Excursión al Mundo Hacker

Aquel día, el refrán "en abril aguas mil" cumplia su pronóstico. Fue un dia muy lluvioso y el resguardo para el día estavo en el centro de ocio y cines Kinépolis, donde se celebró Mundo Hacker.

Por hacer un resumen como recordatorio, estas fueron las intervenciones.

Bienvenida a los asistentes. Desirée Rodriguez & Víctor Aznar

KEYNOTE: Power Nap y vamonos!. Antonio Ramos

De Verano a primavera en los servicios de Red Team. Mildrey Carbonell Castro, Head of Audit Department S21sec

Lo que Europa está dispuesta a hacer por la ciberseguridad. ¿Y tu?. Juan Zafra,
Director Análisis, Inteligencia y Comunicación. Consultoría estratégica

KEYNOTE: Utilizando metodología de Password Cracking para algoritmos rápidos como NTLM y MD5. Pedro Alexander Garcia.

APTs en la cadena de suministro: cuando la logística se te vuelve en contra. Dani Creus
Senior Security Researcher (GReAT – Kaspersky Lab)

Democracia hackeada: Ciberseguridad, redes sociales y manipulación de procesos electorales en la nueva era digital
Ofelia Tejerina, Abogada. Premio LegalTech 2019 – Confilegal. Secretaria General Asociación Internautas
Borja Adsuara, Abogado Experto en Derecho Digital
Antonio Vargas, Public Policy Manager en Google
Carlos Loureiro, Hacker y Criminólogo
Modera: Daniel de Blas, periodista GlobbTV

Enlace a Mundo Hacker Day
Y no hay que perderse el canal GlobbTV Globbsecurity

L. F. R.

"Supervirus" para el futuro

Repasando los informes sobre ciberseguridad del año pasado me ha llamado la atención el crecimiento y la expansión de los “supervirus”. Un rimbombante nombre que trata de sostener cierta analogía con las superbacterias que, gracias a mutaciones selectivas, consiguen ser resistentes a los antibióticos.

Estos “supersoftware” maliciosos no son nuevos. Cuando he leído más sobre ellos, he encontrado documentos escritos hace unos pocos años que los describen y analizan.

Para explicar en qué consisten vamos a partir de la siguiente pregunta.¿Cómo puedo eludir el análisis y la acción de los programas antivirus?. La respuesta se antoja inmediata. Sabiendo que los programas antivirus analizan sobre los soporte de datos como los discos duros, podría esquivar el antivirus si fuese capaz de colocar el malware en un lugar donde éste no busque ni analice. Para demostrar la certeza de tal afirmación tenemos los nuevos tipos virus informáticos capaces de hacerlo.

Fileless Malware. Este es un tipo de programa malicioso que se instala en la memoria RAM de los ordenadores. Su eliminación es sencilla, se apaga el equipo y los datos de la memoria se borran, entre ellos, este programa. El problema surge cuando los ordenadores y servidores infectados no se pueden apagar de una forma tan simple ni tampoco en cualquier momento. Esto ocurre con los centros de datos o servidores que funcionan 24x7 todos los días del año.

Apagar los sistemas requiere una preparación más allá de apretar un botón o teclear “shutdown”. El procedimiento debe ser tal que minimice el impacto en los servicios. Si queremos que éste se mantenga el proceso de apagar servidores debe contar con la presencia de otros servidores redundantes adicionales que entren en funcionamiento en lugar de los principales. Además, tiene que continuar con los procesos de arranque y restablecimiento hasta alcanzar la actividad normal.

En estas situaciones de emergencia, el foco se pone en la eliminación del malware descuidándose otras tareas y acciones importantes. Cada una tiene sus propios riesgos que hay que tener encuenta para ser gestionados adecuadamente. Si los ciberdelincuentes han sido hábiles en la creación, el malware se podrá propagar de unos servidores a otros, con lo cual el problema crece exponencialmente en complejidad

 

Bootkit. Este malware se instala entre el firmware almacenado en los circuitos integrados de arranque de los ordenadores y servidores. Los antivirus no analizan este tipo de programas. Pero la infección tampoco es sencilla. El acceso a estos circuitos y la instalación del firmware requiere ciertos conocimientos técnicos.

Es una buena herramienta para el espionaje industrial. Empresas dedicadas al mantenimiento de los sistemas microinformáticos de otras compañías pueden manipular este tipo de circuitos para obtener información relevante.

