Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad

Actualmente en los procesos de protección en ciberseguridad-privacidad se falla en mayor o menor grado en diversas áreas, por ejemplo: en sistemas y aplicaciones (casi siempre), en algoritmos y protocolos (a veces) y en ingeniería e implementación (a menudo). Según la norma ITU-T X.1205 la ciberseguridad se define como una colección de herramientas, políticas, conceptos de seguridad, salvaguardas/contramedidas, guías, enfoques de gestión de riesgos, acciones, adiestramiento, buenas prácticas, aseguramiento y tecnologías que se pueden utilizar para proteger el “entorno ciber” y los activos de la organización y del usuario. Los activos de la organización y del usuario incluyen dispositivos de computación conectados, personal, infraestructura, aplicaciones/APPs, servicios, sistemas de telecomunicaciones y la totalidad de la información transmitida y/o almacenada en el ‘entorno ciber’. La ciberseguridad se esfuerza para asegurar la consecución y mantenimiento de las propiedades de seguridad de los activos de la organización y del usuario contra los riesgos de seguridad relevantes en el “entorno ciber” (datos, metadatos, códigos, etc.).

Los objetivos de seguridad generales comprenden entre otros los siguientes: disponibilidad (que se correlaciona con la fiabilidad, accesibilidad, tolerancia a fallos-ataques, HA, fail-over, etc.), integridad (que puede incluir la autenticidad y el no repudio), la confidencialidad (punto en común entre los mundos ciberseguridad y privacidad). Desde otra óptica la ciberseguridad es la capacidad para controlar/regular el acceso a los sistemas en redes y a la información que contienen (datos estructurados y no estructurados, metadatos, códigos, etc.). La ciberseguridad opera con objetos-actores (personas, procesos, tecnologías como IPS, FW, DLP, DDP, docker/secdevops para el desarrollo de aplicaciones que buscan automatizar procesos, avatares, asistentes personales, drones, etc.), realiza acciones (previene, detecta, recupera, reacciona, desinforma-crea confusión, predice, analiza, disuade, investiga de forma ciber-forense, audita, realiza tests de penetración y de estrés, etc.) y lleva a cabo objetivos (confidencialidad, integridad, disponibilidad, trazabilidad (con servidores syslog, NTP, SIEM, SOC, etc.), autenticidad, autenticación, no repudio, protección anti-repetición, etc.) y todo ello lo aporta a la ciber-resiliencia (resistencia o capacidad para seguir operando a pesar de fallos, debilidades, ataques, deficiencias, obsolescencias, errores, etc.). El ciberespacio es un dominio global dentro del entorno de información que consta de redes interdependientes de infraestructuras de información, incluyendo Internet/IoE (IoT, IIoT, ecosistemas cloud-computing, fog-edge-computing), sistemas de computadores, procesadores y controladores embebidos, IOT, ICS, CPS, IT, OT, etc.

La ciber-resiliencia (término más reciente que la ciber-seguridad) se refiere a la capacidad o atributo de los sistemas, entidades, organizaciones, infraestructuras críticas (electricidad, agua, transportes, comunicaciones y servicios financieros), etc. para recuperarse o regenerar su rendimiento después de que un ciberataque produzca una degradación de su rendimiento, así mismo hace referencia a la capacidad para adaptarse a las condiciones cambiantes y prepararse para resistir y rápidamente recuperarse de las adversidades (NIST SP 800-160-vol2). Por su parte la ciberseguridad se refiere a los métodos, técnicas, procedimientos, tecnologías, procesos, medidas, etc. para proteger los sistemas, redes y datos electrónicos, incluyendo identificarlos y donde residen e implementar tecnologías y buenas prácticas para protegerlos. La ciber-resiliencia es un concepto más amplio ya que comprende la ciberseguridad y la resiliencia de las organizaciones y negocios. La ciber-resiliencia ayuda a las organizaciones/negocios a reconocer que los atacantes pueden tener éxito en sus intentos, obligando a éstas a pensar de forma diferente y ser más ágiles, no dejarse sorprender e innovadoras en la gestión de los ataques. La ciber-resiliencia presenta ciertas similitudes con la ciberseguridad, pero su objetivo es la capacidad de una organización para recuperarse rápidamente de los ciber-incidentes que trastornan las operaciones normales de negocio o industriales (IT/OT/ICS/CPS/IC).

