martes, 24 de diciembre de 2013

Resumen Ciberdefensa 2013


 
El 2013 se acaba, como es habitual en estas fechas todos los medios especializados de diferentes temáticas que sea se lanzan a elaborar el resumen del año. Nosotros no hemos querido ser menos y en esta entrada intentaremos sintetizar los hechos mas relevantes en el mundo de la Ciberdefensa. 
Nivel Internacional

Podríamos llamar al 2013 como el año en que conocimos cómo funcionaban realmente las amenazas persistentes avanzadas y las provenientes de actores de nivel estatal.

En febrero de 2013, Mandiant publicó el informe "APT1: Exposing One of China's Cyber Espionage Units" argumentando que las actividades de la unidad 61.398 del Ejército de Liberación Popular de China se correspondían con las del grupo conocido como APT1. APT1 es un término utilizado por Mandiant para designar un grupo de personas que son responsables de un conjunto particular de las amenazas persistentes avanzadas. Por primera vez se ponía nombre y apellidos a la presunción de que el gobierno chino estaba detrás de diversas campañas de espionaje a través de Internet.

 
Cuando todas las miradas acusadoras apuntaban a China  apareció  Edward Joseph Snowden.  Contratista  tecnológico estadounidense, antiguo empleado de la Agencia Central de Inteligencia (CIA) y de la Agencia de Seguridad Nacional (NSA).  En junio de 2013, Snowden hizo públicos, a través de los periódicos The Guardian y The Washington Post, documentos clasificados como alto secreto sobre varios programas de la NSA, incluyendo el programa de vigilancia PRISM con la colaboración de redes sociales, la interceptación masiva de los backbones de fibra óptica que componen internet entre otros. Durante el año se fueron sucediendo nuevas relevaciones tanto de detalles técnicos de operaciones de la NSA como de las implicaciones políticas de las mismas.
A pesar de haber transcurrido ya algún tiempo desde su descubrimiento el malware Stuxnet siguió dando de qué hablar. El Final report (Análisis final) de Langner sobre  Stuxnet viene con varias sorpresas que requieren una re-evaluación de la operación “Olympic Games”. El informe, que resume tres años de investigación y que incluye imágenes de material de archivo de la planta de Natanz, viene con un completo análisis de una versión previa del ataque de Stuxnet contra los controladores Siemens S7-417. Explica el sistema de protección usado en la cascada de centrifugadoras  y pone los dos ataques en el contexto, para llegar a conclusiones sobre el cambio de prioridades durante la operación.

Durante el año se detectaron diversas campañas de ataques mediante malware dirigido que podrían tener un origen gubernamental por el tipo de objetivo pero  sigue sin conocerse realmente quien esta detrás de estos incidentes.  Entre otros Miniduke, NetTraveler (también conocido como  “NetFile”) y TeamSpy.
La compleja Guerra Civil Siria siguió teniendo su reflejo en internet. Los diversos bandos y facciones hicieron uso propagandístico de la red. Siendo el mas destacado el autodenominado ‘Syrian Electronic Army’ (formado por partidarios del presidente Bashar-al-Assad).  En abril, se atribuyeron la responsabilidad por hackear la cuenta de Twitter de la Associated Press emitiendo la falsa noticia de explosiones en la Casa Blanca - que arrastro momentáneamente el índice DOW JONES. En julio, el grupo comprometido las cuentas de Gmail de tres empleados de la Casa Blanca y de la cuenta de Twitter de Thomson-Reuters.

El año 2013 en España

La principal noticia fue el anuncio de creación en febrero de 2013 del Mando Conjunto de Ciberdefensa (MCCD). Esta unidad militar  declaro alcanzada la Capacidad Operativa Inicial (IOC) del Mando Conjunto de Ciberdefensa (MCCD) el viernes 27 de septiembre. La IOC supone dispone ya de una sede, de personal para trabajar y de los medios técnicos para hacerlo.

En diciembre el Consejo de Seguridad Nacional presidido por el presidente del Gobierno, Mariano Rajoy aprueba la Estrategia de Ciberseguridad Nacional (ECN). La ECN se convierte en la guía de principios base de Ciberseguridad en nuestro país como el liderazgo nacional y la coordinación de esfuerzos; la responsabilidad compartida; la proporcionalidad, racionalidad y eficacia; y la cooperación internacional.

