Black Hat Las Vegas: IA, enemigo público
El keynote advirtió sobre el desarrollo de aplicaciones y sistemas con inteligencia artificial que "no miran la seguridad". Además, hackers argentinos presentaron "EmploLeaks" en Arsenal.
Dark News es un resumen semanal de noticias de seguridad informática. Esta semana habrá más contenidos por el summer hack camp. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
10 ago
🕵 Black Hat Las Vegas: la IA preocupa hasta a los hackers
“Los modelos de lenguaje de inteligencia artificial (IA) son como adolescentes problematizados”: con esa analogía, Maria Markstedter, investigadora experta en ingeniería inversa y exploits, sentenció a los sistemas automatizados que “no miran a la seguridad informática” en el keynote de Black Hat Las Vegas.
Junto a Defcon, Black Hat es el engranaje corporativo del “summer hack camp”: allí hay una serie de charlas técicas pero, por sobre todo, mucho material orientado a vender herramientas por parte de las empresas que mueven el amperímetro del mercado. Sentinel One, Crowdstrike, Palo Alto, Check Point, Akamai, Rapid7, IBM Security y ese tipo de empresas muestran sus productos orientados a empresas y no a usuarios individuales.
El discurso de Markstedter estuvo cargado de críticas al modelo productivo actual de las plataformas: se encargó de dejar en claro que el boom de la IA generativa que estalló post Chat GPT ya está teniendo serios problemas a la hora de responder ante incidentes.
Hay una carrera armamentista corporativa por la IA que no está impulsada por la seguridad: se sigue el lema “movete rápido y rompé cosas”, como sucedió con el primer modelo de iPhone, que fue inseguro al nivel de estar repleto de errores y vulnerabilidades.
Markstedter es la fundadora de Azeria Labs, un centro de análisis de vulnerabilidades, actores de amenazas y ciberataques, y fue la encargada de hablar en la charla central de Black Hat, que se hace todos los años en el centro de convenciones del Mandalay Bay.
El evento fue a sala llena, al punto de que las sillas no alcanzaron y una gran parte del público asistió a la charla de pie. Markstedter aprovechó para resaltar el rol del análisis de amenazas y la escritura de exploits: "Los sistemas de IA son cada vez más potentes: tenemos que tomarnos en serio la posibilidad de que los agentes autónomos de IA se conviertan en una realidad dentro de nuestra empresa”, agregó la experta.
En este sentido, hizo un llamado desde el mundo corporativo a desarrollar herramientas para contrarrestar esta situación:
Hace tiempo que una tecnología no perturbaba tanto la seguridad online como ahora. Tenemos que aprender sobre la tecnología que está cambiando nuestros sistemas y nuestros modelos de amenazas para poder hacer frente a estos problemas que aparecen: los cambios tecnológicos son nuevos, pero para nosotros la tecnología siempre está evolucionando: eso, en seguridad informática, no es nuevo.
Más allá de este tipo de charlas, Black Hat es un evento 100% norteamericano: stands, concursos, sorteos, muñecos, comida y hasta un stand con un auto de F1.
La gran diferencia con Defcon es, también, su precio: cuesta 4.500 dólares la entrada (en mi caso me acredité por ser prensa, lo cual no tiene costo pero demanda demostrar publicación activa de temas relacionados a ciberseguridad, contra los 440 que cuesta Defcon).
💧 Hackers argentinos presentan EmploLeaks
Entre los eventos que me interesaba seguir estaba la presentación de una herramienta para encontrar datos filtrados de empleados dentro de empresas: EmploLeaks.
Así como existe un sitio muy conocido para ver si nuestro mail está filtrado en alguna base de datos (Have I been pwnd) y una implementación local en América Latina (“Me Filtraron”), un equipo de investigadores presentó en Black Hat un sistema que apunta al mundo empresarial: “EmploLeaks”, desarrollada por los argentinos Gabriel Franco y Javier Aguinaga.
Explicó a SecOps Franco, investigador en seguridad informática de Faraday:
Es una herramienta que automatiza el proceso de recolección de información de empleados de una empresa a través de una integración que hicimos con Linkedin, y a partir de ahí trata de buscar sus correos personales (es decir, no corporativos) y verificar si existe en alguna fuga de información sensible que se haya hecho pública alguna contraseña del usuario.
El sistema en el que está basado EmploLeaks es “open source”, esto es, un modelo de software que se basa en la colaboración crear tecnología, lo cual significa que puede ser modificado por el usuario según sus necesidades de uso.
“Se la puede bajar cualquiera de manera libre y a partir de eso hacer integraciones, modificaciones o solo correrla para tratar de buscar información de empleados de una empresa”, contó Franco.
“El funcionamiento es relativamente sencillo: a la herramienta le pasamos el nombre de una compañía y empieza a buscar los empleados que trabajan ahí dentro. Existen varias bases de datos con filtraciones de contraseñas. Si el usuario que corre la herramienta la tiene, solo tiene que integrar EmploLeaks con esta”, explica.
Luego, una vez con la herramienta corriendo, se pueden buscar empleados de la compañía y buscar si hay usuarios y contraseñas filtradas.
En este sentido es distinto de HaveIBeenPwned: “La diferencia es que ese es un servicio que permite saber, a partir de un correo, si existe alguna contraseña filtrada, pero no da mucha más información que un ‘Verdadero o Falso’. Si bien, nosotros estamos trabajando en una integración con esta plataforma, estamos añadiendo integraciones similares para dar más resultados a quien use la herramienta”, aclara el investigador.
La presentación fue en Black Hat Arsenal, un espacio para desarrolladores donde pueden exponer sus herramientas y proyectos, además de mostrar en vivo cómo funcionan. Más allá de esta presentación, el equipo argentino de hackers que viajó al summer hack camp se hace sentir tanto Black Hat como en Defcon, que comienza oficialmente este jueves.
Las distintas conferencias, tanto como las exposiciones en las distintas villas, serán publicadas en SecOps en el transcurso de esta semana, que tendrá más envíos de los que regularmente suelo publicar.
Desde Las Vegas