miércoles, 23 de diciembre de 2015

Resumen CiberDefensa 2015


El año está a punto de terminar y es momento de recordar los acontecimientos que marcaron el 2015 en el ámbito de las Ciberdefensa. Una vez más comparamos el año presente con el pasado y constatamos la proliferación del número de incidentes, vulnerabilidades descubiertas, nuevas técnicas de ataque y campañas APT, tantos que hacen cualquier posible resumen incompleto.

Si tuviéramos que reseñar alguna corriente en este 2015 fue la gran actividad relacionada con campañas del tipo APT con origen o objetivo en Oriente Medio. Múltiples actores han sido alternativamente la fuente o destino de sofisticados ataques con fines de inteligencia en la zona, desde Iran a Israel, pasando por supuesto por la convulsa Siria y su vecino Líbano. Entre otros durante el año se desarrollaron o se dieron a conocer las actividades de Arid Viper, Desert Falcons , Rocket Kitten 2 , Threat Group-2889,  Duqu 2.0, Volatile Cedar, Cadelle y Chafer


Como no podía ser de otra forma el estado islámico también estuvo relacionado con diversos eventos en el mundo ciber. Así en Abril casi previendo los ataques terroristas convencionales que se ocasionarían meses mas tarde se produjo el hack de la cadena de televisión francesa TV5Monde, este supuso la toma de control de sus cuentas en redes sociales por parte del autodenominado cybercalifato y la suspensión temporal de emisiones. Por otro lado la muerte en agosto de Yunaid Hussain, conocido como Abu Hussain Al Britani comandante de la 'División de hacking del Estado Islámico', marco la primera vez que un hacker se convierte en el objetivo de un bombardeo selectivo.

La zona asia-pacifico también fue un escenario caliente de APT descubiertos durante el año como fueron Lotus Blosson o Ocean Lotus, la continuidad de Dark Hotel o el señalamiento a la unidad del ejército popular chino 78020 como el grupo detrás de Naikon.

Por su parte FireEye, empresa que siempre ha causado expectación por sus informes sobre APT, hizo públicos los informes sobre los denominados APT30 , otro APT basado en la zona asiatica y uno de los mas longevos con una década de actividad. Así como APT29, de origen aparentemente ruso también conocido como HAMMERTOSS. Segun FireEye este último usaría malware utilizando esteganografia como C&C sobre redes sociales como Twitter y GitHub. El grupo estaría relacionado al cierre en agosto de 2015 del sistema de correo electrónico no clasificado del pentágono como respuesta a un incidente.

No fueron los únicos APT de origen supuestamente Ruso también dieron de que hablar: en septiembre se hizo público por parte de Kaspersky que el APT Turla había implementado un sofisticado canal de comunicación totalmente anónimo basado en el empleo de proveedores por internet via satélite. Da la casualidad de que el primero en teorizar y demostrar este canal encubierto fue nuestro compañero de blog Leonardo Nve hace ya unos años en una serie de charlas por todo el mundo incluyendo la célebre Black Hat.

El año empezó y se cerró con el conocimiento de ataques altamente sofisticados que tendrían como origen a la Agencia de Seguridad Nacional norteamericana. En Febrero el revuelo lo marcaba Kerspesky con su informe sobre el Equation Group. Mientras que en los últimos días de diciembre causo revuelo el comunicado de Juniper de la existencia de backdoors criptográficos en sus productos de VPN, que guardan un sorprendente parecido con los implantes FEEDTROUGHT revelados previamente por Snowden.

En una noticia que paso relativamente desapercibida la NSA anuncio los  algoritmos de cifrado recomendados dentro de la Suite B que incluye algoritmos como AES o ECDSA como sustitutos de los anteriores Suite A. Pero lo extraño llego en agosto con la enmienda publica de la agencia para fabricantes que no dedicaran excesivos esfuerzos a la migración a la Suite B, en previsión de una futura Suite de cifrados diseñados para resistir ataques de computación cuántica. Lo que nos deja entrever que la NSA empieza a considerar factible los ataques criptográficos derivados de esta futura revolución informática.

