Mucha de la literatura sobre ciberguerra no llega a concretar con ejemplos claros que actividades especificas se podrían englobar dentro de este término. Y en parte es lógico ya que es un concepto que evoluciona rápidamente.
Esto hace que algunos lectores que se inician en este mundo no tengan claro a que se refiere concretamente el término ciberguerra. Y no es casual que esto pase ya que incluso en círculos profesionales muchas veces no se llega a un acuerdo completo sobre que conceptos entran o no en la definición de ciberguerra.
¿Pero exactamente que podemos considerar como ciberguerra?
Partiendo de la descripción general del término tenemos 2 variantes claramente diferenciadas:
• Conjunto de acciones orientadas a alterar los sistemas informáticos del enemigo y a proteger los propios, como herramienta de apoyo a las acciones bélicas convencionales.
• Conflicto de carácter bélico que toma el ciberespacio como escenario principal, en lugar de los campos de batalla convencionales. Sería un conflicto sin víctimas y generalmente sin daños materiales.
A partir de estas definiciones podemos intentar acotar el concepto del que estamos hablando.
Ciberguerra como elemento de apoyo a las acciones bélicas tradicionales
La ciberguerra como elemento de apoyo a las acciones bélicas tradicionales es relativamente fácil de acotar. Podríamos incluir:
• Operaciones de inteligencia: No hace falta explicar mucho como la informática ha revolucionado el mundo del espionaje. Muchos aspectos de nuestra vida están ya manejados por ordenadores (incluso más de los que pensamos) y también muchos aspectos de la vida militar. Cualquiera de estos aspectos que este contenido en un ordenador es susceptible de ser espiado (conversaciones telefónicas, movimientos bancarios, inventarios, gestión de personal, etc.).
• Operaciones de guerra psicológica y propaganda: Una buena operación de guerra psicológica requiere de un buen medio de comunicación. Y hoy en día que mejor medio de comunicación que Internet. A través de sistemas de mensajería, redes sociales, páginas web; es fácil contactar con los miembros de un ejército enemigo y poder influir en su moral.
• Operaciones de sabotaje: Al igual que en las operaciones de inteligencia, muchos aspectos de nuestra vida están ya controlados por ordenadores. Nada nos impide modificar lógicamente estos ordenadores para sabotear multitud de servicios: Agua, electricidad, teléfono, transporte, internet, banca. Pocos ejércitos podrían subsistir mucho tiempo sin estos servicios básicos.
Y teniendo en cuenta también que a día de hoy rara es la logística que no está gestionada informáticamente, tanto la propia como la de los contratistas civiles. Un ataque informático a este nivel sería muy eficaz.
Debido a que la informática forma parte cada vez más importante de algunos equipos de combate (navíos, tanques, artillería) también podría considerarse ciberguerra la manipulación de los sistemas informáticos integrados en los mismos. Aunque a día de hoy esto es poco habitual ya que estos sistemas generalmente carecen de comunicación informática con el exterior y difícilmente pueden ser manipulados remotamente, aunque en un futuro seguramente sera común.
Dejaríamos fuera del concepto de ciberguerra las operaciones de guerra electrónica, aunque en algunos casos la frontera entre ambas es muy sutil. Podríamos definir el límite entre ambas categorías por el aspecto físico de las mismas: guerra electrónica seria aquella que requiere de acciones en el mundo físico (por ejemplo introducir interferencias en una frecuencia de radio) y ciberguerra aquella que no requiere acciones físicas directas (por ejemplo desactivar remotamente el sistema informático que controla una antena de telefonía GSM).
Ciberguerra como enfrentamiento en el ciberespacio
Esta vertiente de la ciberguerra es tal vez la más difícil de acotar ya que partimos de que no existe una definición clara de lo que se considera un enfrentamiento en el ciberespacio.
Ya vimos en un post anterior que Internet es campo habitual de ciberdisputas, pero ¿Cuándo una disputa pasa a ser un acto de guerra?
Para no entrar en aspectos doctrinales y por simplificar, podríamos acotar este tipo de ciberguerra por 2 aspectos que la definen claramente: el campo de enfrentamiento y las armas utilizadas:
El campo de enfrentamiento seria cualquier conjunto de sistemas informáticos accesibles de forma remota (conectados en red), principalmente ordenadores personales y servidores. Pero también cualquier tipo de dispositivos de red (routers, switches, firewalls, balanceadores) o cualquier tipo de dispositivos informáticos embebidos (centralitas telefónicas, sistemas de automatización industrial, autómatas, etc.).
Las armas de la ciberguerra serian los programas preparados para penetrar la seguridad informática de los sistemas del enemigo y el malware para infectarlos y controlarlos remotamente.
Combinando ambos factores podemos tener un límite más o menos claro de lo que podemos considerar como un enfrentamiento en el ciberespacio.
miércoles, 23 de noviembre de 2011
martes, 8 de noviembre de 2011
El peligro de las falsificaciones chinas.
Diversos medios norteamericanos se hacen eco en las ultimas horas de una
sorprendente noticia: "Piezas chinas falsificadas en aviones militares de Boeing
y L3". (BusinessWeek “ChinaCounterfeit Parts in U.S. Military Boeing, L3 Aircraft “). Según nos cuenta esta crónica componentes electrónicos de
inferior calidad habrían acabado siendo instalados en aeronaves de combate norteamericanas,
incluyendo modelos que actúan en el conflicto de Afganistán, como el transporte
C-130J Hércules o el helicóptero de
ataque AH-64. El problema afectaría incluso al reciente avión de patrulla marítima
P-8A Poseidon, así nos lo cuenta DefenseTech en
el articulo “Counterfeit Parts Found on P-8 Posiedons”.
Y es que la cuestion de los productos falsificados va más allá
de la ropa, los complementos de moda o el calzado. China produce diariamente
millones de artículos falsos, y entre ellos se incluyen componentes electrónicos:
desde simples circuitos integrados hasta dispositivos electrónicos complejos
completos. Al contrario que las típicas
imitaciones de mercadillo chinas que fácilmente saltan a la vista estos
componentes reproducen las inscripciones, marcajes, dimensiones y diseños de tal
forma que fácilmente pueden pasar por los productos originales.
En ocasiones estos componentes acaban en las cadenas de
suministro internacionales y así finalmente en el interior de todo tipo de
productos de reconocidas marcas, incluso como es el caso que nos ocupa
fabricantes del sector de defensa. Estos elementos, como suele ocurrir con las
imitaciones son en su mayoría clónicos que han pasado un escaso o nulo control
de calidad, y que por tanto si se emplean en sistemas armamentísticos pueden
llegar a poner peligro la seguridad de los militares que hacen uso de los
sistemas afectados, a la capacidad militar de los ejercitos que los usan y en última
instancia la propia seguridad nacional de los países afectados.
La información original de la noticia que nos ocupa parte de
un documento del comité del senado norteamericano para las fuerzas armadas. La situación
no es nueva y ya se venía comentando en círculos de defensa , "Dangerous fakes", lo preocupante es
que el número de casos detectados va en aumento. Según el informe del senado norteamericano
los casos detectados dentro de la cadena de suministro del Departamento de
Defensa habrían pasado de 3.868
incidentes en 2005 a 9.356 incidentes tres años despues.
Aunque el problema que pone de relevancia el informe es el
que afecta a sistemas de defensa, tampoco se puede obviar que situaciones
similares pueden afectar a otros entornos críticos como dispositivos de control
industrial, sistemas médicos de soporte vital o dispositivos de comunicaciones
usados en situaciones de emergencia. Y si puede afectar a sistemas como esos podemos dar por seguro que nuestras redes caseras o empresariales tampoco pueden quedar a salvo.
