Augmenten els fraus a través de la telefonia

phone-1610190_640

A mesura que evoluciona la societat, augmenta la dependència de la tecnologia de les telecomunicacions. Els delinqüents cibernètics aprofiten l’ús extensiu dels dispositius electrònics i cerquen contínuament noves maneres d’explotar les vulnerabilitats i accedir a la informació. Per tant, la cooperació i l’intercanvi d’informació entre les policies i el sector privat s’han convertit en un element essencial en la lluita contra aquest tipus de delinqüència.

Un exemple d’aquesta col·laboració és l’informe conjunt Cyber-Telecom Crime 2019, publicat per Europol i Trend Micro. L’informe ofereix una visió general de com funciona el frau de les telecomunicacions i serveix de guia tècnica als grups d’interès de la indústria de les telecomunicacions.

Aquest informe posa de manifest que el frau en l’àmbit de les telecomunicacions s’està convertint en una alternativa de baix risc al delicte financer tradicional. El cost reduït que té i l’augment de la disponibilitat d’equips de pirateria informàtica fan que aquest tipus de frau augmenti. Es calcula que el cost del frau en el món de les telecomunicacions és de 29.000 milions d’euros anuals.

L’objectiu principal dels delinqüents és accedir als comptes dels clients o de les companyies, des d’on es pot generar deute a favor del criminal.
Els mètodes més habituals es poden dividir en diferents categories, que van des del frau fins a les estafes altament sofisticades:

– Trucades de vishing –una combinació de les paraules Voice and Phishing– és una estafa telefònica en la qual els defraudadors enganyen les víctimes perquè divulguin la seva informació personal, financera o de seguretat o bé els forcen a transferir-los diners.

– Un anell o Wangiri japonès és una estafa telefònica on els criminals enganyen les víctimes marcant números de tarifa addicional. Un defraudador configura un sistema per marcar un gran nombre de números de telèfon aleatoris. Cada trucada sona només una vegada i després es penja, fet que deixa una trucada perduda als telèfons dels destinataris. Sovint, els usuaris veuen la trucada perduda i, considerant que és legítim, tornen a trucar al número de tarifa fraudulenta.

– El frau internacional per a la distribució d’ingressos ha estat l’esquema de frau més perjudicial fins avui. Es tracta de transferir el valor monetari d’un operador a un altre, basant-se en la confiança entre operadors de telecomunicacions. Els defraudadors esperen que els registres caduquin abans d’executar altres passos de blanqueig de diners.

El grup de treball Europol EC3 CyTel, creat el 2018, reuneix més de 70 experts policials i socis globals de la indústria de les telecomunicacions, amb l’objectiu de compartir informació, coneixements i experiències i les tècniques necessàries per combatre aquest tipus de frau.

_____

Esta entrada en español / This post in English / Post en français

Les amenaces de les impressions 3D

La fabricació additiva, Additive manufacturing (AM), altrament coneguda com a impressió 3D, és una classe de tecnologia emergent amb una implicació en la seguretat tant local com internacional.

Segons RAND Corporations aquest tipus d’invenció suposaria una amenaça en un futur pròxim en temes de seguretat, com per exemple la proliferació d’armes i la inseguretat econòmica. Hi ha alguns exemples de com aquestes impressions poden suposar una amenaça per a la nostra seguretat:

