Translate

miércoles, 23 de septiembre de 2015

El Malware y las Amenazas Persistentes Avanzadas

Autor: Miguel Arturo Isaza Villar

Esp. Seguridad Informática 

Barranquilla, Colombia 

  


Abstract Information is today, the most important intangible asset that has an organization, more and more companies leverage technology to streamline their production models, better market their products, position your name, make their administrative processes or just to be at the forefront but this growing dependence on the use of technology, too do the cyberattacks, which technically all have different characteristics but that most people identify with the wrong way, as a computer virus, in this document specifically we discuss two threats, that most regularly expose computer system, which are the APT attacks and Malware


I.     Introduccion


Este documento contiene la definición y clasificación de los malware, así como la definición y análisis de los APT, el objetivo principal es describir los conceptos, analizar los mismos y hacer un análisis para entender porque no debemos escatimar esfuerzos para controlar los procesos y sistemas soportados por las tecnologías de la información.
El desarrollo de este documento lo vamos a dividir en dos partes, en la primera parte hablaremos del malware y su clasificación, dado que hoy en día hay mucha información respecto a este tema y no siempre esta información es lo suficientemente clara, causando que en lugar de dar una explicación respecto al tema, amplíe las dudas y confunda más al lector. En la segunda parte de este documento hablaremos de las amenazas persistentes (APT) las cuales cada vez se escuchan más en el mundo de la seguridad de la información


II.    Definiciones


A.    Malware (software malintencionado)


Según ISACA, la definición de malware es la siguiente: “El malware es un software diseñado para infiltrar, dañar u obtener información de un Sistema informático sin el consentimiento del propietario” [1] en otras palabras el malware no es más que un código diseñado y desarrollado con el fin de causar algún daño sobre un sistema informático

B.    APT Advanced Persistent Threat


Como su nombre lo indica las APT’s son amenazas persistentes avanzadas, hoy por hoy constituyen uno de los tipos de amenazas más peligrosas ya que las mismas pueden llegar a ser muy dañinas si se llegan a concretar. Sus rasgos definitorios son: ser capaces de perdurar en el tiempo (infectando una máquina), poder aprovecharse de vulnerabilidades desconocidas oficialmente (lo que las hace pasar desapercibidas) y, sobre todo, tratarse de amenazas dirigidas contra un objetivo muy específico (habitualmente los recursos de una compañía). El principal fin de este tipo de ataques es el espionaje, principalmente empresarial, gubernamental y militar, obteniendo y manipulando información contenida en sus sistemas, más que atacando a objetivos físicos. En definitiva, se trata de comprometer la seguridad de una red de ordenadores para conseguir información sensible [6].
Según el Instituto Nacional de Normas y Tecnología de los EE.UU (NIST), las APT’s, se definen de la siguiente manera:
“La amenaza persistente avanzada es un ataque dirigido con niveles sofisticados de pericia y recursos que le permiten a los atacantes por medio del uso de múltiples vectores de ataque (malware, vulnerabilidades, Ingeniería Social, entre otras), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información de organizaciones con el objetivo de filtrar información hacia el exterior continuamente o minar o impedir aspectos importantes de una misión, un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro. Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo, adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción necesario para ejecutar sus objetivos”.

C.    Virus Informático


Un virus es un programa auto replicable que se instala sin el consentimiento del usuario, infectando los archivos de programas instalados en el sistema. Los virus pueden reemplazar y/o eliminar los archivos del sistema. Este tipo de programas se comportan como un virus biológico para propagarse en el equipo infectado

D.    Gusanos


Este tipo de malware se aprovecha de las vulnerabilidades de una red para propagarse a través de la misma, su objetivo principal es infectar la mayor cantidad de usuarios posibles, estos programas pueden contener instrucciones dañinas y no necesitan de la ayuda de humanos para su propagación
El primer gusano informático de la historia data de 1988, su nombre fue el gusano Morris el cual infectó una gran parte de los servidores existentes hasta esa fecha, su creador fue Robert Tappan Morris

E.    Backdoor


Backdoor o puerta trasera: es un método para eludir los procedimientos habituales de autenticación al conectarse a un sistema, una vez que el mismo ha sido comprometido puede ejecutarse un código malicioso para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes

F.    Drive-by Downloads


El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario realiza la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.
El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, este descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor Hop Point, donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor [3].
Es muy común encontrar este tipo de malware en los sitios de descarga gratis en internet.

