miércoles, 12 de abril de 2017

Ciber-armas: efectivas, asequibles y negables

En la ultima Rootedcon, una de las charlas mas interesantes fue la que dio Mikko Hypponen, director de investigación de Fsecure.

Una de las ideas que dejo caer, fue que estamos viviendo el inicio de una nueva carrera armamentística, centrada en el ciber-espacio. Recordemos que ya en el 2016 la doctrina de la OTAN reconoció este espacio como quinto dominio o dimensión militar.

Aquí tenéis un resumen de esa parte de su charla:


Para Mikko las ciber-armas tienen 3 caracteristicas muy ventajosas a la hora de invertir en ellas.
  • Son efectivas. Pueden provocar importantes daños; economicos o incluso físicos.
  • Son asequibles. Son baratas en comparacion con otro tipo de armas (p.e. un tanque).
  • Son negables. La atribucion o autoria de un ataque es dificil de demostrar. Y por lo tanto se dificultan los posibles contra-ataques.

Estoy de acuerdo con estas afirmaciones, pero no es todo tan facil como pueda parecer.

Una ciber-arma puede ser muy efectiva o dañina, pero su efectividad es efimera, muy poco duradera en el tiempo. Un malware o un exploit dependen en gran medida del efecto sorpresa, de no ser conocidos previamente por el objetivo. Si este los conoce de antemano es facil que pueda defenderse.

La ciber-arma mas famosa y que se pone a menudo como ejemplo, Stuxnet, probablemente hoy no seria efectiva a menos que sufriese unos cambios radicales. Para empezar seria detectada por las herramientas de seguridad (antivirus, ips) y los exploits 0-day que utilizaba ya no serian efectivos.

Esto nos lleva al segundo aspecto. Una ciber-arma puede ser barata, pero normalmente solo admite unos pocos usos. No podemos reutilizar de forma indefinida un exploit o un malware ya que acabaran por ser detectados. De forma que para cada operacion necesitaremos crear nuevas herramientas o modificar notablemente las anteriores.

No solo por cuestiones de efectividad sino tambien por negabilidad. Si utilizamos la misma herramienta en mas de una operacion, perdemos esta ventaja y la atribucion se simplifica.
Por esta razon las ciber-armas normalmente no son escalables. No podemos fabricarlas en cadena y por lo tanto de manera agregada no son tan economicas como pueda parecer.

Volviendo al ejemplo de Stuxnet, su coste estimado se situa alrededor de los 100 millones de dolares. Si quisiesemos realizar una campaña ofensiva contra una nacion rival, necesitariamos realizar multiples operaciones de este tipo de forma paralela. Supongamos que digidas a las 35 principales empresas o industrias de esa nacion. Esto nos daria un coste agregado de 3500 millones de dolares. Las cifras van subiendo.

Podrian ser incluso mayores, ya que los costes asociados al desarrollo, operacion y mantenimiento de este arsenal serian crecientes; habria que añadir: gastos politicos, de cordinacion, de infraestructura, de personal, etc.

Esto podria explicar por ejemplo porque el presupuesto para ciber-operaciones del Pentagono fue de 7000 millones en 2016.

viernes, 30 de diciembre de 2016

Resumen Ciber-defensa 2016

El protagonista absoluto del ámbito de la Ciberdefensa en 2016 fue sin duda Rusia, el numero de presuntas operaciones APT y la agresividad de las mismas marcaron las principales noticias del año. Por ello Rusia sera el eje principal de este resumen que como años anteriores ofrece un compendio de los principales sucesos del año que termina. Las repercusiones de las ciber-operaciones que se atribuyen a los servicios de inteligencia de este país superaron a cualquier otro caso de APTs que hubiéramos visto en años anteriores.


