26 April, 2012

Lo doloroso de la era ciber: ataque, crimen, guerra, espionaje, activismo

Por

Por David Schekaiban, CISA, CISM, CISSP, CEH, LPT Código Verde, síguelo en @dstmx

El 2011 fue un año que se caracterizó por cambios e inestabilidad en lo político y social. Eventos como las protestas y subsecuentes revoluciones mundiales, el levantamiento de los pueblos árabes, la muerte de Osama Bin Laden y por si fuera poco varios desastres naturales como tornados en Estados Unidos y el terremoto-tsunami en Tokio que afectó a millones de personas y causó daños por varios miles de millones de dólares, sin mencionar el impacto nuclear en la zona.

Pero entrando en materia de ciberseguridad, 2011 también fue un año realmente importante para los cibercriminales ya que: se definieron claros modelos de ataques que han resultado ser muy exitosos contra objetivos específicos. Basta recordar el análisis de Symantec sobre el impacto del cibercrimen a nivel global, actividad que causó más de $144,000 millones de dólares en pérdidas de productividad, y remediación y recuperación de incidentes.

El 2011 también fue el año de los  DDoS o los ataques de negación de servicios, los cuales se popularizaron gracias a grupos hacktivistas como Anonymous, de las fugas o robos masivos de información confidencial de empresas y entidades de gobierno de todo el mundo y de la supuesta ciberguerra¾ también declarada por el grupo Anonymous¾ a todos los que dentro de su perspectiva violentan los derechos de expresión y libertad en Internet. Algo que sin duda le dio al colectivo un rango de “amenaza latente” para muchas organizaciones.

Pero para este año la cosa parece que no será mejor, pues de acuerdo a cifras del estudio 2012 Cyber Security Survey de Bit9, que encuestó a 1,861 profesionales de IT, más de la mitad considera que será blanco de ataques de estos grupos criminales en seis meses o menos, siendo la humillación y exposición pública el principal temor de los expertos en redes y sistemas.

Anonymous se caracterizó también por apoyar los movimientos de la primavera árabe, lanzando ataques de negación de servicio a sitios gubernamentales en los primeros meses del año, también filtrando información personal de oficiales de  Bahréin, Egipto, Jordania, Marruecos y Túnez.

Pero los ataques de los hacktivistas no terminan en protestas sociales, pues basta recordar el ataque  contra  HBGary Federal, una firma de seguridad que prestaba sus servicios al gobierno estadounidense y la cual sufrió la exposición pública de más de 65,000 correos electrónicos confidenciales, la  baja de sus sistemas telefónicos y el borrado de archivos críticos.

Y si de recordar ataques de Anonymous se trata, que tal el de Stratfor, empresa también encargada de administrar información e inteligencia para distintos gobiernos y organizaciones transnacionales,  y que perdió la friolera de $700,000 dólares a consecuencia del ciberataques del colectivo.

Es claro que estos ataques ponen en evidencia la falta de seguridad existente, sobre confianza, exponen las malas practicas y la posible corrupción de miembros involucrados.

Tomemos el caso de la fuga masiva de datos de Sony, un ataque que aprovechó las vulnerabilidades de código en paginas web y por el cual este mismo grupo, logro extraer entre 100 y 120 millones de datos personales de usuarios de la PlayStation Network (PSN), con un impacto económico en el orden de los miles de millones de dólares.

Dado que se han investigado de cerca a los cibercriminales asociados con estas bandas logrando detenciones y arrestos en todo el mundo, las reacciones han ido escalando en proporción de daños e impacto. Por ejemplo operaciones como Occupy Wall Street, que también llevan protestas físicas, han logrado exponer la identidad de policías, agentes de servicios secretos y fuerzas militares así como bloquear accesos a centros de negocio y protestar por la injusticia en la repartición de la riqueza. De nuevo, aquí la justicia poética que caracteriza a estos eventos.

 

Otro método estructurado de cibercrimen que se popularizó en el 2011 fueron los ataques masivos de SQL Injection, donde se han descubierto motores de búsqueda y detección de vulnerabilidades en plataformas para el manejo de contenido como WordPress, que han permitido tomar control de manera automatizada de miles de sitios con la función de distribuir archivos maliciosos, fraudes con publicidad, correo spam, phishing y actividades ilegales relacionadas con la suplantación de identidad. Este tipo de ataques funciona generalmente mediante la inyección de líneas de código malicioso que afectan las aplicaciones del lado del cliente.