Estados Unidos fue por su parte víctima de sonados casos de ciber ataques, como el robo de información de OPM , la oficina que gestiona las acreditaciones de seguridad del gobierno norteamericano y por tanto maneja dosieres de todos los empleados gubernamentales incluyendo los de servicios de inteligencia.

Fue precisamente en 2015 cuando EEUU plasmo por primera vez su posición en cuanto al uso militar del ciberespacio, en el documento ciber estrategia del departamento de defensa.

El febrero la CIA dio a conocer la existencia del DDI (Digital Innovation Directorate), lo que supone que la agencia de inteligencia asigna un nivel departamental de directorio al mundo Ciber, poniéndolo al nivel del Directorio de Análisis o del Directorio de Operaciones. Y sin embargo al mismo tiempo la CIA fue objeto de un insólito ataque, como fue el acceso a la cuenta personal de correo  del Director de la CIA John Brennan a manos de un adolescente y su posterior publicación en Wikileaks.

El debate sobre el futuro candidato a la presidencia demócrata se vio salpicado por un escándalo de origen informático. Hillary Clinton fue fuertemente criticada al descubrirse que durante 2012 cuando era Secretaria de Estado utilizo un dominio y servidor de correo personal en lugar del oficial del departamento. Entre otros riesgos información clasificada circulo por redes no clasificadas y estuvo expuesta a posibles ataques de hackers de todo el mundo.

En Julio el hack a la empresa Hacking Team puso al descubierto a diversos organismos de inteligencia y cuerpos de seguridad por todo el mundo, clientes de sus productos de espionaje digital. Un buen recordatorio de la importancia de la independencia nacional en las herramientas de ataque y defensa.

Nuestro país tampoco ha estado ajeno a la actividad, el desarrollo de las habilidades de Ciberdefensa continua a buen ritmo a todos los niveles, desde la realización de eventos con patrocinio estatal como Cybercamp o las Jornadas STIC del CCN-CERT, al desarrollo de capacidades puramente militares, como la puesta en marcha en octubre del Centro de Operaciones de Seguridad de Ciberdefensa del Ejército del Aire.

Sin duda nos quedarían en el tintero múltiples incidentes, pero por no sobrecargar al lector iremos cerrando esta entrada que al menos ha reflejado las principales tendencias del año. Para el próximo 2016 no queda si no suponer otro salto cuantitativo en todo lo ciber de la mano de la carrera por el desarrollo de ciber capacidades de todo tipo de grupos y países, amenaza del terrorismo yihadista, así como la gran cantidad de conflictos internacionales no resueltos.

viernes, 30 de octubre de 2015

Ciberguerra y el ejercicio TRIDENT JUNCTURE de la OTAN.

Mientras escribo estas líneas se está desarrollando el mayor ejercicio de la OTAN en la última década. Más de 30.000 militares de la OTAN se entrenan en el sur de Europa, buena parte de ellos en España. Se trata del TRIDENT JUNCTURE EXERCISE 2015 , abreviado TRJE15.

Hasta el 6 de noviembre desarrollaran diversos supuestos con el objetivo de adiestrar y certificar a la NRF 2016, una fuerza de alta disponibilidad y tecnológicamente preparada, capaz de desplegarse donde sea necesario en un periodo corto de tiempo.


Como cualquier ejercicio de cierta entidad en la actualidad, es de suponer que los escenarios de ciberguerra también serán ensayados o al menos incorporados en los supuestos. Es algo que ya tratamos en este blog a cuenta de otro ejercicio de la OTAN el UNIFIED VISION. Por la propia naturaleza de la ciberdefensa y más aun en un ejercicio todavía en marcha es difícil confirmar a partir de información publica que actividades se están realizando.

