DoS Attack

En esta entrada quiero demostrar cómo detectar e intentar detener un ataque de denegación de servicio (DoS), o por lo menos estar preparados para cuando realicen este tipo de ataques contra la infraestructura que gestionamos. Para ello he utilizado dos productos ampliamente conocidos, como son el SIEM de Alienvault y los cortafuegos de Fortinet.

En una entrada previa comenté la implicación que tiene un ataque de denegación de servicio distribuido (DDoS), donde desde mi punto de vista es un juego de poder entre el atacante y el atacado, es decir, el que tenga más pasta ganará la batalla, ya que consiste en la saturación de recursos. Sin embargo en esta entrada veremos cómo detectar y mitigar pequeños ataques de DoS que podrían degradar la calidad de los servicios que ofrecemos.

La herramienta que he utilizado para realizar el “ataque” ha sido la misma que utiliza Anonymous para reivindicar ciertos comportamientos de nuestros gobernantes. LOIC fue la herramienta utilizada en la operación contra Sony, la Ley Sinde o la Iglesia de la Cienciología.

LOIC

Rápidamente podemos ver cómo el sistema de detección de intrusos (IDS) de Alienvault detecta que alguien está utilizando la herramienta LOIC contra su infraestructura para provocar una denegación de servicio, por lo que desde el SIEM podemos realizar varias acciones como crear políticas de firewalling en el cortafuegos para banear la IP origen, avisar al administrador mediante correo electrónico o SMS o ejecutar un script en la máquina atacada. Todas estas acciones se pueden hacer en modo preventivo antes que el atacante logre su objetivo.

Eventos detectando la herramienta LOIC en el SIEM

 

Por otro lado, también es interesante aplicar políticas UTM IPS y de DoS en el cortafuegos, que nos permitirá bloquear la IP del atacante o banear su IP durante un periodo de tiempo. Para agregar una política de DoS en el cortafuegos será necesario monitorizar el número de conexiones TCP, UDP, ICMP para establecer el umbral a partir del cuál consideramos que se está produciendo el ataque, todo ello dependerá de los servicios ofrecidos. Una de las técnicas utilizadas por los productos Anti-DDoS para detectar IPs legítimas de las no legítimas es descartando el primer paquete SYN de los clientes, de esta manera aquellos clientes que vuelvan a enviar el paquete SYN porque no han recibido el ACK serán clientes legítimos, ya que los atacantes abren tantas sesiones como pueden sin volver a enviar el segundo paquete SYN.

DoS Policy

Tener la infraestructura monitorizada y controlada ante ataques de DoS nos puede evitar más de un disgusto, además nos facilita bastante información cuando la “red va lenta” o vemos picos de sesiones fuera de lo normal.

Un pico de sesiones fuera de lo normal a las 9:00 PM

En definitiva, cada vez es más fácil comprar un ejército de bots para realizar ataques de DDoS y por ello debemos estar preparados. Sin las herramientas y una monitorización adecuada detectaremos el ataque demasiado tarde, una vez que la calidad de los servicios ofrecidos se hayan degradado.

¿Has recibido alguna vez una ataque de DoS? ¿cómo lo mitigaste?

Fases del ataque

Actualmente los ataques son más “silenciosos” que hace unos años, por lo que es más difícil detectarlos y mitigarlos. Para detectar y mitigar los ataques hay que conocer y entender cómo actúan los “malos”, de esta manera sabremos los pasos que sigue un atacante al querer comprometer nuestra infraestructura, así podremos prevenir y minimizar los daños causados por el ataque.

En esta entrada intentaré reflejar las fases que suele seguir un atacante, además de contra-medidas o recomendaciones, para poder detectar el ataque en fases tempranas y así poder mitigarlo de la manera más satisfactoria posible.

Fase de reconocimiento o sondeo

El objetivo de esta fase es la obtención de información (OSINT) sobre la organización a atacar. En esta primera fase se realiza el footprinting, scanning y enumeration. Se obtiene información mediante buscadores como Google o Bing, se analiza la web de la organización en busca de interfaces de autenticación, se realizan escaneo de servicios y puertos mediante herramientas como nmap y shodan, también se realizan análisis de vulnerabilidades mediante analizadores como OpenVas o Nessus, además de utilizar otras herramientas como scapy para la generación de paquetes. La ingeniería social también es utilizada para engañar a los trabajadores y obtener aún más información de la organización.

Como contra-medida es importante disponer de una monitorización continua, redirigir peticiones a honeypot, realizar correlación inteligente de amenazas, además de controlar el tráfico de datos.

Fase de ataque

El objetivo de esta fase es utilizar toda la información obtenida anteriormente para atacar la infraestructura de la organización. Para ello utilizan ingeniería social engañando a los trabajadores para que visiten URLs conformadas donde hay exploits remotos o se aprovechan vulnerabilidades del sistema del usuario, también se suelen realizar ataques SQLi mediante JSON o a formularios encontrados en la web de la organización, además de realizar ataques por fuerza bruta a todas las interfaces de autenticación encontradas en la fase de reconocimiento.