El peligro está en que estos componentes supuestamente son idénticos
a los originales pero realmente solo lo son en apariencia, normalmente las
especificaciones de fabricacion son muy inferiores a las de los productos
originales. Pongamos por caso el de los fabricantes de microchips, como pueden
ser circuitos lógicos, micro-controladores,
etc. Estos se suelen ofrecer en muchas ocasiones en dos líneas diferenciadas,
la de uso estándar, destinados para la electrónica de consumo y que suele tener
unas tolerancias acordes con este empleo, digamos por ejemplo un rango
garantizado de funcionamiento dentro del marguen de temperaturas de 0C to +70
grados centígrados. Mientras que por otro lado suele existir una línea de tipo
industrial que garantiza esos mismos componentes con unas mayores calidades, ya sean unas tasas de fallo inferiores o unas tolerancias ambientales
superiores, siguiendo con el ejemplo de
las temperaturas un valor típico industrial seria de -40C a +85C. Esta segunda línea
normalmente suele ser más cara que la primera, eso la convierte también en un
objetivo ventajoso para el falsificador, a él realmente le cuesta lo mismo
etiquetar su producto como uno u otro. Por ello un componente que seguramente
ni siquiera pasaría los estándares de calidad de uso casero puede acabar integrado en sistemas como automóviles,
aviones, maquinaria industrial, etc.
El problema de los productos falsificados alcanza incluso a los dispositivos y electrónica de red. En otra
noticia reciente (“Selling fake Cisco gear lands Kansas man in prison for 27 months”) el cerebro de una operación de importación de equipos falsificados era
sentenciado a mas de dos años de cárcel. El delito, importar equipos que imitaban a los
de Cisco , el líder mundial en soluciones de redes y cuyos equipos muy
posiblemente sostienen la mayor parte del trafico de internet. Y es que este
conocido fabricante es una de las principales víctimas de la falsificación de de
componentes, desde módulos interfaces de red hasta firewalls PIX completos.
Y es aquí donde nos encontramos con el segundo riesgo por el
uso de involuntario de imitaciones, la posibilidad de introducir
vulnerabilidades en nuestras redes. Porque cuando empleamos un clónico no soportado
por el fabricante oficial ¿quién nos asegura que el producto contiene la última
versión disponible del firmware o sistema operativo que se ejecuta el
dispositivo? Ya no solo pudiera ser que el falsificador use una versión antigua,
y por tanto más vulnerable, si no que es
incluso posible que la versión incluida sea una parcheada para funcionar con el hardware clonado, diferente al original, y que la actualización a una versión oficial actualizada no funcione correctamente o sea directamente imposible de instalar.
Peor aún, en un dispositivo de red falso, ¿Cómo sabemos que
el dispositivo no viene con una configuración de fábrica totalmente insegura
acorde con la irrisoria calidad del producto? ¿Quién nos garantiza que dentro del firmware o
del diseño electrónico no se esconde ninguna sorpresa en forma de caballo de Troya?
Algunos analistas ya han especulado en la posibilidad de que fabricantes con
intenciones maliciosas o incluso el
propio gobierno chino puedan aprovechar que los productos en el pais asiatico acaben integrados en los sistemas de defensa de sus potenciales enemigos, pudiendo añadir intencionadamente
algún tipo de fallo o puerta trasera que permita tomar el control del sistema o
deshabilitarlo de forma remota en caso necesario.
lunes, 31 de octubre de 2011
Wikileaks: Antecedentes históricos y alternativas actuales.
Hace unos días el famoso creador de Wikileaks,Julian Assange, informaba que esta organización suspendía sus actividades por la situación de asfixia financiera consecuencia del bloqueo desde empresas como Visa y Mastercard. Estamos ante el más reciente capitulo, aunque seguramente no el ultimo de la rocambolesca historia de Wikileaks. Una historia que incluye los problemas legales de su creador por supuestos delitos sexuales, las criticas por parte de antiguos colaboradores, o haber sido la motivación justificadora del cyberactivismo de colectivos como Anonymous.Muchos han sido los cambios desde que Wikileaks apareció en internet allá por el año 2006. En sus inicios Wikileaks era en un sitio editable, de ahí el “wiki” de su nombre. En su concepción original se suponía que los documentos filtrados debían ser analizados de forma colaborativa, poniéndolos dentro de contexto de forma similar a como se edita un artículo de la Wikipedia.
En este énfasis comunitario Assange y sus colaboradores se mantenían en el anonimato. Si uno consultaba en la página de preguntas frecuentes quien estaba detrás de Wikileaks se encontraba con esto: “Wikileaks ha sido fundado por disidentes chinos, matemáticos y técnicos de empresas start-up, de los EE.UU., Taiwán, Europa, Australia y Sudáfrica”
Durante los primeros años las actualizaciones eran regulares e incluían todo tipo de documentos, aunque acabaron sobresaliendo los de un carácter más técnico que afectaban a las fuerzas armadas norteamericanas. Estos documentos normalmente manuales de técnicas, tácticas y procedimientos carecían del impacto mediático de las revelaciones que posteriormente llevaron a Wikileaks a la fama, pero ofrecían un resquicio abierto a la operativa de las fuerzas armadas y agencias de seguridad norteamericanas.
Una gran duda sobre Wikileaks es como en los primeros tiempos cuando era una iniciativa escasamente conocida pudo hacerse con una masa crítica de documentos que le proporcionaron su tirón mediático inicial. Se llego a rumorear que durante los inicios Wikileaks hizo acopio de documentos secretos, no filtrados desde fuentes humanas internas, si no mediante una red de monitorización de nodos de salida de TOR. Según la teoría más extendida muchos documentos de este tipo son movidos por dicha red anonimizadora por hackers que buscan ocultar su origen (quien sabe si intrusos a sueldo del gobierno chino o de otros países) y así acababan en las manos de los colaboradores de Wikileaks. Según otros estudios Wikileaks también habría hecho uso sus inicios de la explotación de filtraciones involuntarias en redes P2P, una tema que ya hemos tratado desde este blog.
No sería hasta mucho tiempo después, noviembre de 2009, cuando aparecería en escena Bradley Manning y las filtraciones de alto nivel que dieron fama a Wikileaks, estas si con un importante calado político. Al tiempo tambien hubo cambios en la concepcion de Wikileaks del anonimato inicial se paso al protagonismo de sus creadores y especialmente de Julian Assange , mientras que de la idea de trabajo abierto y colaborativo se paso a la filtración selectiva a la prensa. Aunque esa es otra historia, una ampliamente conocida y documentada.
En la actualidad existen una serie de sitios, que comparten aquella visión inicial de Wikileaks y que son visita obligada para cualquier estudioso: Ya sea el simple aficionado a las temáticas de seguridad y defensa. Los responsables de oficinas de protección de material clasificado, por si alguno de los documentos bajo su control hubiera sido divulgado. O incluso el personal dedicado a tareas inteligencia o el avezado periodista, ante la posibilidad de la aparición de una ocasional pepita de oro informativa.
Estas alternativas actuales son fieles al concepto inicial de Wikileaks, alejadas de la imagen de lugar de filtración de documentos clasificados de alto nivel, hecho que ocurre solo muy ocasionalmente. Su actividad se nutre principalmente de la publicación de material se que se mueve en la frontera entre lo público y lo secreto. Datos que no se estima conveniente que sean accesibles al público general y sin embargo no son tan críticos como para ser clasificados. Este tipo de documentos suelen estar marcados con identificadores como FOUO (solo para uso oficial), LE SENSITIVE (material sensible policial) o ser información propietaria de empresas de defensa. Estas páginas también exponen a la luz pública material en peligro de desaparecer de la red, de ser clasificada a posteriori, o que en su opinión no ha recibido la atención adecuada.
Cryptome (www.cryptome.org) es un sitio web creado en 1996 por la pareja de arquitectos John Young y Deborah Natsios, funciona como un repositorio de información acerca de la libertad de expresión, la criptografía, el espionaje y la privacidad. Poco o nada ha cambiado a lo largo de los años el diseño de esta web que podría calificarse, siendo benévolos, de minimalista. En su larga trayectoria cryptome ha sido amenazada por diversas empresas por publicar información que ellos consideraban propietaria, e incluso ha recibido la visita ocasional del personal del FBI.
Public Intelligence (www.publicintelligence.net) fundado en el verano de 2009 se define como un proyecto internacional destinado a la agregación de un trabajo colectivo de investigadores independientes de todo el mundo que quieren defender el derecho del público a acceder a la información.
Cryptocomb (www.cryptocomb.org) es en cambio un recién llegado a la escena de las las web de activismo en la apertura de la información, poco o nada se sabe de su creador o sus intenciones. Su estética y contenidos imitan a Cryptome e incluso su declaración de intenciones copia directamente la de este.
