viernes, 29 de diciembre de 2017

Resumen Ciberdefensa 2017





Siguiendo la tradición, al llegar a estas fechas desde Areopago21 echamos un vistazo al año que acaba con un breve resumen de los hechos,  noticias y tendencias más relevantes del 2017.

Si tuviéramos que seleccionar un solo tema para ilustrar lo acontecido este año sin duda seria el de “injerencia rusa”:  el uso de las llamadas “fake news”, el robo y filtrado selectivo de información, las redes de bots y campañas de publicidad en redes sociales destinadas a manipular la opinión del público, especialmente durante periodos electorales.

Estas actividades rusas si bien difícilmente podrían modificar resultados electorales mediante hacking si pueden arrojar dudas en cuanto a la legitimidad de las elecciones, lo que de por si ya seria un resultado suficiente a ojos del Kremlin. Un ejemplo claro son las diversas sombras arrojadas sobre la campaña y la posterior victoria electoral de Donald Trump. También es curioso que el conceder una excesiva importancia sobre esta amenaza, en lo que en algunos casos ha llegado a limites de paranoia sobre las capacidades de alterar resultados electorales juega en el propio favor de los rusos. Algo que han sabido aprovechar muy bien desde medios cercanos a fuentes oficiales rusas ridiculizando estos temores, en España por ejemplo la Ministra de Defensa fue victima de una broma telefónica sobre el tema.

El referendum de secesión ilegal en Cataluña también marco la agenda ciber de nuestro país, por ejemplo con la batalla entablada y ganada desde las FCSE para prevenir el uso de sistemas informáticos necesarios para el desarrollo del 1-O , las noticias de las omnipresentes del riesgo de injerencias rusas en las elecciones del 21-D o el hack a la página web del Centro Nacional de Inteligencia.



El que sin duda fue el mayor ataque informático del año, al menos en repercusión mediática, Wannacry tuvo una importante imbricación con la Ciberdefensa, ya que por un lado hacia uso de un exploit zero-day sustraído previamente a la NSA y filtrado por el enigmático grupo Shadow Brokers. Y por otro al atribuir Estados Unidos a Corea del Norte la autoría de este malware. Otros malware relevantes del año fueron la polémica creada por la supuesta conexión entre Petya, NotPetya y BadRabbit, así como el descubrimiento de Triton/Trisis un malware que ataca PLC de control industrial Schneider Electric que estaría al nivel de sofisticación de Stuxnet o Industroyer.

Un actor APT que destaco de forma importante fue Corea del Norte, este país como ha ocurrido con otros desarrollos militares como armas nucleares o misiles balísticos ha conseguido desarrollar unas capacidades ciber-ofensivas muy por encima de las que se podrían esperar de un país aislado y empobrecido. Entre otras actividades se les responsabiliza de robo sistemático de criptomonedas, ataques continuos sobre su vecino Corea del Sur, la autoría del citado Wannacry, así como diversas campañas de robo de información de contratistas de defensa de todo el mundo, lo que ha incluido victimas en el sector industrial de nuestro país.

Como años anteriores estos doce meses nos han deparado una buena cantidad de nuevas amenazas APT o hemos conocido mejor algunas de las ya existentes. Entre otros se publicaron informes y nuevos datos sobre Lazarus, APT10, Hidden Cobra, Cobalt Kitty, CopyKittens, Gaza Cybergang, MuddyWater, Sowbug o APT33.

Un protagonista involuntario de la actualidad ciber a lo largo de todo el año fue Karspesky , el fabricante del famoso producto antivirus. Se vio envuelto en diversas noticias dignas de una película de espías que incluyeron la detención por parte de las autoridades rusas de algunos de sus trabajadores, el veto de sus productos en EEUU , la confirmación por parte de Eugene Karspesky de que su antivirus había extraído información confidencial de la NSA de la estación de trabajo personal de un contratista de defensa, y las acusaciones de que esa información habría acabado en manos de los servicios de inteligencia rusos. Algunos ya han empezado a comentar que la pérdida de confianza en las empresas de seguridad en un mundo globalizado puede llevar a una balcanización en la que cada país, ya sea en el sector privado, publico o de defensa solo confié en los fabricantes nacionales.

