Más operadoras confirman la intrusión de Salt Typhoon; la Casa Blanca evalúa intervenir
(theregister.com)- AT&T, Verizon y Lumen Technologies confirmaron que hackers respaldados por el gobierno chino accedieron a sus sistemas, ampliando la intrusión de Salt Typhoon a un problema de seguridad nacional en toda la red de telecomunicaciones de EE. UU.
- La Casa Blanca explicó que, con esta intrusión, la parte china obtuvo capacidad para rastrear la ubicación de millones de personas y grabar llamadas telefónicas de forma arbitraria, y que en un caso, al comprometer una cuenta de administrador, pudo acceder a más de 100,000 routers
- AT&T y Verizon dijeron que el número de clientes afectados fue reducido, mientras que Lumen señaló que no encontró evidencia de acceso a datos de clientes y que una firma forense independiente confirmó la expulsión de los atacantes
- Aunque muchas personas se vieron afectadas en su información de ubicación y metadatos de llamadas, quienes habrían sido objetivo de recolección de llamadas y mensajes serían menos, posiblemente menos de 100 personas
- La FCC impulsa una propuesta de reglas para exigir prácticas básicas de ciberseguridad a las operadoras, y el senador Ron Wyden también presentó un proyecto de ley para obligar a la FCC a emitir normas vinculantes de seguridad en telecomunicaciones
Se amplía la confirmación de intrusiones en operadoras de EE. UU.
- AT&T, Verizon y Lumen Technologies confirmaron que espías respaldados por el gobierno chino accedieron a partes de sus sistemas a inicios de este año
- La Casa Blanca indicó que el número de operadoras afectadas por la intrusión de Salt Typhoon aumentó de 8 a 9
- T-Mobile había mencionado antes intentos de reconocimiento de Salt Typhoon y actividad de espionaje “consistente”, pero aclaró que no es una de las 9 operadoras mencionadas por el gobierno
Qué confirmaron AT&T, Verizon y Lumen sobre el impacto
- AT&T informó que espías extranjeros comprometieron a unos pocos clientes dentro de una campaña de inteligencia, y que ese actor ya fue expulsado de su red
- Actualmente no detecta actividad de actores estatales en su red
- Considera que China apuntó a un pequeño grupo de personas de interés para inteligencia extranjera
- En los relativamente pocos casos en que se vio afectada información personal, cumplió con las obligaciones de notificación en coordinación con las autoridades
- Sigue investigando junto con funcionarios del gobierno, otras operadoras y expertos en ciberseguridad
- Verizon confirmó que intrusos chinos accedieron a un pequeño número de clientes de alto perfil del gobierno y del ámbito político
- Dijo que notificó a esos clientes y que contuvo los incidentes cibernéticos originados por amenazas estatales
- Una empresa de ciberseguridad no identificada y “muy respetada” también confirmó la contención
- Colabora con fuerzas federales, organismos de seguridad nacional, otros socios del sector telecom y empresas de seguridad
- La directora jurídica de Verizon, Vandana Venkatesh, señaló que desde hace tiempo no detectan actividad de actores de amenaza en la red de Verizon
- Lumen Technologies informó que expulsó a los atacantes chinos de sus sistemas y no encontró evidencia de acceso a datos de clientes
- Una firma forense independiente confirmó que Salt Typhoon ya no está dentro de la red
- También señaló que sus socios federales no compartieron información que contradijera eso
El alcance y la forma del ataque según la Casa Blanca
- Anne Neuberger, viceasesora de seguridad nacional de la Casa Blanca para ciberseguridad y tecnologías emergentes, dijo que esta intrusión fue calificada como “el peor hackeo a telecomunicaciones en la historia de Estados Unidos”
- La parte china accedió a las redes y obtuvo un acceso “amplio y total”, lo que le dio capacidad para rastrear la ubicación de millones de personas y grabar llamadas telefónicas de forma arbitraria
- En un caso, los espías comprometieron una cuenta de administrador, con la que pudieron acceder a más de 100,000 routers