Muy por detrás en contenidos o actividad quedan los múltiples imitadores de wikileaks, si bien algunos merecen una visita ocasional, como son Wikispooks o el aparentemente abandonado DODleaks.
Como no podía ser de otra manera en los tiempos actual muchas de las revelaciones mas recientes de estos sitios tienen que ver con la ciberguerra. Así estos dias cryptome hacia publica una revista interna del fabricante de defensa Raytheon[1] sobre sus cyber servicios, cryptocomb publicaba una conferencia reciente de Aaron Barr (famosa victima de anonymous) sobre ciberguerra y social media[2]. Mientras que Public intelligence hacia pública una nota interna del Homeland Security sobre los últimos desarrollos de herramientas por parte del colectivo Anonymous[3].
Documentos destacados:
[1] Cryptome Raytheon Technology Today: Raytheon’s Cyberdomain Technologies
[2] Cryptocomb: Aaron Barrs SSAS PPT Presentation "Social Media and Evolving Cyber Threats" given in Washington, D.C. on Sep 12, 2011
[3] Public Intelligence: (U//FOUO) DHS Bulletin: “Anonymous” and Associated Hacker Groups Deploying New Cyber Attack Tools
lunes, 24 de octubre de 2011
Uso táctico de Metasploit Framework
En respuesta a mi post anterior un lector pedía un ejemplo práctico del uso de Metasploit. Y como el blog es de temática militar vamos a empezar por ahí. En futuros artículos intentaré explicar a con más detalles técnicos cómo podemos utilizar Metasploit en la práctica.
Decíamos metafóricamente que Metasploit sería el equivalente en ciberguerra a lo que es un destructor a nivel naval; ¿Pero qué características tiene en común con un destructor?
Que me corrijan los expertos en tecnología naval, pero a groso modo los destructores son buques rápidos y versátiles pero con gran potencia de fuego.
Metasploit como decíamos cumple estas características: Es una herramienta flexible (de código libre), de uso simple (aunque para especialistas por supuesto) y que puede ser equipada con múltiples exploits (potencia de fuego) para atacar objetivos importantes.
El escenario
Por ejemplo supongamos que tenemos un escenario donde nuestro objetivo es conseguir acceso a la correspondencia de un alto directivo (este será nuestro objetivo primario).
Analizado el escenario, con información obtenida de fuentes públicas en Internet, decidimos que la forma más sencilla de conseguir este objetivo es infiltrar un troyano en el equipo de algún colaborador directo de ese directivo (estos serán los objetivos intermedios). Ya que hemos averiguado que se utilizan habitualmente en la compañía sistemas Windows antiguos sin parchear.
Para conseguir infectar estos equipos necesitaremos aprovechar una vulnerabilidad que nos permita introducir un malware en el sistema. Aquí es donde entra en juego Metasploit.
Tenemos 2 formas principales de lanzar un exploit contra el equipo que queremos infectar:
• Enviar el exploit directamente a la víctima. Por ejemplo dentro de un email.
• Que la víctima recoja el exploit. Por ejemplo dejándolo en un servidor web y convenciendo a la víctima para que visite la página donde está.
Optamos por la segunda opción ya que los clientes de correo habituales como Outlook o Thunderbird pueden ser difíciles de explotar y los antivirus de correo podrían parar el ataque (aunque hay formas de saltárselos).
El exploit
Así que lo que haremos será configurar un servidor en Internet en el que instalaremos:
• Un pequeño servidor web que al recibir una conexión detectara la versión del navegador que conecta, seleccionara el exploit más adecuado y le pasara la orden a Metasploit.
• Una instancia de Metasploit framework que generara el exploit adecuado y que en caso de tener éxito se encargará de ejecutar el payload en el equipo atacado.
El exploit a utilizar dependerá de varios factores: La versión del navegador, el tipo de sistema operativo, si el usuario utiliza antivirus, etc. Podremos incluso lanzar varios a la vez para aumentar las probabilidades de éxito. Todo ello será necesario programarlo en Metasploit.
Podremos también utilizar los exploits que ya vienen programados con Metasploit o desarrollar los nuestros propios. Esto nos llevara más tiempo, pero reducirá las posibilidades de ser detectados.
También necesitaremos que el usuario visite nuestro servidor web “trampa”. Para hacerlo necesitaremos algo de ingeniería social para convencer a los usuarios de que visiten con su navegador la dirección de una página cebo.
Para ello podremos por ejemplo publicar una nota en un foro que sabemos es frecuentado por los trabajadores de la empresa a atacar, con la esperanza de que alguno visite nuestra página.
El payload
Como el objetivo es instalar un troyano en el equipo atacado. La función del payload será sencilla, consistirá en descargar y ejecutar el instalador del malware.
El propio Metasploit ya incorpora un payload con esta funcionalidad (download_exec) de forma que no necesitaremos desarrollo adicional.
Aunque también podríamos añadirle funciones avanzadas, como por ejemplo que el payload desactive el antivirus del equipo antes de descargar el instalador.
La infección
Una vez esta todo montado solo tenemos que esperar a que alguien visite la dirección de nuestra página y ver si el exploit ha funcionado.
Para ello utilizaremos una herramienta de control remoto o RAT (como por ejemplo PoisonIvy o el propio módulo Meterpreter de Metasploit) configurada para conectar a otro equipo que tendremos conectado en Internet con el software de control.
Si todo ha ido bien y se han conseguido infectar algunos equipos, habrá que comprobar si los sistemas infectados corresponden a los usuarios que eran nuestro objetivo intermedio.
El objetivo final
Si hemos tenido suerte y alguno de los equipos infectados es de un colaborador directo del usuario a monitorizar, tendremos acceso a los segmentos internos de la red de la empresa. Y si el equipo infectado comparte el mismo segmento de red que el equipo del objetivo primario podremos utilizar un sniffer para espiar su correo.
Un sniffer es un programa que se encarga de recoger y analizar el tráfico de una red. En las redes que habitualmente encontraremos en una empresa (de tipo Ethernet) un sniffer normalmente solo puede ser utilizado dentro del segmento local de red.
Conseguido
Si todo sale según lo previsto tendremos acceso al correo del directivo capturando el tráfico con su servidor de email.
Además lo habremos conseguido sin atacar directamente su equipo, reduciendo la probabilidad de ser detectados. Y todo gracias a la versatilidad y potencia de Metasploit.
Decíamos metafóricamente que Metasploit sería el equivalente en ciberguerra a lo que es un destructor a nivel naval; ¿Pero qué características tiene en común con un destructor?
Que me corrijan los expertos en tecnología naval, pero a groso modo los destructores son buques rápidos y versátiles pero con gran potencia de fuego.
Metasploit como decíamos cumple estas características: Es una herramienta flexible (de código libre), de uso simple (aunque para especialistas por supuesto) y que puede ser equipada con múltiples exploits (potencia de fuego) para atacar objetivos importantes.
El escenario
Por ejemplo supongamos que tenemos un escenario donde nuestro objetivo es conseguir acceso a la correspondencia de un alto directivo (este será nuestro objetivo primario).
Analizado el escenario, con información obtenida de fuentes públicas en Internet, decidimos que la forma más sencilla de conseguir este objetivo es infiltrar un troyano en el equipo de algún colaborador directo de ese directivo (estos serán los objetivos intermedios). Ya que hemos averiguado que se utilizan habitualmente en la compañía sistemas Windows antiguos sin parchear.
Para conseguir infectar estos equipos necesitaremos aprovechar una vulnerabilidad que nos permita introducir un malware en el sistema. Aquí es donde entra en juego Metasploit.
Tenemos 2 formas principales de lanzar un exploit contra el equipo que queremos infectar:
• Enviar el exploit directamente a la víctima. Por ejemplo dentro de un email.
• Que la víctima recoja el exploit. Por ejemplo dejándolo en un servidor web y convenciendo a la víctima para que visite la página donde está.
Optamos por la segunda opción ya que los clientes de correo habituales como Outlook o Thunderbird pueden ser difíciles de explotar y los antivirus de correo podrían parar el ataque (aunque hay formas de saltárselos).
El exploit
Así que lo que haremos será configurar un servidor en Internet en el que instalaremos:
• Un pequeño servidor web que al recibir una conexión detectara la versión del navegador que conecta, seleccionara el exploit más adecuado y le pasara la orden a Metasploit.