La guerra contra el Estado Islámico marco también este año, determinando una tendencia interesante tendencia iniciada por EEUU que ha sido pasar de los ataques destinados a obtener inteligencia e infiltrarse en las redes yihadistas a ataques de disrupción de sus comunicaciones y actividades de propaganda, por ejemplo, en la operación Glowing Symphony o la unidad Joint Task force ARES.

En España desde medios cercanos al gobierno y al propio Mando Conjunto de Ciberdefensa se empezó a plantear la creación de una “ciber-reserva” de expertos civiles voluntarios que prestarían sus servicios gratuitamente. La propuesta lejos de recibir apoyos fue acogida con bastante ironía, escepticismo e incluso indignación en diversos foros del sector de la seguridad informática española. Desde Areopago21 por nuestra parte no entendemos por que no es posible reutilizar o actualizar figuras ya existentes como la del Reservista Voluntario (figura que por ejemplo ha sido muy útil para transvasar conocimientos del sector médico civil incluso en zona de operaciones). En nuestra opinión lo deseable sería un modelo de reserva que fuera solo un pequeño elemento de un plan estrategico mucho más grande.Un desarrollo a largo plazo de la relación cívico-militar con medidas como fomentar organismos de investigación formados por personal civil pero dependientes del Ministerio de Defensa (tenemos las actividades ciber ya existentes en el ITM Marañosa) o apoyar la creación de empresas start-up de seguridad informática.

Otra tendencia que ha quedado patente este año es la “democratización del espionaje”, un proceso en el que las capacidades de inteligencia de empresas, grupos o incluso individuos se acerca cada vez al de los servicios de inteligencia estatales. Dos ejemplos de ello: el informe SIGINT for Anyone - The Growing Availability of Signals Intelligence in the Public Domain del think-tank RAND y los documentos del proceso judicial contra la empresa Uber que habría usado agentes infiltrados tanto físicos como en redes sociales, pinchazos telefónicos, micrófonos ocultos, ingeniería inversa sobre aplicaciones o técnicas OSINT para obtener ventajas competitivas sobre otras empresas e incluso organismos reguladores.

En definitiva, otro agitado año en el mundo de la Ciberdefensa donde se ha puesto de manifiesto que los ataques masivos contra una nación pueden exceder los sistemas puramente militares o gubernamentales, requiriendo una estrategia y desarrollo de capacidades de defensa que deben ir mas allá de la simple prevención de intrusiones y robo de información.

miércoles, 2 de agosto de 2017

Domain Fronting

El mundillo de la ciber-seguridad es bastante propenso a modas y actualmente los productos/servicios en boca de todos son los basados en Threat Intelligence.

Threat Intelligence se define como el conocimiento necesario para identificar y prevenir posibles amenazas de seguridad. Conocimiento que nos facilita la toma de las decisiones mas apropiadas en cada situación. Este conocimiento normalmente se obtiene agregando diferentes fuentes de información sobre incidentes de seguridad y mediante análisis experto de la actividad de los llamados "Threat Agents".

Al final este conocimiento se traduce en indicadores que podemos usar para detectar si nuestra red esta siendo atacada. Simplificando, lo que nos ofrecen la mayoría de proveedores o productos de Threat Intelligence, se puede resumir en:
- Listas de reputación de binarios
- Listas de reputación de dominios y/o direcciones IP

Seguimos teniendo un enfoque básico basado en "lista-negra"; detectamos lo que en el pasado ha sido dañino. Pero añadimos una capa de "lista-blanca"; cuando detectamos algo que no tenemos claramente identificado como dañino, pero que conocemos poco (poca reputación), podemos presuponer que también es malicioso.

Ambas herramientas nos ayudan a controlar si en nuestra red hay alguna actividad sospechosa, pero son fácilmente evitables por parte de atacantes avanzados.

Para evitar la detección basada en reputación de binarios tenemos múltiples técnicas. Algunas utilizadas a menudo por los creadores de malware. Por ejemplo las que comentaba en mi charla de la ultima Rootedcon, sobre como aprovechar las debilidades de la tecnología Authenticode de Microsoft.