Aunque si atendemos a la rueda de prensa celebrada el pasado Julio sobre el TRIDENT JUNCTURE. El propio oficial a cargo del ejercicio General Hans-Lothar Domröse (Comandante del Allied Joint Force Command - JFC  Brunssum) vino a confirmar que al menos si se ejercitarían las capacidades ciberdefensivas , aunque no las ofensivas , enmarcado en el uso de la mas alta tecnología lo que incluye sistemas como el puntero UAV (drone) Global Hawk. Además el general se permitió una pequeña broma. Domröse en respuesta al periodista Jan Kordys de Agence Europe sobre si se probaran las capacidades ciberofensivas la respuesta fue: “Ciberofensiva, no. Nosotros estrictamente defendemos. Yo no tengo autoridad para pasar a la ofensiva. Aunque cuando salga de esta sala descubrirá que su smartphone esta borrado y habré sido yo. OK, no , no lo voy a hacer es solo una broma!”.



La respuesta pone de relieve uno de los principales retos en la actualidad en la ciberguerra: quien , cómo y cuando tiene autoridad para lanzar una operación ofensiva. Es significativo que ni siquiera un mando de la escala que ocupa Domröse tenga autoridad para lanzar una operación ciberofensiva. Recordemos que por lo que sabemos de Stuxnet la operación conjunta usa-israel tuvo que ser aprobada por el mismo presidente de los Estados Unidos.

Sin embargo , y a cuenta precisamente del TRIDENT JUNCTURE, parece que otras naciones no tienen tantas restricciones para lanzar operaciones ciberofensivas, aunque solo sean de baja intensidad como pueda ser la contra información.  En una presentación basada en el trabajo de Rebecca Goolsby (Office of Naval Research de la Armada Estadounidense) que a principios de año en el propio JFC Brunssum desvelaba el descubrimiento de una posible Botnet dedicada a promocionar información negativa sobre el entonces futuro ejercicio TRIDENT JUNTURE.

En particular una botnet estaría siendo usada para la realización del conocido como “Black Hat SEO” , esto es optimización de resultados de  motores de búsqueda (SEO ) de forma de determinadas paginas aparezcan en los resultados mas relevantes para una búsqueda dada. El SEO de sombrero negro (blackhat) se refiere a la utilización de técnicas SEO consideradas agresivas o deshonestas que se centran en engañar a  los motores de búsqueda. Por lo general desafían las normas y reglas que proponen los buscadores, y son penalizadas si son detectadas.



¿Quién puede estar detrás de estas actividades de contra información en Internet? Todos los indicios apuntan a Rusia. Mucho se ha comentado que el TRIDENT JUNCTURE podría ser una demostración de fuerza y capacidades frente a los posibles adversarios de la alianza atlántica. Y en el actual escenario de la guerra en Ucrania o la intervención rusa en Siria muchos han apuntado a esta teoría de que Rusia seria el ficticio enemigo en el ejercicio, aunque la OTAN muy diplomaticamente lo desmienta.

Es ampliamente conocido que Rusia a través de organizaciones como las “Web brigades” o “The Agency” han estado involucradas en la difusión de información dudosa en beneficio propio del gobierno ruso. Al hilo de estas operaciones de desinformación y propaganda, el pasado junio The New York Times publicaba la existencia de una organización conocida como The Agency (Internet Research Agency), en la que sus empleados se dedican a publicar miles de mensajes online con el objetivo de manipular opiniones y apoyar al gobierno de Putin. En la práctica, un grupo de trolls de internet a sueldo.

Por tanto no podemos asegurar que la fuente de la botnet detectada sea Rusia. Pero tampoco es de extrañar que muchos piensen que esas actividades de descredito de la OTAN pudieran por tanto responder a un plan organizado desde Rusia.

lunes, 8 de junio de 2015

Operaciones APT sin malware

Ya decíamos en un post anterior que no era correcto asociar de forma inseparable el termino APT con los términos malware avanzado o malware dirigido. Se han documentado casos de operaciones APT en las que se ha utilizado malware muy básico y estamos empezando a conocer casos de operaciones APT sin malware.

