viernes, 30 de diciembre de 2016

Resumen Ciber-defensa 2016

El protagonista absoluto del ámbito de la Ciberdefensa en 2016 fue sin duda Rusia, el numero de presuntas operaciones APT y la agresividad de las mismas marcaron las principales noticias del año. Por ello Rusia sera el eje principal de este resumen que como años anteriores ofrece un compendio de los principales sucesos del año que termina. Las repercusiones de las ciber-operaciones que se atribuyen a los servicios de inteligencia de este país superaron a cualquier otro caso de APTs que hubiéramos visto en años anteriores.


Durante la campaña electoral en EEUU, que resulto en la elección de Donald Trump, la seguridad informática juego un papel estrella. Como ya adelantamos el pasado año el escándalo que afectaba a Hillary Clinton por el uso de un servidor de correo privado en lugar del oficial cuando era Secretaria de Estado fue un tema recurrente. Si bien paso a segundo plano por otros casos también relacionados con correos electrónicos. Según parece los servicios rusos accedieron a los correos electrónicos del Comité Nacional del Partido Demócrata y a los de la cuenta de gmail de John Podesta, jefe de la campaña de Clinton. Estos correos fueron publicados por Wikileaks, con una clara intencionalidad de cuestionar a la candidata presidencial. Así mismo parece ser que Rusia hubiera podido acceder también a correos del partido republicano pero que prefirió no filtrarlos. Los analistas geopolíticos coinciden en que Rusia ha pretendido por medios ciber alterar el desarrollo de la campaña, ya fuera influyendo en los votantes o cuestionando la legitimad del propio proceso electoral.

La respuesta de EEUU llego al cierre del año, el día 29 de Diciembre, se hizo público un informe del FBI sobre la influencia rusa en la campaña electoral. Como consecuencia ese mismo día también se anuncio la expulsión de diplomáticos Rusos de EEUU  y las sanciones económicas sobre oficiales, empresarios y empresas civiles asociadas a las capacidades ciber de los servicios secretos rusos. Por su parte Rusia anuncio que contestaría adecuadamente a estas acciones.

Informe del FBI sobre la actividad rusa

Otro bombazo del año, fue la aparición de un hasta entonces desconocido grupo The Shadow Brokers, que filtro diverso material secreto de la NSA que incluía exploits del tipo zero day. Esta filtración era solo una pequeña muestra de una cantidad mayor de ciber-armas que este misterioso grupo estaría ofreciendo como parte de una subasta. En octubre un contratista civil de la NSA fue detenido por el manejo inadecuado de material secreto de la NSA , asociado a los programas filtrados por Shadow Brokers. Aunque hasta el momento no se sabe la relación exacta entre ambos casos.

Rusia también se mostró excepcionalmente ofensiva en el mundo ciber contra todos aquellos que han cuestionado públicamente las acciones de este país. Así por ejemplo se atribuye a hacker rusos la filtración de datos médicos de atletas de EEUU, supuestamente como respuesta a las acusaciones de doping de los rusos en Sochi 2014. Ataques al colectivo de periodismo de investigación ciudadano Belling Cat , que había hecho público previamente un informe sobre la participación de Rusia en el derribo del vuelo Malaysian Air MH17. Así como ataques también por esta misma causa al equipo de investigación aeronáutica oficial Holandes.

Dejando a un lado al principal protagonista se pudo comprobar el aumento de actividad a nivel gubernamental, de grupos insurgentes y de actores híbridos. El número de ataques del tipo APT siguió en aumento, con grupos que incrementaron su actividad significativamente o que fueron descubiertos este año, por citar algunos Trochilus, Transparent Tribe, Lazarous Group, Prince of Persia, Project Sauron/Strider, Droping elephant, Pacifier, Poseidon  o Moonlight.

En Marzo un informe de Verizon daba a conocer un curioso caso en el que un grupo de piratas somalies habría contratado los servicios de hackers para tomar el control de sistemas web de una empresa naviera, se supone que para obtener información para posteriores secuestros marítimos.