  • Els hackers poden infiltrar-se en les bases de dades de grans xarxes d’intel·ligència per robar els plànols de les armes o tot allò que hi estigui relacionat. També poden interferir en els plànols reals per implementar defectes en el producte. Com a resultat, hi hauria un sabotatge cibernètic amb conseqüències per al món físic. Per combatre-ho s’està desenvolupant un algoritme informàtic per detectar si hi ha alguna desviació durant el procés d’impressió del producte final.
  • Poden donar peu a nous criminals i noves amenaces. Als Estats Units ja s’ha creat una nova arma, l’anomenada Rapid Additively Manufactured Ballistics Ordenance o RAMBO, que dispara granades també fetes amb la impressió 3D. Els analistes temen que els grups terroristes aconsegueixin aquest tipus de tecnologia i que l’apliquin en drons o explosius. Amb els recursos, l’organització i el temps suficient els atacants poden fer-se amb una impressora 3D, depositar-la en un lloc segur i començar a construir tot tipus d’armes. A més, serà molt més difícil de rastrejar grups terroristes. Però, segons investigadors de RAND, no només les armes són una amenaça, sinó també la producció i distribució de drogues, enteses com a impressions químiques personalitzades.
  • Pot haver-hi un canvi de joc en les relacions internacionals. Seria el cas de les sancions econòmiques i els embargaments, que esdevindrien menys efectius. És a dir, si un Estat pot imprimir tot allò que necessita, l’objectiu de la sanció és més aviat inútil. “Les impressions 3D podrien donar suport indirectament a l’existència d’estats com Corea del Nord, el qual no patiria els costos imposats per la comunitat internacional”- Investigadors de RAND.

De totes maneres, les impressions 3D no només suposen una amenaça, sinó que també hi ha alguns efectes positius en la seva creació. Per exemple, les impressions 3D poden cobrir necessitats reals de maneres desconegudes fins ara. Com ha estat el cas d’un terratrèmol a un poble del Nepal, on el desastre natural va destruir una canonada d’aigua que abastia el poble. A través de la impressió 3D es va poder reconstruir i reduir el desastre.

Fonts d’interès:

https://www.rand.org/pubs/perspectives/PE283.html

https://www.rand.org/blog/articles/2018/05/four-ways-3d-printing-may-threaten-security.html

https://www.vox.com/2018/7/31/17634558/3d-printed-guns-trump-cody-wilson-defcad

_____

Esta entrada en español / This post in English / Post en français

 

Els desafiaments de seguretat de la Internet de les Coses

El nostre món ja està hiperconnectat. Les estimacions actuals són que hi ha al voltant de 10 mil milions de dispositius electrònics amb accés a Internet i que, com a mínim, es duplicarà el nombre d’usuaris el 2020. A més dels nombrosos avantatges i oportunitats, també s’ha creat la capacitat emergent dels dispositius connectats per impactar en el món físic, amb un nou conjunt de vulnerabilitats i possibilitats d’explotació per part dels delinqüents.

Per fer front a aquestes vulnerabilitats, afrontar-les de manera efectiva i comprendre el gran potencial que ofereix, ENISA i Europol van reunir el passat octubre prop de 300 experts del sector privat, de la comunitat de seguretat, de l’aplicació de la llei, de la comunitat europea d’equips de resposta a incidents informàtics (CSIRT) i de l’àmbit acadèmic.

Entre les conclusions de les jornades cal destacar:

  • La seguretat no hauria de ser una reflexió posterior en dissenyar sistemes, i els sistemes Internet de les Coses –IoT, d’Internet of Things– no en són una excepció.
  • La implementació de seguretat no ha de ser complicada.
  • Les forces policials han d’estar en condicions d’anar més enllà de la resposta de defensa i incidència mitjançant la possibilitat d’investigar i perseguir els delinqüents que abusen dels dispositius connectats.
  • Cal parlar de forenses digitals pel que fa a la IoT i la importància de la protecció de dades i privadesa, tenint en compte la importància i les diferents categories de dades recopilades per la IoT.
  • La IoT té un gran potencial i ofereix grans oportunitats per millorar la nostra manera d’interactuar.
  • El 2019 i més enllà, cal promoure solucions de seguretat holístiques, pragmàtiques, pràctiques i econòmicament viables, i cal tenir en compte tot l’ecosistema de la IoT.

