Cibercrimen como servicio

Hace ya ocho años que empecé en el mundillo este de las tecnologías y aún recuerdo lo complicado que era para mí, en mis primeros años de carrera universitaria, entender toda la trama de delincuencia que había tras un simple virus. Lógicamente he sido víctima de varios virus, ya que soy muy enreda, pero cuando intentaba utilizar algún virus para atacar a algún compañero por simple diversión, era incapaz. En mis inicios era muy complicado aprovechar una vulnerabilidad, no solo por mis conocimientos de novato sino también por la dificultad de encontrar o adaptar el virus al objetivo, que vuelvo a repetir era por diversión y para conocer cómo funcionaba este mundo apasionante de la seguridad.

En cambio, el mundo del cibercrimen ha evolucionado de manera increíble en los últimos años, ya que actualmente no es necesario poseer conocimientos técnicos sobre la vulnerabilidad a explotar o las técnicas a utilizar para controlar un gran número de equipos zombies, y así obtener información de los usuarios o mismamente utilizar estos equipos para otras actividades como por ejemplo campañas de spam.

Las organizaciones criminales han hecho que sea muy sencillo obtener software preparado para delinquir, o también llamado crimeware, en esta lista de crimeware podemos ver qué vulnerabilidades explota cada una de las herramientas, sin embargo las más utilizadas por los delincuentes son Nuclear Exploit Kit, Cool Exploit Kit o Blackhole Exploit Kit. Desde el mando de control (C&C) de estas herramientas se pueden realizar tareas como:

• Analizar el tráfico TCP de las víctimas.
• Leer correos.
• Conocer qué páginas web visita la víctima.
• Instalar puertas traseras en los equipos.
• Realizar capturas de pantalla.
• Realizar ataques de phising.
• Además de cifrar las conexiones entre el mando de control y el equipo infectado.

Estas herramientas las podemos encontrar en el mercado negro a un precio “asequible”, ya que existen dos modos de licenciamiento, uno descargando los exploit kit e instalándolo en tu propio servidor que suele costar unos 1500$ al año, y otro es utilizar el cibercrimen como servicio donde utilizas la infraestructura del proveedor para lanzar los ataques, y puedes comprar este servicio por unos 50$ al día.

Como veis, la industria del cibercrimen ha adaptado las herramientas para que cualquiera desde su casa pueda lanzar sus propios ataques, de esta manera se puede llegar a controlar una botnet sin la necesidad de tener unos conocimientos técnicos avanzados sobre las vulnerabilidades, tan solo se tiene que preocupar de encontrar víctimas que tengan la información que se busca.

Por tanto, si no quieres que tu PC pertenezca a una botnet controlada por estas herramientas es importante actualizar los equipos y mantenerse informado en materia de seguridad, para que nuestra información no sea expuesta a estas organizaciones criminales.

¿Qué llevas en la maleta?

En la entrada de hoy voy a mostraros el conjunto de herramientas que llevo en mi portátil con las que “juego” cada vez que tengo la ocasión. La mayoría de herramientas pertenecen al famoso sistema operativo Backtrack que mucho conoceréis, con Backtrack podremos realizar casi todas las fases de una auditoría de seguridad, desde la fase de obtención de información hasta la fase de ejecución o explotación, a continuación os mostraré las herramientas que más utilizo:

MetaSploit Framework: Es una gran utilidad desde la que podremos obtener mucha información de la máquina comprometida, manipulando los procesos del sistema comprometido, creando nuevos procesos, matando procesos, realizando capturas de pantalla, encendiendo el micrófono y/o webcam, obteniendo información de las teclas pulsadas por la víctima, etc. Además, la comunicación entre el framework y la máquina de la víctima estaría cifrado por SSL dificultando su descubrimiento.

Armitage: Esta herramienta nos facilitará el uso de metasploit y la linea de comandos de meterpreter ya que desde una aplicación gráfica podremos tener de un solo vistazo todas las máquinas comprometidas, además de poder realizar búsquedas de exploit que utilizaremos para realizar nuevos ataques.

Openvas, wireshark y nmap: Son tres herramientas necesarias en las primeras fases del análisis, ya que nos permitirán conocer con mayor detalle las vulnerabilidades de la víctima, además de poder averiguar el estado actual en cuanto a servicios y versiones del software utilizado del equipo atacado.

Uniscan: Esta herramienta es muy útil para realizar análisis de vulnerabilidades de aplicaciones web, con ella podremos saber si la web a analizar está expuesta a vulnerabilidades de inyección SQL, XSS, RFI, LFI y RCE.

