitio web del fabricante del dispositivo para obtener actualizaciones de firmware.
- No olvide auditar el registro de eventos (principalmente analice todo el uso del puerto USB)
Fuente: habr.com