En este episodio, Alex Scroxton se une a Caroline Donnelly, Clare McDonald y Brian McKenna para analizar la vulnerabilidad de Log4j y la creciente presión de Rusia sobre Ucrania. También se discuten los ataques cibernéticos a empresas paraguas, la neurodiversidad y la basura en el espacio.
En diciembre de 2021, los profesionales de seguridad de TI se arrancaron los pelos por la vulnerabilidad de Log4Shell. Alex explica qué es y por qué es importante: está en toda la web, puede ser difícil encontrar parches y es fácil de explotar para los atacantes en una variedad de formas.
El error de día cero, que se rastrea como CVE-2021-44228, se hizo público a principios de diciembre, aunque parece que estuvo siendo explotado durante algún tiempo antes. Descubierta por primera vez en Minecraft, es una vulnerabilidad de ejecución remota de código (RCE) que, si no se mitiga, permite a un atacante ejecutar código Java arbitrario para tomar el control de un servidor de destino. Se considera casi ridículamente fácil de explotar.
Un grupo de atacantes que lo aprovechó fue una banda de bielorrusos simpatizantes de Rusia, que lo utilizaron, entre otras armas, para atacar sitios web gubernamentales y civiles de Ucrania.
Como informó Bill Goodwin en Computer Weekly, se descubrió malware malicioso que se hacía pasar por ransomware en sistemas informáticos en Ucrania luego de un ataque de piratería el viernes 14 de enero que apuntó a más de 70 sitios web gubernamentales. El Banco Nacional de Ucrania también fue atacado.
Los expertos en seguridad cibernética continúan analizando el malware WhisperGate utilizado en los ataques cibernéticos contra los objetivos del gobierno ucraniano. WhisperGate se hace pasar por ransomware pero, en lugar de cifrar datos, se dirige antideportivamente al registro de arranque maestro de un sistema para su destrucción.
Alex señala la especulación de que los partidarios cibernéticos de Vladimir Putin podrían haber “acumulado” explotaciones de vulnerabilidades listas para usar en una guerra cibernética a gran escala contra Ucrania que bien podría arañar a los países de la OTAN en sus fauces. Sin embargo, por el momento, también señala que los profesionales de la comunidad cibernética abogan por una “respuesta racional y sensata” a las implicaciones cibernéticas de la actual escalada de tensiones entre la OTAN y Rusia por Ucrania.
Ciberataques a empresas paraguas
Aunque tal vez menos exóticos que la guerra cibernética en las tierras eslavas, los ataques cibernéticos a empresas paraguas en el Reino Unido son, no obstante, inquietantes y muy dañinos para los medios de subsistencia de los contratistas.
Entonces, Caroline pasa el podcast a una discusión sobre una serie de ataques recientes contra empresas que procesan la nómina de contratistas que brindan sus servicios a través de una agencia de empleo a clientes finales en el sector público o privado. Brinda una excelente descripción y un análisis complejo de esta historia en curso en la edición del 8 al 14 de febrero de Computer Weekly, también disponible aquí.
En el podcast, narra cómo se desarrollaron los ataques en la última parte de 2021, entrando en el primer mes de 2022. La empresa paraguas Giant Group se vio obligada a suspender “proactivamente” todas sus operaciones desde el miércoles 22 de septiembre de 2021 tras el descubrimiento de “sospechosos”. actividad” en su red que se atribuyó a un “ataque cibernético sofisticado”. En enero de 2022, el proveedor de servicios de nómina de contratistas Brookson Group dijo que había sufrido un ataque cibernético “extremadamente agresivo” que provocó que se autoinformara al Centro Nacional de Seguridad Cibernética del Reino Unido. Y en el mismo mes, la empresa paraguas Parasol declaró que la causa raíz de una interrupción continua de los sistemas que arruinó las vidas de miles de contratistas estaba vinculada a una “actividad maliciosa” en su red.
