Entrevista a Julio César Seminario, CRYTOJACKING: Forma ilegal de ganar dinero / por: Gustavo Castillo Sini
- Escrito por Gustavo Castillo Sini
Entrevista a: Julio César Seminario, Corpore Business Manager Intecnia S.A.C.
En esta oportunidad conversamos con Julio Seminario en relación al tema de Cryptojacking, como a través de Blockchain se logra de manera ilegal apoderar de recursos de equipo y CPU.
GC: Mi primera pregunta y tengo entendido que vas a dar una charla de la forma oscura de ganar dinero, el Cryptojacking muy relacionado al blockchain o el bitcoin, pero el Cryptojacking ¿Qué es en realidad?, ¿Cómo está funcionando hoy día? ¿Cómo se ha ido acelerando en el tiempo este tipo de amenazas dentro de los términos de seguridad que estamos viendo.?
JS: Bien el cryptojacking tiene un nacimiento quizás por un contexto externo en el cual la generación o el minado de la criptomoneda es un tema legal y los usuarios y las personas que participan sobre esto, a través de blockchain que es una infraestructura totalmente distribuida, lo hacen alquilando los recursos de sus equipos o vendiendolos en capacidades de uso del CPU. Bien, esto es de manera legal, pero ¿qué han hecho los hackers o los cibercriminales? han visto que esta es una manera fácil de obtener dinero y han creado códigos maliciosos que vulneran los equipos para secuestrar los ciclos de hardware del CPU con el fin de minar este dinero de manera ilegal. Bien, es así donde nace este tema del cryptojacking que viene a ser el uso no autorizado de recursos o poder computacional aprovechando vulnerabilidades de los sistemas no parchados, creando nuevas técnicas de ataque y yendo pues también hacía los de los centros de datos, porque para proteger los centros de datos muchas veces se utiliza únicamente seguridad perimetral, blades de seguridad, hardware de análisis de red, etc. pero los encargados de seguridad no se orientan a la protección de la máquina virtual o de las deficiencias o vulnerabilidades que pudiera tener el hipervisor que en este caso provee la memoria a estas máquinas virtuales. Bien entonces esto es visto como una mina de oro por los cibercriminales que crean el cryptojacking ¿por qué?, por que los centros de datos tienen gran cantidad de recursos de procesador y también porque el tiempo en que se encuentran encendidas estas máquinas virtuales es mayor a un 99.9 por ciento en comparación con un usuario que puede encender su equipo por horas a la semana. Entonces el cryptojacking ira encaminándose a objetivos con mayor poder de computo que son las grandes empresas y los grandes centros de datos.
GC: ¿En el contexto ha habido casos que han sucedido que nos podrías mencionar que han sido víctima de este cryptojacking?
JS: Bueno a nivel internacional si hay noticias de empresas afectadas por cryptojackig, porque esta nueva amenaza actualmente es una tendencia, ya está de manifiesto y existen muchas personas que están estudiando este tema. Se tiene tres puntos de ataque que quiero mencionar y que son: los proveedores de servicios como los proveedores de agua, los cuales, tienen sistemas Scada muy antiguos que generan data, se encargan del control y que a su vez utilizan aplicaciones antiguas las cuales se encuentran muy desprotegidas porque mantienen vulnerabilidades y están hechas a la medida para realizar determinadas tareas de control.
Otro punto importante de ataque del cryptojacking son los sistemas operativos Linux, se pensaba que no eran vulnerables, pero sí lo son ¿por qué?, porque muchos de estos sistemas también son antiguos y tienen vulnerabilidades conocidas desde hace 5 años atrás. El tercer punto de ataque va de la mano con un tema más actual y es la vulnerabilidad de Ethernal Blue que aún no han sido parchadas y que fue aprovechado por el ransomware WannaCry; ya hace prácticamente un año de la detección de esta vulnerabilidad pero los encargados de seguridad aun no toman conciencia de que es necesario corregirla, los cibercriminales saben que aún existe y han tomada ventaja de ello lanzado un nuevo ataque con Wannamine para secuestrar el procesador e ir minando las criptomonedas.