La IoT té molts avantatges a nivell policial com a nova eina per lluitar contra el crim. La policia ja està utilitzant dispositius connectats com ara càmeres intel·ligents per a grans esdeveniments i per combatre robatoris, sensors en armes de foc per fer un seguiment de quan i amb quina freqüència s’utilitzen, etc. És important que l’aplicació de la llei també inverteixi en la seguretat dels seus dispositius connectats amb la IoT, per protegir la privadesa dels ciutadans per als quals treballa.

Les escenes de delictes estan canviant a causa de la IoT: les dades de les portes, càmeres, termòstats, frigorífics, etc. poden proporcionar evidències útils i crucials. Les tècniques i la formació forenses necessàries hauran de ser utilitzades per salvaguardar aquestes dades. Les grans dades recopilades pels dispositius IoT, per exemple, per al reconeixement facial de les imatges de la càmera després d’un incident important esdevindran part integrant d’una investigació criminal, però també requereixen els mitjans necessaris per protegir la privadesa dels ciutadans.

https://notesdeseguretat.blog.gencat.cat/2017/11/27/internet-de-les-coses-quan-els-electrodomestics-es-converteixen-en-objectiu-dels-ciberatacs/

_____

Esta entrada en español / This post in English / Post en français

Les fake news, un nou repte

Actualment internet ens obre un món immens de contingut informatiu al qual estem exposats constantment. Les informacions apareixen sense parar a les plataformes digitals, entre les quals destaquen les xarxes socials i de missatgeria instantània. Entre tant transvasament d’informació, nombrosos usuaris difonen fake news [1].

Les notícies falses tenen per objectiu la transmissió d’informació totalment o parcialment falsa. Es poden elaborar a partir de continguts falsos que no tenen cap relació amb un fet real, a partir de continguts reals tergiversats per obtenir un significat diferent, o amb informacions extretes de webs satírics o a partir de la construcció de notícies falses que després es difonen com a reals.

Casos assenyalats

A punt de les eleccions presidencials dels Estats Units el 2016, es va llançar una fake new per perjudicar la imatge de la candidata demòcrata en la qual, suposadament, Wikileaks confirmava que Hillary Clinton era responsable de la venda d’armes al grup terrorista Estat Islàmic. Aquest fet, que va tenir lloc un mes abans de la celebració de les eleccions, va suposar un cop dur per al partit demòcrata i va poder influir en l’opinió pública dels ciutadans del país.

A Espanya, notícies falses com la del retorn del servei militar obligatori van causar l’enrenou dels usuaris a les xarxes, que es posicionaven en contra d’aquesta mesura. La notícia, que es desmentia posteriorment a través de ‘Maldito Bulo’ [2], per exemple, va mantenir els ciutadans en una situació d’incertesa que es va estendre ràpidament a través de les plataformes informatives.

Així mateix, hi ha àmplia presència de fake news en qüestions de gènere. El Consell de l’Audiovisual de Catalunya va emetre l’informe 13/2018 el mes de març, que presentava un estudi sobre les fake news que es llancen a la xarxa sobre qüestions de gènere i feia l’anàlisi de diverses notícies. Algunes d’aquestes van ser: ‘El govern d’Islàndia pagarà als homes que es casin amb una dona islandesa’, ‘La Universitat d’Oxford donarà més temps a les dones per fer els exàmens’ o ‘Científics saudites confirmen que la dona és un mamífer però no és humana’. L’informe conclou afirmant que les notícies falses construeixen arguments que susciten la inferioritat de les dones, discursos contraris a les polítiques de gènere i elements que desautoritzen moviments per la igualtat de les dones.

Possibles afectacions de les fake news

Les fake news, que tenen protagonisme en diferents àmbits com la política o l’economia, entre d’altres, incideixen en el modus vivendi, els estats d’opinió i les decisions de la població, ja que tenen un alt grau de viralitat i expandeixen continguts que es consumeixen al moment, en qualsevol lloc, a través de la connexió a internet. Si poden afectar el resultat d’unes eleccions, contrarestar determinades polítiques o crear incertesa entre la població, de quina manera impacten les fake news en la seguretat? Seria convenient que accedissin a l’agenda legislativa estatal o seria millor crear un manual de bones pràctiques global per educar els ciutadans en el consum d’informació verídica i contrastada? Són els nous escenaris que s’obren davant l’era d’internet, la globalització i les noves tecnologies, que evolucionen cada vegada més ràpid tant en quantitat com en qualitat.