Airodump-ng, aireplay-ng y aircrack-ng: Con este conjunto de herramientas podremos realizar un análisis de la red inalámbrica para obtener las contraseñas de acceso wireless, y así entrar en la red de la víctima. Además si las unimos a las herramientas decsagem, jazzteldecrypter, wlandecrypter, linksysdecrypter, ono4xx, r-wlanxdecrypter, wlan4xx, wlanwpa y stkeys tendremos muchas más posibilidades de averiguar la contraseña de la red Wifi.

Cymothoa: Con esta herramienta podremos crear puertas traseras de manera sencilla, haremos que un proceso existente en el sistema escuche en el puerto que indiquemos.

Social Engineer Toolkit: Es una herramienta que nos permite poner nuestro equipo a la escucha, de tal manera que cuando otro equipo (el atacado) nos realiza una solicitud, se le lanzan muchos exploits, así no tenemos que estar pendientes de qué exploit se puede utilizar para una determinada máquina. Esta herramienta es muy utilizada en sitios web ya que cuando la víctima solicite la página web, el atacante le envía un conjunto de exploit.

Ataque evilgrade: Desde backtrack es muy sencillo realizar ataques evilgrade ya que existen todas las herramientas necesarias para realizar DUAL ARP, Man in the Middle y DNS Spoofing. Por tanto, podremos infectar a la víctima haciéndola creer que está actualizando el sistema operativo o alguna aplicación instalada en su equipo.

Rkhunter: Esta herramienta es muy útil para analizar equipos linux, ya que es un software anti-malware que examina los binarios, archivos de configuración y comportamientos para saber si hay algún rootkits ejecutándose, así podremos conocer sí la máquina está comprometida por algún tipo de malware. En cambio, si queremos realizar las mismas tareas sobre equipos Windows podemos utilizar Ossec.

Todas las herramientas indicadas anteriormente están disponible desde la suite de Backtrack, además es de gran utilidad la herramienta Foca de Informática64 para obtener información a partir de los metadatos de los documentos sobre usuarios y aplicaciones de la empresa auditada.

Para no extenderme más, hasta aquí lo dejamos hoy y en siguientes semanas veremos las herramientas utilizadas por los cibercriminales o cómo cada vez se está utilizando más el cibercrimen como servicio.

Ciber-espionaje

Cuando se habla de espionaje a mucha gente se le viene a la cabeza la famosa película del Agente 007 de James Bond, un agente secreto que trabaja como espía internacional para la CIA con licencia para matar. Si a la palabra espionaje le ponemos el prefijo “ciber”, muchas personas se pierden y no saben de qué se está hablando, cada vez es más habitual ver los términos de ciber-seguridad, ciber-guerra, ciber-ataque, ciber-delincuente, etc pero la gente no es capaz de imaginar cómo una persona desde su casa con un portátil y una conexión a Internet puede realizar un robo, atacar a los sistemas de una organización o incluso espiar a una determinada persona.

Todas las palabras que tienen el prefijo ciber hacen alusión a la utilización de las tecnologías de la información y la comunicación (TIC) para llevar a cabo la acción determinada, hasta entonces todos entendemos que para llevar a cabo un robo es habitual que el ladrón disponga de un arma de agresión para intimidar al atacado, mientras que este tipo de robo está disminuyendo, la delincuencia utilizando las TIC está aumentando considerablemente debido a su facilidad, anonimato y grandes beneficios por parte del atacante. Un ejemplo reciente lo tenemos en el robo de 200.000 euros al Concello de Cerdedo donde mediante un ataque de phishing los piratas informáticos lograron realizar multitud de transferencias de pequeños importes.

Por tanto en esta entrada me gustaría responder a las siguientes preguntas básicas:

¿Por qué Ciber-espionaje? El principal motivo para realizar ciber-espionaje es el mismo que el espionaje, simplemente se utiliza el medio de las tecnologías para la obtención de datos o información confidencial.

¿A quién va dirigido? El principal objetivo es la información confidencial y secretos de estado de los gobiernos, infraestructuras críticas y bancos. Aunque a más bajo nivel todos somos objetivos del ciber-espionaje, tan sólo hay que escribir “adivinar contraseña hotmail” en Google para ver la cantidad de resultados que nos arroja el buscador.

¿Cómo se realiza el Ciber-espionaje? Esta es la pregunta más amplia y más complicada de explicar y comprender. La mayoría de los antivirus incorporan software AntiSpyware que analiza las conexiones que realiza el ordenador y las aplicaciones instaladas, para saber si el equipo está infectado por algún tipo de software y está enviando información sobre contraseñas, pulsación de teclados o documentos hacia Internet. Pero muchas veces este tipo de software no es suficiente, ya que existen multitud de virus que los fabricantes de software antivirus aún no conocen, como los recientes casos de los virus Madi, Flame o Stuxnet dedicado al ciberespionaje de las infraestructuras críticas del Oriente Medio, que cuando los fabricantes de antivirus lo detectaron ya era demasiado tarde y toda la información confidencial ya se había transmitido hacia las mafias. La mayoría del malware desarrollado para el ciberespionaje son capaces de realizar las siguientes acciones:

• Buscar “palabras sensibles” dentro de los documentos de los equipos infectados.
• Realizar capturas de audio usando el micrófono de los equipos.
• Realizar capturas de vídeo usando la webcam de los equipos.
• Enviar documentos del disco duro a un servidor remoto.
• Robar certificados.
• Buscar archivos de configuración de escritorios remotos.
• Escanear la red local para identificar otros equipos y atacarlos.
• Ejecutar comandos en los sistemas afectados.