La ciberseguridad se relaciona más con la defensa, el guardar, la precaución, las salvaguardas, etc. mientras que la ciber-resiliencia con la elasticidad, la rápida recuperación, la dureza, la plasticidad, la reversión, etc. La ciber-resiliencia es la capacidad para prepararse y planificar, absorber, recuperarse y adaptarse con más éxito a eventos adversos, así mismo puede verse como la capacidad para prepararse (significa predecir, anticiparse y planificar a las amenazas potenciales o generadores de estrés e identificar y monitorizar funciones críticas para los sistemas en riesgo), para adaptarse (significa cambiar el enfoque de gestión o ajustar las estrategias de respuesta con antelación a los eventos perturbadores y a las amenazas futuras, aprendiendo de las adversidades previas) para cambiar las condiciones, resistirse a (significa mantener las operaciones sin degradación del rendimiento o pérdida de funcionalidades bajo condiciones peligrosas) y para recuperarse (significa rebotarse o restaurarse desde un evento adverso todas las operaciones, rendimiento y funcionalidades) rápidamente de todo tipo de adversidades/ciber-ataques. Algunas técnicas de ciber-resiliencia son:

(1) Protección coordinada. Se trata de implementar una estrategia de defensa en profundidad desde el diseño, de modo que los atacantes tienen que superar múltiples obstáculos.

(2) Restricción de privilegios. Se trata de restringir los privilegios en base a los atributos/roles de los usuarios y elementos del sistema, así como a factores medioambientales.

(3) Redundancia. Se trata de proporcionar múltiples instancias protegidas de recursos críticos.

(4) Reorganización. Se trata de minimizar las conexiones entre los servicios de misión crítica y no crítica, de modo que se reduzca la probabilidad de que un fallo de los servicios no críticos pueda impactar en los servicios de misión crítica.

(5) Engaño. Se trata de desinformar, confundir, ocultar los activos críticos del atacante o exponer encubiertamente-subliminarmente activos contaminados-sin valor al atacante.

(6) Monitorización analítica. Se trata de monitorizar y detectar acciones y condiciones adversas a tiempo y de manera que se puedan tomar acciones.

(7) Respuesta adaptativa. Se trata de optimizar la capacidad de responder a tiempo y de manera apropiada-proporcionada.

(8) Diversificación. Se trata de utilizar heterogeneidad para minimizar fallos de modo común, en concreto ataques que explotan vulnerabilidades comunes.

(9) Utilizar modelos de organización-negocio evolucionados e innovadores que integren ecosistemas extendidos y tolerantes a fallos y adoptar comportamientos flexibles para hacer las cosas más seguras, se trata de construir bases sólidas para endurecer y proteger los activos de alto valor. Así mismo transformar, mejorar y modernizar la figura CISO que integre negocio-tecnología y un nivel de gobernanza-liderazgo satisfactorio.

(10) Impredecibilidad. Se trata de realizar cambios aleatoriamente e inesperadamente. Incrementar la incertidumbre del atacante en relación a las protecciones del sistema que puede encontrar, de modo que se haga más difícil determinar el curso apropiado de acción.

(11) Posicionamiento dinámico. Se trata de incrementar la capacidad para rápidamente recuperarse de un incidente no procedente de atacantes (por ejemplo, de acciones de la naturaleza) repartiendo y diversificando la distribución de red.

(12) No persistencia. Se trata de generar y retener recursos según se necesiten o por un tiempo limitado. Reducir la exposición a la corrupción, modificación o compromiso.

(13) Representación dinámica. Se trata de mantener la representación actual de la red. Mejorar el entendimiento de las dependencias entre los recursos “ciber” y “no ciber”. Revelar patrones o tendencias en el comportamiento del atacante.

(14) Segmentación. Se trata de definir y separar los elementos del sistema en base a su criticidad y confianza. Se usan VLANs, DMZs, sandboxing, contenedores, etc.

(15) Utilizar tecnologías de anticipación y defensas automatizadas basadas en IA, Big-data, machine learning, data-analytics, etc. Utilizar simulación entrenada de incidentes que mejora los test de presión para la resiliencia. Emplear datos e inteligencia de cara a la proactividad eficaz que permita “cazar” (buscar, perseguir, abatir) las amenazas, anomalías y toda actividad sospechosa-azarosa.

(16) Integridad probada. Se trata de determinar si los elementos del sistema críticos han sido corrompidos/suplantados. Utilizar para hardware tecnología PUF y para software y firmware tecnología de funciones hash, MAC, firma digital, FEC, backup, block-chain, etc.

