Conexiones WiFi maliciosas: Bienvenido a la Conferencia RSA 2019

Conexiones WiFi maliciosas: Bienvenido a la Conferencia RSA 2019

Nicolás Chiaraviglio (@chiconara)

Recientemente escribimos en un blog sobre ataques perpetrados en redes WiFi en barcelona antes y durante el Congreso Mundial Móvil 2019 (MWC). Encontramos una cantidad asombrosa: estimamos más de 7,000 amenazas en menos de cuatro días. Además, el 25 por ciento de esas amenazas se detectaron en hoteles y, de ellas, el 70 por ciento en hoteles de 5 estrellas.

Ahora dirigimos nuestra atención a San Francisco y la RSA de esta semana, una conferencia dedicada a la seguridad de la información. Al igual que el MWC, las empresas más importantes del mundo están representadas en RSA, con una asistencia total de casi 50.000 asistentes: ejecutivos, vendedores y un quién es quién de expertos en seguridad. Para los piratas informáticos, esto representa un tesoro de objetivos para robar información corporativa y personal.

…Pero no hay mucho de qué preocuparse aquí: los asistentes de RSA obviamente son conscientes de la seguridad, ¿verdad? Bien…

Antes de comenzar, un recordatorio: los datos que mostramos se basan solo en teléfonos que utilizan la aplicación zips de Zimperium, la primera aplicación del mundo del sistema de prevención de intrusiones móviles en el dispositivo que brinda protección integral para dispositivos iOS y Android contra red móvil, dispositivo, phishing y ciberataques de aplicaciones.

En Barcelona, ​​encontramos que el aeropuerto era un lugar popular para realizar ataques. Bueno, no es diferente en el aeropuerto SFO:

Todos los días, Zimperium detecta seiscientos millones de eventos de amenazas. Procesamos las amenazas de red más relevantes visibles en Zona de peligro: un mapa en tiempo real que advierte y evita que se conecte a redes WiFi maliciosas. Zona de peligro muestra 14 eventos elevados o críticos registrados en el aeropuerto. Además, esas amenazas estaban en la red WiFi gratuita del aeropuerto (o alguien que pretendía serlo).

Ahora vamos a alejarnos para ver cómo se ve el Área de la Bahía desde la perspectiva de la Zona de peligro:

A medida que revisamos el Área de la Bahía, la Zona de peligro solo muestra eventos con estos criterios:

  1. La amenaza se produjo a menos de un año de la fecha actual.
  2. La severidad de la amenaza debe ser lo que llamamos Crítica o Elevada. Esto significa amenazas en las que el tipo de ataque puede comprometer el dispositivo.
  3. La ubicación GPS completa debe estar disponible desde el dispositivo atacado.

Eliminemos el criterio dos (severidad) y creemos un nuevo mapa con todos los eventos que hemos detectado en el aeropuerto.

Antes de hacerlo, aclaremos qué constituye una amenaza crítica o elevada. Si un atacante está realizando un escaneo para descubrir dispositivos en la red, advertiremos al usuario sobre esto, pero no representa una amenaza crítica por sí solo.

Una vez que el atacante conoce su dispositivo, puede realizar un ataque de intermediario (enrutar todo su tráfico a su propio dispositivo, pudiendo así robar información). Esto se considerará una amenaza crítica ya que la información personal puede verse comprometida. Si un usuario está usando zips, la mayoría de los ataques se evitan mientras se realiza el análisis, pero algunos ataques no comienzan con uno y obtendremos eventos de mayor gravedad. Entonces, agreguemos también al mapa los ataques prevenidos en una etapa temprana.

Entonces, el panorama completo de eventos del Área de la Bahía, y el aeropuerto, se ve así:

Debido a la gran cantidad de eventos registrados, solo mostramos eventos con nombres de red únicos. Incluso haciendo esto, el mapa está cubierto por los marcadores.

Al acercar, la cantidad de marcadores es asombrosa:

Como en el caso de Barcelona, ​​no hay lugar donde esconderse.

RSA se lleva a cabo en Centro Moscone. Si revisamos el área circundante, encontramos esto:

Si ha leído nuestro última publicación, no le sorprende encontrar la red de la conferencia entre los atacados. Nuevamente, si eliminamos el criterio de gravedad, el panorama completo de ataques se ve así:

Consultando el nombre de las redes podemos aprender mucho sobre la ciudad y en qué lugares se producen la mayoría de las amenazas. Lo que nos muestra el panorama de amenazas de San Francisco es:

  • Número total de eventos de red durante el último año: 851.186 (1.998 por día)
  • Eventos registrados en redes con la palabra “hotel” en su SSID: 2.897 (casi 7 por día)
  • Amenazas en la red RSA: 486
  • SSID únicos atacados: 5860

Entre estos eventos, encontramos restaurantes, franquicias de café, restaurantes de comida rápida, hoteles, wifi en aeropuertos, redes abiertas de ciudades (como SFO-Public, SFO Free WIFI -y su versión 5G-), museos, tiendas, grandes oficinas tecnológicas y lo mejor. red descubierta: “the_rickest_rick_5G”.

