sábado, 30 de abril de 2011

DataBase o DataBattlefield

Cualquiera con unos mínimos conocimientos de informática sabe (más o menos) lo que es una base de datos. Y la mayoría sabemos que constituyen un elemento clave en muchas infraestructuras informáticas actuales.

Sin embargo a la hora de tratarlas desde el punto de vista de la ciber-guerra pocos autores las sitúan claramente en el mapa de operaciones como un elemento clave que requiere de técnicas y tácticas diferentes a las del resto de "unidades" enemigas como serian:
" Equipos de usuario
" Servidores
" Dispositivos de comunicaciones
" Cortafuegos

Las bases de datos actuales deberían tener por su importancia y por su complejidad un capítulo aparte en cualquier libro de técnicas de hacking.

Una base de datos moderna (o más bien un sistema gestor de bases de datos) suele contar con:
" Un sistema propio de autenticación y gestión de usuarios.
" Mecanismos de cifrado propios.
" Protocolos de comunicaciones propios.
" Registros de auditoría y logs propios.
" Mecanismos de alta disponibilidad propios.
" Sistemas de recuperación propios.

De forma que estamos hablando de un entorno casi tan complejo desde el punto de vista de la seguridad como el de un sistema operativo Unix o Windows.

Algunos sistemas gestores de bases de datos están incluso integrados fuertemente con el sistema operativo que los alberga como en el caso de DB2 en plataformas OS/400 o las nuevas versiones de Oracle en plataformas Linux. Donde es difícil distinguir donde termina el sistema operativo y donde empieza la base de datos.

Esto hace que existan:
" Técnicas de hacking especificas para bases de datos.
" Herramientas de seguridad especificas para bases de datos.
" Rootkits específicos para bases de datos.
" Metodologías de análisis forense informático especificas para bases de datos.

Lo que nos lleva a pensar que en un futuro se pueda incluso plantear la figura del "hacker de base de datos" para nuestro ciber-comando ideal. Que será un ingeniero especialista en este tipo de sistemas y que trabajaría al mismo nivel que otros especialistas en redes, sistemas Unix, sistemas Windows, etc.

domingo, 24 de abril de 2011

El diodo de red

Cuando se habla de dispositivos de red en el ámbito de la seguridad informática los productos estrella suelen ser los Firewall, los IDS/IPS o las VPN, mientras tanto existen otros dispositivos poco conocidos como el Diodo de red (también conocido como Diodo de Datos), especialmente adaptados a necesidades de entornos de alta seguridad. Los diodos de red se utilizan en entornos críticos como la defensa, donde sirven como puente de conexión entre dos o más redes de las diferentes clasificaciones de seguridad.

El diodo de red (también conocida como pasarela unidireccional) es un dispositivo de red que permite que los datos viajen exclusivamente en una sola dirección, se utiliza para garantizar la seguridad de que la información puede entrar en un determinado entorno pero es imposible que pueda salir del mismo. Su nombre es una analogía con el diodo, el componente electrónico semiconductor que permite el paso de la corriente en una sola dirección.

El manejo de información clasificada se suele realizar en lo que se llaman compartimentos estancos, de tal manera que la información no puede entrar o salir de los mismos, ya sean espacios físicos o lógicos, como redes y sistemas informáticos, si no es mediante los procedimientos debidamente autorizados. Cuando una red maneja información de un determinado nivel de clasificación (Confidencial, Reservado, Secreto,…) está terminantemente prohibido establecer conexiones con redes que manejen datos de nivel inferior, ni siquiera a través de un firewall, pues siempre existe la posibilidad de que se pueda establecer una comunicación en la que pueda fluir información, ya sea accidentalmente o como consecuencia de un ataque.

¿Por qué este nivel de paranoia? ¿No se inventaron los firewall precisamente para controlar los flujos de información? Cuando nos encontramos en entornos de este nivel de criticidad existe la posibilidad de que un atacante avanzado puede ir comprometiendo los diversos sistemas intermedios, incluidos los firewall que pudieran existir para llegar a su objetivo. Eso sin olvidar la amenaza interna, un usuario malicioso interno podría hacer uso incluso del protocolo más aparentemente inocuo como DNS para establecer un túnel con el exterior, existiendo incluso herramientas publicas como IOdine que permiten este tipo de ataques.