• Una instancia de Metasploit framework que generara el exploit adecuado y que en caso de tener éxito se encargará de ejecutar el payload en el equipo atacado.
El exploit a utilizar dependerá de varios factores: La versión del navegador, el tipo de sistema operativo, si el usuario utiliza antivirus, etc. Podremos incluso lanzar varios a la vez para aumentar las probabilidades de éxito. Todo ello será necesario programarlo en Metasploit.
Podremos también utilizar los exploits que ya vienen programados con Metasploit o desarrollar los nuestros propios. Esto nos llevara más tiempo, pero reducirá las posibilidades de ser detectados.
También necesitaremos que el usuario visite nuestro servidor web “trampa”. Para hacerlo necesitaremos algo de ingeniería social para convencer a los usuarios de que visiten con su navegador la dirección de una página cebo.
Para ello podremos por ejemplo publicar una nota en un foro que sabemos es frecuentado por los trabajadores de la empresa a atacar, con la esperanza de que alguno visite nuestra página.
El payload
Como el objetivo es instalar un troyano en el equipo atacado. La función del payload será sencilla, consistirá en descargar y ejecutar el instalador del malware.
El propio Metasploit ya incorpora un payload con esta funcionalidad (download_exec) de forma que no necesitaremos desarrollo adicional.
Aunque también podríamos añadirle funciones avanzadas, como por ejemplo que el payload desactive el antivirus del equipo antes de descargar el instalador.
La infección
Una vez esta todo montado solo tenemos que esperar a que alguien visite la dirección de nuestra página y ver si el exploit ha funcionado.
Para ello utilizaremos una herramienta de control remoto o RAT (como por ejemplo PoisonIvy o el propio módulo Meterpreter de Metasploit) configurada para conectar a otro equipo que tendremos conectado en Internet con el software de control.
Si todo ha ido bien y se han conseguido infectar algunos equipos, habrá que comprobar si los sistemas infectados corresponden a los usuarios que eran nuestro objetivo intermedio.
El objetivo final
Si hemos tenido suerte y alguno de los equipos infectados es de un colaborador directo del usuario a monitorizar, tendremos acceso a los segmentos internos de la red de la empresa. Y si el equipo infectado comparte el mismo segmento de red que el equipo del objetivo primario podremos utilizar un sniffer para espiar su correo.
Un sniffer es un programa que se encarga de recoger y analizar el tráfico de una red. En las redes que habitualmente encontraremos en una empresa (de tipo Ethernet) un sniffer normalmente solo puede ser utilizado dentro del segmento local de red.
Conseguido
Si todo sale según lo previsto tendremos acceso al correo del directivo capturando el tráfico con su servidor de email.
Además lo habremos conseguido sin atacar directamente su equipo, reduciendo la probabilidad de ser detectados. Y todo gracias a la versatilidad y potencia de Metasploit.
jueves, 6 de octubre de 2011
Metasploit Framework
Si como dice mi compañero Leo, un exploit 0-day es el equivalente digital a un “puto tomahawk”, Metasploit sería el equivalente digital a un destructor.
Un pequeño glosario para empezar:
• Vulnerabilidad: Error en el software que permite a un atacante comprometer su seguridad.
• Exploit: Código que aprovecha una vulnerabilidad.
• Payload: Carga útil de un exploit. La acción que ejecuta el exploit una vez la vulnerabilidad ha sido aprovechada con éxito.
• Shellcode: Conjunto de ordenes en un lenguaje de bajo nivel (normalmente ensamblador) que son inyectados en un programa para conseguir que se ejecute una operación para la que ha sido programado.
Los payloads que se utilizan normalmente para aprovechar vulnerabilidades de corrupción de memoria (desbordamientos de búfer, errores de manejo de punteros, etc.) se construyen en forma de shellcode.
• Post-explotación: Acciones que se ejecutan una vez el exploit ha tenido éxito. Por ejemplo: robar credenciales, abrir puertas traseras, ocultar la presencia del intruso, etc.
A groso modo Metasploit es una herramienta para desarrollar y lanzar exploits. Pero no solo es un framework de desarrollo, también es una plataforma unificada de explotación y hacking.
Suministra al programador y al hacker entre otras cosas:
• Una gran colección de exploits ya desarrollados y probados.
• Payloads (shellcodes) para varias plataformas y con multitud de funcionalidades.
• Scripts de post-explotación para tareas habituales de hacking.
• Multitud de módulos auxiliares para realizar distintas pruebas de seguridad.
• Funciones de red y procesado de múltiples protocolos.
• Conectividad con otras herramientas de ataque.
• Un interfaz de ataque uniforme.
• Un payload multipropósito con funcionalidades de rootkit (Meterpreter) que se instala en los sistemas explotados para interactuar remotamente sobre los mimos.
Esto convierte a Metasploit en la plataforma de lanzamiento ideal para cualquier exploit, ya que no solo le ofrece al programador una gran variedad de utilidades para mejorar su exploit sino que también le ofrece a la persona que va a lanzar los exploits una plataforma unificada y de uso sencillo.
Antes de Metasploit la programación y el uso de exploits era un proceso artesanal. El programador tomaba una vulnerabilidad de partida y empezaba a desarrollar un pequeño programa para aprovecharla. El programador tenía que desarrollar a medida los payloads y adaptarlos manualmente a cada plataforma.
Cada desarrollador además utilizaba un lenguaje de programación diferente. Y el estilo del código cambiaba mucho. La mayoría de exploits eran desarrollados para consumo del propio desarrollador y eran difíciles de utilizar y modificar para otros hackers.
Con la aparición de Metasploit la mayor parte de la comunidad de desarrolladores de exploits cuenta con una herramienta común en la que programar sus herramientas y ofrecérselas al resto de hackers.
Esto ha hecho que el uso de exploits se haya convertido en una tarea mucho más simple y al alcance de muchos usuarios no especialistas en seguridad.
Metasploit no es la única herramienta de este estilo, existen otros frameworks de explotación similares en cuanto a potencia pero de carácter comercial. Los más conocidos:
• Immunitysec Canvas
• Core Impact
Es difícil realizar una comparativa rápida entre ellos, pero a grandes rasgos:
• Las ventajas principales de Metasploit son su versión gratuita y el soporte de una gran comunidad de usuarios y desarrolladores.
• Canvas ha sido tradicionalmente considerado el más puntero. Entre sus desarrolladores se encuentran algunos de los considerados como números uno en el mundo de la programación de exploit.
• Core Impact es tal vez el más corporativo y menos underground de los tres. Su funcionalidad estrella son los agentes que se instalan en los equipos comprometidos y facilitan el realizar la labor de metástasis de la intrusión (conseguir acceso a otros equipos no accesibles de la red aprovechando el sistema comprometido).
Existen otros frameworks de explotación, algunos comerciales y otros de código libre, pero todavía no tienen la madurez de estos tres.
Cualquiera de estos frameworks podría servir como base para que una organización construya su propia plataforma de lanzamiento de exploits. Implementando sus propios exploits 0-day o payloads y sin tener que hacerlos públicos; obviamente.
Un pequeño glosario para empezar:
• Vulnerabilidad: Error en el software que permite a un atacante comprometer su seguridad.
• Exploit: Código que aprovecha una vulnerabilidad.
• Payload: Carga útil de un exploit. La acción que ejecuta el exploit una vez la vulnerabilidad ha sido aprovechada con éxito.
• Shellcode: Conjunto de ordenes en un lenguaje de bajo nivel (normalmente ensamblador) que son inyectados en un programa para conseguir que se ejecute una operación para la que ha sido programado.
Los payloads que se utilizan normalmente para aprovechar vulnerabilidades de corrupción de memoria (desbordamientos de búfer, errores de manejo de punteros, etc.) se construyen en forma de shellcode.
• Post-explotación: Acciones que se ejecutan una vez el exploit ha tenido éxito. Por ejemplo: robar credenciales, abrir puertas traseras, ocultar la presencia del intruso, etc.
A groso modo Metasploit es una herramienta para desarrollar y lanzar exploits. Pero no solo es un framework de desarrollo, también es una plataforma unificada de explotación y hacking.