Para evitar la detección basada en reputación de dominios o direcciones IP, la técnica que esta empezando a ponerse de moda entre los actores avanzados es la de Domain Fronting.

El Domain Fronting es una técnica que consiste en utilizar dominios legítimos y con buena reputación, como "tapadera" para camuflar las comunicaciones del malware o de las herramientas de control remoto con sus paneles de control (C&C).

Esta técnica se aprovecha de una característica de la tecnología CDN actual. Esta característica es común a la mayoría de proveedores de redes de distribución de contenidos: Akamai, Google, Chinanet, Cloudflare, Cloudfront, Azure, etc.

Estas redes tienen distribuidos sus nodos por todo el mundo. Y para que los distintos usuarios "conecten" a los sitios que están protegidos por la CDN, establecen una serie de nodos o frontales de entrada. Estos nodos son compartidos por todos los dominios hospedados en la CDN, de forma que si contratamos un dominio por ejemplo en Akamai. Los puntos de entrada a nuestro servicio, serán los mismos que los de otros clientes de Akamai, como pueden ser; Microsoft, Vmware, Adobe, etc.


Esto significa que si monitorizamos nuestra red para detectar a que sitios conectan los usuarios, no vamos a poder distinguir a priori si el trafico que va hacia Akamai, es para conectar a servicios de alta reputación (p.e. Microsoft) o es el que va dirigido a un panel de control que también utilice la infraestructura de Akamai.

Es mas, el malware puede camuflar también los nombres de dominio utilizados a nivel DNS, utilizando dominios con alta reputación a nivel de resolución, pero luego solamente dentro de la propia comunicación HTTP, utilizar el nombre real del servidor malicioso oculto tras la CDN.

Esta técnica es la utilizada por ejemplo en las ultimas versiones de Signal para evitar la censura de algunos países, camuflando sus nodos de entrada detrás de dominios de proveedores intermedios.

Vamos a ver un ejemplo de como crear una infraestructura de este tipo. Para ello vamos a utilizar la CDN de Cloudflare que nos permite registrar dominios de forma gratuita en su versión básica.

Primero vamos a crear una nueva cuenta y asociar nuestro dominio malicioso ella.


Dentro de este dominio, vamos configurar nuestro "endpoint" de control. Por ejemplo: /cloudflare.php

$ curl http://www.malicioso.com/cloudflare.php
CDN test file.

Ahora vamos a buscar un dominio con alta reputación, que este hospedado también en la CDN de Cloudflare. Por ejemplo "4chan.org". Y vamos a realizar una petición a este dominio, pero con una cabecera adicional.


$ curl http://www.4chan.org/cloudflare.php -H "Host: www.malicioso.com"
CDN test file.


De esta forma, tanto en servidores DNS, como en servidores Proxy, quedara solo registrada una conexión a "www.4chan.org" (que resuelve a una IP de la CDN de Cloudflare). Todo totalmente inofensivo. Y solo si analizamos el trafico a nivel de cabeceras HTTP podremos identificar el dominio malicioso. Si además usamos trafico SSL, la identificación del dominio malicioso se hará mucho mas difícil.

Si tenemos un pequeño malware en Powershell, también podemos hacer fácilmente que utilice "4chan.org" como Domain Fronting. Por ejemplo:


PS C:\> Invoke-WebRequest http://www.4chan.org/cloudflare.php -Headers @{"host"="www.malicioso.com"}
StatusCode        : 200
StatusDescription : OK
Content           : CDN test file.


De esta forma, el trafico hacia el panel de C&C quedara camuflado.

Esto no significa que tengamos que tirar a la basura nuestros sistemas basados en reputación IP o DNS, pero debemos tener en cuenta que estos sistemas no son infalibles y pueden ser fácilmente evitados. 




domingo, 21 de mayo de 2017

Mitos sobre los Contadores Eléctricos Inteligentes en España

Una de las infraestructuras críticas de la que nuestros ordenadores tienen mayor dependencia es el sistema eléctrico.

Cuando analizamos el riesgo de ciber-ataques contra el sistema eléctrico, podemos hacerlo partiendo de sus distintos componentes: generación, transmisión, distribución o comercialización.