Con el término “sin malware” nos referimos a operaciones APT que no usan el tradicional troyano o herramienta de control remoto (RAT) monolítico y binario que se comunica con un sitio de mando y control (C&C o C2).  

Los últimos informes sobre tendencias en el mundo de los APT y los comentarios de expertos en la materia parecen indicar que no estamos ante casos aislados.

Si, como estáis oyendo, operaciones de espionaje avanzadas en las que no se usa ningún tipo de malware reconocible. ¿Cómo puede ser esto posible?

Pues puede realizarse utilizando varias tácticas ya conocidas o incluso combinándolas:
  • Utilizando herramientas no maliciosas con fines ofensivos. Por ejemplo utilizar netcat para crear una puerta trasera en vez de programar una propia.
  • Utilizando un lenguaje de scripting y cargando el código directamente desde la red, de forma que no quede nada en disco.
  • Codificando el payload de la infección y almacenándolo fuera del sistema de ficheros, por ejemplo en el registro o en un disco de red.
  • Inyectando el payload en memoria de forma remota cada vez que se quiera acceder a un equipo, sin que llegue a quedar nada en disco.


El resultado práctico de estas tácticas es similar y significa el golpe de gracia para las soluciones antivirus tradicionales:
  • No existe un binario malicioso que escanear.
  • No se copia nada malicioso al disco que pueda generar alertas.
  • No queda nada o casi nada en disco que se pueda recuperar en un análisis forense.



¿Pero cómo logran estos APT permanecer en los sistemas sin usar un malware?

La persistencia en la mayoría de casos se consigue utilizando métodos tradicionales: Creando un nuevo servicio en el equipo, creando una tarea programada, añadiendo un script de arranque.

Solo que en este caso el elemento de persistencia es minimalista (muchas veces consiste en una única línea de código bat, vbs o powershell) cuya labor es descargar y lanzar el payload principal.

Otras veces el APT hace uso de funcionalidades avanzadas de los sistemas Windows para lograr su ejecución periódica, por ejemplo mediante la programación de eventosWMI, ficheros de auto-instalación, plugins de Office, LSA security packages, etc.

Incluso en algunos casos la persistencia se sacrifica totalmente, no quedando nada residente en el equipo. En estos casos los atacantes confían en vulnerabilidades del sistema, puertas traseras o en credenciales sustraídas, para poder volver a obtener acceso al equipo cuando sea necesario.

En estos casos la labor ofensiva es mucho más manual. No se utilizan herramientas que faciliten la labor del atacante y este debe combinar el uso de las diversas herramientas legítimas que proporciona el sistema objetivo para lograr la misma funcionalidad.

Dos herramientas clave en este tipo de estrategias ya las hemos mencionado: Powershell y WMI. Estas herramientas suelen estar activas por defectos en cualquier equipo Windows y pueden utilizarse para replicar las funcionalidades de los RAT tradicionales, pero dejando una menor huella en el sistema.

Estas nuevas estrategias entrarían dentro del concepto de operaciones APT 2.0 o APT-NG, términos de marketing que han acuñado algunas compañías que pretende explicar que muchos de los “patrones” que solíamos asociar a las operaciones APT ya no son aplicables.

Y es que como ya explicamos en artículos anteriores, los agentes APT constituyen una seria amenaza precisamente por eso, por su versatilidad y su capacidad para cambiar, adaptarse a las estrategias defensivas y utilizar nuevas tácticas para ser más efectivos.


lunes, 11 de mayo de 2015

Seguridad Defensiva vs Ofensiva

En los 90, el mundo de la seguridad informática prácticamente se limitaba a los conceptos “cifrado”, “política de seguridad” y “análisis de riesgos”. Casi nadie se planteaba un enfoque ofensivo (mucha gente en la industria aun piensa así).