La tendencia de los bug bounties, programas de recompensas por localizar vulnerabilidades de seguridad, paso a ser adoptada por el Pentágono que ofreció un programa de este tipo.

En  2016 se publicaron algunos libros que analizan las repercusiones pasadas y actuales de la ciberguerra: Dark Territory: The Secret History of Cyber War de Fred Kaplan ,  Ciberguerra de Yolanda Quintana , o Los hombres que susurraban a las maquinas de Antonio Salas.



En una tendencia que pudimos constatar en años anteriores, los conflictos bélicos y zonas de tensión geopolítica mas importantes suelen ir acompañados de una vertiente Ciber. Por citar algunos:


  • Siria: Continuo la tendencia del uso masivo de Internet como lugar de reclutamiento y para la distribución de propaganda por parte de los diversos grupos rebeldes participantes en la guerra civil. Aunque una vez mas el Estado Islámico demostró ser el mas versado en este campo. El 2016 lanzo una publicación en formato revista dedicada exclusivamente a su vertiente ciber, la Kybernetiq. Por su parte supimos que el Cibercomando de EEUU habría respondido también a la amenaza del Estado Islámico con ataques contra internet y otras redes de telecomunicaciones en Iraq y Siria (Cyber Command Attacking ISIS Computer Systems and Telephone Networks in Iraq and Syria).
  • Ucrania: Se registraron múltiples apagones atribuidos a ataques informáticos Rusos tan pronto como enero y tan tarde como el mismo diciembre. Un ejemplo fue la llamada Operation GroundBait. Algunos de los ataques rusos habrían provocado apagones como consecuencia de ataques a sistemas SCADA en las redes de distribución eléctrica. Por su parte hackers Ucranianos contestaron accediendo y publicando a información privada de uno de los principales consejeros del presidente Ruso.
  • India-Paquistán , se hicieron públicos datos de las operaciones Transparent Tribe y C-Major.


Sin duda todo lo acontecido en 2016 tendrá repercusiones duraderas en el próximo año. De continuar la tendencia actual veremos cada vez ataques gubernamentales mas audaces que tendrán consecuencias fuera del mundo ciber mas significativas.

domingo, 18 de diciembre de 2016

SmartScreen

SmartScreen es un mecanismo de seguridad de Microsoft que alerta a los usuarios cuando conectan a un sitio malicioso o cuando intentan ejecutar un fichero descargado que puede ser peligroso.

Está diseñado para ayudar a proteger a los usuarios contra los ataques de phishing, ingeniería social y de descarga drive-by, que intentan infectar un sistema.



SmartScreen está configurado por defecto en Internet Explorer a partir de su versión 9 (aunque en versiones anteriores existían ya algunas protecciones similares) y en Windows a partir de su versión 8.

Se basa en un sistema de reputación proporcionado por Microsoft. Cuando un usuario descarga un ejecutable que puede ser dañino, se calcula un resumen (hash) del mismo y se valida de forma online contra los servidores de Microsoft, cuando el usuario intenta ejecutarlo.

La reputación de un ejecutable se determina a partir de su hash y si va firmado mediante Authenticode a partir de la reputación del editor.

Un binario firmado por un editor de confianza no hará saltar la alerta de SmartScreen, aunque su hash sea desconocido.

Ejemplo de fichero EXE firmado:



La validación de la reputación se realiza solamente la primera vez que se ejecuta el programa descargado y queda almacenada en el sistema.

Para la validación se contacta con los servidores de Microsoft para obtener la calificación del programa ejecutado.

Ejemplo de petición efectuada para validar la reputación de un EXE:



Y respuesta positiva (allowed):



Si los servidores de SmartScreen no están disponibles, no es posible validar la reputación y se muestra un mensaje de alerta diferente:



De forma que hacer DoS a los servidores de Microsoft no es una opción completa para evadir la seguridad de SmartScreen. Aunque es un mensaje mucho menos alarmista que el primero.