- Neuberger explicó que, al comprometer esa cuenta, China obtuvo amplios privilegios de acceso en toda la red
- Evaluó que ese estado estaba por debajo del nivel de ciberseguridad necesario para defenderse de actores estatales
Cuántas personas fueron afectadas y qué datos estuvieron expuestos
- La Casa Blanca aún no ha determinado el número total de víctimas
- Son muchas las personas afectadas en su información de ubicación y metadatos de llamadas
- Quienes habrían sido objetivo de recolección de llamadas telefónicas y mensajes de texto serían menos, y la cifra real podría ser menor a 100 personas
La respuesta en seguridad telecom se mueve hacia la regulación
- Tras esta intrusión, la Casa Blanca enfatizó que las medidas voluntarias de ciberseguridad ya no son suficientes frente a amenazas de actores estatales
- La FCC inició una propuesta pública de reglas para exigir prácticas básicas de ciberseguridad a los operadores de telecomunicaciones
- Los comisionados planean votar esas reglas antes del 15 de enero
- El senador Ron Wyden propuso un proyecto de ley para exigir que la FCC emita reglas vinculantes para los sistemas de telecomunicaciones
- Los CEO de las 9 operadoras afectadas participan en el Enduring Security Framework de 60 días del gobierno
- Esta iniciativa público-privada busca establecer prácticas mínimas de ciberseguridad acordadas por agencias de inteligencia, CISA, el FBI y especialistas en seguridad de telecomunicaciones
1 comentarios
Opiniones en Hacker News
Si las empresas practicaran la minimización de datos y aplicaran cifrado de extremo a extremo a los datos de clientes que no necesitan ver, este tipo de intrusiones se reducirían.
Porque desaparecería el incentivo para entrar, pero las agencias de inteligencia insisten en que deben poder acceder a las conversaciones de ciudadanos inocentes.
En la práctica no hay castigos ni multas punitivas, y proteger las ganancias de corto plazo se trata como más importante que proteger los datos de los usuarios. Hasta que una intrusión se traduzca en un golpe financiero serio para la empresa, se le seguirá trasladando el problema al usuario con un “lo sentimos, le daremos monitoreo de crédito”. Incluso en la industria de desarrollo e ingeniería de software no hay mucha gente que se tome en serio la seguridad de los datos; se habla mucho, pero en las implementaciones reales de negocio abundan las prácticas pésimas.
Ahora esas puertas traseras obligatorias para eludir la privacidad están siendo usadas por actores maliciosos, y el FBI está recomendando a todos usar apps con cifrado de extremo a extremo por una situación que ellos mismos provocaron. Pero cuando pase este desastre, volverán a decir que “el cifrado es malo, la seguridad es mala, dennos una forma fácil de obtener los datos”.
El problema es que están entrelazados tanto la regulación como los intereses comerciales. No es realista esperar que el público o el gobierno acepten una privacidad real en los teléfonos móviles. La gente quiere que, cuando llame al 911, acudan la policía o los bomberos, y quiere que el crimen organizado o los delitos graves sean detectados y procesados.
El protocolo SS7 permite averiguar a qué RNC/MMC está conectado un teléfono en un momento determinado, y eso es una parte intrínseca del funcionamiento de la red. Si un atacante lo bastante sofisticado tiene suficiente acceso a equipos de telecomunicaciones, puede enviar directamente los comandos de ese protocolo para averiguar la ubicación.
Entiendo los principios básicos cuando se trata de un solo usuario, pero me gustaría saber más sobre cómo se implementan los chats grupales compartidos con cifrado de extremo a extremo, como en Facebook Messenger.
Es raro que bancos de EE. UU., Venmo, PayPal y otros sigan exigiendo un número de teléfono “real” para la autenticación.
Venmo no permite usar números VoIP, pero me suscribí a Tello, activé una eSIM desde el extranjero y de inmediato pude recibir SMS y registrarme. La barrera fue de apenas 5 dólares; gran seguridad.