La forma más común de diodo de red consiste en un transceptor de fibra óptica modificado, de tal forma que físicamente solo es posible enviar y recibir datos en una sola dirección. Prácticamente todos los productos comerciales se basan en este diseño básico. No obstante el propio concepto de diodo de red supone que ningún protocolo estándar, con sus peticiones y respuestas puede atravesarlo. Por ello se hace necesario agregar software en servidores a ambos lados del diodo. Este software normalmente propietario, que es capaz obtener información en la red insegura desde un protocolo estándar (http, ftp, etc.) , encapsularlo añadiendo una capa de detección de errores y enviarlo de forma ciega hasta el otro lado del diodo, donde un segundo servidor deberá re-ensamblar la información y proporcionar un sistema para que se puede acceder a ella desde la red clasificada.

El caso más habitual de uso de diodo de red es para permitir la entrada de información obtenida desde internet hasta la segura. Sus aplicaciones puedes ser muchas: Desde permitir el acceso a noticas, por ejemplo obtenidas mediante RSS. a la descarga de información meteorológica publica, esencial en operaciones militares o gestión de catástrofes. Otra opción es el acceso de solo lectura al correo de Internet, lo que nos garantiza que incluso el mas virulento troyano basado en un sofisticado zero-day quizá pueda infectar a su objetivo pero no podrá ponerse jamas en contacto con su creador.

Como ejemplo de Diodo de red tenemos ELIPS-SD, un dispositivo fabricado por Thales, que se encontraba entre los productos presentados durante la pasada edición de HOMSEC. Se trata tal como informa el fabricante de un dispositivo totalmente pasivo, que no requiere alimentación, con una tasa media entre fallos superior a las 250.000 horas. Su tasa de transferencia, unidireccional claro está, es de 12 Mbps. Otra alternativa procedente de un fabricante bastante menos conocido seria el RI-GE-DIODE/RI-10GE-DIODE de rumeL o los productos de diodos de datos FOX IT, Waterfall, Canary Communications.


Por último, mencionar que existen ocasiones en las que un diodo de datos se puede usar en el sentido inverso al usual, es decir que permite el flujo de información desde la red de alta seguridad a la de baja seguridad. ¿Quién querría hacer esto? Alguien que necesite exportar datos manejados por una red critica y que no pueda hacerlo por el peligro de que alguien pudiera introducirse en dicha red. Por ejemplo una compañía eléctrica puede necesitar exportar datos estadísticos desde su red SCADA para publicarlos en su web de internet, pero evidentemente no puede permitirse conectar una infraestructura crítica directa o indirectamente con internet. De esta forma se garantiza que por muy sofisticado que sea el hacker atacante le seria materialmente imposible acceder desde el exterior.

lunes, 18 de abril de 2011

Ciberdisputas

El término ciberguerra tiene 2 acepciones principales:
• Conjunto de acciones orientadas a alterar los sistemas informáticos del enemigo y a proteger los propios, como herramienta de apoyo a las acciones bélicas convencionales.
• Conflicto de carácter bélico que toma el ciberespacio como escenario principal, en lugar de los campos de batalla convencionales. Sería un conflicto sin víctimas y generalmente sin daños materiales.

Basándose en estas definiciones tradicionalmente se han puesto como ejemplos de ciberguerra actos como los siguientes:
• Ataques de denegación de servicio contra medios de comunicación, bancos y diversas entidades e instituciones gubernamentales Estonias.
• Los ordenadores de varios empleados de Google (y otras 34 empresas multinacionales) son atacados desde IPs chinas en la conocida como “Operación Aurora”.
• Hackers rusos se dedicaron a bloquear o manipular algunas de las principales páginas del Gobierno georgiano en Internet, al mismo tiempo que las tropas rusas entraban en Osetia del sur.
• El troyano Stuxnet ataca las centrifugadoras del programa de enriquecimiento de uranio del programa nuclear iraní.