Gracias a SmartScreen el número de infecciones por ataques de descarga drive-by se ha reducido considerablemente, aunque existen diversas técnicas para burlar su protección.

Algunas técnicas utilizadas para burlar la protección de SmartScreen son:
• Consiguiendo que el ejecutable gane reputación: Normalmente haciendo que tenga muchas descargas y que no haya reportes sobre comportamiento malicioso.
• Comprando un certificado Authenticode para firmar ejecutables y ganando reputación como editor. Ya que por sí sola la firma Authenticode no garantiza la conformidad de SmartScreen.
• Robando un certificado de un editor con buena reputación.
• Modificando un binario confiable ya firmado sin invalidar su firma.
• Colisión de hashes con un ejecutable con buena reputación.

Si no conseguimos la conformidad de SmartScreen siempre nos queda la opción  de aplicar ingeniería social y convencer al usuario para que ignore las alertas de seguridad y ejecute nuestro programa igualmente, pero lógicamente esta técnica es la más propensa a fallar.

SmartScreen es solo una primera barrera de protección y una tímida aproximación a las protecciones basadas en listas blancas (ya que alerta de aquellos ejecutables cuya reputación es desconocida).

Aun así, en entornos de alta seguridad es necesario acudir a herramientas de validación de reputación o basadas en listas blancas más restrictivas y que no permitan al usuario el ignorar las alertas de seguridad.

miércoles, 21 de septiembre de 2016

Ataques Evil-Maid

Un ataque de Evil-Maid es una técnica de explotación que consiste en manipular equipos desatendidos a los que se tiene acceso físico.

El nombre viene de que este tipo de ataques son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.


Las formas más básicas de realizar un ataque de Evil-Maid consisten en reiniciar el equipo desde un dispositivo externo (usb, cd) con un sistema operativo apropiado (p.e. una distro Linux para forense) y montar el disco duro para obtener acceso a la información que contiene o bien extraer el disco duro directamente y montarlo en otro equipo.

Muchos seguramente habéis utilizado estas técnicas o similares, pero no con fines maliciosos, sino cuando se os olvida la contraseña del sistema o cuando tenéis que analizar un equipo de otro usuario.

A nivel corporativo o doméstico, este tipo de ataques pueden parecer algo poco habitual, solo al alcance de los servicios de inteligencia. Pero es algo cada vez más normal, dado que muchos solemos llevar dispositivos informáticos encima y dejarlos en hoteles, espacios de coworking, en el coche, etc.

Un ejemplo se dio en el famoso torneo EPT de Barcelona en 2013, donde varios jugadores descubrieron que sus portátiles habían sido manipulados:


En la última Blackhat/Defcon de las Vegas, varias personas hicieron fotos de sus equipos cuando los dejaban en el hotel y las compararon con cómo se los encontraron al volver de las charlas. Y sorpresa, algunos descubrieron que habían sido movidos, incluso a pesar de haberlos dejado en la caja fuerte:


En este caso si podemos suponer que se trata de la acción de profesionales. Y como se puede ver, incluso los profesionales pueden cometer errores. Esto otro le sucedió a un investigador de seguridad alemán en un hotel de Alemania, cuando dejo su PC en la habitación mientras impartía un curso de formación:


Y es que una de las dificultades de realizar este tipo de ataques es que pueden ser fácilmente detectados por usuarios precavidos.

Como medida de prevención, la mejor protección consiste en utilizar alguna herramienta de cifrado de disco, preferiblemente FDE (Full Disk Encryption) con una contraseña o llave introducida al arrancar, aunque incluso así nuestro equipo podría ser comprometido.

Joanna Rutkowska presento en 2009 una técnica para modificar el sistema de arranque de un equipo con Truecrypt y sustituirlo por una versión troyanizada que puede capturar la contraseña del sistema FDE. De forma similar se podría crear un bootkit para robar esta clave si estuviese almacenada en un dispositivo externo o se recibe por red.