G.    Rootkits


Son técnicas que modifican el sistema operativo de un ordenador para permitir que el malware permanezca oculto al usuario. Por ejemplo, evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Así se oculta cualquier indicio de que el ordenador está infectado. Algunos programas maliciosos también contienen rutinas para evitar ser borrados además de para ocultarse [4]. Este tipo de malware pueden activarse antes de que inicie el sistema operativo, lo que los hace más difíciles de detectar y eliminar


H.    Stealers


Son programas cuya finalidad es idéntica a la de los keyloggers, sin embargo su manera de actuar es distinta. Los stealers roban la información privada que se encuentra guardada en el equipo. Al ejecutarse, comprueban los programas instalados en el equipo y si tienen contraseñas recordadas (por ejemplo en navegadores web) descifran esa información y la envían al creador [4].


I.      Bot


Es un código malicioso que permite a un atacante controlar de forma remota la máquina que lo ejecuta. Al conjunto de máquinas distribuidas e infectadas por bots, y controladas por un atacante, se le conoce con el nombre de botnet. [7].


J.     Rogue software


Estos softwares hacen creer al usuario que el ordenador está infectado por algún software malicioso, lo que induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero que no necesita ya que no está infectado.


K.    Ransomware


Son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles. Después piden que se pague un "rescate" para poder recibir la contraseña que permite recuperar dichos archivos. También se les denomina criptovirus o secuestradores.


III.   EL MALWARE Y SU CLASIFICACION


El malware es un producto en constante crecimiento y los mismos se clasifican de acuerdo a sus características de comportamiento las cuales describiremos a continuación:


A.    El malware Infeccioso


Este tipo de malware se caracterizan por su forma de propagación automatica en un sistema, aquí podemos ubicar a los siguientes:

·         Virus Informático
·         Gusanos


B.    El malware Oculto


Esta categoría contiene los tipos de malware que se camuflan de bajo de un sistema para su ejecución sin ser percibidos por el usuario, dentro de estos tenemos los siguientes:

·         Backdoor
·         Drive-by Downloads
·         Rootkits
·         Troyanos

C.    El malware Lucrativo


Como su nombre lo indica en esta clasificación del malware encontramos el tipo de malware creado con un fin específico que podría ser el mostrar publicidad, robar información personal, ataques puntuales entre otros, a continuación vernos algunos de los malware en esta categoría:

·         Spyware o software espía
·         Adware
·         Hijackers
·         Keyloggers
·         Stealers
·         Bot
·         Rogue software
·         Ransomware

Hay algunos productos de malware que no se mencionan en estas familias ya sea porque son productos nuevos en el mercado o porque los mismos ya no se utilicen como tal
Vectores de Infección del Malware
En términos generales podemos identificar dos estrategias posibles para la infección de un sistema: los procesos de infección iniciados por el usuario víctima y los procesos de infección iniciados a través de vulnerabilidades existentes en los sistemas [7].

IV.   CARACTERISTICAS DE LAS APT’s


Las amenazas persistentes avanzadas suelen manifestarse como un programa especialmente diseñado para mantenerse oculto en el sistema atacado, puede que aprovechando vulnerabilidades desconocidas hasta ese momento o usando técnicas de ingeniería social muy concretas sobre el personal de la empresa-víctima. Esto quiere decir que se aleja del malware o amenazas comunes que, por lo general, son impersonales y generalistas.
El tipo de atacante que usa una APT es mucho más paciente que el atacante medio sin objetivo concreto. Suelen tener una mayor motivación económica para que el ataque sea exitoso y, por tanto, los recursos y tiempo empleados son superiores a los de cualquier otro atacante. Pueden constituir un tipo de servicio demandado por competidores empresariales, caza recompensas, gobiernos, servicios de inteligencia, etc.
Una característica habitualmente desarrollada en este tipo de amenazas es su capacidad de fragmentación o descomposición en módulos. Una vez infectado el sistema, este puede descargar módulos encargados de diferentes tareas, tales como leer comunicaciones de red, escuchar el micrófono e incluso controlar la webcam [6].

En la fig. 1, se ilustra el proceso de ataque de una APT


Fig. 1 Proceso de ataque APT

En un ataque APT, se utilizan diferentes  técnicas como lo son la Ingeniería Social, aprovechamiento de vulnerabilidades de software, Phishing dirigido, el malware, fallos en la seguridad física, la basura empresarial, las botnet’s, vulnerabilidades y ataques de día cero, desarrollos dirigidos y cualquier evento que pueda ser aprovechado por el atacante.

Una de las APT’s más conocidas fue Stuxnet, la cual fue detectada en el año 2010, esta APT se distinguía por auto-transmitía indiscriminadamente y fue diseñada para afectar sistemas SCADA. TheFlame es otra APT descubierta en el año 2012, esta APT, tomaba control de una Red Interna y hacía de proxy, redirigiendo las actualizaciones de Windows a servidores controlados por los atacantes.

