miércoles, 29 de febrero de 2012

Evolución en la estructura de las infraestructuras Web

Internet es un mundo que avanza muy rápidamente. Este hecho obliga a que las técnicas de ataque y defensa cambien constantemente buscando los puntos más vulnerables para atacarlos o defenderlos.

Es una especie de juego de gato y ratón. Los hackers investigan los aspectos más vulnerables de una tecnología, descubren fallos y los aprovechan. Con el tiempo estas vulnerabilidades van siendo corregidas y los hackers se ven obligados a cambiar sus tácticas.

Hoy en día, dentro de las tácticas de ataque directo las más populares son las que se centran en la tecnología Web, por varios motivos:
• Con la popularización de los cortafuegos, el numero de servicios de red que están abiertos al público son cada vez menores.
• La mayoría de las organizaciones cuentan con unos o varios servidores Web públicos que hospedan distintas aplicaciones.
• Algunos de los estándares en los que se basa la Web (p.e. HTTP, HTML, Javascript) no fueron diseñados considerando la seguridad como un factor clave.
• Muchas de las herramientas software que se utilizan en el entorno Web son relativamente jóvenes y no han sido probadas exhaustivamente.
• La Web suele permitir cierto grado de interactividad, esto desde el punto de vista de la seguridad suele significar más puntos vulnerables posibles.
• Es habitual que las aplicaciones Web que se publican hayan sido desarrolladas a medida y su código normalmente no ha sido auditado desde el punto de vista de la seguridad.

Esto hace que el numero de vulnerabilidades que puede presentar un servicio Web sean mucho mayores que las de cualquier otro tipo de servicio. Y lo hacen un entorno propicio para posibles atacantes.

Para comprender algunas de las razones históricas de este escenario vamos a ver una representación simplificada de la evolución en la estructura de las infraestructuras Web típicas.

A finales de los 90 el servicio Web típico era este:


Paulatinamente se fue añadiendo mayor interactividad:


Por cuestiones de rendimiento, escalabilidad y seguridad; se separaron algunas funciones:


A día de hoy, una infraestructura Web medianamente compleja suele estar compuesta de los siguientes elementos.


Está claro que esta estructura no es fija ni mucho menos. Muchas páginas Web siguen funcionando con la filosofía clásica de los 90. Mientras que aplicaciones más complejas y avanzadas pueden repartir las funciones de forma incluso más granular y contar con más componentes.

Para controlar la seguridad de una infraestructura Web hay que controlar la de todos y cada uno de sus componentes. Como se puede apreciar esta tarea es mucho más compleja hoy en día que hace unos pocos años.

La separación de las distintas funciones entre varios servidores aporta mejores capacidades de control sobre la seguridad del conjunto, pero el aumento de la complejidad también introduce nuevos vectores de ataque.

lunes, 6 de febrero de 2012

Ghost Stories:FBI, espías rusos y redes Wifi

Junio del año 2010, el FBI detiene en Estados Unidos a diez personas bajo los cargos de espionaje a favor de Rusia. Como si de una historia sacada de los años de la guerra fría se tratara se desvela que estas personas componían una red de agentes durmientes rusos sin cobertura oficial. En circunstancias normales, especialmente entre países aliados o al menos no enemigos declarados, los agentes de inteligencia suelen disponer de una cobertura como trabajadores de las embajadas y consulados, una especie de “quid pro quo” entre países que hacen y dejan hacer, donde  en el peor de los casos un incidente se salda con la expulsión de los supuestos diplomáticos.

Sin embargo los detenidos en EEUU no pertenecían a esa clase de espías que asisten a un coctel como agregados culturales mientras intentan hacerse con el ultimo rumor, estos eran auténticos espías infiltrados. Agentes ilegales, ya que la mayoria habian asumido identidades falsas. Unos se habían hecho pasar por inmigrantes de terceros paises en busca de trabajo mientras que otros habían incluso llegado a asumir identidades robadas a ciudadanos estadounidenses fallecidos. El objetivo común de todos ellos era establecer vínculos a largo plazo, años o incluso decadas, estableciendo una cobertura profesional y social creible por ejemplo asociándose a organizaciones profesionales o científicas. Que les permitiria en un futuro llegar a reclutar fuentes de información dentro de la industria de EEUU así como los círculos de toma de decisiones de Washington.

