Evento: Seguridad extremo a extremo

La semana pasada fue muy gratificante al tener la oportunidad de participar en el evento de seguridad organizado en Extremadura por Fortinet, Ariadnex y su mayorista, y ver cómo el tejido TIC de la región se interesaba y volcaba sobre todo lo que allí se comentaba. No se si será por la cantidad de noticias de fugas de información, por los ataques tan sofisticados que se están publicando en prensa o porque la seguridad es un tema atractivo y seductor, pero lo que está claro es que tras el evento los responsables de las TIC de la región han demostrado que cada vez están más concienciados y preocupados por la seguridad, viéndola como necesaria para la protección de su información y no como un gasto.

A continuación voy a comentar cada una de las ponencias realizadas para que todo aquel que no pudo asistir tenga una idea de lo que allí se presentó:

En primer lugar tuvimos una presentación dirigida a todos los responsables de TI donde se mostró las tendencias de seguridad en las TI. Comenzando con el Cloud Computing que es un modelo radicalmente diferente de negocio que rompe completamente los controles y procesos de seguridad, ya que los riesgos cambian, unos mejoran y otro empeoran, por tanto hay que adaptarse al nuevo entorno. También se habló del mundo móvil y de la dificultad de controlar los accesos a información sensible desde fuera de la organización. Otro de los aspectos mencionados fue de la creciente necesidad de disponer de profesionales especializados con experiencia y conocimiento profundo en el análisis, arquitectura y respuesta ante ataques sofisticados, ya que el actual modelo de seguridad basado en listas de verificación y vulnerabilidades está obsoleto. Por último se comentó el concepto de seguridad definida por software donde la interconexión de todos los productos de seguridad es imprescindible para conseguir una infraestructura de seguridad ágil.

A continuación dio entrada la presentación titulada 8 FortiApellidos vascos donde se explicaron cada uno de los siguientes conceptos: ASIC, NGFW, ADN, INFW, ATP, WAF, SDN, NSX. Entre ellos me gustaría destacar los procesadores ASIC de Fortinet capaces de alcanzar un throughput de hasta 1 Tbps de firewalling además de disponer de tarjetas a 100 Gbps. Otro concepto interesante y revolucionario es INFW o Internal Network Firewall donde se hizo referencia a que ya no sólo vale protegerse de ataques del exterior sino que debemos controlar y monitorizar las conexiones internas de la red para estar protegidos. Por último me gustaría señalar también el concepto NSX que la mayoría de fabricantes de seguridad y redes están adoptando para ofrecer sus soluciones en modo software y así integrar sus productos en los entornos de virtualización de Data Center.

Tras la presentación técnica anterior se expuso una ponencia donde se explicó el creciente uso del tráfico SSL dentro de las organizaciones, y la necesidad de realizar una evaluación del riesgo que supone no controlar las comunicaciones cifradas que entran y salen de la organización. Mediante datos estadísticos se mostró que el número de conexiones SSL ha crecido durante los últimos años permitiendo a los criminales saltarse las medidas de seguridad para llegar a su objetivo, de este modo cada vez es más necesario romper el túnel de cifrado para analizar las comunicaciones en busca de ataques y comportamientos anómalos, ya que de no ser así los sistemas de detección y prevención de intrusos no se percatarían de los ataques.

Una vez realizadas las presentaciones teóricas/técnicas comenzaron los casos prácticos, concretamente dos casos prácticos para ver la realidad. Tuve el honor de realizar el primer caso práctico titulado ¿Y si Java es el malo? donde quise hacer ver lo fácil que es clonar una web para engañar a un usuario y así desplegarle un malware vulnerando el software Java no actualizado, posteriormente gracias a los sistemas de monitorización y alerta de Ariolo implantamos medidas de seguridad en el cortafuegos perimetral de Fortinet para mitigar y evitar el ataque, que una vez más vimos la importancia de romper el túnel SSL para analizar el tráfico cifrado en busca de patrones de malware y exploits.

Por último en el segundo caso práctico, se revisó las tendencias en redes inalámbricas como la posibilidad de llegar a velocidades cercanas a 5 Gbps mediante el estándar 802.11ad y la proliferación de herramientas que utilizan las redes wireless para ofrecer servicios como el geo-posicionamiento y el análisis de la presencia. Posteriormente se mostró mediante un laboratorio cómo los puntos de accesos inalámbricos de Fortinet nos pueden proteger ante rogue APs enviando tramas de des-autenticación evitando que empleados de una organización puedan desplegar sus propias redes inalámbricas permitiendo puertas traseras fuera de las frontera de la organización, además de monitorizar y mitigar redes inalámbricas que pudieran tener el mismo nombre SSID que el de nuestra propia organización. Características y técnicas muy útiles para el cumplimiento de la normativa PCI-DSS.

Sin más … tan solo me queda deciros:

MUCHAS GRACIAS A TODOS POR ASISTIR AL EVENTO

¿Y si apagamos Internet?