Al final, el método más eficaz es saber quiénes son las partes de una transacción. Algunas empresas tienen estándares bajos de conoce a tu cliente, pero con el tiempo se convierten en canales que ayudan al delito y quedan bajo la vigilancia de socios regulatorios y gobiernos. Estados Unidos es relativamente laxo en comparación con Singapur, Canadá, Japón y una UE cada vez más estricta; en varias jurisdicciones se exige verificación biométrica, autenticación con foto y, a veces, una entrevista por video con un agente para mostrar documentos.
Una empresa bloqueó de forma retroactiva los números VoIP tiempo después, y fue realmente estúpido.
Debería existir un proceso para verificar que el número no se esté usando para fraude y permitirlo. El hecho de que alguien haya sido cliente durante años, haya usado siempre ese número y haya movido miles de dólares en la plataforma sin problemas debería servir como base para decidir, ¿no?
Al menos en Europa, según los criterios de PSD2, esa es la parte clave para reconocer un número de teléfono como medio de autenticación de dos factores.
La única razón por la que no contesto el teléfono diciendo “soy …” es porque soy honesto. No pueden detener a un usuario malicioso que ya conoce toda la información que preguntan; simplemente mentirá y dirá que es el dueño del negocio o el titular de la cuenta.
Trabajo en seguridad y este caso me sorprendió. Más que el hecho de que las empresas hayan sido hackeadas, lo sorprendente es que el alcance del ataque parece simultáneo y coordinado
Vulnerar varias empresas al mismo tiempo dice algo sobre los objetivos del lado chino. Hacerlo así aumenta el riesgo de generar más “ruido”, así que me pregunto por qué tocaron todo hasta provocar una respuesta de nivel presidencial, en vez de sobornar a empleados para espiar a objetivos de alto nivel. Esto se siente impulsado por la imagen y la política, y me da la impresión de que la Guerra Fría moderna consiste en ataques a infraestructura
Elige casi cualquier industria que te interese y las agencias de inteligencia de los 50 países principales tendrán un equipo dedicado a hackear ese sector, y la mayoría lo logra. Lamentablemente, incluso la gente de la industria de seguridad muchas veces no entiende bien el alcance y la escala de estas operaciones, ni siquiera dentro de las redes de las que son responsables. Aquí el “ruido” no lo produjo el atacante, y aunque el atacante tampoco quiere que lo atrapen, los errores ocurren
Porque cuando encuentras uno, empiezas a encontrar otros. Reclutar a un empleado es complejo y difícil, pero atacar SS7 de forma remota es mucho más fácil, sobre todo cuando hay varios objetivos bajo vigilancia
Meter mano abiertamente en cables de telecomunicaciones y energía parece una señal dirigida a los políticos occidentales. También se afirma que Corea del Norte robó criptomonedas, pero tampoco hay víctimas identificables que hayan salido a denunciarlo. Los políticos occidentales están intentando reconfigurar toda la economía mundial con el pretexto de salvarnos de cosas que están ocurriendo justo ahora, así que se siente como algo más que una coincidencia
Independientemente de la orientación política del gobierno saliente y del entrante, habrá más caos y, aunque llame la atención, es probable que quede relegado o se olvide en la lista de cosas por atender
Los ataques que aparecen en las noticias tienen un enorme sesgo de selección
Aunque no se puede confirmar porque la descripción del hackeo es poco clara, a medida que aumenta el número de operadoras comprometidas, crece la posibilidad de que China haya penetrado atacando la interceptación legal
Podría haber varias formas de hacerlo: sobornar o coaccionar a funcionarios de agencias de cumplimiento de la ley con acceso al sistema de gestión de interceptación legal, atacar la cadena de suministro de ese sistema, o hackear la autenticación entre la red y el sistema de gestión. Si se trató de un ataque contra la interceptación legal, entonces toda red que soporte interceptación legal automatizada quedó compromised. Es un ataque particularmente desagradable porque está diseñado para que los objetivos de la interceptación no sean fácilmente visibles para los operadores, lo que dificulta su detección
Quien haya trabajado en redes sabrá a qué me refiero. La industria está en un estado ridículamente malo. Se usa SSH, pero no se verifican las claves de host; se usa agent forwarding; y se emplean protocolos como RADIUS o SNMP, que casi siempre caen por secretos compartidos globales si se compromete un solo equipo. También es dudoso que se use el arranque seguro de forma significativa o que se verifique el sistema de archivos