GC: De acuerdo, para que nos quede claro y a los lectores, el minado ¿Cómo aprovechan el minado utilizando esta tecnología de blockchain?
JS: Para hacer las criptomonedas es necesario utilizar infraestructura de blockchain ¿Para qué?, para crearlas y también para validar las transacciones financieras de esta moneda; entonces como el blockchain es una infraestructura computacional totalmente distribuida, los usuarios participantes en principio alquilan sus ciclos de CPU, siendo esto es un minado de criptomonedas de manera legal. Pero viendo ya la parte ilegal es que los cibercriminales aprovechan esta capacidad de generación de las criptomonedas secuestrando el hardware de equipos, especialmente en ciclos de CPU. Los ciclos de procesador utilizados para generar las criptomonedas consumen una gran cantidad de energía y tienen una mayor huella de carbono que la minería del oro. Esto nos da una idea del gran consumo de energía realizado en el minado de las criptomonedas.
GC: De acuerdo qué hacemos ¿Qué hacemos para protegernos qué hacemos para que esto no suceda? ¿Qué medidas debemos de tomar tanto las empresas cómo los usuarios finales?
JS: Considero que existen dos tipos medidas: las que no cuestan y las medidas que cuestan dinero. Las medidas que no cuestan dinero son: contraseñas fuertes para evitar que sean vulneradas, realización de charlas de concienciación a usuarios administradores de datacenters y redes, corregir las vulnerabilidades de los sistemas y aplicaciones. También, se deben tomar medidas que tienen costo como monitorear el uso de recursos en los datacenters en máquinas virtuales, el consumo de energía y en base a cambios no esperados realizar un análisis del motivo de estos cambios. Otra forma de proteger es utilizando tecnologías que permiten monitorear los sistemas o analizar la memoria de los servidores virtuales empleando protección antimalware, con agente liviano para no afectar el rendimiento de los centros de datos, que incluyan tecnologías de anti exploite, inspección de memoria, maching learning, introspección de procesos que en conjunto constituyen un control avanzado de amenazas desconocidas. También, es posible proteger los datacenters fuera del sistema operativo, es decir a nivel del hypervisor analizando los requerimientos o solicitudes de memoria de las máquinas virtuales analizándolas en escritura, lectura, cambios en la memoria permitiendo bloquear comportamientos anómalos antes de que sean ejecutados en las máquinas virtuales, esto permite tener mayores privilegios de control sobre ataques de dia cero, no solamente de cryptojacking sino también de otras amenazas que podrían surgir a futuro.
GC: Dime el tema de Bitdefender para poder manejar el tema de las máquinas virtuales es independiente del esquema o del proveedor o digamos que nos da el esquema de virtualización transparente para la protección.
JS: Si es transparente podemos proteger diferentes plataformas de hipervisor ya sea Wmware, Citrix, Hyper-V, Redhat KVM, todo esto podemos gestionarlo desde un único centro de control.
GC: totalmente transparente entonces a cualquier marca
JS: Sí totalmente transparente, Bitdefender es el único fabricante que permite integrar diferentes infraestructuras de hipervisor y poder gestionarlas de manera centralizada.
GC: Ya para ir terminando, no sé si desees agregar algo más al tema.
JS: Agradecerte Gustavo por la entrevista por el tiempo y el interés de difundir esta nueva tendencia de ataque de Cryptojacking, que de hecho va afectar a muchas empresas atacándose a los centros de datos. El uso excesivo de ciclo de procesador disminuye el tiempo de vida de los procesadores y en consecuencia se van a requerir mayores mantenimientos, mayores recursos y van a tener que pagar facturas incrementadas por un mayor consumo de energía eléctrica.
Muchas gracias.