Como contra-medida es importante detectarlo rápido y reaccionar con una respuesta, que puede ser bloqueando el sitio o IP del atacante, crear reglas en el proxy/cortafuegos, enviar a cuarentena los equipos atacados o incluso desinfectar aplicaciones y bases de datos.

Fase de instalación y explotación

Si desgraciadamente no hemos detectado el ataque en las fases previas, el atacante en esta fase realizará cambios en los sistemas atacados, supervisará la actividad de los usuarios, instalará herramientas de administración remota (RAT), realizará cambios en el sistema de ficheros, instalará Bots, manipulará la memoria o incluso instalará puertas traseras para acceder a los sistemas cada vez que lo necesite.

Como contra-medida se debe monitorizar la integridad del sistema de fichero de los equipos, en caso de detectar cambios reconstruir el sistema de nuevo, también se puede crear listas blancas y denegar todas las conexiones no conocidas, además de bloquear las IPs de los atacantes y el acceso a servidores de comando y control (C&C).

Sistema comprometido

En ocasiones el atacante consigue comprometer los sistemas sin que los analistas de seguridad tengan la más mínima sospecha del ataque realizado, en este caso dependerá del objetivo del atacante el uso que haga de la infraestructura comprometida. El atacante podrá controlar los sistemas remotamente, podrá obtener información, manipulará los sistemas y los archivos a su antojo, e incluso podrá utilizar los recursos para atacar a otras organizaciones.

Por tanto los analistas deben monitorizar y reaccionar a los indicadores en cada una de las fases del ciclo del ataque para prevenir los ataques, o por lo menos minimizar el daño.

¿Qué medidas preventivas o reactivas habéis tomado en fases tempranas para evitar un ataque puntual?

Relaxing cup of café

La frase del título de esta entrada parece ser que está dando mucho juego, es una frase que no se olvidará durante años y que incluso ha dado para varias canciones. La anécdota ocurrida durante la candidatura de los Juegos Olímpicos 2020 por Ana Botella creo que refleja la realidad de los españoles con los idiomas, independientemente de la situación de cada uno, ya sea estudiante o trabajador, veo que nos falta mucho estudio y esfuerzo para alcanzar el nivel de idiomas que tienen otros países. Esto lo veo muy de cerca entre amigos y compañeros que hemos finalizado la carrera sin estudiar idiomas, y ahora cuando hay que enfrentarse a los idiomas en otros países lo vemos muy complicado.

Al ser una asignatura pendiente, en septiembre del año pasado obtuve el certificado B1 en el idioma Inglés por la Escuela Oficial de Idiomas (EOI), el cual indica que he alcanzado el umbral que me permite comprender textos y tratar cuestiones conocidas, además de saber desenvolverme en la mayor parte de situaciones. Por supuesto, este año continué estudiando la lengua y esta semana aprobé el quinto curso de la EOI, por lo que si mantengo mi rutina de estudio podría llegar al nivel B2 para el próximo curso. Al igual que el nivel B1, para alcanzar el nivel B2 es necesario aprobar dos cursos de la Escuela, así que tan solo me queda un año para llegar al nivel avanzado, o como también lo llaman en Cambridge el nivel First (FCE).

 

Lógicamente este curso ha sido más complicado, sin embargo ha sido muy satisfactorio ya que he aprendido muchas más estructuras gramaticales, además de quitarse el miedo a hablar en inglés, ya he asumido que para mejorar es necesario fallar al hablar. También en este nivel se comienza a no pensar en español para traducirlo posteriormente a inglés, es decir, se piensa y habla en inglés directamente. En clase veo que la mayoría de alumnos nos desenvolvemos peor en las habilidades de hablar y escribir, mientras que escuchar y leer suelen ser las más fáciles. Para mí, escribir es más complicado que hablar, ya que las faltas de ortografía restan mucha puntuación sobre la nota del examen. Sin embargo la pronunciación sigue siendo una nota pendiente ya que los extremeños tendemos a no pronunciar la letra “s” y esto se nota mucho al hablar un idioma como el inglés.

Por otro lado veo que los chicos y chicas de los institutos, además de las Universidades, están viendo la importancia de estudiar idiomas, ya que hay alumnos en mi clase con 16 años que tienen muy buen nivel, además de que con la incorporación de los títulos de Grado en las Universidades, se ha comenzado a exigir el nivel B1 para obtener el título universitario. En definitiva, estoy seguro que en 10 años tendremos presidentes y alcaldes con un nivel de idiomas que nada tiene que ver con el actual.

¿Qué opináis vosotros? ¿son importante los idiomas en vuestro día a día?

¿dónde está la pasta?