Suministra al programador y al hacker entre otras cosas:
• Una gran colección de exploits ya desarrollados y probados.
• Payloads (shellcodes) para varias plataformas y con multitud de funcionalidades.
• Scripts de post-explotación para tareas habituales de hacking.
• Multitud de módulos auxiliares para realizar distintas pruebas de seguridad.
• Funciones de red y procesado de múltiples protocolos.
• Conectividad con otras herramientas de ataque.
• Un interfaz de ataque uniforme.
• Un payload multipropósito con funcionalidades de rootkit (Meterpreter) que se instala en los sistemas explotados para interactuar remotamente sobre los mimos.
Esto convierte a Metasploit en la plataforma de lanzamiento ideal para cualquier exploit, ya que no solo le ofrece al programador una gran variedad de utilidades para mejorar su exploit sino que también le ofrece a la persona que va a lanzar los exploits una plataforma unificada y de uso sencillo.
Antes de Metasploit la programación y el uso de exploits era un proceso artesanal. El programador tomaba una vulnerabilidad de partida y empezaba a desarrollar un pequeño programa para aprovecharla. El programador tenía que desarrollar a medida los payloads y adaptarlos manualmente a cada plataforma.
Cada desarrollador además utilizaba un lenguaje de programación diferente. Y el estilo del código cambiaba mucho. La mayoría de exploits eran desarrollados para consumo del propio desarrollador y eran difíciles de utilizar y modificar para otros hackers.
Con la aparición de Metasploit la mayor parte de la comunidad de desarrolladores de exploits cuenta con una herramienta común en la que programar sus herramientas y ofrecérselas al resto de hackers.
Esto ha hecho que el uso de exploits se haya convertido en una tarea mucho más simple y al alcance de muchos usuarios no especialistas en seguridad.
Metasploit no es la única herramienta de este estilo, existen otros frameworks de explotación similares en cuanto a potencia pero de carácter comercial. Los más conocidos:
• Immunitysec Canvas
• Core Impact
Es difícil realizar una comparativa rápida entre ellos, pero a grandes rasgos:
• Las ventajas principales de Metasploit son su versión gratuita y el soporte de una gran comunidad de usuarios y desarrolladores.
• Canvas ha sido tradicionalmente considerado el más puntero. Entre sus desarrolladores se encuentran algunos de los considerados como números uno en el mundo de la programación de exploit.
• Core Impact es tal vez el más corporativo y menos underground de los tres. Su funcionalidad estrella son los agentes que se instalan en los equipos comprometidos y facilitan el realizar la labor de metástasis de la intrusión (conseguir acceso a otros equipos no accesibles de la red aprovechando el sistema comprometido).
Existen otros frameworks de explotación, algunos comerciales y otros de código libre, pero todavía no tienen la madurez de estos tres.
Cualquiera de estos frameworks podría servir como base para que una organización construya su propia plataforma de lanzamiento de exploits. Implementando sus propios exploits 0-day o payloads y sin tener que hacerlos públicos; obviamente.
viernes, 9 de septiembre de 2011
Las otras guerras del IRC
El protocolo IRC es un veterano de los servicios orientados a proporcionar comunicaciones tipo Chat. Según explica la Wikipedia el IRC fue creado por Jarkko Oikarinen (alias «WiZ») en agosto de 1988 con el motivo de reemplazar al programa MUT (talk multiusuario) en un BBS llamado OuluBox en Finlandia. Oikarinen se inspiró en el Bitnet Relay Chat el cual operaba en BitNet (Bitnet era una antigua red internacional de computadoras de centros docentes y de investigación utilizando un protocolo de almacenaje y envío basado en los protocolos Network Job Entry de IBM)
El IRC se popularizo rápidamente como sistema de comunicación durante los 90 y fue especialmente favorecido por la comunidad de hackers, phreakers y traficantes de software pirata (warez en la jerga) de la época. Estos últimos, por ejemplo, intercambiaban ficheros mediante servidores ftp privados o hackeados a terceros para ser utilizados como almacén temporal, aunque también hacían uso de la función envió de ficheros DCC de persona a persona una forma primitiva de intercambio P2P.
Los hackers de aquellos tiempos comparados con los de la actualidad respondían a un tipo más romántico: motivados por el ansia de conocimientos y la superación de retos. Era común una fuerte competitividad entre grupos de hackers que acabo derivando en las llamadas guerras de IRC, pequeñas luchas en las que los contendientes intentaban principalmente hacerse notar más que los demás o incordiar a los grupos enemigos.
Estas guerras consistían en acciones para bloquear o hacerse con el control de las salas de chat de los rivales o de determinada temática, llamados canales de IRC. O bien en la realización de ataques de denegación de servicio contra usuarios para sacarlos temporalmente del servidor de IRC.
En aquella época, en la que un modem de 56Kbps era tecnología punta, la practica totalidad de los usuarios se conectaba mediante dial-up ppp lo que suponía conectar directamente su equipo a Internet. Y esta IP estaba normalmente visible para cualquier usuario del IRC o se podía obtener si la victima aceptaba una conexión tipo DCC. Así que no tardaron en aparecer diversos tipos de ataques de denegación de servicio que permitían desconectar a otros usuarios del chat bloqueando su maquina remotamente. Algunos atacaban al sistema operativo como los famosos Nukes (OOB,nestea,land,etc) que soliar provocar el temido "pantallazo azul". Otros ataques afectaban en cambio al cliente de IRC como el CTCP Flood, o incluso al propio modem como el caso del bug ATH+++.
Como en toda guerra se inicio una carrera armamentistica: Fueron surgiendo diversos scripts para añadir funcionalidades de ataque al mIRC , el cliente de IRC mas empleado. Estos script, que automatizaban las tareas de ataque y defensa, tenían nombres tan sugerentes como “TDP Power AZeZino" o "Borde Flooder".
Las guerras de IRC se fueron haciendo cada vez más sofisticadas. Se instalaban bots destinados a proteger canales de los ataques, se usaban los llamados bouncer para esconder la IP de origen. Incluso se comprometían servidores DNS de terceros o se explotaba el DNS Spoofing para acceder al IRC con resoluciones inversas que resultaran “cool”, cosas como “soy.muy.peligr.oso.com”. Algunos grupos mas avanzados técnicamente llegaron incluso a comprometer los servidores que soportaban las mismas redes de IRC para pinchar las comunicaciones de los rivales o a los administradores de las mismisimas redes de IRC los conocidos como IRcop.
 |
| Sala de chat del IRC Hispano visto con el cliente mIRC |
Sin embargo en la actualidad el IRC ha vuelto a tener relevancia en los medios al constituir la vía principal de comunicación de colectivos hacktivistas como Anonymous, que manejan su propia red de IRC Anonops, que emplean como punto de reunión para coordinar sus acciones reivindicativas, debatir nuevos objetivos y estrategias. Cada una de las operaciones de protesta de Anonymous suele tener su propio canal, ademas de canales que aglutinan a los Anonymous de un mismo país o idioma, como el caso de #Hispano.
Dada la familiaridad de los hackers con el protocolo IRC no es de extrañar que muchos troyanos y las primeras Botnet de maquinas zombies usaran este medio como sistema de comunicación y control con su creador. Exactamente el mismo canal de comunicación de LOIC , la herramienta de denegacion de servicio empleada por anonymous en sus ataques. LOIC puede funcionar de modo autonomo o bien mediante un sistema centralizado llamado HiveMind , conectándose a un canal específico de IRC para recibir los comandos que indican la web objetivo a bloquear.
Ahora bien no todos los usuarios de IRC son hacktivistas, intrusos informáticos y otra gente de mal vivir, algunos son simples internautas que disfrutan del chat de diversas temáticas en este vetusto protocolo, probablemente llamados por el minimalismo del chat en texto plano. Pero existen otros usuarios del IRC, digamos, mas especiales: por ejemplo los controladores militares que coordinan en estos momentos ataques aéreos desde aviones AWACS en Afganistan o Libia. Ya que por surrealista que pueda parecer en un principio las comunicaciones entre estos controladores y los centros de mando en tierra para autorizar y coordinar bombardeos aéreos se realizan mediante salas de IRC.