Hay unas 500 empresas paraguas que gestionan el pago de unos 600 000 contratistas en nombre de 40 000 agencias de empleo. Como comenta Caroline en el podcast, esto genera una cadena de suministro laboral y financiera que parece haberse vuelto atractiva para los ciberdelincuentes, en una región de la economía que ha sido relativamente oscura hasta hace poco, con la prominencia de las reformas IR35. También es algo así como un “salvaje oeste”. En diciembre de 2021, HM Revenue & Customs, en colaboración con HM Treasury y el Departamento de Estrategia Empresarial, Energética e Industrial, anunció el lanzamiento de una consulta, que se extenderá hasta el 22 de febrero, sobre cómo funciona el mercado paraguas.
Y el All-Party Parliamentary Loan Charge and Taxpayer Fairness Group se ha hecho eco de los llamados del Loan Charge Action Group para la regulación de la industria paraguas en una carta dirigida al CEO de Freelancer and Contractor Service Association (FCSA), Chris Bryce. La carta hace referencia a informes de empresas acreditadas por la FCSA, como Giant, Parasol y Brookson, que son objeto de ciberataques.
Neuro-diversidad
Ha sido un tema habitual del podcast que la seguridad cibernética y la TI en general se benefician de una fuerza laboral más neurodiversa.
Clare pasa el podcast a una de sus historias recientes sobre el lanzamiento de un Centro de Excelencia Neuro-Diverso de la firma de servicios profesionales EY en Manchester.
Los Centros de excelencia neurodiversos de EY, de los cuales ya tiene seis establecidos, están diseñados para crear un entorno inclusivo para los empleados con afecciones como autismo, TDAH y dislexia. La historia de Clare cita datos de la Oficina de Estadísticas Nacionales que indican que aproximadamente el 22 % de los adultos con autismo en el Reino Unido están desempleados, lo cual es un desperdicio de talento impactante.
“Las personas que piensan de manera diferente a menudo pueden encontrar soluciones creativas a problemas que tal vez no hayan pasado por la mente de otra persona”, dice ella.
Clare y Alex continúan discutiendo un artículo en Computer Weekly de Nicholas Fearn que Alex encargó, “Lo que las personas neurodivergentes realmente piensan sobre trabajar en seguridad cibernética”. Ese artículo incluye esta observación de Nic: “Muchas personas autistas son excelentes para pensar lógicamente y dedicar su atención a un área específica. Mientras tanto, las personas con TDAH pueden tener un don creativo y poseer la capacidad de hiperconcentrarse en el tema en cuestión”.
Se necesita más apoyo del que hay en la actualidad para los profesionales de ciberseguridad neurodivergentes, dice el artículo. Y se necesita más discusión sobre el lenguaje en torno a la neurodiversidad, comentan Alex y Clare.
hola basura espacial
Brian especula que la ciencia espacial se beneficia, o podría beneficiarse más, de la neurodiversidad. De hecho, el equipo de investigación en la reciente película de Netflix no mires hacia arriba parecen relativamente diversos.
Brian entrevistó recientemente a Moriba Jah, director de ciencias y tecnologías astronáuticas computacionales del Instituto Oden de la Universidad de Texas en Austin. Jah y su equipo han creado una base de datos gráfica, AstriaGraph, para rastrear la basura espacial que es una amenaza potencial para la vida en la Tierra, y lo han hecho utilizando tecnología de Neo4j.
Brian dice que Moriba Jah tuvo la idea de utilizar la tecnología de base de datos de gráficos de un programa de televisión que mostraba cómo se puede identificar a las personas que engañan a sus parejas mediante el uso de una combinación de fuentes de datos, desde directorios telefónicos hasta registros de viajes de Uber, etc. Él y su equipo están haciendo eso por el espacio.
Se llama a sí mismo un “ambientalista espacial” y así describe su misión: “Me gustaría que la humanidad abrazara la Tierra como un recurso finito que necesita protección ambiental, al igual que la tierra, el aire y el océano.
“Mi modelo es, nada se esconde. Mi ambición es hacer desaparecer lo misterioso. Entonces, o la gente me da datos, o puedo comprar datos, o voy a hacer ingeniería inversa y descubrir cosas. Tengo la misión de hacer que el espacio sea transparente, predecible y responsabilizar a las personas por su comportamiento”.
Puede probar el AstriaGraph usted mismo aquí.
Música de podcast cortesía de Joseph McDade