Pero denominar como ciberguerra a algunos de estos conflictos es tal vez algo aventurado, ya que la mayoria no serian más que ataques puntuales. Aunque a día de hoy es lo más parecido que tenemos para estudiar cómo sería una ciberguerra a gran escala.

Sin embargo existen otros conflictos o disputas en el ciberespacio que claramente no son bélicos: no participa ningún estado, las confrontaciones no se planean ni se realizan de forma organizada, no existen declaraciones de guerra previas, no existe una definición clara de los límites de la disputa, etc.

Pero que sin embargo son dignos de estudiar desde el punto de vista de las estrategias de ciberguerra, ya que incluyen los ingredientes básicos de un conflicto bélico:
• Dos facciones enfrentadas
• Un campo de batalla común: Internet
• Una serie de herramientas tecnológicas de ataque y defensa

La mayoría de las disputas en Internet se realizan entre grupos no organizados y no son demasiado formativas. Suelen servir solamente para aprender lo que NO hay que hacer en caso de conflicto, ya que los contendientes no actúan de forma planificada.

En estas disputas la aplicación de tácticas simples de ciberguerra le daría una ventaja enorme a una de las partes pero no suelen tenerse en cuenta.

Sin embargo algunos conflictos si han llegado a ser técnicamente complejos y permiten obtener algunas conclusiones interesantes:

Ciberdisputas celebres:

• La “Gran guerra hacker” que enfrento a principios de los 90 a los grupos MOD y LOD, en Internet, algunas redes X.25 y la red telefónica.

No fue una guerra en el sentido estricto, más bien fue una competición para demostrar cuál de los 2 grupos era técnicamente mejor. La victoria aparentemente fue para MOD.

Curiosamente los principales perjudicados de la disputa no fueron los contendientes sino las compañías de telecomunicaciones operadoras de los sistemas que fueron utilizados como “campo de enfrentamientos”.

• Las “Guerras de IRC” de finales de los 90. A pesar del nombre, estas disputas de IRC eran simplemente pequeñas luchas en las que los contendientes intentaban principalmente hacerse notar más que los demás o incordiar a los rivales.

Las disputas solían realizarse en canales de charla técnicos, donde los contendientes competían entre ellos por ver quién tenía mejores recursos técnicos. Y raramente duraban más de unas pocas horas.

Conforme la seguridad del software empleado (tanto en clientes como en servidores) fue mejorando con el tiempo, los ataques se fueron complicando y las disputas dejaron de ser habituales.

Ataques de denegación de servicio contra Telefónica para protestar pidiendo la tarifa plana. En el año 98 se llevaron a cabo una serie de ataques telefónicos contra números de esta compañía (por ejemplo el 1004) mediante herramientas de llamado automático (dialers), que tuvieron un impacto limitado. Estos ataques fueron seguidos de ataques desde Internet mediante ping-floods contra la web la compañía.

• HBGary contra Anonymous. En 2010 la empresa de seguridad informática HBGary empezó una campaña de infiltración y recopilación de información sobre el grupo Anonymous con el fin de obtener publicidad. Una de los principios comunes de este grupo es mantener a sus miembros en el anonimato, de forma que la campaña de HBGary significo una ofensa muy grave que motivo una serie de ataque de revancha.

Uno de estos ataques consiguió burlar las medidas de seguridad de HBGary combinando técnicas de ingeniería social y de inyección de SQL. Llegando a comprometer varios servidores y obteniendo acceso al sistema de correo electrónico de la compañía, del que se copiaron hasta 68000 emails internos.

La publicación de estos emails hundió gravemente la imagen de la compañía y dejo a la luz las carencias de algunas compañías de seguridad.

La lucha contra la piratería en Internet. Esta disputa es bastante polémica, y de hecho mis compañeros de Blog no querían que hablase de ella ya que la consideran un “enfrenamiento menor”. Sin embargo yo si veo detalles interesantes en este escenario donde se han utilizado muchas de las herramientas de la ciberguerra: propaganda, espionaje (tradicional y ciber), sabotaje (ataques DDoS distribuidos), etc.