Previsiones para el año 2014

Para el próximo año seguro que muchos de estos hitos continuaran siendo de actualidad. Es de suponer que el goteo de revelaciones de Snowden continúe o que aparezcan nuevos casos de ataques de nivel gubernamental. En el ámbito español queda por ver como se articula la ECN en diversos retos como la colaboración entre las diversas entidades con responsabilidades en seguridad informática desde el citado MCCD, los CERT estatales y autonomicos a unidades de ciber delitos de las FCSE. Y a su vez de estos con las empresas y la actividad de I+D en el sector privado nacional.

lunes, 28 de octubre de 2013

¿Qué podemos aprender de la NSA?

Desde el inicio de las filtraciones de Edward Snowden se han venido sucediendo una serie de revelaciones de operaciones de la NSA , en este articulo dejaremos a un lado las implicaciones políticas y sociales. Lo que intentaremos es analizar que podemos aprender desde el punto de vista técnico, a partir de los datos conocidos hasta el momento, tanto en la vertiente de la ciberdefensa como de las operaciones ofensivas en redes de ordenadores.

Para buena parte de expertos mucho de lo que se ha divulgado no ha sido realmente una sorpresa. Como vino a twittear un reconocido experto en seguridad: “la NSA ha conseguido que me encuentre indignado pero no sorprendido”.  Y es que ciertamente la historia  de Snowden nos trae ecos del espionaje indiscriminado de ciudadanos norteamericanos conocido a través de la comisión de investigación Church o de las “revelaciones” de espionaje a las comunicaciones diplomáticas de otros países que hizo publicas Herbert O. Yardley en “The American Black Chamber”.

Si bien las filtraciones han omitido intencionalmente buena parte de los detalles técnicos y operativos de las acciones de espionaje al menos han abierto una brecha en la que atisbar las técnicas utilizadas.


Hasta el momento de las filtraciones lo que venía en llamarse ataques APT, aquellos organizados y patrocinados por naciones-estado solían tener como punto en común el uso de malware diseñado exprofeso. No es por eso de extrañar que la mayor parte de la información sobre estos ataques disponible abiertamente venia el análisis realizado por empresas antivirus. Los iconos de estos ataques serian casos conocidos como Stuxnet  o especialmente los atribuidos a la inteligencia china como la Operación Aurora o APT1. La mayoría de estos ataques, responden a un patrón definido: compromiso previo de estaciones de trabajo de usuarios mediante ataques tipo Spear-phishing o Watering-hole,  profundización con el acceso obtenido en la red hasta llegar la información confidencial que se pretende sustraer y posterior exfiltración de la misma.

En los últimos años APT se convirtió en el término de moda en la industria de seguridad informática, centrándose en el tipo de ataque indicado. Olvidando que el verdadero significado de APT  (amenaza avanzada y persistente) hace referencia a la determinación y medios del oponente más que al uso de una técnica concreta.

Sin embargo si echamos un vistazo a los métodos empleadas tanto históricamente como a las reveladas en las filtraciones observamos que si bien el arsenal de la NSA incluye el malware dirigido también hace uso de una amplia variedad de técnicas, tanto del espionaje electrónico clásico como del derivado del mundo ciber.
Entre las técnicas que parecen confirmarse o descubrirse de las revelaciones están: la interceptación de comunicaciones por satélite (FORNSAT), el aprovechamiento de emisiones electromagnéticas no intencionadas de dispositivos (VAGRANT, OCEAN, DROPMIRE), compromiso físico de dispositivos de almacenamiento para realizar copias del contenido de los mismos (CUSTOMS, LIFESAVER), hacking de centralitas telefónicas tipo PBX, el acceso a los backbones de fibra óptica de internet (UPSTREAM), la colaboración de las principales redes sociales (PRISM), la implantación de todo tipo de puertas traseras en los objetivos tanto hardware como software diseñadas para obtener acceso a redes segregadas, incluso a redes consideradas  “air-gapped” .


Lo que nos dejar ver las últimas revelaciones de la NSA es que esta organización hace uso de todos los posibles vectores de ataque a su alcance. En palabras de Hallam-Baker “NSA when confronted with A and B choices, select both.”

¿Qué consecuencias tiene todo esto para  aquellos que se pueden enfrentar a una amenaza gubernamental de la entidad de la NSA? ¿Qué lecciones deben aprender  el personal dedicado a las tareas de protección de redes y sistemas críticos nacionales? Quizá la más importante es que no se debe centrar la defensa ante un único escenario. Ciertamente el malware dirigido seguirá siendo  una de las más importantes amenazas, pero en ningún caso se debe infravalorar el hacking “clásico”, el compromiso de los sistemas de comunicaciones, la seguridad física y operativa.