[1] Fake new: Informació totalment o parcialment falsa que s’adopta com a notícia i és present en plataformes de diferents tipologies.

[2] Maldito Bulo: Part del projecte periodístic de maldita.es a fi de donar eines als lectors a través de les quals puguin distingir una fake new.

_____

Esta entrada en español / This post in English / Post en français

Universitats nord-americanes construiran una base de dades sobre els tirotejos a les escoles

Després del tiroteig a l’escola de Kentucky el mes de gener de 2018, que ha estat seguit posteriorment per un altre de més letal a Florida, s’ha posat en marxa un projecte per crear una base de dades nacional sobre incidents d’aquest tipus. El finança l’Institut Nacional de Justícia i serà dut a terme per tres universitats: el John Jay College de Nova York, la Universitat de Texas a Dallas i la Universitat de l’Estat de Michigan. El director del projecte és el professor Joshua Freilich, de la primera de les institucions esmentades. La base de dades resultant haurà d’incloure no únicament els incidents amb resultat de mort, sinó també aquells que han causat ferits i els actes suïcides esdevinguts en el context escolar.

Malgrat la gran despesa dedicada als estudis sobre violència escolar des de l’any 2012 (actualment reduïda pel president Trump), fins ara un dels problemes fonamentals per articular polítiques preventives ha estat la manca de dades empíriques sobre la violència escolar als Estats Units. És absolutament necessari recollir i treballar de manera objectiva les dades de tots els incidents d’aquesta mena per analitzar-ne els contextos i identificar factors i perfils de risc.

La base de dades inclourà tots els tirotejos coneguts a les escoles des del 1990 fins al 31 de desembre de 2016, sempre que hagin tingut com a resultat almenys un ferit. Els objectius són:

  • Documentar la naturalesa del problema i aclarir quin tipus d’incidents amb tirotejos han tingut lloc a les escoles.
  • Construir un perfil complet dels autors i proposar indicadors causals per valorar si els incidents individuals i els massius són comparables.
  • Comparar incidents amb resultats fatals i no fatals intentant identificar accions que podrien utilitzar-se per reduir els danys causats pels tirotejos.

La base de dades es publicarà la primavera de l’any 2019, i s’espera obtenir-ne un coneixement més fonamentat de les raons que afavoreixen aquests incidents, així com una valoració de les estratègies adreçades a incrementar la seguretat a les escoles.

_____

Esta entrada en español / This post in English / Post en français

Els Estats Units d’Amèrica estableixen protocols per a l’ús de les eines de reconeixement facial

Face recognitionLes tecnologies de reconeixement facial són una de les eines desenvolupades en els darrers anys que més clarament poden donar suport a les tasques policials. Tanmateix, a l’hora d’adoptar-les, s’han de tenir en compte molts condicionants, tant des del punt de vista legal (principalment per l’afectació a qüestions de privacitat en el moment de recollida, emmagatzematge i tractament de les imatges), com des del punt de vista tècnic (la precisió de la identificació o la seguretat dels sistemes que les fan servir, entre d’altres). El Departament de Justícia dels Estats Units ha elaborat i posat a disposició de les policies d’aquell país una plantilla per posar en marxa aquests sistemes, especialment enfocada a les qüestions relatives a la privacitat.