En esta disputa uno de los contendientes utiliza principalmente herramientas tecnológicas, mientras que el otro tiende a utilizar métodos tradicionales. No hace falta explicar cuál de los 2 lleva ventaja en el escenario actual.


domingo, 3 de abril de 2011

Informática forense talibán

Los titulares de importantes intrusiones en las últimas semanas han llevado a que se hable mucho de la APT (Amenaza Avanzada Persistente), término que viene a describir una amenaza que emplea técnicas extremadamente sofisticadas y detrás de la que estarían supuestamente gobiernos de países como China o Rusia.

Esto nos puede llevar a olvidar que no todas las amenazas tienen porqué usar la más alta tecnología o depender de ataques avanzados realizados a través de internet, hay ocasiones en las que una falta de las medidas de seguridad informática elementales puede provocar que información critica caiga en manos del enemigo, incluso cuando este enemigo utiliza medios comparativamente primitivos.

Con relativa frecuencia saltan a los medios noticias en los que un ordenador portátil conteniendo información confidencial se pierde o es sustraído, en 2007 el FBI reconocía que perdida unos 40 portátiles al año, mientras que en 2008 el Ministerio de Defensa Británico perdió un soporte con datos de más de cien mil militares.

En la mayoría de ocasiones es imposible precisar si los datos contenidos en esos equipos y soportes llega a manos de fuerzas hostiles, aunque si existe al menos un precedente conocido en el que así ocurrió. Veamos el caso de un video de hace unos años difundido por As-Sahab, el brazo mediático de Al Queda, titulado “La guerra del pueblo oprimido” donde nos muestran imágenes del combate mantenido en Kunar, Afghanistan con un grupo de cuatro miembros de las fuerzas especiales de la Us Navy, los Navy Seals.

El 28 de junio de 2005 un grupo Seal llevaba a cabo la operación “Red Wings” , con el objetivo de capturar o matar a un importante líder talibán, cuando fueron sorprendidos por una fuerza ampliamente superior en número. El grupo de cuatro hombres mantuvo un combate durante dos horas en el que solo uno de ellos consiguió sobrevivir malherido. Un helicóptero MH-47 Chinook enviado en su ayuda, con otros ocho Seals y ocho miembros del 160th SOAR, fue derribado por una granada RPG pereciendo todos sus ocupantes. En total en un solo día diecinueve miembros de las fuerzas especiales norteamericanas resultaron muertos.

Marcus Luttrell , único superviviente de la fallida operación.

El video de As-Shab no solo muestra parte del enfrentamiento o imágenes de soldados norteamericanos muertos, si no que presenta también el material capturado que incluye armas, municiones, equipos de navegación, observación y comunicaciones , así como un ordenador portátil dañado suponemos que durante el combate.


Fragmento del vídeo. Completo aquí (30m09s).

Lo destacable del vídeo desde el punto de vista de la seguridad informática, es que los militantes islámicos enseñan como extraen el disco duro del portátil capturado, lo colocan en una carcasa usb externa para discos duros y exponen el contenido de diversos documentos de inteligencia que contiene.


Seria salvando las distancias, el equivalente terrorista de la informática forense, en la que a un equipo se le suele extraer sus soportes para identificar, preservar, analizar y presentar los datos almacenados.

Sorprendente que un grupo de operaciones especiales se despliegue en una zona controlada por el enemigo con un portátil, incluso aunque la información utilizada pueda ser de un bajo nivel de clasificación y que este no cuente con algún tipo de cifrado en sus soportes, en previsión precisamente de la pérdida o captura del mismo.

Prevenir este caso hubiera sido sencillo, desde hace años existen una amplia variedad de productos tanto comerciales como open source que permiten crear unidades virtuales cifradas o incluso proteger el contenido total del disco duro. Algunas incluso vienen de serie con el propio sistema operativo como el Encrypting File System (EFS) disponible desde Windows 2000 es un sistema que trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema o BitLocker funcionalidad de cifrado completa de disco, incluido en las versiones Ultimate y Enterprise de Windows Vista y Windows 7 así como en Windows Server 2008.