Desde el punto de ciberdefensa a nivel estratégico nos recuerda que la independencia tecnológica nacional (particularmente en comunicaciones, criptografía o ciberdefensa) no es algo solo deseable si no que se trata de un imperativo.Dicho en otras palabras: en la ciberguerra existen los países aliados pero no los países amigos.

Por otro lado aquellos dedicados a la informática ofensiva deben extraer la siguiente conclusión: enfrentados a un objetivo difícil de penetrar es extremadamente importante disponer de la mayor cantidad de técnicas, medios y vectores de ataque disponible. Cuanto más variadas sean  estas capacidades mayor es posibilidad de explotar aquellas que puedan estar expuestas en  la pequeña superficie de ataque que presente un objetivo "duro". Por ello tal como tratábamos de forma distendida en nuestra entrada Como debería ser un Tiger Team, el disponer de equipos verdaderamente multidisciplinares es una baza imprescindible en las ciber-operaciones ofensivas. 

viernes, 9 de agosto de 2013

Los “chinos” han descubiertos las webshells


En su revisión de las técnicas de hacking old-school (de la vieja escuela), los “chinos” parece que están usando cada vez más webshells y es probable que veamos un incremento en la actividad de este tipo de artefactos. Por ejemplo: China Chopper Webshell

Por si no las conocíais, una webshell es una puerta trasera que se instala en un servidor web para permitir acceso remoto al mismo. Normalmente están basadas en código de scripting (php, jsp, aspx, cfm) y son de pequeño tamaño (para facilitar su ocultación).


Aunque se están viendo algunas novedades en este tipo de herramientas de hacking, básicamente usan las mismas estrategias de siempre.
Las técnicas APT clásicas (spear-phishing + dropper + posion ivy) están cada vez más "controladas" (risas) así que están cambiando poco a poco sus tácticas para evitar ser detectados.

lunes, 13 de mayo de 2013

CALO: El sirviente del soldado



Estamos rodeados de tecnología que tiene sus orígenes en el mundo militar: GPSs, hornos microondas, metales anti-adherentes, incluso el propio Internet.

Sin embargo nadie pensaría que entre las aplicaciones más populares para nuestros móviles tenemos también algunas salidas de un laboratorio militar.

¿Os suena SIRI? ¿El asistente personal para iOS de Apple?


Pues, aunque poca gente lo sepa, SIRI es una evolución de parte del software creado para el proyecto militar CALO.

CALO fue un proyecto llevado a cabo por más de 300 expertos dentro del programa PAL (Personalized Assistant that Learns) de DARPA (Defense Advanced Research Projects Agency), la principal agencia del Departamento de Defensa de Estados Unidos responsable del desarrollo de nuevas tecnologías para uso militar.

CALO fue un proyecto que trató de integrar múltiples tecnologías de inteligencia artificial en un asistente cognitivo. CALO es el acrónimo de "Cognitive Assistant that Learns and Organizes". El nombre fue inspirado por la palabra latina "Calonis", que significa "el sirviente del soldado".

La tecnología del programa PAL no solo ha nutrido aplicaciones civiles como SIRI, sino que ha sido incorporada en varios proyectos militares como era su objetivo, por ejemplo en el CPOF (Command Post of the Future) del Ejército de los Estados Unidos (US Army).

El CPOF es un sistema de C2 (Mando y Control) que permite a los comandantes mantener una visión general del campo de batalla; colaborar con superiores, homólogos y subordinados; y comunicar sus intenciones en vivo.


martes, 9 de abril de 2013

Conceptos de Ciberguerra: Intrusion Kill Chain

En la terminología militar norteamericana "Kill Chain" es la secuencia de eventos que se produce durante un ataque contra una posición enemiga. Se compone básicamente de los siguientes elementos:
•    Identificación del objetivo.
•    Despliegue de fuerzas hacia el objetivo.
•    Decisión y orden de atacar.
•    Destrucción del objetivo.

Una de las mayores revoluciones en táctica militar (gracias principalmente a la tecnología) ha sido conseguir que el tiempo que pasa entre una fase y otra se reduzca para conseguir mayor efectividad.

Este concepto ha sido adoptado de forma interesante por algunos expertos en ciberguerra con términos como "cyber kill chain" o "intrusion kill chain".

La adopción de este término se debe a que el proceso de "kill chain" encaja bastante bien con el proceso tradicional de "hacking" por sus similitudes (sobre todo con el concepto APT) y porque permite planificar las acciones tácticas de forma ordenada.