Una de las referencias más recientes de este uso militar del IRC la tenemos en un artículo del mes pasado de la prestigiosa revista Aviation Week, bajo el titulo Air Superiority For NATO Over Libya. Nos revela que los AWACS británicos y de la OTAN desplegados sobre Libia usan el IRC para conectar con el centro de operaciones aéreas de la OTAN CAOC-5 en Poggio Renatico, Italia. En conflictos belicos actuales donde los daños colaterales pueden tener un importante efecto ante la opinión pública que cada ataque debe ser convenientemente ser autorizado. En este caso lo más probable es que los controladores militares a bordo del AWACS y en comunicación directa con los pilotos de cazabombarderos y fuerzas especiales en tierra , hablan con ellos vía radio convencional al tiempo que solicitan permiso para el empleo de la fuerza mediante el chat IRC a instancias superiores.
No es la de Libia la única referencia a este mismo uso del IRC y si buscamos un poco podemos encontrar un artículo en la web de la USAF donde se comenta el uso operativo ya en 2008. Así como otras múltiples referencias en Irak y Afganistán.
Es evidente que estas comunicaciones se realizan en redes cifradas, altamente segregadas y por supuesto totalmente separadas de Internet. Pero ¿Se imaginan el caos que se podría crear si un grupo de hackers obtuviera acceso a este tipo de redes IRC y usara las "técnicas de guerra en el IRC" con consecuencias en conflictos del mundo real? ¿Y si en lugar de simples hackers fueran un comando de operaciones de intrusion informática enemigo?. Sin duda una de las implicaciones de la migración de protocolos propietarios militares hacia el uso de protocolos del ámbito civil, algo que ya tratamos en el artículo sobre vulnerabilidades COTS.
Aunque finalmente parece que igual que ocurrió con el IRC en el mundo civil este veterano protocolo empieza a ser reemplazado por otras alternativas más modernas. Así por ejemplo el interesante "paper" del organismo NC3A de la alianza atlántica Extending the Mission: NATO AEW Beyond Line-of-Sight Airborne IP Communications (Vista Rapida Google) ya contempla el uso de protocolos de chat basados en XMPP, un protocolo abierto basado en XML, para el que existen servidores y clientes libres. Es el usado por Facebook, Tuenti o GoogleTalk, por lo que aunque carezca de la aureola romántica del IRC a buen seguro no será un protocolo desconocido entre los hackers.
jueves, 25 de agosto de 2011
¿Contra quién estamos luchando?
Este post inicialmente se iba a llamar “¿Contra quién vamos a luchar?”, pero como dice mi compañero Leo, es que ¡Ya estamos en guerra!
Este año 2011 ha estado salpicado más que nunca de noticias relativas a graves compromisos de seguridad en grandes corporaciones, gobiernos y contratistas militares.
Y esto confirma que estamos ante un enemigo cada vez más potente y efectivo. Los americanos lo llaman Advanced Persistent Threat o APT (Amenaza Persistente y Avanzada).
Un APT sería un grupo organizado o nación, con recursos suficientes, que pretende infiltrarse y dañar a un grupo o nación rival a largo plazo.
Es un término anterior al de ciberguerra pero que toma su mayor significado en el entorno informático actual.
En el espionaje clásico se consideraban como APTs por ejemplo aquellas naciones que se dedicaban a introducir agentes “durmientes” en la jerarquía de una potencia rival con el fin de que llegasen a puestos importantes con el paso del tiempo.
APT en el entorno cibernético se suele asociar principalmente al uso de malware que va siendo introducido de forma subrepticia en los sistemas informáticos del enemigo y que se mantiene inactivo. Aunque el termino se extendería a cualquier actividad continuada de hacking que no es detectada.
El mayor riesgo de este tipo de amenazas no es que sean avanzadas o persistentes es que la cultura de seguridad informática predominante es claramente insuficiente para luchar contra ellas. Somos muy vulnerables.
La mayoría de herramientas de protección que existen hoy en día están diseñadas para defendernos contra atacantes casuales, tales como jóvenes aburridos, distribuidores de SPAM o pequeños ciber-delincuentes. Estas herramientas no son suficientes para contener ataques dirigidos.
La inversión en normativas (ISO27002, LOPD, PCI), los antivirus estándares, los IDS/IPS comerciales, los sistemas SIEM, etc. Están muy bien para sentar las bases para unas redes más seguras y crean un entorno para la gestión de la seguridad familiar y cómodo, pero no son suficientes ante las nuevas amenazas.
La experiencia ha demostrado que estas soluciones a pesar de ser relativamente eficientes para disuadir a atacantes casuales son muy limitadas a la hora de contener a un atacante decidido y persistente.
Toda organización que se prepara solo contra ataques conocidos y puntuales está cometiendo un gran error.
El atacante ni siquiera tiene que ser especialmente hábil, es suficiente con que sea perseverante. Es cuestión de tiempo que encuentre una brecha en la seguridad perimetral o que aprenda lo suficiente para abrir una.
Es difícil dar una receta rápida sobre cómo protegerse contra los APTs. Pero principalmente yo recomendaría ser proactivos. Formar equipos especializados que estudien, analicen y preparen defensas ante las nuevas amenazas. Equipos que aprovechen la potencia de las herramientas de seguridad estándares, pero que conozcan sus limitaciones y sepan solventarlas.
Este año 2011 ha estado salpicado más que nunca de noticias relativas a graves compromisos de seguridad en grandes corporaciones, gobiernos y contratistas militares.
Y esto confirma que estamos ante un enemigo cada vez más potente y efectivo. Los americanos lo llaman Advanced Persistent Threat o APT (Amenaza Persistente y Avanzada).
Un APT sería un grupo organizado o nación, con recursos suficientes, que pretende infiltrarse y dañar a un grupo o nación rival a largo plazo.
Es un término anterior al de ciberguerra pero que toma su mayor significado en el entorno informático actual.
En el espionaje clásico se consideraban como APTs por ejemplo aquellas naciones que se dedicaban a introducir agentes “durmientes” en la jerarquía de una potencia rival con el fin de que llegasen a puestos importantes con el paso del tiempo.
APT en el entorno cibernético se suele asociar principalmente al uso de malware que va siendo introducido de forma subrepticia en los sistemas informáticos del enemigo y que se mantiene inactivo. Aunque el termino se extendería a cualquier actividad continuada de hacking que no es detectada.
El mayor riesgo de este tipo de amenazas no es que sean avanzadas o persistentes es que la cultura de seguridad informática predominante es claramente insuficiente para luchar contra ellas. Somos muy vulnerables.
La mayoría de herramientas de protección que existen hoy en día están diseñadas para defendernos contra atacantes casuales, tales como jóvenes aburridos, distribuidores de SPAM o pequeños ciber-delincuentes. Estas herramientas no son suficientes para contener ataques dirigidos.
La inversión en normativas (ISO27002, LOPD, PCI), los antivirus estándares, los IDS/IPS comerciales, los sistemas SIEM, etc. Están muy bien para sentar las bases para unas redes más seguras y crean un entorno para la gestión de la seguridad familiar y cómodo, pero no son suficientes ante las nuevas amenazas.
La experiencia ha demostrado que estas soluciones a pesar de ser relativamente eficientes para disuadir a atacantes casuales son muy limitadas a la hora de contener a un atacante decidido y persistente.
Toda organización que se prepara solo contra ataques conocidos y puntuales está cometiendo un gran error.
El atacante ni siquiera tiene que ser especialmente hábil, es suficiente con que sea perseverante. Es cuestión de tiempo que encuentre una brecha en la seguridad perimetral o que aprenda lo suficiente para abrir una.
Es difícil dar una receta rápida sobre cómo protegerse contra los APTs. Pero principalmente yo recomendaría ser proactivos. Formar equipos especializados que estudien, analicen y preparen defensas ante las nuevas amenazas. Equipos que aprovechen la potencia de las herramientas de seguridad estándares, pero que conozcan sus limitaciones y sepan solventarlas.
viernes, 19 de agosto de 2011
Romper la criptografía haciendo trampas.
Los criptoanalistas rara vez admiten que necesitan ayuda. Hay una feroz independencia innata que caracteriza el negocio. Sin embargo, no siempre tienen éxito a través del criptoanálisis clásico. Se sabe que han llegado a hacer trampas. Y no son siempre honestos sobre esto a veces incluso mienten acerca de sus trampas.