Para evitar este tipo de manipulaciones lo recomendable es:
• Proteger la configuración de BIOS del equipo (desactivando el arranque desde dispositivos externos).
• Utilizar Safeboot o algún mecanismo similar para proteger el arranque.

Pero no es esta la única forma de recuperar las llaves de los sistemas de cifrado de disco. Si dejamos el PC encendido, estas pueden ser obtenidas de la memoria del equipo, mediante distintas técnicas:
• Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc.
• Ataques ColdBoot.
• Hibernando el equipo y copiando el fichero de hibernación (si no está cifrado).

Este año se ha presentado también una técnica para comprometer las llaves de cifrado de sistemas como Bitlocker si estas van asociadas a la cuenta de dominio del usuario, aprovechando varias vulnerabilidades descubiertas en el mecanismo de autenticación en red de Windows.

Una opción más segura contra este tipo de ataques es el uso de discos duros auto-encriptados (SED: Self Encrypting Disks) con autenticación en BIOS. En este caso el cifrado se realiza a nivel del disco duro y la clave de cifrado no queda nunca ni en memoria ni en disco. Aunque también existen vectores de ataque, especialmente si el equipo no está apagado.

Resumiendo, es difícil protegerse contra este tipo de ataques si se realizan por atacantes profesionales, de forma que es recomendable no dejar los equipos desatendidos y no viajar con datos sensibles, incluso aunque utilicemos cifrado.

Para los más paranoicos también podemos:
• No dejar nunca el equipo encendido o suspendido.
• Hacer fotos del equipo al dejarlo y verificar que no ha sido movido.
• Poner pegatinas o purpurina (patrón aleatorio) en los tornillos para detectar si el equipo ha sido abierto.
• Bloquear los conectores del equipo (sobre todo los puertos DMA e incluso los USB).

Por supuesto esto también se aplica a otros dispositivos como móviles, tabletas, etc…

martes, 30 de agosto de 2016

Seguridad o Seguridad

En ingles tenemos 2 términos: "safety" y "security", que nos permiten separar en 2 categorías los riesgos de seguridad a los que se enfrenta una organización.

Por un lado "safety" se refiere a los riesgos derivados de eventos accidentales o aleatorios; desastres naturales, errores humanos, accidentes, fallos no intencionados, etc.

Y por otro lado "security" se refiere a los riesgos derivados de un oponente o atacante intencionado; sabotajes, robos, fraudes, etc.

En el mundo de la ciberseguridad es importante tener claras las diferencias, ya que las herramientas y las estrategias son distintas. Por desgracia en castellano el termino "seguridad" es ambiguo y es habitual que las organizaciones confundan sus 2 vertientes.

Muchas organizaciones meten en el mismo saco ambos tipos de riesgos, por ejemplo a la hora de realizar un análisis de amenazas. Lo que suele derivar en una estimación de riesgos no adecuada, sobre todo de cara a prevenir los ataques intencionados.

Me resultan chocantes los análisis de riesgos que determinan bien de forma subjetiva o bien de forma objetiva (pretendidamente), el riesgo de determinados sucesos. Por ejemplo el riesgo de "ataques con malware" (visto en varios análisis de riesgos reales).

Primero estamos metiendo en el mismo cajón todos los tipos de malware, que son muchos. Pero lo peor es que estamos agrupando amenazas muy diferentes; aquellas que provienen de atacantes oportunistas y aquellas que provienen de atacantes dirigidos.

Podemos intentar realizar una aproximación mas o menos acertada de la probabilidad de un ataque oportunista, aunque sea una variable que esta continuamente evolucionando y además depende en gran medida del sector y de la tecnología utilizada.

Pero no podemos evaluar en términos de probabilidad los ataques por parte de un oponente decidido y persistente. Bueno, si podemos dar una cifra, la probabilidad de un ataque de este tipo (si tenemos enemigos dentro de esta categoría) es de un 100% ya que sabemos que van a atacar tarde y temprano. Además sabemos que elementos van a atacar: todos los activos que tengamos expuestos o accesibles de algún modo y principalmente aquellos mas vulnerables.