El desarrollo de eventos típicos de una "intrusion kill chain" es:
•    Reconocimiento: Recogida de información previa (direcciones IP, emails, nombres, URLs).
•    Preparación de las armas: Adquisición y adaptación de las herramientas de hacking necesarias (exploits, payloads, troyanos).
•    Entrega: Envío del exploit (red local, Internet, email, disco USB).
•    Explotación: Aprovechamiento de una vulnerabilidad o descuido para ejecutar código en el objetivo.
•    Instalación: Instalación de malware, puertas traseras y herramientas en el objetivo.
•    Comando y Control: Comunicación remota con el malware y las puertas traseras instaladas.
•    Acciones en el objetivo: Cumplimiento de las metas de la misión.
  
   
En este caso la meta final de una "kill chain", la destrucción del objetivo, normalmente no es posible. Pero la planificación del resto de acciones tiene bastantes similitudes con el proceso tradicional.

En el entorno cyber-ofensivo también es importante minimizar los tiempos entre fases, para reducir la probabilidad de que las vulnerabilidades sean corregidas, para evitar que las puertas traseras sean detectadas y para dificultar que puedan llevarse a cabo acciones defensivas.

Este proceso ofensivo-defensivo está bastante bien desarrollado en un documento de LockheedMartin de lectura muy recomendable: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains


lunes, 4 de marzo de 2013

¿Cracking?



El termino “hacking” tiene varias acepciones, aunque nosotros cuando hacemos uso de él normalmente nos referimos al hacking como la acción de acceder y utilizar recursos informáticos ajenos sin autorización, también referido en algunas ocasiones como “intrusión”.

Si nos ponemos puristas, "hacking" no sería el termino correcto. Es más, existe un sector  en el mundillo de la tecnología que intentar limpiar las supuestas connotaciones negativas de este término y utiliza el término alternativo "cracking" para definir la intrusión en los sistemas informáticos ajenos o en general a cualquier actividad informática maliciosa.

 

No quiero entrar en discusiones semánticas, es más es una batalla perdida. A nivel popular el uso del término "hacker" es incluso más alegre (cualquiera con unos mínimos conocimientos es denominado como tal) y más si tenemos en cuenta que algunos medios de comunicación a veces utilizan directamente otro término; "pirata", para definir a un individuo que utiliza la informática con fines cuestionables.

Así que usar el término "hacking" tal vez no es tan negativo dentro de lo que cabe y así nos ahorramos entrar en valoraciones éticas.

Y hablando del daño que han hecho los medios de comunicación al concepto de "hacker", podríamos también comentar la imagen que se da del mundillo de la seguridad informática y del hacking.

Los medios de comunicación y el cine han dibujado una imagen muy borrosa y fantasiosa de lo que es el hacking. Se ha creado una idea distorsionada que muestra al hacking como una especie de ciencia esotérica; mezcla de magia, suerte y espirales colores; olvidando que su principal faceta es técnica.

Eliminando los matices sociales asociados al hacking, tales como: la ética hacker, la cultura hacker o la moda hacker; y centrándonos solo en el aspecto informático, el hacking es principalmente una labor técnica con reglas y metodologías definidas (aunque siempre en constante cambio y actualización).

Además se ha mostrado también al hacker como un genio o gurú excéntrico, incapaz de ser detenido o vencido.
 

Todo esto se aleja de la realidad:

- El hacking no es algo exclusivo de genios, cualquiera con un poco de capacidad y constancia puede llegar a realizar acciones de hacking.

- El hacking se puede aprender y enseñar, no es algo abstracto.

- El hacking tiene un importante componente técnico. En la mayor parte de los casos es necesario saber cómo funciona un sistema informático para poder romperlo.

- El hacking puede ser evitado. La mayor parte de las veces un hacker aprovecha un error o la ignorancia de un administrador o de un programador para realizar su ataque. Estos errores pueden ser corregidos y prevenidos.

- Los hackers no son super-genios. Son humanos, cometen errores, tienen debilidades, tienen manías, tienen costumbres, dejan huellas.

Aunque es cierto que un buen hacker normalmente debe ser inteligente y recurrir a menudo al uso de pensamiento lateral, en algunos casos el hacking es increíblemente sencillo.

Todo depende de lo difícil que lo hayan puesto los administradores o los programadores de un sistema informático. A veces, como sucede en las películas, el protagonista consigue adivinar la contraseña que utiliza el malo en cuestión de segundos y sin la necesidad de conocimiento informático alguno.