Un dels motius és que les mancances en el desenvolupament i la implantació d’aquests sistemes, i les disfuncions a l’hora d’utilitzar-los, poden implicar uns riscos potencials molt alts, tant en l’àmbit de la responsabilitat civil com en una percepció negativa per part de la ciutadania. A més, atès que la normativa dels EUA aplicable a aquests sistemes és dispersa i complicada, el Departament de Justícia vol que es redueixin aquests riscos relacionats amb la privacitat, a més d’establir uns elements mínims o comuns sobre àmbits com ara la formació i l’entrenament dels seus usuaris, així com sobre la supervisió i responsabilitat de les entitats.

El document inclou un primer apartat introductori amb un repàs de les tecnologies de reconeixement facial, la utilització del document i una llista de recursos (tant pel que fa a les qüestions tècniques com a aspectes legals i altres recursos complementaris). La part principal del document és una plantilla a partir de la qual les agències o entitats que vulguin posar en marxa algun sistema o programa de reconeixement facial tinguin coberts la majoria dels casos previstos. En alguns casos, només hauran de copiar i enganxar el contingut i afegir els noms de les entitats de referència, i, en d’altres, la plantilla recull diversos supòsits per tal que les entitats o agències triïn aquella que millor s’adeqüi a les seves circumstàncies i necessitats o al sistema que vulguin posar en marxa.

Els apartats que es recullen fan referència a qüestions de motivació, de normativa, d’utilització dels sistemes i de la informació que se n’obtingui, de tractament de la informació, de responsabilitat i de formació dels usuaris.

_____

Esta entrada en español / This post in English / Post en français

 

Ciberamenaces i delicte cibernètic: tendències emergents

Els atacs ransomware han protagonitzat el panorama d’amenaces actuals, seguits d’un augment massiu de phishing, bots maliciosos i exploits

ENISA és una agència de coneixements especialitzats per a la seguretat cibernètica a Europa, que va néixer l’any 2004 amb l’objectiu d’assessorar el sector privat i els països membres quant a la prevenció, detecció i resposta als problemes de seguretat de la informació mitjançant la sensibilització sobre les xarxes.

A començaments d’any, ENISA va publicar l’informe sobre l’escenari de les amenaces cibernètiques del 2017, el sisè que publica en aquesta àrea. L’informe ve acompanyat de novetats, com la creació del web ETL, el primer esdeveniment en l’àrea d’intel·ligència d’amenaces cibernètiques i el desenvolupament de la primera versió del “CTI maturity model” per identificar les deficiències en les eines actuals a l’hora de compartir informació sobre amenaces, i que continuarà durant el 2018.

L’informe recull que les tendències actuals estan protagonitzades per la complexitat i sofisticació dels atacs cibernètics, un anonimat més gran dels atacants, la transformació d’infraestructures malicioses per fer funcions multipropòsits, la monetització del delicte cibernètic com a motiu principal dels agents d’amenaces i l’entrada dinàmica de la guerra cibernètica al ciberespai.

Els atacs ransomware han protagonitzat el panorama actual d’amenaces. Aquest darrer any es van detectar vora de 4 milions de mostres ransomware al dia. A més, navegadors coneguts, com Firefox i Chrome, estan reforçant la seva seguretat a causa de l’aparició de 22 milions d’exemplars nous de malware el primer trimestre del 2017. Mac, Linux i Windows també són objectiu del ransomware. Aquest últim va veure un augment del 20% l’any 2017, arribant a xifres del 75% d’atacs d’aquest tipus el mes de juliol. La major part del malware financer continua depenent dels atacs basats en el web, ja que busquen les febleses en els navegadors.

El brot ‘WanaCry’, que va tenir lloc el 12 de maig del 2017, és un exemple de com poden combinar-se el ransomware i els atacs de denegació de serveis (DDoS). Hi ha hagut un augment en els intents d’extorsió amb atacs DDoS, on el preu del rescat oscil·la entre 5 i 200 bitcoins. A més, han crescut encara més des de la pujada del valor d’aquesta moneda virtual el juny del 2017. El sector més atacat ha estat la indústria del joc, amb el 80% dels atacs. El primer trimestre del 2017, hi va haver un augment del 69,2% de l’ús de programari maliciós, i algunes eines van aprofitar el phishing en correus electrònics per transformar els dispositius en bots.