 V.    CONCLUSION


Este documento se centra específicamente en los tipos de malware y las amenazas persistentes avanzadas, después de repasar los diferentes conceptos podemos concluir que la industria del malware ha madurado mucho a través del tiempo y tiene un crecimiento exponencial lo que hace más difícil el trabajo de administrar la seguridad en las organizaciones, por otro lado las APT’s se han convertido en una tendencia que aun cuando no sean tan comunes como los malware, si son más letales ya que las técnicas utilizadas explotan vulnerabilidades que en su la mayoría son desconocidas y los mecanismos de explotación son mucho más sofisticados y permanentes.

El malware lo podríamos categorizar según muchos criterios, en este caso lo categorizamos según las diferentes familias conocidas de acuerdo a sus técnicas de propagación y comportamiento, sin embargo es posible que encontremos ciertos productos de malware con características hibridas que puedan hacer parte de varias familias al mismo tiempo, sobre todo cuando los mismos se utilizan en un ataque dirigido o en una APT.

Hoy en día vemos que comercialmente algunos productos llamados erróneamente antivirus y si solo detectaran virus, estos productos serían muy ineficientes ya que vimos que los virus informáticos son solo un tipo específico de malware, pero en realidad existen otros tipos de programas maliciosos en la categoría de malware por lo que la palabra correcta para estos productos de software debería ser “antimalware”

Como resultado de esta investigación también podemos concluir que no es cierto que una empresa solo necesita un antimalware para estar protegida ante las amenazas descritas en este documento tal como lo creen muchos, hemos visto que hay muchos productos puntuales de malware que no son detectados por estas herramientas y  para contrarrestarlos se hace necesario tener una estrategia que incluya controles perimetrales, controles de usuarios finales, controles antispam pero lo más importante, tener a los usuarios entrenados y concientizados del buen uso que se debiera dar a nivel institucional a las tecnologías de información, además de esto es importante que se cuente con personas entrenadas en seguridad defensiva y/o se tenga un aliado de negocio que sirva de apoyo para reforzar los controles de la infraestructura tecnológica.

Hoy día la industria del software malicioso da mejores márgenes de ganancia que la industria del narcotráfico y con menos riesgos y exposición, incluso en algunos países es mucho más fácil ejercer debido que no hay un marco legal que castigue a las personas que ejercen este tipo de actividades, por lo que no es raro ver algunos países de la antigua unión soviética, con una infraestructura poderosa en el desarrollo de este tipo de códigos dañinos, por otro lado vemos muchos gobiernos como China, Irak, Rusia, USA entre otros, que consumen los servicios de muchos de estos códigos, para hacer sus labores de espionaje, lo anterior hace aún más fuertes este tipo industrias.

Respecto a los ataques persistentes avanzados, vemos que no son del todo nuevos y cada día se convierten en las armas predilectas de muchos países, organizaciones y gremios para hacer trabajos de espionaje dirigido, ataques a industrias y sectores puntuales, lo anterior, nos da a entender que hoy en día, las guerras son más silenciosas pero al mismo tiempo son más intrusivas y no solo se limitan al uso de las armas y la lucha por las fronteras geográficas, sino que re-direccionaron sus objetivos misionales y la lucha es por el activo intangible más importante de una organización que es la información, a través de la cual se puede alcanzar fácilmente dinero, poder, conocimiento, posicionamiento, ventaja política, entre otros.


REFERENCIAS


[1]     ISACA, “Manual de preparacion al examen CISM 2014,” Estados Unidos de America, 12° Edicion año 2014 ISACA, pagina 277
[5]     Joaquin Garcia Alfaro, “Botnes”, PID_00180828, UOC
[6]     Instituto Nacional de Tecnologías de la Comunicación (INTECO), Ministerio de Industria, Energia y Turismo, Gobierno de España “¿QUÉ SON LAS AMENAZAS PERSISTENTES AVANZADAS (APTs)?”, cuaderno de notas del observatorio, http://www.egov.ufsc.br/portal/sites/default/files/cdn_apts.pdf
[7]     Sergio Castillo Pérez, “Vulnerabilidades de bajo nivel y software malicioso”, PID_00178966, UOC




martes, 22 de septiembre de 2015

El Negocio de la Venta de Exploits en el Mercado Negro

Ing. Miguel Arturo Isaza Villar

Seguridad Informática 
Barranquilla, Colombia


 Abstract Information is today, the most important intangible asset that has an organization, more and more companies leverage technology to optimize their production models, better market their products, position your name, manage their business processes or just to be at the forefront of technology, parallel to this technological growth, there is an organized industry dedicated to detect system vulnerabilities and develop malicious code that can exploit these vulnerabilities to sell to the highest bidder

 I.          Introduccion


En este documento revisaremos cómo funciona el negocio de la creación, compra y venta de exploit en el mercado negro, práctica que genera grandes márgenes a las organizaciones que ejercen este tipo de actividades en el bajo mundo (underground)


 II.         Definiciones


A.    Exploit


Un exploit es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de provechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo. Ejemplos de comportamiento erróneo: Acceso de forma no autorizada, toma de control de un sistema de cómputo, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio, entre otros [2].


