Amsterdam acogió la conferencia mundial de seguridad profesional EUSecWest 2012 para ofrecer una visión real de por qué resulta casi imposible mantener a raya a un ciberadversario motivado dispuesto a atacar.
Miembros del equipo de analistas de Kaspersky Lab
presentes en el evento han podido entrevistar a equipos de hackers que
usaban vulnerabilidades de día-cero y novedosas técnicas de explotación
para hackear iPhone4S y Android 4.0.4 (Samsung S3) con
todos sus parches de seguridad instalados. La principal conclusión del
EUSecWest2012, según Kaspersky Lab, es que no conviene utilizar un dispositivo móvil con información de valor, especialmente para el correo del trabajo o para enviar documentos corporativos confidenciales.
Evidentemente,
para la mayoría este no es un consejo práctico cuando el dispositivo
móvil se ha convertido ya en una extensión del ordenador y existe una
necesidad real de acceder al correo corporativo desde nuestros
smartphones: iPhone/iPad, Android o Blackberry. Sin embargo, sí hay algo
importante que el usuario debe empezar a pensar, se trata de separar el ocio y el negocio en los dispositivos móviles.
No
cabe duda de que los antiexploits, como ASLR y DEP, dificultan que los
hackers penetren en las plataformas móviles, pero con el tiempo son cada
vez más fáciles de evitar. El equipo de hackers de Certified Secure
confirmó al analista de Kaspersky Lab en el encuentro que les tomó menos de tres semanas hackear el iPhone 4S,
incluyendo la búsqueda de una vulnerabilidad y la creación de un
exploit limpio que evitara las barreras antiexploit. Su motivación:
Publicidad y un premio de 30.000 dólares.
La motivación que mueve a los atacantes maliciosos, ya sea ciberespionaje gubernamental o APTs
(Advanced Persistent Threats) contra organizaciones o activistas
políticos, es mucho más poderosa. Como también se demostró este año en
la conferencia de seguridad Black Hat, es posible utilizar otros métodos
como el protocolo NFC (Near Field Communication) para
abrir un documento y su aplicación asociada sin más necesidad que estar a
unos centímetros del teléofono objetivo. De este modo, se puede forzar a
un teléfono a acceder a una web desde la que se puede llegar a infectar
el mismo y conseguir control total, sin ni tan sólo tocarlo.
WebKit, una gran preocupación
En el iPhone, con un sistema operativo aclamado como el más seguro, el motor WebKit
usado por los navegadores sigue siendo una pesadilla para la seguridad y
uno de los blancos preferido de los hackers. Esto los hace
especialmente vulnerables a las técnicas de “drive-by” mediante
las cuales se redirige a un usuario a una página web especialmente
creada para explotar vulnerabilidades e infectar el dispositivo.
El hecho de que los tres principales sistemas operativos (iOS, Android y Blackberry) usen WebKit y que todos tengan problemas con los parches para las vulnerabilidades de WebKit, no deja de ser una gran preocupación.
Fuente: www.techweek.es/
No hay comentarios:
Publicar un comentario