El phishing ha augmentat  en volum i sofisticació. És àmpliament utilitzat com el primer pas d’un atac cibernètic i fa servir enginyeria social per obtenir informació confidencial de forma fraudulenta. Segons les investigacions recents, “cada mes es creen una mitjana de 1.385 milions de webs phishing”. Destaca, amb un 40%, la modalitat spear-phishing, a través de correu electrònic, contra persones o empreses específiques per obtenir diners o fer espionatge cibernètic.

Els exploit kits tenen la capacitat d’identificar vulnerabilitats al navegador o a l’aplicació web i d’explotar-les automàticament. S’acostumen a orientar a complements de navegador com Java i Adobe Flash. Actualment es l’única de les amenaces que recull l’informe del 2017 que ha mostrat una disminució dels atacs.

L’informe conclou que, degut a les noves pràctiques d’atac, les noves tecnologies hauran de desenvolupar nous controls i indicadors clau de rendiment (KPI) per minimitzar el risc dels organismes quant a la intel·ligència d’amenaces cibernètiques. Així mateix, remarca la importància de desenvolupar polítiques tècniques i legals sobre aquest fenomen canviant d’amenaces i delictes cibernètics.

_____

Esta entrada en español / This post in English / Post en français

Predvol, l’eina de la policia francesa que prediu les zones amb risc de robatori de vehicles, millora l’operativa policial

L’any 2015, l’Equip de l’Administrador General de Dades (AGD) al si de la Direcció Interministerial Digital i del Sistema d’Informació i Comunicació de l’Estat francès (DINSIC),[1] va desenvolupar, en col·laboració amb el Servei de Tecnologies i de Sistemes d’Informació de la Seguretat Interior (ST(SI),2 un model de predicció dels robatoris relacionats amb vehicles. Aquesta col·laboració ha permès crear el Predvol, una eina per ajudar en la presa de decisions dels policies que prediu diàriament el risc de robatoris, presenta un històric dels robatoris i una classificació dels barris en funció del tipus d’infraccions que hi tenen lloc.

Predvol s’ha optimitzat per ser utilitzat amb tauleta tàctil i s’ha posat en pràctica al departament francès d’Oise (al nord del país), especialment exposat als robatoris de vehicles. Concretament, els gendarmes l’han incorporat com una eina per a la presa de decisions i l’han testat a la ciutat de Compiègne (una de les principals ciutats d’Oise) a partir de maig del 2016. Així mateix, la brigada anticriminalitat de la Direcció Departamental de Seguretat Pública de la policia nacional la va testar a la ciutat de Beauvais, la capital del departament.

Aquest programa és una eina predictiva[2] que utilitza un gran nombre de variables i algoritmes que permeten seleccionar quines de les variables són els millors predictors per anticipar els robatoris de vehicles.

Després de sis mesos d’experimentació, una de les conclusions ha estat que l’atenció dels operatius s’orientava no tant a les prediccions dels robatoris diaris, sinó a la visualització dels fets esdevinguts. És a dir, les prediccions eren molt eficaces, però només confirmaven les zones de risc ja conegudes pels operatius; en canvi, la simple representació dels incidents sobre un mapa implicava millores en el servei diari. Aquesta constatació va propiciar la introducció de millores en la visualització de les infraccions. La visualització de les infraccions des del moment que són denunciades afavoreix que els policies recullin dades de qualitat i proporciona uns millors resultats en l’operativa policial.

Per ampliar la informació vegeu: https://agd.data.gouv.fr/2018/01/12/predire-les-vols-de-voitures/.