Durante la campaña electoral en EEUU, que resulto en la elección de Donald Trump, la seguridad informática juego un papel estrella. Como ya adelantamos el pasado año el escándalo que afectaba a Hillary Clinton por el uso de un servidor de correo privado en lugar del oficial cuando era Secretaria de Estado fue un tema recurrente. Si bien paso a segundo plano por otros casos también relacionados con correos electrónicos. Según parece los servicios rusos accedieron a los correos electrónicos del Comité Nacional del Partido Demócrata y a los de la cuenta de gmail de John Podesta, jefe de la campaña de Clinton. Estos correos fueron publicados por Wikileaks, con una clara intencionalidad de cuestionar a la candidata presidencial. Así mismo parece ser que Rusia hubiera podido acceder también a correos del partido republicano pero que prefirió no filtrarlos. Los analistas geopolíticos coinciden en que Rusia ha pretendido por medios ciber alterar el desarrollo de la campaña, ya fuera influyendo en los votantes o cuestionando la legitimad del propio proceso electoral.

La respuesta de EEUU llego al cierre del año, el día 29 de Diciembre, se hizo público un informe del FBI sobre la influencia rusa en la campaña electoral. Como consecuencia ese mismo día también se anuncio la expulsión de diplomáticos Rusos de EEUU  y las sanciones económicas sobre oficiales, empresarios y empresas civiles asociadas a las capacidades ciber de los servicios secretos rusos. Por su parte Rusia anuncio que contestaría adecuadamente a estas acciones.

Informe del FBI sobre la actividad rusa

Otro bombazo del año, fue la aparición de un hasta entonces desconocido grupo The Shadow Brokers, que filtro diverso material secreto de la NSA que incluía exploits del tipo zero day. Esta filtración era solo una pequeña muestra de una cantidad mayor de ciber-armas que este misterioso grupo estaría ofreciendo como parte de una subasta. En octubre un contratista civil de la NSA fue detenido por el manejo inadecuado de material secreto de la NSA , asociado a los programas filtrados por Shadow Brokers. Aunque hasta el momento no se sabe la relación exacta entre ambos casos.

Rusia también se mostró excepcionalmente ofensiva en el mundo ciber contra todos aquellos que han cuestionado públicamente las acciones de este país. Así por ejemplo se atribuye a hacker rusos la filtración de datos médicos de atletas de EEUU, supuestamente como respuesta a las acusaciones de doping de los rusos en Sochi 2014. Ataques al colectivo de periodismo de investigación ciudadano Belling Cat , que había hecho público previamente un informe sobre la participación de Rusia en el derribo del vuelo Malaysian Air MH17. Así como ataques también por esta misma causa al equipo de investigación aeronáutica oficial Holandes.

Dejando a un lado al principal protagonista se pudo comprobar el aumento de actividad a nivel gubernamental, de grupos insurgentes y de actores híbridos. El número de ataques del tipo APT siguió en aumento, con grupos que incrementaron su actividad significativamente o que fueron descubiertos este año, por citar algunos Trochilus, Transparent Tribe, Lazarous Group, Prince of Persia, Project Sauron/Strider, Droping elephant, Pacifier, Poseidon  o Moonlight.

En Marzo un informe de Verizon daba a conocer un curioso caso en el que un grupo de piratas somalies habría contratado los servicios de hackers para tomar el control de sistemas web de una empresa naviera, se supone que para obtener información para posteriores secuestros marítimos.

La tendencia de los bug bounties, programas de recompensas por localizar vulnerabilidades de seguridad, paso a ser adoptada por el Pentágono que ofreció un programa de este tipo.

En  2016 se publicaron algunos libros que analizan las repercusiones pasadas y actuales de la ciberguerra: Dark Territory: The Secret History of Cyber War de Fred Kaplan ,  Ciberguerra de Yolanda Quintana , o Los hombres que susurraban a las maquinas de Antonio Salas.