Pero de estos componentes tal vez el más expuesto a ataques es el tramo final (el más cercano al usuario), ya que se encuentra distribuido por todo el país con multitud de puntos de acceso.

Este tramo final hoy en día lo componen principalmente los contadores eléctricos inteligentes o smart-meters y los concentradores de datos que emplean las compañías eléctricas para gestionarlos de forma remota.

La documentación pública disponible en España sobre la seguridad de estos dispositivos es escasa y existen múltiples mitos que complican aún más su análisis.

Si vivís en España probablemente tenéis ya en vuestra casa un contador eléctrico inteligente. Somos uno de los países europeos punteros en este tipo de tecnologías. Pero el grado de despliegue a nivel internacional aun es bajo.

Esto hace que sea difícil generalizar a la hora de hablar de seguridad a nivel de smart-meters de manera global. Y es que existe una gran variedad de tecnologías y configuraciones distintas. En cada país e incluso en cada compañía se ha optado por unos protocolos y estándares diferentes.

Incluso dentro de una misma compañía suelen encontrarse múltiples configuraciones, dependiendo del grado de despliegue. Hay que tener en cuenta que son tecnologías nuevas y los ciclos de vida son muy largos, de forma que suelen convivir distintas soluciones en un mismo proveedor según van evolucionando los sistemas (y su seguridad).

Las referencias típicas sobre la seguridad de este tipo de dispositivos suele venir de Estados Unidos. Pero si habéis leído algún artículo en inglés o visto alguna charla internacional sobre este tema, muchas de las conclusiones probablemente no sean aplicables de forma general en España.

Por lo tanto necesitamos referencias locales, ya que desde el punto de vista de la ciber-seguridad o incluso de la seguridad nacional, este tipo de dispositivos son muy relevantes.

Antes de entrar en detalles, vamos a ver la estructura típica de una red de smart-metering y sus componentes principales:

 
Un mito bastante extendido es que en España los smart-meters son accesibles mediante radio (p.e. usando Zigbee). Pero si consultamos las webs de los contadores homologados por las principales compañías eléctricas veremos que ninguno o prácticamente ninguno soportan esta posibilidad.
 
Los smart-meters en España pueden ser atacados principalmente por 3 vías:
- Acceso físico directo al hardware del contador.
- Acceso mediante el puerto óptico del contador.
- Acceso mediante la red de datos PLC.
 
En España la comunicación primaria con el contador es la realizada mediante PLC, pero tiene un alcance muy limitado (entre 100m y 200m, dependiendo de la zona) de forma que normalmente los dispositivos se configuran en forma de red mesh para conseguir comunicarse con el nodo de gestión (concentrador).
 
La comunicación PLC directa es posible desde una conexión o toma eléctrica que este en las cercanías de un contador.
 
La comunicación óptica es la secundaria y requiere conexión física directa entre la sonda y el contador (no vale estar cerca, hay que tener contacto directo).
 
Tabla resumen de la tecnología utilizada por las principales compañías españolas (puede que algunos datos estén desactualizados):
 
 
Los estándares utilizados en España son diferentes de los americanos y por lo tanto incompatibles con la mayoría de herramientas de hacking (Termineter, Optiguard) que puedan venir desde allí.
 
Principales diferencias a nivel de ciber-seguridad de los smart-meters desplegados en España respecto a los desplegados en Estados Unidos y otros países:
- No hay comunicación con los electrodomésticos vía radio (no Zigbee).
- No hay comunicación GSM (los concentrados en algún caso si la usan, pero no los propios contadores).
- La comunicación PLC se basa en estándares diferentes (Prime y Meters&More).
- La comunicación óptica también se basa en un estándar distinto (IEC62056-21).
- La gestión de claves y las medidas de seguridad son diferentes y específicas de cada compañía.
 
Este es el típico contador americano y no, no funcionaría en España:
 
 
Este es el típico contador que podemos encontrar en España:
 
 
La funcionalidad y la seguridad de cada una de las implementaciones actuales es variable y probablemente no satisfactoria para muchos. Aunque la tendencia es a mejorar, pero dependiendo de la zona y de la antigüedad de los dispositivos podemos encontrarnos niveles de seguridad distintos incluso dentro de una misma compañía.
 