Si has leído nuestros posts anteriores sobre seguridad WiFi, te habrás dado cuenta de que el número de eventos detectados es mucho mayor que en Barcelona. Esto se debe a que la cantidad de sensores que tenemos en San Francisco es mucho mayor que en Barcelona (debido a la cantidad de usuarios de Zimperium).

Si solo consideramos los ataques que tuvieron lugar desde el sábado 2 de marzo hasta el martes 5 de marzo nos encontramos con esto:

  • Número total de amenazas: 17.345 (3.854 por día)
  • Amenazas en hoteles: 39 (casi 10 por día)
  • SSID únicos atacados: 637
  • Hasta ahora no hemos detectado eventos en la red RSA (buen trabajo equipo RSA)

Si comparamos el número de amenazas en los hoteles, podemos ver que durante RSA, este número aumenta un 40 por ciento. Además, el número total de eventos en la ciudad es un 92 por ciento superior al promedio anual. Esta diferencia se puede explicar por tres factores: el aumento en la cantidad de dispositivos con zips, la estacionalidad anual de los ataques y los eventos que atraen a mucha gente, como RSA.

Dado que tenemos muchos eventos, tiene sentido analizar la distribución temporal de los mismos. Hemos analizado las distribuciones diarias y anuales. El diario se ve así:

Podemos ver como los hackers tienden a estar más activos de 7 pm a 1 am, mientras que los ataques disminuyen de 1 am a 12 pm. Sí, tienes razón… ¡duermen mucho!

La distribución anual es:

La distribución anual de eventos muestra picos que pueden estar relacionados con periodos como congresos, eventos deportivos, festivales, etc. Además, existe una tendencia a detectar más número de amenazas con el tiempo ya que el número de dispositivos con zips instalados también va en aumento. A partir de estos gráficos podemos encontrar los días con mayor y menor número de ataques. En 2018, el día con más eventos fue el 24 de marzo, con 9.679 ataques. En cambio, el 7 de octubre se registraron “solo” 68 eventos.

Otro hecho interesante sobre los eventos es la ondulación que se puede observar en el gráfico. Si estás pensando en los días de la semana, tienes razón de nuevo. Como era de esperar, durante el fin de semana el número de eventos se reduce drásticamente. El número promedio de amenazas por día de la semana se puede encontrar en el siguiente gráfico:

Una posible razón de este comportamiento es que durante los días laborales las personas tienden a conectarse a más redes WiFi (cuando van a almorzar, por ejemplo). En este caso, las corporaciones deben ser conscientes de lo importante que es proteger a sus trabajadores en sus actividades diarias.

Lo mejor que puedes hacer para evitar ser atacado es evitar todas las conexiones posibles. No puedes amenazar lo que no puedes ver. Pero seamos realistas, estamos en línea las 24 horas del día, los 7 días de la semana y eso no es realista. Entonces, ¿qué más podemos hacer?

  1. Configure los dispositivos para que no se conecten automáticamente a redes conocidas. Esto se puede hacer fácilmente en iOS, pero en Android tiene que hacerse para cada red. Una solución consiste en eliminar periódicamente las redes conocidas.
  2. No se conecte a redes Wi-Fi abiertas o redes que utilicen protocolos de encriptación débiles.
  3. Si te conectas a estas redes de todos modos, evita actividades que involucren credenciales (correo electrónico, redes sociales, bancos, etc.). Esto no evitará que los piratas informáticos vean el tráfico, pero no se puede acceder a las credenciales rastreando el tráfico (aunque los piratas informáticos aún pueden realizar otros tipos de ataques, como dirigir al usuario a un sitio web malicioso en el que se puede engañar al usuario para que instale software malicioso). aplicaciones, etc.).
  4. Use una VPN que encriptará el tráfico y le mostrará al atacante un buen conjunto de caracteres sin sentido. Dicho esto, las VPN no protegerán contra la detección de malware, anomalías en los procesos, ataques de phishing, dispositivos comprometidos y perfiles maliciosos.

Si desea saber más sobre seguridad móvil, visítenos en RSA (stand N4410), vaya a nuestro sitio web: www.zimperium.como envíenos un correo electrónico a [email protected].

Deja un comentario