En una tendencia que pudimos constatar en años anteriores, los conflictos bélicos y zonas de tensión geopolítica mas importantes suelen ir acompañados de una vertiente Ciber. Por citar algunos:


  • Siria: Continuo la tendencia del uso masivo de Internet como lugar de reclutamiento y para la distribución de propaganda por parte de los diversos grupos rebeldes participantes en la guerra civil. Aunque una vez mas el Estado Islámico demostró ser el mas versado en este campo. El 2016 lanzo una publicación en formato revista dedicada exclusivamente a su vertiente ciber, la Kybernetiq. Por su parte supimos que el Cibercomando de EEUU habría respondido también a la amenaza del Estado Islámico con ataques contra internet y otras redes de telecomunicaciones en Iraq y Siria (Cyber Command Attacking ISIS Computer Systems and Telephone Networks in Iraq and Syria).
  • Ucrania: Se registraron múltiples apagones atribuidos a ataques informáticos Rusos tan pronto como enero y tan tarde como el mismo diciembre. Un ejemplo fue la llamada Operation GroundBait. Algunos de los ataques rusos habrían provocado apagones como consecuencia de ataques a sistemas SCADA en las redes de distribución eléctrica. Por su parte hackers Ucranianos contestaron accediendo y publicando a información privada de uno de los principales consejeros del presidente Ruso.
  • India-Paquistán , se hicieron públicos datos de las operaciones Transparent Tribe y C-Major.


Sin duda todo lo acontecido en 2016 tendrá repercusiones duraderas en el próximo año. De continuar la tendencia actual veremos cada vez ataques gubernamentales mas audaces que tendrán consecuencias fuera del mundo ciber mas significativas.

domingo, 18 de diciembre de 2016

SmartScreen

SmartScreen es un mecanismo de seguridad de Microsoft que alerta a los usuarios cuando conectan a un sitio malicioso o cuando intentan ejecutar un fichero descargado que puede ser peligroso.

Está diseñado para ayudar a proteger a los usuarios contra los ataques de phishing, ingeniería social y de descarga drive-by, que intentan infectar un sistema.



SmartScreen está configurado por defecto en Internet Explorer a partir de su versión 9 (aunque en versiones anteriores existían ya algunas protecciones similares) y en Windows a partir de su versión 8.

Se basa en un sistema de reputación proporcionado por Microsoft. Cuando un usuario descarga un ejecutable que puede ser dañino, se calcula un resumen (hash) del mismo y se valida de forma online contra los servidores de Microsoft, cuando el usuario intenta ejecutarlo.

La reputación de un ejecutable se determina a partir de su hash y si va firmado mediante Authenticode a partir de la reputación del editor.

Un binario firmado por un editor de confianza no hará saltar la alerta de SmartScreen, aunque su hash sea desconocido.

Ejemplo de fichero EXE firmado:



La validación de la reputación se realiza solamente la primera vez que se ejecuta el programa descargado y queda almacenada en el sistema.

Para la validación se contacta con los servidores de Microsoft para obtener la calificación del programa ejecutado.

Ejemplo de petición efectuada para validar la reputación de un EXE:



Y respuesta positiva (allowed):



Si los servidores de SmartScreen no están disponibles, no es posible validar la reputación y se muestra un mensaje de alerta diferente:



De forma que hacer DoS a los servidores de Microsoft no es una opción completa para evadir la seguridad de SmartScreen. Aunque es un mensaje mucho menos alarmista que el primero.

Gracias a SmartScreen el número de infecciones por ataques de descarga drive-by se ha reducido considerablemente, aunque existen diversas técnicas para burlar su protección.

Algunas técnicas utilizadas para burlar la protección de SmartScreen son:
• Consiguiendo que el ejecutable gane reputación: Normalmente haciendo que tenga muchas descargas y que no haya reportes sobre comportamiento malicioso.
• Comprando un certificado Authenticode para firmar ejecutables y ganando reputación como editor. Ya que por sí sola la firma Authenticode no garantiza la conformidad de SmartScreen.
• Robando un certificado de un editor con buena reputación.
• Modificando un binario confiable ya firmado sin invalidar su firma.
• Colisión de hashes con un ejecutable con buena reputación.

Si no conseguimos la conformidad de SmartScreen siempre nos queda la opción  de aplicar ingeniería social y convencer al usuario para que ignore las alertas de seguridad y ejecute nuestro programa igualmente, pero lógicamente esta técnica es la más propensa a fallar.