¿Cuándo se realiza Ciber-espionaje? Siempre. Internet está abierto durante las 24 horas del día todos los días del año, así que estamos expuesto a un posible ataque que permita robar nuestra información confidencial en cualquier momento.

Por tanto, tan solo me queda recomendar que además de actualizar los equipos es muy aconsejable inscribirse en servicios de alerta temprana como los que dispone el CCN-CERT o Inteco, o en el caso de administrar sistemas SCADA inscribirse en el CNPIC. De esta manera conoceremos los últimos ataques, vulnerabilidades y problemas de seguridad que pueden ser utilizados contra nuestros sistemas.

ISO 22301:2012

El reciente huracán Sandy en EEUU me ha vuelto a recordar la importancia de que empresas e instituciones públicas dispongan de un Plan de Continuidad del Negocio, para dar continuidad a sus procesos más críticos tras una interrupción no planificada derivada de un desastre natural, actos provocados por el terrorismo, accidentes técnicos o problemas ambientales. Ejemplo de este tipo de desastres lo hemos tenido en España, como el incendio del edificio Windsor, o el derrumbe de las Torres Gemelas en EEUU, en ambos casos muchas de las empresas alojadas en estos edificios han tenido que “cerrar”, ya que tras la catástrofe no pudieron continuar con el negocio en otro lugar físico distinto, en cambio, otras empresas pudieron continuar sus procesos de negocio debido a que tenían un Plan de Continuidad del Negocio perfectamente definido y mantenido.

Por ello quiero dar la entrada a la reciente publicada ISO 22301:2012 denominada “Societal security. Business continuity management systems. Requirements” Esta ISO hace referencia a un Sistema de Gestión de Continuidad del Negocio desarrollado por ISO, sustituyendo a partir de este mes de Noviembre al estándar británico BS 25999, por tanto ya no es posible certificarse en BS 25999-2 y todas aquellas empresas certificadas en el estándar británico deberán actualizarse a la ISO 22301 antes de Mayo del 2014.

Alguna de las principales diferencias y mejoras que incorpora la nueva ISO 22301 con respecto a BS 25999 son las siguientes:

• Se tienen en cuenta todas las Partes interesadas, es decir, en el Sistema de Gestión se tiene en cuenta a los Proveedores, Accionistas, Acreedores, Clientes, etc, sustituyendo el término de skateholder de BS 25999.
• La Dirección de la organización deberá estar más comprometida con el Sistema de Gestión, por tanto hay requerimientos específicos para la alta gerencia, estos requerimientos dejarán sus correspondientes evidencias que demuestren su compromiso con el Sistema de Gestión.
• La importancia de designar los recursos necesario y adecuados para el Sistema de Gestión, realizando un análisis de las competencias del personal.
• En el apartado de Concienciación se hace hincapié en no pensar en “A mi no me va a pasar ...”
• Se deben tratar los riesgos adecuadamente mediante el análisis de impacto en el negocio (BIA) y evaluación de riesgos.
• Pensar que continuidad del negocio no solo es tecnología, ya que hay que analizar otro tipo de riesgos como financieros, de mercado, regulatorios, etc.
• El Plan de Continuidad del Negocio no puede ser general o muy detallado.
• Es de suma importancia planificar adecuadamente las pruebas.
• Cumplir y no saltarse las medidas establecidas y nunca olvidarlas.

En cambio, para todas aquellas empresas que no quieran seguir el estándar ISO 22301 pero que se preocupen por la continuidad de su negocio, podemos definir las siguientes fases necesarias para llevar a cabo un adecuado Plan de Continuidad del Negocio:

• Diseñar un plan y establecer una política de Continuidad del Negocio.
• Conocer los procesos de negocio de la organización y realizar un análisis de riesgos.
• Implementar las medidas preventivas necesarias.
• Definir las estrategias de recuperación.
• Desarrollar e implementar el Plan de Continuidad del Negocio.
• Mantener el Plan de Continuidad del Negocio.

Por tanto, aquí dejo la entrada de hoy donde hemos realizado un breve recorrido por la nueva ISO 22301, y donde hemos definido las principales fases que debe seguir una empresa para implantar un Plan de Continuidad del Negocio, cuyo fin no sea la certificación del plan bajo el estándar ISO.