El protocolo BGP creado en 1995 es un protocolo claramente histórico si analizamos la rapidez con la que avanza la tecnología. En sus inicios, pensando en que sólo la comunidad universitaria iba a utilizar un ordenador con terminal en blanco y negro donde sólo se veían códigos, nadie pensó en proporcionar seguridad al protocolo, y que tras 20 años, hoy en día representa las venas de Internet.

El protocolo de enrutamiento dinámico BGP utilizado en Internet está basado principalmente en una relación de confianza entre Sistemas Autónomos, que ante una intervención perfectamente probada y planificada trasladaremos esa confianza y tranquilidad a todos los usuarios de la red. Por este motivo, cuando desacoplamos un Sistema Autónomo de otro, es decir, cuando pulsamos la tecla enter sabiendo que la relación de vecindad entre peering va a desaparecer perdiendo miles y miles de rutas BGP, cuando se está en ese momento interminable, cuando nos miramos fijamente a los ojos con ese sudor frío, el equipo de ingenieros de redes debe saber perfectamente cuál va a ser el comportamiento de la red, debe saber cuales serán las rutas alternativas y debe haber probado previamente cuál será el comportamiento de Internet. Si todas estas comprobaciones se han realizado y todas las pruebas han resultado satisfactorias en el entorno de laboratorio, estaremos preparados para desacoplar el Sistema Autónomo con total garantía.

¿estás dispuesto a desacoplar tu peering? ¿a cuántas miles de personas dejaremos aisladas de Internet? Ejecuta el siguiente comando y lo sabremos:

border(config-router)# neighbour IP_Peering shutdown

Otros ya lo han hecho, como Libia (+info) y Egipto (+info) cuando dejaron el país aislado del resto de Internet.

Y si te parece que romper la relación de vecindad entre Sistemas Autónomos no es emocionante, ¿qué me dices de publicar una nueva red? ¿estás dispuesto a ejecutar el siguiente comando?

border# set protocols bgp group EBGP export [ 8.8.8.8/32 ]

Estaríamos diciéndole a nuestro vecino, es decir, al Sistema Autónomo vecino que confía en nosotros que a partir de ahora los DNS de Google se llegan “mejor” por mi red, ¿es eso verdad? Ya hemos visto cómo algunas “organizaciones” han hecho esto en Internet redirigiendo todo el tráfico de, por ejemplo, Youtube, por su Data Center, ¿para qué? Mejor pregúntaselo a los Paquistaníes (+info) o a los Bielorrusos (+info) o a los Islandeses (+info) … o a los ¿quién sabe?

Hasta que no se apueste por protocolos seguros como S-BGP, los ingenieros de redes trataremos de dar esa confianza que protocolos como BGP aún no tiene.

¿estás dispuesto a apagar Internet? En 30 minutos lo podemos conseguir.

Digievolución del Malware

El malware ha evolucionado a pasos agigantados en los últimos años. Podemos decir que hay un antes y un después tras el descubrimiento de Stuxnet, Duqu, Flame y Gauss donde hemos podido ver que la industria del malware ha pasado del lado oscuro - organizaciones criminales - al lado gris potenciado por gobiernos. La participación de gobiernos en el desarrollo de malware ha provocado que se incorporen técnicas mucho más sofisticadas en la explotación de vulnerabilidades, técnicas que también aprovechan los criminales para atacar a sus víctimas.

El desarrollo de malware por parte de gobiernos para luchar contra el terrorismo abre una nueva caja de pandora, ya que el uso de ciberarmas ofrece anonimato, reduce la percepción de daños colaterales, y además llegan a su destino en tan solo unos segundos siendo más rápidas que los misiles. Sin embargo a diferencia de las bombas y misiles, una ciberarma puede llegar a ser obsoleta con tan solo la instalación de un parche o la modificación de la configuración, en definitiva la víctima puede mitigar la amenaza con un par de clicks de ratón. Por otro lado, las armas digitales son difíciles de controlar si no se diseñan con precisión para que tan solo se ejecuten en su objetivo, sino se propagará por medio mundo pudiendo ejecutarse en la propia infraestructura del atacante causando daños irreparables. Además, este tipo de armas suelen tener mecanismos de auto-destrucción por si las condiciones cambian o la operación es abortada. Como vemos, un adecuado control de este tipo de armas es muy importante para que no actúen igual que las armas químicas o biológicas que son difíciles de controlar y lanzar contra un objetivo claro.

Podemos decir que la utilización de malware en una ciberguerra es un arma digital que aunque ofrece anonimato, si está bien desarrollada, tan solo tiene una bala que si falla y la víctima descubre el ataque, éste puede realizar un análisis exhaustivo del malware copiando toda la ingeniería aplicada en la ciberarma para desarrollar y mejorar su propio armamento digital y así lanzarlo como represalia.

Cuando un gobierno lanza un ataque contra otro o contra un grupo terrorista, lo que más nos preocupa no son los sistemas militares sino los civiles como transporte, comunicaciones, finanzas, plantas químicas y nucleares, instalaciones de agua, gas y electricidad, etc. Por este motivo, a los ciudadanos nos gusta saber cuáles son las operaciones militares en curso, cuáles son nuestros aliados, contra qué o quienes nos estamos enfrentando y para qué. Sin embargo, este tipo de información la estamos perdiendo cuando los gobiernos lanzan armas digitales sin el conocimiento y consentimiento de la ciudadanía, ¿y si el atacante realiza un contraataque digital dejando sin suministro eléctrico parte del país?