SmartScreen es solo una primera barrera de protección y una tímida aproximación a las protecciones basadas en listas blancas (ya que alerta de aquellos ejecutables cuya reputación es desconocida).

Aun así, en entornos de alta seguridad es necesario acudir a herramientas de validación de reputación o basadas en listas blancas más restrictivas y que no permitan al usuario el ignorar las alertas de seguridad.

miércoles, 21 de septiembre de 2016

Ataques Evil-Maid

Un ataque de Evil-Maid es una técnica de explotación que consiste en manipular equipos desatendidos a los que se tiene acceso físico.

El nombre viene de que este tipo de ataques son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.


Las formas más básicas de realizar un ataque de Evil-Maid consisten en reiniciar el equipo desde un dispositivo externo (usb, cd) con un sistema operativo apropiado (p.e. una distro Linux para forense) y montar el disco duro para obtener acceso a la información que contiene o bien extraer el disco duro directamente y montarlo en otro equipo.

Muchos seguramente habéis utilizado estas técnicas o similares, pero no con fines maliciosos, sino cuando se os olvida la contraseña del sistema o cuando tenéis que analizar un equipo de otro usuario.

A nivel corporativo o doméstico, este tipo de ataques pueden parecer algo poco habitual, solo al alcance de los servicios de inteligencia. Pero es algo cada vez más normal, dado que muchos solemos llevar dispositivos informáticos encima y dejarlos en hoteles, espacios de coworking, en el coche, etc.

Un ejemplo se dio en el famoso torneo EPT de Barcelona en 2013, donde varios jugadores descubrieron que sus portátiles habían sido manipulados:


En la última Blackhat/Defcon de las Vegas, varias personas hicieron fotos de sus equipos cuando los dejaban en el hotel y las compararon con cómo se los encontraron al volver de las charlas. Y sorpresa, algunos descubrieron que habían sido movidos, incluso a pesar de haberlos dejado en la caja fuerte:


En este caso si podemos suponer que se trata de la acción de profesionales. Y como se puede ver, incluso los profesionales pueden cometer errores. Esto otro le sucedió a un investigador de seguridad alemán en un hotel de Alemania, cuando dejo su PC en la habitación mientras impartía un curso de formación:


Y es que una de las dificultades de realizar este tipo de ataques es que pueden ser fácilmente detectados por usuarios precavidos.

Como medida de prevención, la mejor protección consiste en utilizar alguna herramienta de cifrado de disco, preferiblemente FDE (Full Disk Encryption) con una contraseña o llave introducida al arrancar, aunque incluso así nuestro equipo podría ser comprometido.

Joanna Rutkowska presento en 2009 una técnica para modificar el sistema de arranque de un equipo con Truecrypt y sustituirlo por una versión troyanizada que puede capturar la contraseña del sistema FDE. De forma similar se podría crear un bootkit para robar esta clave si estuviese almacenada en un dispositivo externo o se recibe por red.

Para evitar este tipo de manipulaciones lo recomendable es:
• Proteger la configuración de BIOS del equipo (desactivando el arranque desde dispositivos externos).
• Utilizar Safeboot o algún mecanismo similar para proteger el arranque.

Pero no es esta la única forma de recuperar las llaves de los sistemas de cifrado de disco. Si dejamos el PC encendido, estas pueden ser obtenidas de la memoria del equipo, mediante distintas técnicas:
• Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc.
• Ataques ColdBoot.
• Hibernando el equipo y copiando el fichero de hibernación (si no está cifrado).

Este año se ha presentado también una técnica para comprometer las llaves de cifrado de sistemas como Bitlocker si estas van asociadas a la cuenta de dominio del usuario, aprovechando varias vulnerabilidades descubiertas en el mecanismo de autenticación en red de Windows.

Una opción más segura contra este tipo de ataques es el uso de discos duros auto-encriptados (SED: Self Encrypting Disks) con autenticación en BIOS. En este caso el cifrado se realiza a nivel del disco duro y la clave de cifrado no queda nunca ni en memoria ni en disco. Aunque también existen vectores de ataque, especialmente si el equipo no está apagado.