B.    Vulnerabilidad


Las vulnerabilidades son puntos débiles de un sistema que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido [4]



C.    Malware (software malintencionado)


Según ISACA, la definición de malware es la siguiente: “El malware es un software diseñado para infiltrar, dañar u obtener información de un Sistema informático sin el consentimiento del propietario” [1] en otras palabras el malware no es más que un código diseñado y desarrollado con el fin de causar algún daño sobre un sistema informático

D.    Deepweb


Se le conoce informalmente como Internet profunda o Internet invisible (Deepweb, Invisible Web) a una porción presumiblemente muy grande de la Internet que es difícil de rastrear o ha sido hecha casi imposible de rastrear [5] con los motores tradicionales de búsqueda como lo es Google, Bing, Yahoo, entre otros, esta porción de internet normalmente es accedida por canales que utilizan Tor, MaidSafe, entre otros.


E.    Bitcoin


El bitcoin o moneda electrónica es una moneda descentralizada, es decir, no está respaldada por ningún gobierno ni depende de la confianza en ningún emisor central, sino que utiliza un sistema de prueba de trabajo para impedir el doble gasto y alcanzar el consenso entre todos los nodos que integran la red [7], esta moneda es normalmente la utilizada underground para consumir los servicios de compra y venta de exploits y/o de herramientas al servicio de la crimen informático organizado


F.    Cashiers


En el mundo del exploit, los cashiers son los encargados de mover las ganancias económicas entre diferentes cuentas. Si la operación es compleja en cuanto a infraestructura, el cashier suele utilizar otro actor para que desempeñe esta función, que son los denominados muleros.


G.    Mulero


Los muleros son aquellas personas cuya función principal es la del blanqueo de capital. Actúan de intermediarios en la cadena del fraude, llevándose a cambio un porcentaje del beneficio. Un caso muy común son las ofertas de trabajo suculentas para ganar dinero fácil.


H.    Mercado Negro (underground)


Este es el término utilizado para describir la venta clandestina e ilegal de bienes, productos o servicios, violando la fijación de precios o el racionamiento impuesto por el gobierno o las empresas [3].

 

III.        Estructuras gerarquicas


Es importante que entendamos que hay un gran mercado organizado cuya única función es buscar vulnerabilidades en sistemas altamente demandables y desarrollar los exploits de Día Zero necesarios para penetrar dichos sistemas, pero ¿cómo estas están estructuradas estas organizaciones?, según nos explica securityartwork estas organizaciones trabajan en underground y su estructura funciona por roles como lo haría una empresa legalmente constituida, a continuación veremos los roles que estas estructuras ilegales utilizan :

Roles Técnicos, en este nivel encontramos a los desarrolladores de los códigos maliciosos y de los exploit que serán utilizados para vulnerar los sistemas, dentro de las actividades de este rol podemos encontrar la creación y adaptación o modificación de malwares, en este grupo los desarrolladores se dividen de acuerdo al tipo de malware desarrollado o de acuerdo a su especialidad

Roles Comerciales, en estos roles encontramos a los responsables de volver las explotaciones realizadas en dinero o bienes tangibles, estas son las personas encargadas de lavar el dinero, para eso normalmente utilizan los servicios de los cashier y los muleros

Roles de Gestión, En la jerarquía nos encontramos en la parte más alta al rol de gestión, al igual que ocurre en las compañías legítimas. Este rol es el encargado de coordinar, dirigir, decidir las contrataciones de las personas o grupos y supervisar las operaciones.

En la deepweb  no es extraño encontrar personas independientes que se especializan en la búsqueda de vulnerabilidades de forma independiente y luego las venden a las grandes estructuras quienes desarrollan los exploit, también hay desarrolladores independientes que compran las vulnerabilidades detectadas y crean los exploits ya sea para explotarlos ellos mismos o para vendérselo a las organizaciones para que realicen sus campañas, en estos casos puntuales de personas independientes ellos mismos harán los roles técnicos, comerciales y de gestión dependiendo el caso.

 

IV.        ¿Como llegar a un exploit?


Se dice que toda oferta es consumida por una demanda que adquiere los servicios ofrecidos, anteriormente las personas que se dedicaban a vulnerar los sistemas eran las mismas encargadas de desarrollar las diferentes explotaciones sin embargo esta industria ha llegado a un nivel tan alto, que existen comercializadores de exploits  las cuales son fácilmente asequibles desde la deepweb.

Lo primero que hay que saber es como llegar a la deepweb, (se podría utilizar canales tipo Tor) para poder tener acceso al grandioso mundo del mercado negro, donde no solo se encuentran exploits o demas formas de delitos informáticos, también se pueden comprar herramientas, armas, drogas, pornografía y cualquier tipo de ilegalidades que nos podamos llegar a imaginar.