Es mas, un atacante dirigido va a modificar su estrategia dependiendo de la que tomemos nosotros. Si protegemos un determinado frente, va a tacar por otro lado, de forma que un análisis de riesgos estático quedara rápidamente invalidado.

Si metemos todos los riesgos o todos los atacantes dentro de una misma categoría, vamos a realizar una estimación muy poco acertada de las amenazas reales a las que se va a enfrentar una organización y por tanto no vamos a dimensionar correctamente nuestra estrategia de defensa.

Si queréis ver una "evaluación de riesgos" realmente practica y completa, en el caso de ataques dirigidos, os recomiendo el visionado del siguiente vídeo de Rob Joyce, director del TAO de la NSA:



Os recomiendo apuntar todas sus recomendaciones y evaluar si vuestra organización las lleva a cabo. Si la respuesta es negativa y os enfrentáis a oponentes dirigidos, probablemente alguien no ha hecho un análisis adecuado.

lunes, 25 de abril de 2016

¿Qué ha pasado con los DDoS? (Repaso histórico)



Siempre me he quejado del abuso de las modas en ciberseguridad. Cada año una amenaza o riesgo se convierte en la conversación estrella y parece que es lo único que preocupa a las organizaciones. Se olvida todo lo demás y se invierte en productos o servicios que al poco tiempo quedan en el olvido.

Un caso extremo ha sido el de los ataques de denegación de servicio distribuidos o DDoS. Hace unos años eran el terror de las organizaciones y ahora la mayoría de responsables los han olvidado. Ya no son noticia de portada, ya no mueven tanto dinero, ya no dan tanto miedo.

¿Sera porque las organizaciones ya no son vulnerables a este tipo de ataques?

NO. La mayoría son igual de vulnerables que hace un par de años, unas cuantas han realizado inversiones en equipos o servicios para protegerse, pero muy pocas han entrenado y han puesto realmente en forma sus defensas.

Mientras tanto los “malos” si han mejorado sus técnicas y profesionalizado sus estrategias.

Los DDoS han seguido el proceso habitual de evolución de la mayoría de amenazas importantes a nivel de ciberseguridad. También las tecnologías de protección asociadas, aunque tal vez con un ritmo mayor del habitual:

Fase inicial: Finales de los 90 y principios de los 2000

Es difícil encontrar cual fue el primer ataque DDoS a gran escala. Por aquella época ya eran habituales los ataques distribuidos contra servidores de IRC.

La amenaza era poco conocida, solo algunos aficionados empiezan a probar el potencial de daño de estos ataques. Las técnicas son muy básicas y hay pocas herramientas disponibles y son muy sencillas (pruebas de concepto en su mayoría).

En 1996 se publica el primer exploit para hacer ataques de Ping-of-Death, que se basa en el envío de paquetes ICMP de gran tamaño y cuya técnica luego será utilizada como base en multitud de ataques DDoS.

También en 1996 se publica la primera prueba de concepto para realizar ataques de TCP SYN-FLOOD, aunque esta técnica se conocía ya anteriormente.

En 1997 se publica el código original del ataque SMURF (DDoS mediante reflexión de ICMP).

Ejemplo de ataque SMURF, uno de los primeros ataques DDoS por reflexión:



Fase de impacto: Mediados de los 2000

Algunos sitios importantes tales como Yahoo, eBay, CNN, Amazon o ZDNet, son víctimas de ataques realizados por aficionados o pequeños grupos. Todavía la finalidad de muchos de estos ataques no es económica.

Se empiezan a organizar unos pocos grupos profesionales que realizan los ataques de forma planificada y causan un gran impacto en sus objetivos ya que estos no están aún preparados ante el nuevo tipo de ataques. Las técnicas siguen siendo básicas, pero las herramientas empiezan a ser más avanzadas.