Todos sabemos que mediante el acuerdo de auto-defensa colectivo de la OTAN ante un ataque por tierra, mar o aire recibiremos protección de los países aliados, pero ¿y si es un ciberataque? en un principio también recibiremos protección aunque habría que ver los planes de ciberdefensa colectivos para entender si recibiríamos una protección con garantías, sino preguntémoslo a Estonia cuando en el 2007 recibió un ciberataque de una botnet de 85.000 equipos contra 60 webs de finanzas y del gobierno, que no estuvieron disponibles durante tres semanas y la OTAN les rechazó la ayuda porque no era un ataque recogido en el acuerdo.

En definitiva, la evolución del malware a subido un escalón y estaremos expectantes de ver cuál es el uso que le dan los buenos, los malos y los no tan buenos.

Un saludo amigos!!

Gauss: Monitorizando cuentas bancarias

El malware Gauss es una herramienta de ciberespionaje que, en honor a su módulo principal llamado Gauss, homenajea al matemático alemán Johann Carl Friedrich Gauss. Este malware comparte arquitectura y código con la primera ciberarma digital Stuxnet, con la herramienta de ciberespionaje dedicada a robar información de infraestructuras críticas Duqu y con la sofisticada herramienta de ciberespionaje Flame. Sin embargo, esta herramienta de espionaje estaba centrada principalmente en el robo de contraseñas e información bancaria.

Tras el descubrimiento de Flame los investigadores de las firmas de antivirus realizaron una búsqueda de los ficheros que identificaban al malware Flame entre todos los equipos que tenían instalado sus antivirus. Sin embargo, se llevaron una sorpresa cuando detectaron que habían encontrado un nuevo malware que compartía arquitectura con Flame. Habían descubierto a Gauss que poseía un payload que utilizaba un esquema de cifrado altamente sofisticado y complejo.

Al igual que Flame, Gauss se trataba de una herramienta de espionaje, aunque el tamaño de esta última era mucho más pequeño ya que no ocupaba los 20 MB que tenía el malware modular Flame. Como herramienta de espionaje era capaz de robar contraseñas bancarias y de sistema, redes sociales, correo electrónico, mensajería instantánea, además de almacenar la configuración de los equipos infectados.

Es de destacar en este malware su capacidad de robar contraseñas bancarias, ya que no suele ser uno de los motivos de espionaje entre gobiernos, en este caso parece qué sí era necesario ya que estaba enfocado en los bancos de Líbano - el banco de Beirut, EBLF, BlomBank, ByblosBank, FransaBank, y el Credit Libanais - donde se sospechaba que se blanqueaba dinero para el programa nuclear Iraní. De esta manera los atacantes monitorizaban las transacciones y los balances para trazar las relaciones entre cuentas y el movimiento de dinero. 

Pero el gran misterio que recae sobre Gauss es su impenetrable payload, que incluso a día de hoy aún no ha sido descifrado. A diferencia de Stuxnet, que depositaba el payload en todas las máquinas que infectaba y ejecutaba el payload solo en las máquinas con una configuración específica, Gauss por el contrario sólo depositaba el payload en las máquinas que tenían la configuración buscada. Además Gauss, a diferencia de Stuxnet, las claves para desbloquear el payload no estaban almacenadas en el malware. En su lugar, el payload se descifraba únicamente mediante una clave que se generaba dinámicamente a partir de la configuración de la máquina que se pretendía atacar.

Gauss para propagarse sigilosamente utilizaba el mismo método de propagación que Stuxnet, aprovechando una vulnerabilidad en los ficheros .LNK del sistema operativo Windows a través de memorias USB infectadas. Además, cada vez que una memoria USB infectada se insertaba en un equipo se guardaba la configuración del equipo en un fichero oculto de la memoria USB y cuando la memoria USB se conectaba en un equipo que tenía conexión a Internet se enviaba las configuraciones de todos los equipos infectados al servidor de control (C&C). De esta manera los atacantes sabía cuándo habían alcanzado su objetivo.

Gauss ha sido una operación de ciberespionaje que ha conseguido infectar más de 2500 equipos, muchas más infecciones que Duqu y Flame aunque muchas menos infecciones que Stuxnet, lo que nos indica que su propagación ha estado más controlada que éste último. Su radio de acción en los 9 meses de vida desde que empezó la operación de espionaje en Septiembre del 2011 ha sido principalmente los países de Oriente Medio, encontrándose más del 65% de las infecciones en el Líbano donde incluso se ha llegado a encontrar máquinas infectadas con tres versiones de malware para espionaje – Flame, Gauss y Mini-Flame.

Claramente podemos ver una vez más que hay un antes y un después del descubrimiento de Stuxnet, donde a partir de entonces los avances en la elaboración de malware van más allá de los simples caprichos de las organizaciones criminales.

Un saludo amigos!!