Qué hemos presentado en el Security Innovation Day 2018: Corporate Fake News (V)

viernes, 7 de diciembre de 2018



Para poner punto y final al Security Innovation Day 2018, Chema Alonso, Chief Data Officer de Telefónica) y Chairman de ElevenPaths junto con Martina Matarí, Incident Responder CSIRT Global de Telefónica, presentaron esta charla en la que analizaron el fenómeno de las Corporate FakeNews APT, mostrando el proceso completo que siguen los atacantes, primero, para extraer los datos de los usuarios a los que dirigirán la noticia y segundo, para confeccionar esa fake new por medio de la combinación de tecnologías muy conocidas con algunas novedosas como el deepfake.

Un factor clave que ha ayudado a evolución de este fenómeno y en el que es necesario detenerse, es la filtración de datos (leaks) de usuarios que después han sido utilizados para dirigir estas noticias. Desde hace 10 años, las filtraciones no han parado de aumentar permitiendo que información sensible de millones de usuarios y perfiles corporativos, estuviese disponible para que los atacantes la utilizasen a su antojo.

Ataques a credenciales
Ataques a credenciales de usuarios aleatorios. Por medio de conocidas webs como Pastebin se pueden consultar listados completos de usuarios que han sido utilizados por los atacantes a la hora de enfocar sus ataques de fuerza brutal. La efectividad de estos ataques dependerá en muchas ocasiones de cómo tengamos establecida nuestra política de gestión de identidades en la compañía. Por ello la pregunta de: "¿debemos utilizar contraseñas complejas para mejorar nuestra seguridad? es una cuestión muy recurrente y a la que desde ElevenPaths hemos dado respuesta en muchas ocasiones. La respuesta es no. Desde muchas compañías, se utiliza como método de autenticación preferente el usuario y contraseña cuando tal procedimiento, solo cumple una de las cuatro características que un sistema de gestión identidades debería cumplir y que son:
  • La robustez 
  • La usabilidad 
  • La universalidad 
  • El complicance 
Por desgracia, la mayoría de las organizaciones solo utilizan un método de autenticación y suelen elegir el más común, el usuario y contraseña, cuando cada activo debería ser protegido utilizando un método de autenticación que cumpla los requisitos mínimos que se obtienen asegurando estos 4 principios y sea el usuario el que tenga la capacidad de elegir cómo quiere autenticarse.

El uso de contraseñas complejas en servicios online resulta muy molesto para el usuario y casi no supone un factor distintivo a la hora de proteger mejor. Con segundos factores de autenticación y una buena gestión de identidades con almacenamientos robustos de passwords que eviten ataques de fuerza bruta a las contraseñas, (contando el número de intentos de loggin, bloqueando IP, notificando a la cuenta de correo asociada a la cuenta etc), conseguiremos métodos más efectivos de protegernos sin tener que obligar al usuario a la utilización de contraseñas complejas que no suponen una medida de protección significativa ya que, el número de veces que se rompe una contraseña online por ataques de fuerza bruta son muy pocos y si ocurre, suele estar asociado a una mala gestión del servicio.

Ataques de credential stuffing
Como mencionábamos, los ataques han ido evolucionando gracias a la filtración masiva de datos y en los últimos años, la utilización de ataques de credential sttuffing ha superado en mucho al de ataques de fuerza brutal. Se calcula que en 2018, el 81% de las brechas de seguridad que han sufrido las compañías se han llevado a cabo por el uso de estas técnicas. Tomando como base la conocida web haveIbeenpwned donde se recopilan todas estas fugas de información a nivel mundial que han sufrido las empresas y/o usuarios particulares, nos podemos hacer una idea del volumen que tienen estas filtraciones.



Es por ello repetimos, que la efectividad de las contraseñas complejas en servicios online es prácticamente nula. Para ilustrar esta afirmación, os presentamos más abajo un gráfico en donde podemos encontrar los supuestos que se darían en el caso de que un atacante accediese al fichero de las contraseñas y si, el hecho de utilizar contraseñas complejas o no, supondría un factor distintivo de cara a la protección contra ese ataque.












Como vemos, de todas las posibilidades podrían darse en el único caso que tendría sentido el uso una contraseña compleja es en el supuesto de que el fichero de contraseñas fuese "leakeado" sin ser detectado, utilizándose un sistema de Hased con salt y todo ello sin que estuviese soportado en la rainbow table. En ese rocambolesco caso caso, tendría sentido que el usuario tuviese que utilizar una contraseña compleja.