Hace 20 años, cuando alguien descubrió que se podían inyectar TCP resets falsificados para cortar conexiones BGP, la industria no adoptó BGP over TLS. En su lugar, simplemente agregó en 1999 TCP MD5 Hash basado en secretos compartidos: https://datatracker.ietf.org/doc/html/rfc2385. Incluso hoy sigue existiendo un ambiente en el que no se concibe usar PKI, y normalmente ni siquiera se despliega
Para entender esta industria basta con ver esto. En vez de usar simplemente TLS, crearon cosas como https://datatracker.ietf.org/doc/html/rfc5925, y en los despliegues reales se sigue usando el mismo modelo de tuplas compartidas, tan malo como 2385. Incluso entre los proveedores que dicen “soportarlo”, algunos no soportan toda la RFC. Esta situación se conoce desde hace décadas, pero los proveedores han mostrado muy poco interés en mejorar la seguridad más allá de parches para problemas tontos que quedan expuestos, y los investigadores de seguridad tampoco suelen mirar de cerca los equipos de red críticos
No están diciendo que se hayan hackeado más lugares, sino que se descubrieron más casos relacionados con el mismo hackeo. Un atacante de este nivel estará mirando las noticias y se moverá de forma adecuada para sacar provecho, o cerrará sus accesos a la red antes de que los indicadores de compromiso sean sometidos a ingeniería inversa
Más que un ataque basado en interceptación legal, es probable que la situación sea que no se sabe con certeza cómo entraron. La mayor parte de la guía de CISA consiste en prácticas estándar recomendadas de ciberseguridad, como monitoreo y visibilidad, y reducción de la superficie de ataque. Los principales cambios parecen ser el requisito de dejar de usar TFTP y la parte de tomar al fabricante como fuente de hashes de referencia. Parece muy alta la posibilidad de un ataque basado en firmware en la ruta de envío y recepción
Los servidores TFTP envían configuraciones a los terminales de la red del ISP, es decir, a los módems de los clientes, e incluyen también imágenes de firmware, pero ahí no hay autenticación, autorización ni auditoría. El hardware relacionado, por diseño, dificulta auditar correctamente los cambios; TR-47 rara vez se usa adecuadamente; y el cifrado relacionado está legalmente obligado a mantener compatibilidad hacia atrás con cifrados que ya fueron rotos. Hace unos años hubo una buena charla en Cyphercon 6: https://www.youtube.com/watch?v=_hk2DsCWGXs
El énfasis inusual en TLS 1.3 sugiere que las conexiones están siendo degradadas, o que el hardware o firmware del puente CPE está realizando ataques man-in-the-middle transparentes contra sitios públicos en versiones anteriores. El énfasis en el uso de ciertos grupos DH también podría insinuar que existen grupos de intercambio de claves que aún no se sabe públicamente que estén rotos, pero que en la práctica sí lo están
Si un atacante ya tiene acceso y puede insertar código malicioso al vuelo en el tráfico dirigido a personas sensibles, puede infiltrarse fácilmente en sistemas altamente sensibles a través de ese tráfico. Como hipótesis más periférica, también podría haberse encontrado una forma de romper estructuras Feistel. La NSA dijo en el pasado que había habido un avance en criptografía; si eso estuviera relacionado con un ataque a la estructura de redes Feistel, base de gran parte de la criptografía moderna, podría ser otra explicación
Casi todas las computadoras tienen coprocesadores auxiliares con aspecto de backdoor, como TrustZone, Management Engine o AMD PSP, y están protegidos dependiendo solo de la criptografía, sin un rastro de auditoría adecuado. Esto parece una fruta al alcance de la mano concentrada en casi todas las plataformas de cómputo del planeta. Si una computadora cuántica rompe una única clave de firma de estos sistemas, podría convertirse en una llave maestra para todo, y a nivel estatal no es algo completamente imposible. Sin visibilidad, las formas de detectar, reaccionar o aislar el problema son solo indirectas
Discusiones anteriores relacionadas:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
Hace apenas unos años parecía una comedia que las agencias de inteligencia insistieran en hacer obligatorias las puertas traseras, y ahora el FBI recomienda Signal para chats seguros.