En la figura 1 podemos entender de mejor forma cómo funcionan los niveles de acceso a la Deepweb, los cuales aparecen a partir del nivel numero 4


Fig. 1 Los niveles de la Deepweb

En este punto solo hay que saber dónde compra ya que la deepweb es muy difícil de rastrear y los fraudes están a la orden del día, sin embargo como todo en estas redes hay sitios que gozan de mucha popularidad y seriedad, lo cual sirve para generar confianza a la hora de adquirir los productos de este mercado.

Hoy en día hay intermediarios que ayudan a hacer los exploits de Día Zero más asequibles para los gobiernos y/o entidades en busca de un exploit específico para apoyar una determinada campaña, un ejemplo de estos intermediarios es Grugq, el cual cobra una comisión del 15% sobre el valor del exploit, ésta empresa factura alrededor de un millón de dólares, según la revista Forbes (año 2012) quien publicó una lista de precios de exploits según su demanda, ver figura 2. Forbes también revelo que son precisamente los gobiernos occidentales, especialmente los gobiernos Europeos y el de los Estados Unidos los que mejor pagan, contrario a los gobiernos Ruso y Chino que pagan muy poco porque tienen mucha oferta de hackers en sus mercados locales.


Fig. 2 Valores de los exploits según los sistemas en el mercado negro, año 2012

Recientemente se ha venido promocionando un sitio llamado TheRealDeal, el cual se accede a través de la red Tor,  el mismo ofrece garantías de seriedad en donde como política tienen filtros anti estafas al estilo de aliexpress.com, donde el pago (en este caso el pago es en bitcoin) solo le llega al vendedor cuando el comprador recibe a conformidad el producto adquirido lo que indica que en teoría el pago puede devolvérsele al comprador si este no recibe lo que el sitio promete, este sitio también ofrece demos para probar que el código hace lo que realmente promete lo que se convierte en una gran opción a la hora de adquirir exploits en el mercado negro.

V.         Conclusion


Hoy en día hay un mercado fuerte y organizado que detecta vulnerabilidades y desarrolla exploits que luego son ofrecidos al mejor postor en la Deepweb, por lo general los principales consumidores de esta industria son los mismos gobiernos quienes conducen una guerra silenciosa pero muy contundente, donde el espionaje es la principal herramienta para llegar a la información.

Es evidente que los grandes gobiernos del mundo, disponen grandes recursos para hacer espionaje, este espionaje no conoce barreras geográficas ni lógicas, por lo tanto nadie es lo suficientemente grande ni lo suficientemente pequeño para librarse del espionaje mundial.

Hay un gigantesco mundo detrás del internet que normalmente no conocemos el cual es llamado la deepweb, se cree que casi el 70% del tráfico que se maneja en internet, hace parte de esta red oculta, donde cada año más personas se suman ya sea para ofrecer sus servicios o para consumir los mismos.
Ya hoy en día no es necesario ser un gran programador para vulnerar un sistema, solo hace falta saber dónde adquirir los exploits que explotan las diferentes vulnerabilidades y de qué forma utilizarlo, lo que hace más vulnerable a la sociedad consumidora de tecnología de la información de hoy en día.

Ningún sistema es totalmente seguro sin embargo hay sistemas que son menos vulnerables que otros y por lo tanto sus explotaciones son más costosas en los mercados underground, lo anterior hace necesario que se tome conciencia del uso de las tecnologías de la información que consumimos ya que en un mundo donde todo es vulnerable, las probabilidades juegan en contra de los sistemas menos seguros.

Hay una moneda digital que está dando pasos agigantados y que está siendo utilizada como medio indispensable para llegar a comprar código malicioso, lo anterior nos indica que las tecnologías de la información han cambiado tanto al mundo que hasta en la forma de concebir la economía está llegando, estos cambios económicos tarde o temprano terminaran afectando a las monedas tradicionales del mundo, sobre todo las monedas de las grandes naciones.

El negocio negro de la fabricación, compra y venta de exploits es más lucrativo que los negocios ilegales tradicionales como lo son el contrabando, la pornografía, el narcotráfico entre otros, lo que amplía las probabilidades de que este negocio siga su constante de crecimiento acelerado en el corto tiempo.