Con enfoque ofensivo nos referimos al estudio de la seguridad de un entorno desde el punto de vista del atacante. Es decir buscar puntos débiles o vulnerabilidades que permitan burlar el diseño original de un sistema para comprometer su integridad, su confidencialidad o su disponibilidad.

En los 2000, salió a la luz la gran fragilidad de los enfoques solamente defensivos: Infecciones masivas, Exploits remotos para casi todo, Famosos defacements. Los atacantes eran principalmente “amateurs” y aun así conseguían entrar en cualquier sitio.

Fue entonces cuando se vio la gran importancia de aportar un enfoque ofensivo.



Inicialmente parece más sencillo un enfoque ofensivo; al atacante le basta con encontrar un único punto débil que le permita iniciar una intrusión, mientras que el enfoque defensivo debe tener en cuenta todos los elementos de una red para protegerlos.

Sin embargo los roles ofensivos requieren de una mayor especialización y capacidades (su calidad es más fácil de medir). Si un atacante no es bueno, no va a conseguir burlar las medidas de seguridad de una red.

En cambio la calidad de los procesos defensivos es mucho más compleja de medir ya que depende de muchos factores: el tipo de los datos sensibles, la complejidad de la red, el número de ataques recibidos, la pericia de los atacantes e incluso muchas veces simplemente de la suerte.

Es por esto que es mucho más fácil ocultar la falta de capacidades en los roles defensivos que en los roles ofensivos.

Recuerdo que cuando empecé haciendo Tests de Intrusión, era normal tener un ratio de entrada cercano al 100%. Es decir, siempre era posible romper la seguridad perimetral de una red y obtener acceso a los datos sensibles objetivo. Incluso en empresas que se preocupaban de su seguridad y se gastaban dinero en hacer este tipo de pruebas (que en esa época no eran comunes).

Casi 2 décadas después, ese ratio ha bajado un poco. Por una parte han mejorado mucho las herramientas defensivas (mejor segmentación, mejor autenticación, procesos de calidad de software, actualizaciones de seguridad, detección de intrusiones, etc.) y por otro lado los Test de Intrusión se han convertido en un servicio “Comodity”; mucho más automatizados, menos especializados, más baratos y realizados en menos tiempo.

Pero si los Test de Intrusión se realizasen como hace años, probablemente estaríamos hablando de un ratio de entrada todavía cercano al 90% y si además dispusiésemos de tiempo ilimitado para este tipo de pruebas (como sucede en el caso de las operaciones APT) estaríamos de nuevo cerca del 100%.

Y es que el factor tiempo es crítico, mientras los Tests de Intrusión o algunas operaciones ofensivas están constreñidas a un plazo temporal, otros tipos de ataques, como podría ser una operación APT, pueden llevarse a cabo durante meses e incluso años (un requisito en algunas operaciones de información es la paciencia).

Por tanto podríamos decir que el estado general de seguridad ha mejorado poco. Se lo ponemos más difícil a los “malos” pero seguimos siendo vulnerables.

Eso explica porque seguimos viendo casi todos los días noticias sobre graves incidentes de seguridad en grandes compañías. Aunque el perfil de los atacantes ahora es mucho más profesional.

Una cosa si ha cambiado en gran medida, ahora es mucho más difícil “que no te pillen”. Y por lo tanto juegan un papel mucho más importante el estudio de las estrategias ofensivas.

Me gusta mucho el modelo americano que se está popularizando de gestionar la seguridad a partir de 2 equipos: el “red-team” (ofensivo) y el “blue-team” (defensivo), que trabajan de forma coordinada y colaborativa.

Tener estos 2 enfoques trabajando a la vez nos permite:

  •  Generar una sana competencia.
  • Que un equipo sirva como indicador de la calidad del trabajo del otro.
  • Saber cuáles son los puntos más fáciles de atacar permite priorizar mejor las medidas defensivas.
  • Saber lo que es más difícil de defender permite priorizar mejor las estrategias ofensivas.
  • Conseguir métricas que nos den una visión de nuestro estado de seguridad desde 2 puntos de vista complementarios.