La mayoría de ataques son aun de tipo volumétrico pero empiezan a utilizarse cada vez más ataques a nivel de aplicación.

En 2004 se publica la primera versión de LOIC una herramienta para hacer DDoS de manera colaborativa. Esta herramienta y algunas de sus variantes han sido utilizadas habitualmente por grupos hacktivistas.

En 2005 se produce el primer ataque DDoS realizado mediante reflexión de DNS.

En 2006 se publican varias herramientas para realizar ataques mediante reflexión de DNS y NTP.

Fase de revolución: Finales de los 2000 y principios de los 2010

Los cibercriminales descubren la facilidad de realizar ataques DDoS y empiezan a monetizar de forma masiva los mismos mediante extorsión.

Los grupos hacktivistas también empiezan a utilizar de forma habitual los ataques DDoS de manera organizada.

Demostrado el gran impacto de esta amenaza, todo el mundo quiere subirse al carro. Por parte de los atacantes, se crean muchos grupos de aficionados y profesionales que quieren sacar partido de este ataque de moda. También aparecen multitud de vendedores de productos y servicios para intentar solventar el problema. Las técnicas empiezan a mejorarse, pero siguen siendo relativamente básicas. Se produce un aumento en el número y la complejidad de las herramientas disponibles.

En abril de 2007 se producen una serie de ataques de DoS coordinados contra Estonia, inundado los sitios web de las principales empresas y organismos. Los ataques fueron realizados mediante Ping floods, Smurf y otros ataques volumétricos. Este fue uno de los primeros ataques masivos atribuidos a una organización criminal promovida por un gobierno.

En 2009 se publica el código original del ataque Slowloris, ataque que demostró la posibilidad de provocar un gran impacto a nivel de aplicación incluso con un bajo flujo de conexiones.

Fase de madurez: Desde mediados de los 2010

Los cibercriminales tienen acceso a una gran variedad de métodos para realizar DDoS.

Se produce un proceso de selección en ambos bandos. Quedan menos grupos atacando, pero son más profesionales y el volumen de negocio prácticamente se mantiene. Quedan menos fabricantes y desparecen los “vendedores de humo”. Empiezan a utilizarse técnicas avanzadas pero las herramientas de código libre dejan de evolucionar o se hacen de pago.

A principios de 2013 se produce un ataque masivo contra Spamhaus que llega a picos de 85Gbps, generados mayoritariamente mediante amplificación de DNS.

También en 2013 se produce la caída de varios sitios web públicos de la OTAN, debido a un ataque DDoS realizado de forma organizada como resultado de las tensiones sobre Crimea. También atribuido a organizaciones criminales afines al gobierno ruso.

En Febrero de 2014 Cloudflare sufre un ataque que llega a picos de 325Gbps, realizado mediante reflexión de NTP.

En abril de 2015 se detecta un ataque que llega a los 334Gbps contra un operador de red de Asia, utilizando también técnicas de amplificación de protocolos UDP.

A finales de 2015 el grupo Anonymous reclama la autoría de un ataque de 40Gbps contra servidores en Turquía, en represalia por su supuesto apoyo al Daesh. Este es uno de los múltiples DDoS organizados por este grupo en los últimos años, aunque no suelen ser ataques demasiado exitosos en comparación con los realizados por organizaciones profesionales.

En enero de 2016 se produce un ataque contra varios sitios asociados a la BBC, alcanzando picos de 602Gbps, supuestamente utilizando servidores hospedados en Amazon AWS.

Evolución del volumen máximo de los ataques DDoS publicados:

 
Desde el punto de vista de la ciberdefensa el uso de DDoS con motivaciones políticas o terroristas empieza a ser habitual, aunque queda eclipsado en los medios de comunicación por los ataques realizados con fines económicos que suelen ser más voluminosos, aunque de menor duración.

A la hora de prevenir estos ataques es necesario conocer sus diversas formas y motivaciones, con el fin de disponer de los medios técnicos necesarios para contrarrestarlos en caso de que se produzcan.