REFERENCIAS


[1]     ISACA, “Manual de preparacion al examen CISM 2014,” Estados Unidos de America, 12° Edicion año 2014 ISACA, pagina 277
[6]     El Heraldo, “Los niveles de la internet profunda”, Infografias, Diciembre 1 2013, http://www.elheraldo.co/infografias/los-niveles-de-la-internet-profunda-134361
[9]     Revista Forbes, “Shopping For Zero-Days: “A Price List For Hackers,  Secret Software Exploits “, Marzo 23 2012, Edicion Web, http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/


martes, 9 de julio de 2013

Ataque de denegación de Servicio DDoS Spamhaus.org

El 18, 19 y 22 de marzo de 2013 hubo uno de los mayores ataques de denegación de servicio que se conocen contra el website Spamhaus.org que pertenece a la organización The Spamhaus Project

El ataque de denegación de servicio que se ejecutó (entre otros), fue “DNS amplification attacks”, este ataque consiste en la generación de múltiples peticiones desde múltiples host, estas peticiones (que por lo general son ICMP o UDP), llevan como dirección IP de origen, la dirección de la víctima, de esta forma la victima recibirá respuestas de todos los host a los cuales se les han enviado las peticiones, por lo general las respuestas a estas peticiones, son de un tamaño significativamente más grande que la petición inicial, en este caso concreto, una petición de 64 bytes, dio lugar a respuestas por 3.223 bytes


Este ataque se perpetuo por medio de redes de equipos zombis o Botnet

¿Como se soluciono este ataque?

La empresa CloudFlare pudo mitigar el ataque gracias al uso de la técnica anycast, para entender el concepto de anycast, primero veamos a entender cómo funciona unicast.

Unicast es el sistema de enrutamiento más utilizado en Internet, bajo Unicast, un nodo de red, tiene asignada una única dirección IP. Los routers de Internet, tienen un mapa de todas las direcciones IP por países, de esta forma asignan la dirección más corta a los paquetes en cada solicitud.
Anycast, muchas maquinas con una IP, bajo este eslogan funciona este esquema de encaminamiento, en el cual varios equipos pueden compartir una única dirección IP, de este modo cuando se hace una solicitud a una dirección IP que funciona bajo este esquema, los routers dirigirán este llamado a la red más cerca, en este caso particular, en CloudFlare hay 12 centros de datos en todo el mundo que escuchan y re-direccionan las solicitudes a las redes de anycast.
Dentro de las propiedades de anycast, se encuentran la velocidad y los bajos niveles de latencia, además esta tecnología por naturaleza tiende a repeler los ataques de denegación de servicio ampliando el ancho de banda para absorber este tipo de ataques
¿Como se mitigo este ataque?
Una vez los de Spamhaus, detectaron el ataque de denegación de servicio, se pusieron en contacto con CloudFlare, quienes utilizando la tecnología anycast, lograron distribuir la carga de los ataques en los diferentes centros de datos que tienen alrededor del mundo, de esta forma las botnet utilizadas en este ataque fueron distribuidas y absorbidas.

Para mas informacion de este ataque, nos podemos dirigir al sitio oficial

martes, 19 de febrero de 2013

Metodologías y Herramientas de Ethical Hacking


Metodologías Ethical Hacking

A continuación les tengo una selección de las mejores metodologías y técnicas utilizadas en el mundo del Ethical Hacking.

El Ethical Hacking, es de las especializaciones de seguridad informática más apetecidas por las grandes empresas a nivel mundial, todos los días crece la necesidad de tener personas con los suficientes conocimientos en estas áreas, para contrarrestar los ataques de la creciente comunidad de hackers, la cual tiene mayor representación en Asia y el Medio Oriente, pero que esta regada por todo el mundo.
Es muy delgada la línea entre un hacker de sombrero blanco y un hacker de sombrero negro, a nivel de conocimientos ambos tienen la capacidad de reconocer vulnerabilidades y/o fallos en sistemas, para sacar provecho de la situación, el hacker ético tiene como misión explotar estas vulnerabilidades y reportar las mismas, el fin nunca es el sacar provecho económico de la situación, por lo contrario el objetivo es hacer recomendaciones y/o diseñar controles para la mejora del sistema.
Las metodologías más usadas en el Ethical Hacking son las siguientes:

OSSTMM (Open-Source Security Testing Methodology Manual).

Metodología que propone un proceso de evaluación de una serie de áreas que refleja de manera fiel los niveles de seguridad presentes en la infraestructura que va a ser auditada, a estos niveles de seguridad se le denominan comúnmente “Dimensiones de Seguridad” y normalmente consiste en analizar los siguientes factores.

  1. Visibilidad
  2. Acceso
  3. Confianza
  4. Autenticación
  5. Confidencialidad
  6. Privacidad
  7. Autorización
  8. Integridad
  9. Seguridad
  10. Alarma


Como parte de un trabajo secuencial la metodología OSSTMM consta de 6 ítems los cuales comprenden todo sistema actual, estos son:

  1.            Seguridad de la Información 
  2.            Seguridad de los Procesos
  3.            Seguridad en las tecnologías de Internet
  4.            Seguridad en las comunicaciones
  5.            Seguridad inalámbrica
  6.            Seguridad Física



ISSAF (Information Systems Security Assessment Framework).