[1] La DINSIC està sota l’autoritat del primer ministre al si de l’Administració pública francesa encarregada de coordinar les accions de les administracions en matèria de sistemes d’informació. http://www.modernisation.gouv.fr/mots-cle/dinsic; https://lannuaire.service-public.fr/gouvernement/administration-centrale-ou-ministere_194230

[2] Altres models predictius: “regressió logística”, “bosc aleatori”, XGBoost, Boosting, PredPol (predictive policing), mapes de calor evolutius…

_____

Esta entrada en español / This post in English / Post en français

 

El pirata de les habitacions d’hotel

Avui publiquem al blog una entrada diferent: recollim una història singular que pensem que pot ajudar a reflexionar sobre alguns aspectes de la seguretat i de la qual podem obtenir alguns aprenentatges.

L’any 2012, l’analista de seguretat Cody Brocious va descobrir una vulnerabilitat que afectava els panys electrònics de la marca Onity, instal·lats a les portes de multitud d’hotels d’arreu del món, i va crear un petit dispositiu portàtil amb el qual es podien arribar a obrir 10 milions de portes d’hotel.

La troballa, a més de ser comunicada a l’empresa, va ser difosa en fòrums especialitzats en hackers i seguretat informàtica, i algun mitjà de comunicació com ara el periodista Andy Greenberg, de la revista Forbes se’n va fer ressò. Malgrat aquestes comunicacions i que a internet es van replicar demostracions sobre diferents dispositius, cada vegada més petits, que eren capaços d’aprofitar aquesta vulnerabilitat, l’empresa va trigar a reaccionar i molts hotels no van voler canviar els panys que havien esdevinguts insegurs.

Aaron Cashatt, un jove d’Arizona amb problemes amb les drogues, una breu carrera criminal i coneixements d’informàtica i electrònica, va veure un programa de televisió en què s’explicava com piratejar els panys de les habitacions d’hotel. L’estiu del 2012, amb una inversió d’uns 50 dòlars, va poder replicar el dispositiu i ho va provar en un hotel, d’on va sostreure unes quantes tovalloles. Veient-ne l’efectivitat, va anar perfeccionant els seus cops, augmentant el valor dels objectes sostrets primer, televisors i equipaments de les habitacions i, més endavant, pertinences de les persones allotjades i perfeccionant l’eina que li permetia accedir a les habitacions sense deixar rastre. Durant més d’un any, les autoritats policials d’Arizona i d’altres estats veïns com Ohio o Califòrnia van estar perseguint un fantasma que entrava a les habitacions d’hotel sense deixar rastre. I, malgrat haver estat detingut i breument empresonat per delictes anteriors, no va ser fins l’estiu del 2013 que el van poder relacionar amb els prop de 100 delictes que havia comès durant aquell temps, i finalment va acabar detingut, condemnat i empresonat per aquests robatoris a hotels.

Greenberg va publicar a la revista Wired la història de Cashatt l’estiu del 2017 i, malgrat que no tenia coneixements d’informàtica, va poder replicar també l’eina ideada per Brocious. Va intentar fer servir el dispositiu en quatre hotels diferents s’hi allotjava a les habitacions que intentava forçar per evitar cometre cap delicte i, sorprenentment, després de cinc anys que es conegués la vulnerabilitat dels panys Onity, el dispositiu li va funcionar en una de les habitacions.

Aquesta història ens permet reflexionar, entre d’altres, sobre alguns aspectes:

  • La multitud d’actors amb responsabilitat sobre la seguretat: en aquest cas, policia, hotels, fabricants de panys… i pirates informàtics que descobreixen la vulnerabilitat.
  • La importància d’implementar mesures un cop es descobreixen les vulnerabilitats. Cashatt va estar un any explotant la vulnerabilitat descoberta per Brocious i Greenberg va demostrar que, cinc anys més tard, encara suposava un risc per als establiments que no havien canviat ni actualitzat els panys.
  • La necessitat de seguir les informacions relacionades amb la seguretat. Malgrat que s’havia comunicat públicament i difós pels mitjans de comunicació, els cossos policials no van descobrir el modus operandi de Cashatt fins que el van detenir i li van trobar els dispositius que feia servir per entrar a les habitacions.