Pero, ¿cómo podemos luchar contra los leaks de usuarios y contraseñas en servicios de terceros?
  • A través de la detección temprana como el servicio que proporciona Crybertheats que avisa de estos ataques antes de que se lleguen a publicar en las webs mencionadas. 
  • O la utilización de métodos como los factores de doble autenticación.
Muchos de estos ataques que buscan desestabilizar compañías a través de fake news que afectan a la empresa y directivos. Estas fake news, actúan en algunos casos como una forma de “propaganda selectiva” que se dirige de forma personalizada a un grupo concreto, una vez se han perfilado sus miembros gracias a técnicas que veremos a continuación. Ni más ni menos, a través de fake news se podrían haber condicionado los resultados de importantes elecciones como las ocurridas en EEUU con la elección de Trump o con la salida del Inglaterra de la UE. Si esto fuese cierto, podríamos hablar de auténticos "hackeos" a sociedades por medio de situaciones políticas que puedan afectar al desarrollo de un país..

Pero vayamos por partes, ¿cómo consiguen extraer los datos de colectivos a los que dirigir una fake new concreta? Por ejemplo, a través de la geolocalización de aplicaciones y el uso de trackers en aplicaciones aparentemente inocentes que arrojan información precisa sobre tus hábitos y preferencias.

Estos trackers lo que hacen es “weaponinizar” info-leaks. Una técnica que no es tan diferente a lo que hicimos con la primera versión de la FOCA que era ni más ni menos que “weaponizar” los pequeños leaks que se producen en los metadatos de los documentos publicados, para convertirlo en una herramienta que entre otros, podía pintar parcialmente el mapa interno de una organización.



Estos infoleaks se pueden conseguir a través de innumerables formas de las que el usuario no es consciente, por eso, en nuestro servicio de gestión de vulverabilidades de FaasT, todos estos infoleaks, por "inocentes" que parezcan, se marcan a los clientes como vulnerabilidades.

Con el uso de otras herramientas como OSR Framework, (herramienta interna presentada en Black Hat) se consigue extraer información de cuentas online que están asociadas a un correo electrónico o un móvil. Siguiendo esta linea, desde el departamento de "ideas locas" de ElevenPaths conseguimos que por medio de una aplicación se pudiese extraer información similar analizando una tarjeta de visita. Es decir, subiendo una imagen de la misma a la aplicación, se extraía la información relevante como el correo y el móvil y a través de un gráfico que se generaba de manera automática, se presentaban de manera visual todas aquellas cuentas en servicios online que estaban asociadas a los datos que aparecían en la tarjeta (nombre, móvil o correo). Por tanto como vemos, hay muchas formas de recolectar todos esos datos que necesitamos para dirigir una fake new.

Una vez tenemos "clusterizada" y accesible toda esa información extraída en la que se van agrupando perfiles en función de los parámetros que interesen, se puede preparar la fake new.

Una forma muy básica de crearla es a través del uso de herramientas para la edición de imagen como Photoshop, pero actualmente, se está empezando a utilizar inteligencia artificial en la preparación de estas noticias falsas para conseguir que el engaño sea perfecto. Con el uso de IA, machine learning y sistemas de deeplearning se consigue dotar a las fake news de una realidad visual que no es cuestionable por el usuario. Por ejemplo, utilizando técnicas de faceswaping, algoritmos utilizados para llevar a cabo un cambio de cara, irán entrenando y aprendiendo hasta plasmar una cara falsa muy realista. Gracias a las GAN (Generative Adversarial Networks) hoy en día es posible conseguir que una inteligencia artificial sea capaz de entrenar a otra inteligencia artificial.

¿Cómo? Una IA llamada discriminador, será entranada con todos los videos de la persona/cara escogida. Después de millones de interacciones entre ambas, una de ellas se convierte en una experta en crear faceswaping. El funcionamiento de este software (DeepFakes) se basa en el uso de arquitecturas de deeplearning y algoritmos bien conocidos de machine learning. Cada nodo (o neurona artificial) de la capa de entrada contiene un valor numérico que codifica la entrada con la que queremos alimentar la red. Estos valores se transmiten de manera recurrente a cada una de las capas. Lo interesante es como cada borde amortigua o amplifica los valores que transmite. Cada nodo, suma todos los valores que recibe y genera uno nuevo basado en una determinada operación o función de activación. El resultado del cálculo se puede recuperar de la capa de salida y cuando tomamos como entrada a una red neuronal un conjunto de imágenes, debemos hacer uso de arquitecturas efectivas, como Redes Neuronales Convolucionales (CNNs), que es exactamente lo mismo a lo que DeepFakes está recurriendo.

Os animamos a leer este post para saber más sobre esta técnica en concreto y os recomendamos que no dejéis de informaros y protegeros para estar seguros ante estas evoluciones en la manipulación que cada vez son más sofisticadas.


No hay comentarios:

Publicar un comentario