No es la primera vez que se manipula firmware de dispositivos. Sólo hay que hacer una sencilla búsqueda en internet sobre el caso de manipulación de routers Cisco por la NSA; o los productos importados de China con su carga maliciosa oculta.


Para conocer mejor estos “supervirus” dejo las siguientes referencias.




“El Fileless malware se erige como la mayor amenaza para tu ordenador en 2019” David Hernández, 9 -12-2018. Computer Hoy en Facebook

“VENI, VIDI, VICI: Malware sin fichero” Publicado el 02-02-2017, por Asier Martínez (INCIBE)

“Bootkits: Atacando el arranque” Publicado el 07-07-2015, por Antonio López (INCIBE)

“¿Rootkit o Bootkit? Aclarando la duda de forma definitiva” Ilya Lopes 19 Aug 2014, (Welivesecurity)

“LoJax: primer rootkit de UEFI en uso que se descubre, cortesía del grupo Sednit” ESET Research 27 Sep 2018

Whitepaper:
“LOJAX: First UEFI rootkit found in the wild, courtesy of the Sednit group”

L. F. Real

El ciclo de vida de las vulnerabilidades frente al riesgo

Aparentemente, la presencia de un parche que está disponible sugiere a que una vulnerabilidad ha sido resuelta. Induce a creer que el "terreno" es seguro. Pero esto no es cierto.

El estudio de las vulnerabilidades en el tiempo es esencial, éstas cambian y diversifican. Inicialmente, el fabricante o proveedor lanza un parche sin que se hayan conocido ataques o exploits. Posteriormente aparecen informes y noticias de un exploit que aprovecha la vulnerabilidad que motivó el parche. Es la primera referencia sobre ésta. Suelen ser publicados por los investigadores que la descubrieron. En pocas semanas los hacker tratan de explotar la vulnerabilidad antes que los parches comiencen a instalarse globalmente. A la vez, se crean herramientas para probar la eficacia del parche.
Esta cadena de acontecimientos aumenta el riesgo en general de nuestros sistemas y organización.

Estos son algunos de los factores de riesgo de la vulnerabilidad en los que se debe profundizar. Están relacionados con el conocimiento del ciclo de vida:
¿Cómo se identifica y describe la vulnerabilidad?

• ¿Dónde y quién la ha publicado?
• ¿Cuándo se descubrió?
• ¿Cuándo se ha explotado?
• ¿Cuándo se publicó el parche?
• ¿Cuándo se aprovechó por primera vez la vulnerabilidad en los ataques?
• ¿Es difícil de explotar?, ¿Qué elementos adicionales se necesitan?
• ¿Está disponible el código para realizar pruebas?
• ¿Existe un software comercial que solucione la vulnerabilidad? O por el contrario ¿hay que desarrollar uno específico?
• ¿Cuáles son los requisitos previos para explotar la vulnerabilidad?
• ¿La vulnerabilidad está siendo utilizada actualmente en ataques?
• ¿Los ataques son dirigidos o generalizados?, si son dirigidos ¿persiguen algún objetivo concreto?

Conocer las vulnerabilidades no es suficiente,  hay que revisar los activos que pueden ser afectado.

• ¿Cuán crítico es el activo para el servicio?, ¿y para el negocio en su conjunto?
• ¿Qué tipo de información guarda?
• ¿Está en la infraestructura crítica?
• ¿Forma parte de algún proceso crítico del negocio?

Cuando se han identificado las vulnerabilidades, ¿cómo se pueden relacionar con la configuración de nuestros activos?, ¿éstos cumplen las condiciones descritas en las vulnerabilidades?

Ahora podemos reflexionar ¿Cómo estamos de expuestos al riesgo con estas informaciones?
Tenemos las siguientes tareas pendientes:

• Corregir nuestra exposición al riesgo hacia un conocimiento más preciso.
• Redactar informes más detallados a la administración de la exposición al riesgo en el momento actual. Estos informes deben ir acompañados de la valoración de las medidas de reducción del riesgo.

Podemos concluir que siempre hay que estar pendiente de las vulnerabilidades y los parches, aunque haya pasado tiempo desde su descubrimiento y resolución. Nuestra exposición al riesgo cambia y evoluciona conforme lo hacen aquellas amenazas que puedan beneficiarse de las vulnerabilidades . Las amenazas es esconden agazapadas en los rincones de los sistemas esperando su momento.

L.F.Real