Marco metodológico de trabajo desarrollado por la OISSG que permite clasificar la información de la evaluación de seguridad en diversos dominios usando diferentes criterios de prueba. Algunas de las características más representativas de ISSAF son:

     Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones    de seguridad.
    Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes.
   Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles.


OWASP (Open Web Application Security Project).

Metodología de pruebas enfocada en la seguridad de aplicaciones, El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo, algunas de las características más representativas de OWASP son:

  1.       Pruebas de firma digital de aplicaciones Web. 
  2.         Comprobaciones del sistema de autenticación.
  3.          Pruebas de Cross Site Scripting.
  4.          Inyección XML
  5.          Inyección SOAP
  6.          HTTP Smuggling
  7.          Sql Injection
  8.          LDAP Injection
  9.          Polución de Parámetros
  10.          Cookie Hijacking
  11.          Cross Site Request Forgery


En el siguiente diagrama se puede apreciar el flujo de un ataque establecido contra una aplicación Web desarrollado bajo el marco de la metodología OWASP.

CEH (Certified Ethical Hacker).

Metodología de pruebas de seguridad desarrollada por el International Council of Electronic Commerce Consultants (EC-Council) algunas de las fases enunciadas en esta metodología son:

  1.          Obtención de Información. 
  2.        Obtención de acceso.
  3.        Enumeración. 
  4.           Escala de privilegios.
  5.           Reporte

  
OFFENSIVE SECURITY

Metodología líder a nivel mundial para el desarrollo de pruebas de penetración y estudios de seguridad, la metodología contempla principalmente los métodos para el desarrollo de estudios de seguridad enfocados en seguridad ofensiva y teniendo como marco la posibilidad real de explotación independientemente de los indicadores de riesgos y vulnerabilidades, las principales ventajas de adoptar este marco metodológico son:

  1. Enfoque sobre la explotación real de las plataformas.
  2. Enfoque altamente intrusivo.
  3. Enfoque orientado a resultados tangibles y no a estadísticas generadas por herramientas.

  
Recolección de Información.

Recolección de Información para identificar objetivos específicos (servidores, enrutadores, firewalls, RAS) en las redes objetivo. De acuerdo al escenario escogido de las pruebas, se pueden dar dos situaciones:

  1. Pruebas Ciegas, en donde el cliente NO proporciona ningún tipo de información y se lleva a cabo la tarea de descubrimiento de la misma, para la planeación del ataque. En este escenario las pruebas toman más tiempo por cuanto se debe recolectar más información inicialmente.
  2. Pruebas con Información, donde el cliente proporciona información básica de sus redes, servidores, elementos etc. y se puede optimizar el tiempo de pruebas orientándolas a los objetivos específicos definidos.


Análisis de Vulnerabilidades

Consiste en determinar problemas de seguridad en los puntos hallados en la fase I “Recolección de Información”. Estos problemas de seguridad se pueden determinar usando herramientas especializadas o de manera manual. Dependiendo del tipo de herramienta utilizada y la arquitectura de seguridad de la organización, el análisis de las vulnerabilidades detectadas puede tardar más tiempo, ya que para tener mayores probabilidades de éxito, es necesario determinar los falsos positivos. Como resultado del análisis de vulnerabilidades, se determina la estrategia a seguir durante las pruebas de seguridad.

Definición de Objetivos

Con base en la información generada por la fase de “Análisis de vulnerabilidades”, determinar aquellos objetivos específicos que puedan proporcionar una mayor probabilidad de éxito durante el ataque o aumentar el grado de penetración para alcanzar cualquiera de las metas definidas. Es común que los objetivos definidos como principales, tengan un mayor nivel de seguridad, por lo cual puede ser más difícil comprometerlos o vulnerarlos. Teniendo en cuenta lo anterior, para lograr una mayor objetividad en las pruebas y determinar el riesgo real existente, es necesario involucrar dentro de las mismas, algunos objetivos secundarios, desde los cuales, debido al grado de confianza, se puede llegar de manera más directa a los objetivos principales.

Ataque

Atacar los objetivos seleccionados en la fase anterior utilizando las vulnerabilidades descubiertas. Dentro de la etapa del ataque, se prueba la existencia real de las vulnerabilidades encontradas en las etapas anteriores, para así determinar el impacto de las mismas, en la organización. Dentro del desarrollo de los ataques, pueden surgir nuevas vulnerabilidades no detectadas en las fases anteriores, las cuales serán incluidas dentro de esta etapa, para su verificación.

Análisis de Resultados

Análisis de resultados del ataque. Al lograr el grado de penetración interna para alcanzar la meta se repite el ciclo volviendo a la fase 1. Si la meta ha sido alcanzada o se define el fin de las pruebas, se sigue al último paso.