Resumiendo, es difícil protegerse contra este tipo de ataques si se realizan por atacantes profesionales, de forma que es recomendable no dejar los equipos desatendidos y no viajar con datos sensibles, incluso aunque utilicemos cifrado.

Para los más paranoicos también podemos:
• No dejar nunca el equipo encendido o suspendido.
• Hacer fotos del equipo al dejarlo y verificar que no ha sido movido.
• Poner pegatinas o purpurina (patrón aleatorio) en los tornillos para detectar si el equipo ha sido abierto.
• Bloquear los conectores del equipo (sobre todo los puertos DMA e incluso los USB).

Por supuesto esto también se aplica a otros dispositivos como móviles, tabletas, etc…

martes, 30 de agosto de 2016

Seguridad o Seguridad

En ingles tenemos 2 términos: "safety" y "security", que nos permiten separar en 2 categorías los riesgos de seguridad a los que se enfrenta una organización.

Por un lado "safety" se refiere a los riesgos derivados de eventos accidentales o aleatorios; desastres naturales, errores humanos, accidentes, fallos no intencionados, etc.

Y por otro lado "security" se refiere a los riesgos derivados de un oponente o atacante intencionado; sabotajes, robos, fraudes, etc.

En el mundo de la ciberseguridad es importante tener claras las diferencias, ya que las herramientas y las estrategias son distintas. Por desgracia en castellano el termino "seguridad" es ambiguo y es habitual que las organizaciones confundan sus 2 vertientes.

Muchas organizaciones meten en el mismo saco ambos tipos de riesgos, por ejemplo a la hora de realizar un análisis de amenazas. Lo que suele derivar en una estimación de riesgos no adecuada, sobre todo de cara a prevenir los ataques intencionados.

Me resultan chocantes los análisis de riesgos que determinan bien de forma subjetiva o bien de forma objetiva (pretendidamente), el riesgo de determinados sucesos. Por ejemplo el riesgo de "ataques con malware" (visto en varios análisis de riesgos reales).

Primero estamos metiendo en el mismo cajón todos los tipos de malware, que son muchos. Pero lo peor es que estamos agrupando amenazas muy diferentes; aquellas que provienen de atacantes oportunistas y aquellas que provienen de atacantes dirigidos.

Podemos intentar realizar una aproximación mas o menos acertada de la probabilidad de un ataque oportunista, aunque sea una variable que esta continuamente evolucionando y además depende en gran medida del sector y de la tecnología utilizada.

Pero no podemos evaluar en términos de probabilidad los ataques por parte de un oponente decidido y persistente. Bueno, si podemos dar una cifra, la probabilidad de un ataque de este tipo (si tenemos enemigos dentro de esta categoría) es de un 100% ya que sabemos que van a atacar tarde y temprano. Además sabemos que elementos van a atacar: todos los activos que tengamos expuestos o accesibles de algún modo y principalmente aquellos mas vulnerables.

Es mas, un atacante dirigido va a modificar su estrategia dependiendo de la que tomemos nosotros. Si protegemos un determinado frente, va a tacar por otro lado, de forma que un análisis de riesgos estático quedara rápidamente invalidado.

Si metemos todos los riesgos o todos los atacantes dentro de una misma categoría, vamos a realizar una estimación muy poco acertada de las amenazas reales a las que se va a enfrentar una organización y por tanto no vamos a dimensionar correctamente nuestra estrategia de defensa.

Si queréis ver una "evaluación de riesgos" realmente practica y completa, en el caso de ataques dirigidos, os recomiendo el visionado del siguiente vídeo de Rob Joyce, director del TAO de la NSA:



Os recomiendo apuntar todas sus recomendaciones y evaluar si vuestra organización las lleva a cabo. Si la respuesta es negativa y os enfrentáis a oponentes dirigidos, probablemente alguien no ha hecho un análisis adecuado.