_____

Esta entrada en español / This post in English / Post en français

Internet de les coses: quan els electrodomèstics es converteixen en objectiu dels ciberatacs

Amb un mínim de 20 mil milions de dispositius que es preveu que estiguin connectats a internet l’any 2020, la internet de les coses ha arribat per quedar-se. Tot i que té molts efectes positius innegables, les amenaces i els riscos relacionats són múltiples i evolucionen molt ràpidament.

Per aquest motiu, l’ENISA (agència europea per a la seguretat de la xarxa i la informació) i l’Europol han unit esforços per fer front a aquests desafiaments de seguretat juntament amb membres del sector privat, la comunitat de seguretat i policia, l’Equip de resposta a incidents d’informàtica (CSIRT), la ciutadania i el món acadèmic.

La internet de les coses és un ecosistema ampli i divers en què els dispositius i serveis interconnectats recopilen, intercanvien i processen dades per adaptar-se dinàmicament a un context. Això fa que les nostres càmeres, televisors, rentadores i sistemes de calefacció siguin “intel·ligents” i creïn noves oportunitats per a la nostra manera de treballar, interactuar i comunicar, i que els dispositius reaccionin i s’adaptin a nosaltres.

És important entendre la necessitat d’assegurar aquests dispositius connectats i desenvolupar i implementar mesures de seguretat adequades per protegir la internet de les coses contra les amenaces cibernètiques. Més enllà de les mesures tècniques, l’adopció de la internet de les coses ha plantejat molts reptes jurídics i normatius, que són nous i d’un abast ampli i complex. Per fer front a aquests reptes, és fonamental la cooperació entre diferents sectors i diferents actors.

El treball de l’Europol, juntament amb la voluntat de tots els actors internacionals pertinents d’assegurar que els nombrosos beneficis de la internet de les coses es puguin realitzar plenament, aborden conjuntament els reptes de la seguretat i la lluita contra l’ús il·legal d’aquests dispositius, fent que el ciberespai sigui un lloc més segur per a tot:

  • La necessitat d’una major cooperació i participació de múltiples grups d’interès per abordar la interoperabilitat, així com els problemes de seguretat, especialment amb el desenvolupament emergent de la indústria 4.0, els vehicles autònoms i l’arribada de la 5G.
  • Com que el dispositiu final pot arribar a ser tècnicament difícil i costós d’aconseguir, l’enfocament ha de ser, per tant, assegurar l’arquitectura i la infraestructura subjacent, creant confiança i seguretat en diferents xarxes i dominis.
  • Hi ha la necessitat de crear incentius més forts per abordar els problemes de seguretat relacionats amb la internet de les coses. Això requereix aconseguir un equilibri òptim entre l’oportunitat i el risc en un mercat on predomina la gran escalabilitat i el temps de mercat, posicionant la seguretat com un avantatge comercial diferenciador.
  • Per investigar eficientment i eficaçment l’abús criminal de la internet de les coses, la dissuasió és una altra dimensió que requereix una forta cooperació entre l’aplicació de la llei, la comunitat CSIRT, la comunitat de seguretat i el poder judicial.
  • Això crea una necessitat urgent d’aplicar la llei per desenvolupar les habilitats tècniques i l’experiència necessària per combatre amb èxit la lluita contra el cibercrim relacionat amb la internet de les coses.
  • Aquests esforços s’han de complementar augmentant la consciència dels usuaris finals sobre els riscos de seguretat dels dispositius.
  • Aprofitant les iniciatives i els marcs existents, es requereix un enfocament multidisciplinari que combini i complementi les accions en l’àmbit legislatiu, regulador i polític, i el nivell tècnic per assegurar l’ecosistema de la internet de les coses.

Apunt relacionat: Quines són les principals amenaces i tendències de la delinqüència a internet?

Esta entrada en español / This post in English / Post en français