La operación bautizada por el FBI como “Ghost Stories”  llevaria a los presuntos espias del SVR detenidos ante la acusacion de ser "agentes no registrados de una potencia extranjera", que podria acarrerar largas condenas. Sin embargo estos espias pasarian poco tiempo en prision, esta historia acabaría de una forma también similar a como se saldaban los escandalos de espionaje de la guerra fría, con un canje de agentes. Apenas un mes más tarde en Viena los diez detenidos eran intercambiados por cuatro ciudadanos rusos que se encontraban presos bajo acusaciones de espionaje a favor de occidente.

La historia hubiera pasado sin pena ni gloria por los informativos generalistas si no fuera por la inesperada fama de una de las detenidas. Anna Chapman , nombre de casada de Anna Vasilyevna Kushchyenko  una guapa pelirroja que salto a las portadas de todos los periódicos con calificativos como chica “bond”, mata-hari o "femme-fatal". Fama que aprovecharía una vez en libertad para aparecer en la portada de la revista Maxim o convertirse en presentadora de televisión.



Hasta aquí todo parecería una clásica historia de espionaje basado en fuentes humanas, casi como sacado de una novela de John LeCarre , al viejo estilo, y con poca o ninguna relación con las modernas tecnologías. Sin embargo un vistazo a los documentos judiciales de este caso, el escrito de acusacion contra Ana Chapman y Mikhail Semenko nos revela todo lo contrario. Y es que el uso de conexiónes wifi como sistema de comunicación encubierta  fue una prueba clave para demostrar la implicación de varios de los acusados,  y su posterior detención.

Pero antes conozcamos una de los principales dificultades en el mundo del espionaje:  hacer llegar las mensajes, órdenes o información desde los controladores hasta los agentes, y viceversa. Históricamente esto se ha llevado a cabo mediante el uso de los conocidos en la jerga como “buzones” (lugares previamente convenidos donde se deja una carta o paquete ocultos) o mediante “pases” (rápidos movimientos en los que se entrega una nota o material) el objetivo es siempre burlar una posible vigilancia por parte de equipos de contrainteligencia del enemigo. Por arcaicos que puedan parecer estos metodos aun se siguen usando hoy en dia. El uso de medios modernos como el correo tradicional, teléfono o internet queda normalmente descartado por la posibilidad de monitorización. Y es que aun cuando es posible emplear comunicaciones electronicas cifradas lo realmente dificil es ocultar la propia existencia de la comunicación, lo que puede ser incriminatorio en si mismo.

Los rusos al parecer habían llegado a una nueva solución a este clásico problema del espionaje. En lugar de forzar un encuentro entre espías o de intercambiar objetos físicos mediante buzones, bastaría con que los agentes dispusieran de ordenadores con capacidad de conexion inalámbrica wifi e intercambiaran los mensajes electronicamente. Solo seria necesario que ambos se encuentren  en una misma ubicación pero a cierta distancia, perfectamente cientos de metros. En el caso ruso se  intercambiarian los mensajes, a través de una red ad-hoc , que no necesita de puntos de acceso wifi y como medida de seguridad estarian camuflados mediante esteganografia.

Así ocurrió en múltiples ocasiones entre la red de espías ilegales, y sus controladores, estos si agentes rusos con cobertura oficial. Un agente ilegal podia estar realizando tranquilamente las compras en un centro comercial mientras su ordenador en un bolso se comunica con otro de un diplomatico que espera casualmente en la puerta del establecimiento. Hubiera sido un método ideal e indetectable si no fuera porque los equipos de vigilancia del FBI que investigaba a estos espías estaba al tanto de este método e iban a explotar una vulnerabilidad intrínseca a todas las comunicaciones basadas en redes wifi de la familia 802.11 para obtener pruebas definitivas de la vinculacion entre los espias.


Una característica de las redes wifi, es que en todos los paquetes transmitidos, incluso en aquellos que se protegen las comunicaciones mediante cifrado WEP o WPA , las direcciones MAC de origen y destino se transmiten siempre en claro, sin ningún tipo de protección. Recordemos que las direcciones MAC son identificadores unicos que se asignan al hardware en el momento de su fabricacion, al contrario que las direcciones IP normalmente no varian. Se usan en redes Ethernet, Token Ring y por supuesto tambien redes Wifi 802.11.