 

Uno de los primeros casos de estas infecciones fue Lizamoon, llamado así porque las líneas de código que escribe en paginas hechas en ASP.NET hace una conexión a dominios con este nombre y logra desplegar una advertencia falsa al usuario. Mediante el uso de la ingeniería social, engaña al internauta para que forme parte de una red de máquinas zombis. Este  particular ataque afectó a mas de 500,000 sitios que distribuían malware de manera indiscriminada y persistente y cuyas primeras víxtimas datan de hace 2 o 3 años. Es importante mencionar, que en octubre de 2011 fue descubierta otra variante muy parecida, la cual afectó a mas de 1 millón de páginas Web en todo el mundo.

La motivación aquí es muy diferente a los del primer caso, pues aquí lo que  se busca es comprometer la mayor cantidad posible de activos para obtener ganancias económicas a través de la renta y venta de acceso a redes zombi, enviar ataques de DDoS, romper contraseñas, robar de credenciales o identidades personales de forma  masiva.

Pocos son los que no se saben la ya famosa cantaleta de que existe todo un mercado negro cibernético de compra-venta de estos servicios y productos.

De acuerdo con una investigación de Panda Security, detalles de una tarjeta de crédito validada, con saldo disponible y autorización para compras en línea o vía PayPal, puede costar desde $10 hasta $1,500 dólares, dependiendo del limite de gastos de la tarjeta, mientras que la renta de una red de PC bots para envío de spam  empieza desde los $15 dólares por hora.

Como último vector existen los ataques dirigidos. Procesos altamente especializados donde la víctima es una persona o departamento de misión critica para la industria o gobierno. El robo de propiedad intelectual y secretos industriales es el principal objetivo detrás de estos ataques y se ha popularizado desde la aparición de armas cibernéticas como Stuxnet, responsable por la modificación de parámetros controladores en plantas nucleares y sus subsecuentes mutaciones como Duqu.

 

Los gobiernos han desatado una guerra con sus ejércitos cibernéticos de unos y ceros,  que buscan tomar control de infraestructuras críticas, realizar ataques masivos de DDoS contra de servicios primarios como luz, agua o Internet, espiar y sabotear las comunicaciones más importantes de cualquier estados soberano.

Es conocido que fuerzas militares como China o Israel cuentan con hackers dentro de sus filas de personal de inteligencia, que se encargan no solo de proteger hacia adentro, sino también de atacar y desarrollar operaciones sofisticadas de orden militar.

Incluso, se han registrado el surgimiento de fuerzas como el Pakistan Cyber Army o el Indian Cyber Army, que son grupos de hackers que se han adjudicado ataques como defacements a sitios contrarios. Desde el 2010, Estados Unidos declaró el ciberespacio como un activo nacional, el cambio le da la facultad al presidente de controlar y terminar todo acceso en caso de una emergencia, como un botón de pánico para apagar el Internet en el momento que una ciberamenaza se salga de control.

La conclusión después de conocer las cifras, de identificar las motivaciones, exponer las técnicas y posibles implicaciones de un ataque, es que la era de la ciber-guerra-crimen-espionaje-activismo es una que afecta a todos por igual, sin importar tamaño o sector de organización o gobierno. La pregunta que surge de este nuevo panorama es: ¿estamos aplicando las mejores prácticas para tratar con este riesgo latente? Se lo dejo de tarea.

Acerca de David

David Schekaiban se desarrolla como director Código Verde, coordinando el equipo de consultoría de seguridad informática, realizando pruebas de penetración y administración de equipos de respuesta a incidentes para organizaciones de distintos ámbitos a nivel Latinoamérica. Es egresado del ITESM Campus Monterrey de la carrera de ingeniero en Electrónica y Comunicaciones. Schekaiban cuenta con las certificaciones como Certified Information Systems Security Professional (CISSP) que emite ISC2. También cuenta con las certificaciones CISA y CISM de ISACA que lo acreditan como auditor de sistemas y gerente de seguridad, con un enfoque hacia la administración integral de sistemas de información.