El párrafo anterior es la traducción literal del inicio de un articulo desclasificado, titulado “The Sting - Enabling Codebreaking in the Twentieth Century” publicado originalmente en Cryptologic Quaterly una revista interna de la NSA.
Cuando se habla de seguridad de comunicaciones uno piensa automáticamente en criptografía y si se trata de romper esta criptografía vienen a la mente los dos ataques básicos, la fuerza bruta y el criptoanalis. El primero consiste en la comprobación exhaustiva de todas las posibles claves mediante el uso de la potencia pura de computación, mientras que el segundo supone la búsqueda de debilidades en los algoritmos criptográficos, o en la forman en la que se implementan, que permitan finalmente descifrar el contenido de las comunicaciones.
Sin embargo y tal como advertía el artículo de Cryptologic Quarterly no siempre es posible utilizar algunas de estas vías, puede darse el caso de un algoritmo del que no se conozcan debilidades y que implementado correctamente no puede ser atacado mediante criptoanálisis. Y aunque siempre queda la fuerza bruta en muchas ocasiones el recorrer el espacio de claves posibles se mide en cientos o en miles de años, y no es extraño el caso en la que la resistencia de un algoritmo se considera tal que el tiempo requerido para su cracking supera al tiempo que los astrofísicos suponen que le queda de vida a nuestro universo, al menos usando los ordenadores actuales.
Por tanto hay ocasiones en las que aquellos que deben romper la criptografía deben hacer trampas. Muchas veces esas trampas, a las que se refiere el artículo de la NSA consisten en obtener atajos para descifrar las comunicaciones, con artimañas poco honorables como robar, extorsionar o sobornar. La típica operación de servicio de inteligencia que recluta al encargado de cifra empleado en la sala de comunicaciones de la embajada de turno, para que directamente proporcione las claves utilizadas. Aunque otra opción es capturar un equipo de cifrado del enemigo o material de clave, aunque sea anticuado, para acelerar el proceso de criptoanálisis clásico.
No obstante existe otra forma bastante más elegante de hacer trampas, y consiste en usar argucias para que el enemigo deje voluntariamente de usar la criptografía y pase a comunicarse en texto plano o en claro. ¿Misión imposible?
En el mundo de internet estamos acostumbrados a que la criptografía desde el punto de vista del usuario sea prácticamente transparente y no tenga apenas ninguna penalización. Pero no siempre es así. Los sistemas de cifrado acrecientan la complejidad en los sistemas de comunicación, aumentan los puntos de fallo. Especialmente cuando se trata de comunicaciones por radio pueden darse casos en los que la criptografía provoca errores que hacen imposibles la comunicación, las claves criptográficas pueden estar incorrectamente configuradas, por ejemplo por un error de transcripción. También puede ocurrir que los sistemas de cifrado necesiten de una sincronización previa a la comunicación y esta falle, algo bastante común en los sistemas de secrafonia analógica usados para hacer ininteligible la voz en la comunicación por radio, en los primitivos sistemas de cifrado que se basaban en algoritmos de flujo , o en los sistemas de salto de frecuencia que dependen de una cuidadosa sincronización con un tiempo de referencia compartido de alta exactitud.
Un ataque contra estos sistemas consiste en interrumpir selectivamente las comunicaciones del contrario cuando estas son cifradas (por ejemplo mediante perturbadores de frecuencia) y en cambio no realizar ninguna acción cuando el enemigo intenta comunicarse en claro. Así el ingenuo operador de radio entiende que el fallo de comunicación es debido a algún problema de malfuncionamiento del equipo y desactiva el cifrado moviendo el conmutador correspondiente a la posición PLAIN. Entonces todo funciona con normalidad y ante la necesidad de comunicarse continua emitiendo en voz o texto plano.
Este tipo de ataque no es exclusivo de la guerra electrónica en mitad de una batalla, si no que recientemente se han publicado en el ámbito de la seguridad informática diversos ataques y las herramientas asociadas que hacen uso de esta técnica.
En la última edición de Usenix celebrada hace escasos días un grupo de investigadores de seguridad, entre los que se incluyen algunos nombres bastante conocidos como los de Matt Blaze o Travis Goodspeed, presento "Why (Special Agent) Johnny (Still) Can’t Encrypt:
A Security Analysis of the APCO Project 25 Two-Way Radio System". Se trata de un estudio de vulnerabilidades en el sistema de radio APCO 25, el utilizado habitualmente por la emisoras y walky-talkies de policías y organismos de seguridad en EEUU. La investigación incluía entre otras posibles vulnerabilidades una demostración de un interferidor inteligente basado en un transmisor de juguete, que se vende por unos pocos dólares, reprogramado. Este aparato una vez modificado no solo es capaz de bloquear la señal, si no que lo hace de forma inteligente, detectado el inicio de las tramas de datos y provocado errores que hacen descartar el frame entero. Una técnica que permite realizar la interferencia bastante eficiente.
Lo interesante es que coincidiendo con el escenario de ataque que planteábamos, también han implementado la capacidad de realizar esta interferencia de forma selectiva, de tal manera que solo interfiera las comunicaciones cifradas y deje pasar las comunicaciones en claro. Lo que permitiría la escucha ya que existen receptores de radio en el mercado capaces de recibir estas comunicaciones digitales cuando no van cifradas, siendo posible mediante el ataque convencer al usuario de la radio de que el problema está en su equipo, y que mágicamente este desaparece si desactiva la opción de cifrado y que entonces puede usar la radio normalmente. Especialmente si el usuario es un policía sometido en ese momento a una situación de estrés como dar respuesta un delito en curso.
Otra herramienta que implementa este tipo de ataque aunque con otro sistema inalámbrico bien distinto es MDK3 , se trata de una suite para la realización de ataques de denegación de servicio sobre redes Wifi, incorporando opciones como Floodeo de beacon frames malformados o de-autenticación automática estaciones . Desde la versión 5 este software añade el que denomina WPA-Downgrade Test , una curiosa funcionalidad por la cual desconecta mediante de-autenticaciones spoofeadas a los usuarios de una red wireless cuando emplean WPA y sin embargo les permite la conexión cuando se emplea el cifrado WEP vulnerable o se desactiva el cifrado dejando la red abierta. Todo ello con la esperanza de que el administrador de la red inexperto piense que eso del WPA "no funciona bien" desistiendo del uso del cifrado y deje la red accesible.
Finalmente y salvando las distancias también se podría incluir en este tipo de ataques algunos man in the middle destinados a eliminar el cifrado de una forma más o menos automática, que a diferencia de la técnica objeto de esta entrada, no se requiere la participación activa del usuario. Dentro de esta categoria estaría la captura de comunicaciones GSM utilizando BTS maliciosas que desactivan el cifrado o el famoso SSLstrip , la herramienta que permite sniffar SSL no rompiendo la criptografía, si no eliminado al propio cifrado de la ecuación.
La próxima vez que se encuentre ante un problema de comunicación entre dispositivos encriptados y este desaparezca incomprensiblemente cuando desactivamos el cifrado lo más probable es que se trate de un simple error de configuración…. o quizá no.
lunes, 25 de julio de 2011
Ciberespacio como campo de enfrentamientos
En la propia definición de ciberguerra aparece el termino ciberespacio como el escenario principal de las batallas. Pero este término es demasiado genérico y suele ser usado de forma alegre en la literatura sobre ciberguerra.
Partiremos de la definición de ciberespacio como el conjunto de todas las redes informáticas y los sistemas conectados a ellas.
A día de hoy la red predominante es Internet, pero no hay que olvidar que existen muchas otras (privadas y públicas) y que no todas ellas están conectadas directamente a Internet. Muchas veces estas redes incluso se basan en protocolos de comunicación distintos de los que se utilizan en Internet y que por lo tanto las tácticas de ciberguerra para ellas son muy diferentes.
El principal de los protocolos usados en Internet es el protocolo IP (Internet Protocol), el protocolo base de Internet pero que también es usado habitualmente en redes privadas no conectadas a ella.
Por ejemplo, hace no tantos años la red predominante era la red telefónica. Si, aunque parezca lejano, durante mucho tiempo la mayor parte de las comunicaciones informáticas se realizaban mediante módems que usaban la red telefónica para comunicar ordenadores distantes.