La principal barrera para que un usuario malicioso aproveche estas vulnerabilidades es el relativamente alto coste (o tal vez no tanto) del hardware necesario para realizar ataques:
- Un concentrador PLC puede rondar los 1200€.
- Un modem PLC puede rondar los 500€.
- Una sonda óptica ronda los 100€ aunque podemos construirnos una por bastante menos.
- Un contador de segunda mano para “cacharrear” podemos encontrarlo a partir de 50€, pero necesitaremos un pequeño laboratorio de electrónica para analizarlo.
 
Esta última tal vez es la opción más asequible y por lo tanto la mayoría de ataques publicados van por ese camino.
 
Otra barrera es la falta de documentación específica de las distintas implementaciones, la documentación de los estándares suele ser de pago y no existen apenas publicaciones técnicas detalladas.
 
Pero tenemos que estar alerta ya que ambas “barreras de entrada” con el tiempo irán siendo menores; cada vez habrá más documentación disponible, herramientas de código libre, dispositivos de segunda mano a la venta, etc.
 
 
 


miércoles, 12 de abril de 2017

Ciber-armas: efectivas, asequibles y negables

En la ultima Rootedcon, una de las charlas mas interesantes fue la que dio Mikko Hypponen, director de investigación de Fsecure.

Una de las ideas que dejo caer, fue que estamos viviendo el inicio de una nueva carrera armamentística, centrada en el ciber-espacio. Recordemos que ya en el 2016 la doctrina de la OTAN reconoció este espacio como quinto dominio o dimensión militar.

Aquí tenéis un resumen de esa parte de su charla:


Para Mikko las ciber-armas tienen 3 caracteristicas muy ventajosas a la hora de invertir en ellas.
  • Son efectivas. Pueden provocar importantes daños; economicos o incluso físicos.
  • Son asequibles. Son baratas en comparacion con otro tipo de armas (p.e. un tanque).
  • Son negables. La atribucion o autoria de un ataque es dificil de demostrar. Y por lo tanto se dificultan los posibles contra-ataques.

Estoy de acuerdo con estas afirmaciones, pero no es todo tan facil como pueda parecer.

Una ciber-arma puede ser muy efectiva o dañina, pero su efectividad es efimera, muy poco duradera en el tiempo. Un malware o un exploit dependen en gran medida del efecto sorpresa, de no ser conocidos previamente por el objetivo. Si este los conoce de antemano es facil que pueda defenderse.

La ciber-arma mas famosa y que se pone a menudo como ejemplo, Stuxnet, probablemente hoy no seria efectiva a menos que sufriese unos cambios radicales. Para empezar seria detectada por las herramientas de seguridad (antivirus, ips) y los exploits 0-day que utilizaba ya no serian efectivos.

Esto nos lleva al segundo aspecto. Una ciber-arma puede ser barata, pero normalmente solo admite unos pocos usos. No podemos reutilizar de forma indefinida un exploit o un malware ya que acabaran por ser detectados. De forma que para cada operacion necesitaremos crear nuevas herramientas o modificar notablemente las anteriores.

No solo por cuestiones de efectividad sino tambien por negabilidad. Si utilizamos la misma herramienta en mas de una operacion, perdemos esta ventaja y la atribucion se simplifica.
Por esta razon las ciber-armas normalmente no son escalables. No podemos fabricarlas en cadena y por lo tanto de manera agregada no son tan economicas como pueda parecer.

Volviendo al ejemplo de Stuxnet, su coste estimado se situa alrededor de los 100 millones de dolares. Si quisiesemos realizar una campaña ofensiva contra una nacion rival, necesitariamos realizar multiples operaciones de este tipo de forma paralela. Supongamos que digidas a las 35 principales empresas o industrias de esa nacion. Esto nos daria un coste agregado de 3500 millones de dolares. Las cifras van subiendo.

Podrian ser incluso mayores, ya que los costes asociados al desarrollo, operacion y mantenimiento de este arsenal serian crecientes; habria que añadir: gastos politicos, de cordinacion, de infraestructura, de personal, etc.

Esto podria explicar por ejemplo porque el presupuesto para ciber-operaciones del Pentagono fue de 7000 millones en 2016.