Espero que la nueva administración revise también sus correos y mensajes de texto de los últimos 4 años. Es el típico “mi privacidad sí, la tuya no”.
El ataque golpeó una puerta trasera CALEA a través de una empresa de outsourcing de interceptación. ¿Cuál habrá sido?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
¿Qué otras empresas están en este negocio? No hay tantas compañías de outsourcing de interceptación. Verisign también estaba en este negocio antes, pero parece que ya no.
Claro que técnicamente es imposible, pero desde el punto de vista de las agencias de inteligencia, el estado final que desean es bastante comprensible.
No sorprende que el área de contrainteligencia quiera cifrado fuerte, y que el área de respuesta al delito quiera cifrado con posibilidad de puertas traseras.
Aun si el FBI no respeta la privacidad como debería.
Esta es la razón por la que se necesita cifrado entre dispositivos por encima de toda la seguridad que tengan las operadoras.
No hay razón para que cualquier conexión que yo establezca no esté cifrada frente a cualquier punto que no sea el destinatario.
Lo que China buscaba eran metadatos sobre quién se comunica con quién, y eso es un problema completamente distinto.
Manejar números de teléfono ya es molesto, y ahora se propone agregar claves públicas encima de eso. No se pueden anotar fácilmente y es muy probable que queden vinculadas al dispositivo, así que si pierdes el celular y lo cambias, no podrías recibir llamadas hasta distribuir de algún modo tu nueva clave a todo el mundo.
Creo que el cifrado de extremo a extremo ha demostrado ser inviable en todos los contextos en los que se ha intentado. Hoy no existe ningún sistema de cifrado de extremo a extremo real que sea verdaderamente útil, y la industria volvió inútil el término al usarlo para referirse a una “seudocifrado” en el que el cifrado lo realiza software controlado por el adversario. De todos modos, como nadie usaba cifrado de extremo a extremo real, en cierta medida también se entiende a los ingenieros que tomaron esa decisión.
El Departamento del Tesoro de EE. UU. también anunció una intrusión de un actor de amenazas chino.
Dicen que se filtró una clave de acceso remoto de su “proveedor de ciberseguridad”, lo que permitió al atacante acceder a endpoints internos del Tesoro.
Hasta donde sé, esto no sería noticia para las operadoras de la UE. Como las operan empresas chinas, tienen acceso permanente a casi todo.
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
¿No pasa lo mismo con las operadoras de EE. UU.?
Por suerte, los servicios en línea estadounidenses están del lado de Europa y trabajan más que nadie para proteger las comunicaciones. Ni siquiera le cobran a Europa, y a cambio Europa les impone multas de miles de millones de dólares. Europa deterioró los sitios web para gravar la economía de la atención y también eliminó las protecciones legales para los desarrolladores de código abierto.
Si hablamos de “capacidad para determinar la ubicación de cientos de millones de personas”, parece que Starlink también podría averiguar fácilmente la ubicación por IMEI de todos los celulares 4G/5G con sus enormes antenas direct-to-cell.
Hay un procedimiento de varias etapas que usa identificadores temporales al identificar el dispositivo ante la mayor parte de la red, así que no necesariamente es así.