Durante esa época también fueron populares las redes basadas en el protocolo X25. Escenario conocido de operaciones de espionaje durante los últimos años de la guerra fría.
A nivel militar actualmente se intenta evitar en la medida de lo posible el uso de Internet para tareas críticas, aunque la mayoría de redes militares son basadas en IP.
Por ejemplo, el ejército de Estados Unidos que es el que hace un uso más intensivo de redes informáticas cuenta con varias redes globales, entre las más populares:
- NIPRNET, es la mayor red privada del mundo. Es una red de baja seguridad.
- SIPRNET, es una red segura totalmente separada de Internet
- JWICS, red de alto secreto.
Todas ellas utilizan como base el protocolo IP, aunque cuentan con distintas capas de seguridad adicional.
Dentro de las redes que utilizan el protocolo IP es importante destacar que actualmente el protocolo más usado es el IP versión 4 o IPv4, pero que en un futuro se tendería a utilizar IP versión 6 o IPv6 que modifica aspectos claves del protocolo y que cambiaría totalmente la forma de nuestro campo de enfrentamientos.
Luego a un nivel inferior (a nivel de campo) tendríamos lo que son las redes que establecen los sistemas militares (unidades aéreas, navíos, tanques, unidades de mando) que están conectados para intercambiar multitud de información, por ejemplo de donde esta ellos, donde está el enemigo, etc.
Este tipo de redes ad-hoc se suelen denominar como: Datalink, Tactical Datalink, TADIL o TDL y hay un buen puñado de protocolos distintos dependiendo del uso: Link_1, Link_4, Link_16, etc.
La principal conclusión de todo esto es que el termino ciberespacio es demasiado amplio y no debe ser utilizado a la ligera. Tantos las tácticas como las estrategias de ciberguerra deben ser diferentes según el tipo de red concreta en la que se desarrollen los enfrentamientos, no valen soluciones genéricas.
viernes, 15 de julio de 2011
Doctrina de Operaciones en Redes de Computadoras
Buena parte de los ejércitos del planeta están modelados en base a la doctrina y procedimientos de las fuerzas armadas norteamericanas. Esto es así tanto para los países OTAN que toman gran parte de sus estándares militares de los de este país, como de otros países que sin estar alineados en esta organización entran dentro de la esfera de influencia occidental. Por ello es imprescindible para cualquier estudioso de la ciberguerra conocer de qué manera han articulado los Estados Unidos las ciberoperaciones militares.
La doctrina militar norteamericana de ciberguerra viene definida dentro de la publicación conjunta JP 3-13, Information Operations, este documento proporciona la doctrina para la planificación, preparación, ejecución y evaluación de Operaciones de Información (IO, Information Operations). La denominación de publicación conjunta obedece a que se trata de un documento común para el Ejército, Armada, Fuerza Aérea y Cuerpo de Marines norteamericano.
Dentro de la Guerra de Información esta doctrina define cinco núcleos básicos de capacidades, entre los que se encuentra tanto las ciberoperaciones como otras operaciones de corte más tradicional. Son las PSYOPS, la OPSEC, el MILDEC, la EW y las CNO.
Las PSYOPS, Operaciones de Guerra Psicológica (Psychological Operations), suponen el uso de propaganda para influir en las opiniones y comportamiento normalmente del enemigo pero también de aliados o elementos neutrales. Operaciones clásicas de PSYOPS son el uso de panfletos, transmisiones de radio o TV, etc. con el objetivo de desmoralizar al enemigo.
La OPSEC, Seguridad Operativa (Operations Security), se dedica a identificar que acciones propias pueden ser observadas por el enemigo y hasta qué punto este puede obtener inteligencia de las mismas. Así mismo la OPSEC también se encarga de definir y adoptar medidas para impedir esa recolección de inteligencia.
El MILDEC, Engaño Militar (Military Deception), engloba las tareas encargadas de facilitar al enemigo indicadores falsos que le hagan llegar a conclusiones erróneas sobre la fuerza, intenciones y capacidades propias. Un ejemplo histórico de MILDEC seria la Operación Fortitude durante la segunda guerra mundial con el objetivo de desviar la atención del desembarco sobre Normandía hacia un supuesto desembarco en el Paso de Calè.
La EW, la Guerra Electrónica (Electronic Warfare), implica el dominio del espectro electromagnético. Que incluye tanto la monitorización de las emisiones del enemigo como el uso de medios que van desde perturbadores a misiles anti-radar para limitar su utilización al contrario. Un ejemplo histórico de Guerra Electrónica seria la conocida como Battle of the Beams, también ocurrida durante la segunda guerra mundial, y que se centro en la utilización de sistemas de navegación aérea para facilitar el bombardeo alemán sobre Inglaterra, y los exitosos esfuerzos por interferir y falsear estas emisiones por parte de los ingleses.
Las CNO, Operaciones en Redes de Computadoras (Computer Network Operations). Las CNO se derivan de la creciente utilización de computadoras en red y sistemas de información por parte de organizaciones civiles y militares. Las CNO, junto con la EW, se utilizan para atacar, engañar, degradar, interrumpir, denegar, explotar la infraestructura del enemigo y defender la propia.
Cada uno de los núcleos de capacidades anteriores se subdivide en diversas categorías. Así las CNO que son las que mas nos interesan se dividen a su vez en CNA o Ataque a Redes de Computadoras (Computer Network attack), CND o Defensa de Redes de Computadoras (Computer Network Defense), y en Explotación de Redes de Computadoras o CNE (Computer Network Exploitiation).
El CNA se compone de las medidas adoptadas a través del uso de redes de computadoras para interrumpir, negar, degradar o destruir la información en las computadoras y las redes de computadoras. Acciones de CNA serian las denegaciones de servicio o del hacking de sistemas orientado a poner los mismos fuera de servicio, por ejemplo formateando el equipo una vez alcanzados los privilegios suficientes. El caso del virus Stuxnet, con sus capacidades para atacar hardware de control industrial sería una buena muestra de ciberarma diseñada para una operación CNA.
El CND incluye las acciones tomadas a través del uso de redes de computadoras para proteger, supervisar, analizar, detectar y responder a la actividad no autorizada dentro de los sistemas de información. Formarían parte del CND el uso clásico de medidas de seguridad como antivirus, firewalls, ids, ips, etc.
Finalmente el CNE se compone de las operaciones de apoyo y las capacidades de recolección de inteligencia llevado a cabo a través del uso de las redes informáticas
para recopilar datos de los sistemas del adversario. Un ejemplo de CNE sería una intrusión en una red crítica realizando saltos desde redes públicamente accesibles, con el objetivo de extraer información manejada por esos sistemas. En las operaciones CNE tendrá por tanto especial importancia a la capacidad de que el ataque pase desapercibido el mayor tiempo posible
Una interesante idea que transpira a lo largo de todo documento de doctrina IO es la fuerte interrelación entre los diversos dominios de las operaciones de información, la importancia del uso conjunto de las capacidades y las delgadas líneas que separan un tipo de operación de otro. Pongamos por caso algunos ejemplos:
Supongamos que durante un conflicto militar uno de los contendientes realiza un deface, la modificación de una web publica, del enemigo. ¿Estaríamos ante una operación CNA? ¿Una operación PSYOPS? O mas posiblemente una mezcla de las mismas, una operación PSYOPS realizada mediante las capacidades CNA.
Otro caso que señala el mismo documento es la proliferación de comunicaciones wireless de todo tipo en las redes de computadoras, Wimax, Wifi, UMTS, LTE,… en el plano civil junto con las capacidades de transmisión de datos de banda ancha en las modernas radios militares. Las acciones realizadas contra estos sistemas ¿Estarían dentro del ámbito CNO? ¿O ante operaciones de Guerra Electrónica EW?
Ciertamente estas interrelaciónes dará lugar a mas y mas escenarios de operaciones híbridas en el futuro próximo, algunos de ellos ya los hemos tratado en areopago21 en post como los dedicados a OPSEC en el mundo de la web 2.0 o las operaciones PSYOPS en internet por parte de organizaciones insurgentes.
Suscribirse a:
Entradas (Atom)