Aunque hay que tener en cuenta que no vale de mucho un red-team si luego se limita el alcance de las pruebas a realizar. Lo podemos comparar con las ROE (Rules of Engagement) de los ejercicios militares reales, no sirve de nada tener fuerzas especiales si luego no les dejas hacer lo que saben hacer.

La existencia del blue-team garantiza que el impacto que pueda tener la actividad del red-team sobre los sistemas en producción sea controlado y no “rompan” nada.

Por eso ojo a los que dicen “es mejor invertir en un red-team” o “para que queremos un red-team si tenemos un blue-team”. El modelo solo sirve si trabajan los 2 equipos a la vez.

Por cierto, ojo también a las empresas o profesionales que dicen que mantienen ese ratio de entrada del 100% habitual hace tiempo. Probablemente estemos ante casos de gente que no hace tests de intrusión serios desde hace años, los hace de forma puntual o su perfil de clientes son pymes sin una inversión sería en seguridad.

O tal vez estemos ante gente que se dedica a hacer operaciones APT y tiene tiempo ilimitado para realizar sus intrusiones.

martes, 10 de febrero de 2015

Métricas de seguridad

A la famosa frase de: “hay tres tipos de mentiras: mentiras, grandes mentiras y estadísticas” podemos añadirle una cuarta categoría, las métricas.

Las métricas son una de las herramientas tecnológicas imprescindibles hoy en día en el mundo de la gestión de la seguridad de la información. Sin ellas una organización no puede  cuantificar de forma global si está siendo atacada, como está siendo atacada, si tiene un nivel de seguridad aceptable o si se está defendiendo de forma adecuada.

Las métricas recogen un resumen de toda la información interesante que generan las herramientas de seguridad que tenemos desplegadas. Y nos permiten tomar decisiones estratégicas adecuadas.



Si tenemos solo herramientas y no métricas, probablemente no estaremos haciendo un uso eficiente de ellas. Pero tengo una mala noticia, aunque tengamos métricas, probablemente tampoco estemos utilizándolas bien.

Y es que las métricas son muy propensas a la manipulación y a la paradoja del “cuanto peor, mejor”. Lo explicare con un ejemplo:

Muchas organizaciones utilizan como métrica para conocer el estado de seguridad global de su red, el número de vulnerabilidades detectadas en un proceso de análisis de seguridad que realizan de forma periódica. A groso modo, si tengo más vulnerabilidades, estoy peor, si tengo menos, estoy mejor.

Si quiero mejorar mi estado de seguridad, tengo 2 opciones, corregir el mayor número de vulnerabilidades posibles o realizar un análisis de seguridad menos exigente la próxima vez. Curiosamente esta segunda solución es mucho más barata.

Si cada año contrato a una consultora peor, o utilizo una herramienta de análisis menos completa. Cada vez detectare un menor número de vulnerabilidades. ¡Me estaré gastando menos dinero y además mejorare mis métricas!

Esto también pasa en el mundo de la respuesta ante incidentes. Si uso como métrica por ejemplo; el número de alertas tratadas, el número de ataques recibidos o el número de incidentes manejados. Una solución tramposa para mejorar mis métricas es trabajar menos: Reducir la sensibilidad de mis sondas, eliminar reglas para ciertos ataques, tener menos personal para manejar incidentes. ¡Sin duda las métricas van a mejorar y además gastare menos en seguridad!

Esta paradoja unida al recorte de los presupuestos para ciberseguridad, provoca que el estado de real de seguridad de muchas organizaciones sea mucho peor de lo que piensan y está siendo demostrado por el gran número de incidentes graves de seguridad que estamos conociendo y que probablemente vayan en aumento.