Veamos como ocurrio, tal como recogen los documentos judiciales, el día 20 de Enero de 2010 Anna Chapman se encontraba en un café de Nueva York portando un bolso que contenia su portátil mientras en una calle cercana se encontraba el vehículo de un empleado del gobierno ruso.  Desconocido para ellos un equipo de vigilancia del FBI utilizando un software comercial de monitorización wifi, del que no se especifica fabricante en los documentos. se encontraba monitorizando las comunicaciones inalambricas, y detecto el establecimiento de una red Ad-hoc entre la dirección MAC del portátil de Chapman, y la dirección MAC de un portátil del que se había identificado su propietario como trabajador de la legación rusa en la sede de Naciones Unidas.


Este particular juego del gato y el ratón con wifi de por medio , se repitió en más de diez ocasiones. Junto a otros resultados de los seguimientos,  se convirtió en la prueba fundamental para detener a Chapman y Semenko. Si bien las grabaciones de cámaras, conversaciones telefonicas y otros resultados de la vigilancia aportaban pruebas circunstanciales, la existencia de comunicaciones mediante WiFi era la prueba definitiva del vinculo entre los agentes ilegales y agentes rusos.


Los rusos no habían tenido en cuenta o quiza habían considerado como un riesgo asumible, el utilizar un medio inalámbrico de comunicación que utiliza identificadores unicos en claro. Este tipo de situación en el mundo civil, de usuarios de wifi caseros o empresariales, difícilmente se consideraría una vulnerabilidad. Nadie considera como peligroso que alguien que circula por la calle pueda obtener la dirección MAC de su tarjeta inalambrica o de su punto de acceso (y de hecho esta es la base del posicionamiento por Wifi el sistema de localización usado en los modernos smartphones). Pero cuando hablamos del mundo del espionaje o de sistemas de defensa, la posibilidad de detectar que se está produciendo una comunicación y entre que estaciones está teniendo lugar ya representa una vulnerabilidad, es lo que se suele conocer como Análisis de tráfico.

El Análisis de tráfico es el proceso de interceptar y de examinar mensajes para deducir  información de patrones en comunicación, pero no del contenido de los mensajes. Se ha usado desde los tiempos de la primera guerra mundial en sistemas de comunicación tan dispares como la onda corta o las comunicaciones satélite. Puede ser realizado aun cuando los mensajes están cifrados, y resulta especialmente util cuando los indicativos de estación son identificables. Generalmente cuanto mayor es el número de los mensajes observados y almacenados, se puede deducir más del tráfico. Por ejemplo en comunicaciones estratégicas, la existencia de aumento o disminucion considerable de la actividad, la aparición de nuevas estaciones o los cambios repentinos de procedimientos pueden dar la alerta de la inminencia de algun tipo de operación.

Ahora bien cabe preguntarse por que los rusos no adoptaron una medida tan elemental como cambiar las direcciones MAC, estas aunque sean normalmente unicas no resulta dificil modificarlas en la mayoria de sistemas operativos y de hecho suele ser el primer paso recomendado en multiples manuales para principantes de hacking de redes wireless. Aunque si lo pensamos, realmente tampoco les hubiera servido de mucho, incluso con direcciones MAC cambiantes un analisis de patrones de trafico hubiera descubierto la existencia de comunicaciones recurrentes entre dos ordenadores usando redes ad-hoc y esteganografia.

Otra duda es por que usaron un sistema como wifi, en lugar de un sistema inalambrico de comunicaciones diseñado exprofeso, como que se sabe a sido usado en el pasado por otro servicios secretos. Por ejemplo el sistema SRAC usado por la CIA para comunicarse con sus espias en el Moscu de los años 80s. O bien quizas confiaban en que un ordenador portatil con tarjeta wifi seria mucho menos sospechoso en caso de registro o seguimiento que una misteriosa caja negra.

Este episodio, y no solo por sus implicaciones tecnologicas, dejo en ridiculo al servicio de inteligencia exterior ruso, los en otros tiempos temidos agentes del KGB no solo habian sido descubiertos jugando sucio, si no que sus agentes ilegales habian sido detectados y vigilados a conciencia por el FBI practicamente desde el momento en que pisaron territorio norteamericano.

Como veiamos en nuestro post sobre tecnologias COTS tenemos un nuevo ejemplo de como el uso de tecnologías de informacion de "tipo civil" aplicadas a entornos críticos, como las operaciones militares o de Inteligencia puede dar lugar a debilidades inesperadas. Vulnerabilidades que en el mundo civil se considerarian tan inocuos que practicamente no merecerian tal nombre se pueden convertir en importantes talones de Aquiles cuando se trata del peligroso mundo del espionaje.