No hace falta hacer un MBA para saber que las empresas están para ganar dinero, ninguna es una ONG. En las últimas filtraciones del caso Snowden donde se ha revelado que EEUU gastará 52.600 millones de dólares en el 2013 para vigilancia digital, incita a las empresas a desarrollar productos a medida y adaptados a las exigencias de los gobiernos. Con esta partida presupuestaria se mantienen proyectos como PRISM para la vigilancia electrónica, X-Keystore para analizar todo el tráfico HTTP y donde uno de los nodos está en España, además de apoyar proyectos para hackear dispositivos de red como routers o switches, desarrollar el programa Bullrun para descifrar las comunicaciones, hackear los dispositivos móviles de los políticos para interceptar las comunicaciones móviles como en la cumbre G8 y G20 o incluso espiar las embajadas de la Unión Europea. Por supuesto en este juego no sólo está EEUU, sino que también participa Reino Unido que intercepta las comunicaciones con la operación Tempora.

Por tanto las empresas desarrollan productos que ponen a disposición de los gobiernos con el fin de luchar contra el terrorismo, la explotación infantil, el tráfico de drogas o cualquier otro crimen, el problema es que también se utiliza a veces en regímenes totalitarios para controlar a la población. Por ejemplo tenemos la solución DRAGON (Data Retention and Guardian Online) de HP que es un sistema ISS (Intelligence Support System) capaz de almacenar todos los datos que pasan por una sonda permitiendo realizar consultas e inspección de los paquetes en redes wireless o cableadas, ya sean conmutadas por circuitos, por paquetes o móviles, además se ofrece en modo cloud. O por ejemplo la solución FinFly ISP de Finfisher de la cual hablé el verano pasado ya que fue encontrado su spyware por todas partes del mundo. Es asombroso como Finfisher ha desarrollado una solución para infectar y monitorizar dispositivos remotos, la solución está compuesta por un potente servidor de gestión y sondas que se instalan en el ISP, desde estas sondas se puede desplegar malware a los dispositivos finales haciéndoles creer a los usuarios que son actualizaciones de software de por ejemplo skype, winmap, adobe, etc, es decir, utiliza la técnica de evilgrade. A continuación podemos ver la arquitectura de red de la solución FinFly.

Siempre se ha dicho que la información es poder y en este caso parece que el gobierno quiere saberlo todo para “protegernos”, todos participamos en esto, desde políticos hasta las organizaciones que desarrollan estos productos de espionaje, por lo que espero que la ética siempre esté por encima del dinero, porque sino la confianza en Internet cada vez estará mas degradada y no quedarán rincones por explorar donde poder depositar nuestra “intimidad” y privacidad.

Internet ya no es tan grande

En una anterior entrada escribí sobre la herramienta de escaneo de red Nmap y su potente motor de scripting NSE, muy útil para las primeras fases del test de intrusión. En esta entrada quiero hacer hincapié en la reciente herramienta publicada por tres investigadores de la Universidad de Michigan llamada Zmap, la cual también nos ayudará bastante en la fase de enumeración.

Lo sorprendente de Zmap es su rapidez en escanear un gran conjunto de direcciones IPv4, de hecho es capaz de escanear todas las direcciones de Internet en 45 minutos, es decir, escanea 4.294.967.296 en 45 minutos mientras que para hacer la misma operación con Nmap se necesita más de 100 días. De hecho alcanza velocidades de escaneo cerca del Gigabit por segundo, por lo que puede consumir bastante ancho de banda de la conexión a Internet, llegando a provocar DoS. Sin embargo, por el momento Zmap no es un sustituto de Nmap, ya que Zmap necesita que le pases por parámetro el puerto que quieres escanear, mientras que con Nmap podemos tener un listado de todos los puertos de una determinada máquina.

El uso que se le puede dar a la herramienta es muy amplio, desde escanear diariamente toda Internet para realizar estudios de cuántos servidores https existen, o servidores de correo, dns, etc, o como la mayoría de herramientas de este tipo se puede utilizar con fines “maliciosos”, como para buscar todos los equipos con UPnP publicado en Internet para explotar la última vulnerabilidad conocida.

La instalación de Zmap, la podemos realizar de la siguiente manera:

# apt-get install libgmp3-dev libpcap-dev gengetopt git

# git clone git://github.com/zmap/zmap.git zmap

# mv zmap/ /usr/src/

# cd /usr/src/ zmap

# git pull

# make

# make install

Por ejemplo, si estamos interesados en saber cuántos servidores https hay actualmente en Internet ejecutaríamos:

# zmap -p 443 -o results.txt

O también, podemos buscar algún servicio concreto como snmp, nfs, etc. En mi caso hice un escaneo del puerto 8000, donde tras buscar un rato llegué a un router FiberHome de Telefónica con las claves por default, por supuesto:

# zmap -i wlan0 -B 2M --target-port=8000 –output-file=resultados_8000.txt

Así que al igual que podemos utilizar Zmap para realizar estudios del comportamiento de Internet a ciertos servicios, también se puede utilizar en la fase de enumeración y por supuesto los “malos” ahora tienen más fácil la búsqueda de servicios vulnerables. Además, desde mi punto de vista, Zmap al ser una herramienta Open Source la comunidad no tardará en añadir nuevas funcionalidades, potenciando aún más la herramienta y permitiendo tener un esquema más exacto del estado de Internet. Como podemos ver, “Internet” se nos está quedando pequeña, ahora ya podemos conocer cada rincón de esta red de redes.