Análisis Final y Documentación

Generación de un informe detallado con los resultados obtenidos durante todo el proceso de ejecución de las pruebas, con el correspondiente análisis de dicha información para poder ser interpretada de manera correcta y entender las implicaciones a nivel de seguridad sobre la infraestructura informática analizada, con las recomendaciones necesarias para solucionar dichos problemas.
Incluye adicionalmente los siguientes puntos:

·         Aspectos positivos encontrados durante las pruebas
·         Oportunidades de mejoramiento

En la siguiente gráfica se puede apreciar el flujo de trabajo usado para el desarrollo de pruebas de penetración de una manera profesional usando las metodologías anteriormente descritas.


Herramientas de Ethical Hacking 


Dentro de las metodologías utilizadas en el Ethical Hacking, se utilizan entre otras las siguientes herramientas:
  1. nmap
  2. ncat
  3. ncrack
  4. metasploit framework
  5. maltego
  6. yersinia
  7. dsniff
  8. ettercap
  9. ike-scan
  10. Nessus
  11. Social Engineering Toolkit
  12. Backtrack5. 


Nmap

Herramienta estándar usada mundialmente por miles de consultores en el mundo, algunas de las características mas representativas de nmap son:


  1. Escaneo de Puertos
  2. Escaneo de servicios
  3. Escaneo de vulnerabilidades
  4. Escaneo de redes
  5. Escaneo por scripts 


 Ncat
Utilidad que tiene entre otras las siguientes características:

  1. Redirección TCP y UDP
  2. Escaner de puertos
  3. Service binding
  4. Soporte para SSL
  5. Soporte para Proxys 




Ncrack

Herramienta para cracking de autenticación de alta velocidad, algunas de las características de esta herramienta son:

  1. Soporte para RDP
  2. Soporte para SSH
  3. Soporte para SMB
  4. Soporte para VNC
  5. Soporte para VNC
  6. Soporte para FTP
  7. Soporte para Telnet 




Metasploit Framework

Framework de explotación desarrollado en Ruby usado ampliamente a nivel mundial por consultores en seguridad, algunas de las características destacadas del framework son:


  1. Amplia base de datos de exploits
  2. Diversos Payloads de ejecución
  3. Soporte para post-explotación
  4. Permite atacar diferentes plataformas 




Maltego

Herramienta ampliamente usada mundialmente para el desarrollo de etapas de obtención de información.
Los resultados proporcionados por Maltego pueden ser usados en diferentes fases de un ataque.



Yersinia

Herramienta de red que permite tomar ventaja de los diferentes tipos de vulnerabilidades en diferentes protocolos de red, con Yersinia se pueden realizar ataques contra los siguientes protocolos.


  1. Spanning Tree Protocol (STP)
  2. Cisco Discovery Protocol (CDP)
  3. Dynamic Trunking Protocol (DTP)
  4. Dynamic Host Configuration Protocol (DHCP)
  5. Hot Standby Router Protocol (HSRP)
  6. IEEE 802.1Q
  7. IEEE 802.1X
  8. Inter-Switch Link Protocol (ISL)
  9. VLAN Trunking Protocol (VTP) 




Dsniff

Sniffer usado ampliamente en pruebas de penetración con capacidades interceptación de tráfico de red. Adicionalmente Dsniff incluye las herramientas arpspoof, dnsspoof y macof.


Ettercap


Sniffer de red con capacidades de realizar ataques del tipo Man In The Middle y con un amplio soporte de plugins.


IKE-SCAN

Herramienta especializada para realizar ataques sobre firewalls, concentradores de VPN’s y dispositivos que usen el protocolo IKE.


Nessus

Scanner de vulnerabilidades conocido ampliamente a nivel mundial con soporte de scripts personalizados mediante el uso de Nessus Attack Scripting Language NASL.

  1. Algunas de las características más representativas de Nessus son:
  2. Permanente actualización
  3. Reportes de riesgos con categorización del mismo.
  4. Posibilidad de escanear máquinas de forma simultánea.
  5. Posibilidad de integración con otras herramientas como metasploit y nmap. 



Social Engineer Toolkit

Herramienta líder mundialmente para el desarrollo de vectores de ataque relacionados con ingeniería social, incluyendo Phising, Credential Harvesting y otros vectores de ataque dirigidos a explotar vulnerabilidades humanas en usuarios y administradores.
  

Backtrack5

Principal distribución cuyo propósito específico es la seguridad en redes, considerada actualmente la distribución más avanzada de Linux diseñada con un propósito específico de seguridad, desarrollada por profesionales de la seguridad y en total alineación con las metodologías descritas anteriormente, cuenta de forma nativa con más de 300 herramientas de seguridad incorporadas. 



Bueno esto es todo por ahora, espero y estas Metodologías y Herramientas les sirvan para iniciar en el Ethical Hacking



La seguridad en los Data Center’s, diseño e implementacion

Utilizando las mejores practicas Autor: Miguel Arturo Isaza Villar Esp. Seguridad Informática Abstract — ...