Las defensas pasivas o estáticas son medidas tomadas para reducir la probabilidad y minimizar los efectos de daño causados por acciones hostiles sin la intención de tomar la iniciativa. Ejemplos son los firewalls, software anti-malware, procedimientos de copias de seguridad o backup y recuperación de las mismas vía el comando restore, control de acceso, auditorías estáticas, cifrado, esteganografía, firma digital (convencional, a ciegas, etc.), funciones hash/MAC, etc. Como, características generales: operan dentro del dominio de la custodia de la organización, reaccionan a intrusiones hostiles es decir reconocibles. Una herramienta de defensa pasiva serían los IDSs (HIDSs, NIDSs, AIDSs, etc.). Las defensas activas o dinámicas pueden ordenarse en categorías:

(i) Dentro del dominio de la organización: distraer y retardar al agente de intrusión (utilizando sistemas con IA, redes neuronales, deep-learning, machine-learning, basados en señuelos/cebo/disuasión, como honeypot, honeynets, DDP / Distributed Deception Platforms, uso de confinamientos, bloqueo, retención, cuarentena, aislamientos, compartimentación, perimetración, etc. utilizando tecnologías como sandboxing y trap-entity-man), engañar al agente de intrusión (utilizando ficheros o servidores con información sin importancia pero que parezca de gran valor para desinformación), re-encaminar o relanzar tráfico de cara al agente de intrusión, retardar respuesta al agente de intrusión, recoger información forense sobre el agente de intrusión para mejorar la ciberseguridad y ayudar a aplicar las leyes, permitir interacciones sólo con entidades en whitelist (partes, software, computadores, etc.), reconfigurar de forma dinámica y rápida las defensas y redes (firewalls, routers, switches, etc.). Algunas herramientas, de defensa activa serían los IPSs (HIPSs, NIPSs, AIPSs, DLP/Data Loss Prevention, auditorías dinámicas, pentest, etc.).

(ii) Cuestiones de política y legales relativamente limitadas: privacidad (el derecho a que toda entidad pueda controlar toda la información relativa a ellas), posible interferencia con el trabajo (control de versiones en gestión de configuración y desinformación y falsos positivos en detección de intrusiones, por ejemplo, usuario remoto legítimo). Aquí se situarían los cumplimientos en relación a leyes, normas, reglas, buenas prácticas/ISO27000-certificación ISO27001/ISO27002, regulaciones, etc. por ejemplo RGPD, PCI-DSS, SOX, etc.

Un troyano software es parte de un código en software legal, el comportamiento del troyano puede cambiar, el troyano puede ser añadido en un software vía red, una vez identificado (por un anti-malware) puede ser eliminado y añadido a una base de datos para identificarlo en el futuro. Los dropper de troyanos se encargan de instalar código malicioso en el computador de una victima, pueden incluir una broma o engaño para distraer a la víctima del propósito real del dropper, la instalación en segundo plano de código malicioso o adware o programas pornware. Los droppers se utilizan para transportar troyanos conocidos ya que es más fácil escribir un dropper que un nuevo troyano que los programas anti-malware no podrá detectar. La mayor parte de los droppers se escribe utilizando VBS o JavaScript por tanto fáciles de escribir y pueden utilizarse para realizar múltiples tareas.

Un troyano hardware es un fragmento de circuito electrónico que se inserta en un circuito integrado o en un circuito impreso o tarjeta madre legal (o en general en cualquier hardware), para que opere de forma incorrecta o maliciosa una vez insertado el comportamiento del troyano, en principio no puede cambiar (pero podría cambiar si se asocia a una circuitería de autómata de estados maliciosos), un circuito integrado es como una caja negra, consecuentemente, en principio un troyano no puede ser observado. Un troyano hardware simple podría ser colocarse a la salida de un módulo hardware de cifrado AES-256 en forma de un multiplexor de modo que sus entradas serían la salida del cifrador hardware AES-256 y la entrada de texto en claro al cifrador, si se selecciona el multiplexor o troyano se podría elegir sacar el texto cifrado o el texto en claro. Un troyano hardware puede clasificarse teniendo en cuenta diferentes criterios, por ejemplo:

(1) Fase de inserción: fase de especificación, fase de diseño, fase de fabricación, fase de testeo, fase de ensamblaje y empaquetamiento.

(2) Nivel de abstracción: nivel del sistema, entorno de desarrollo, puerta, registro-transferencia, física.

(3) Mecanismo o características de activación: activado internamente con disparador interno (siempre activo, basado en alguna condición como tiempo, basado en sensores como condiciones física temperatura, presión, campo magnético, nivel de radiación, humedad, etc.), activado externamente con disparado externo (utilizando antenas o sensores, un receptor inalámbrico incluso vía satélite, entrada del usuario, salida del componente).

(4) Efecto o características de acción: cambio de funcionalidad, degradación del rendimiento, fuga de información, modificar especificación o función, denegación de servicios abrupto o gradual, comportamiento malicioso intermitente o esporádico o continuado.

(5) Localización: procesador, memoria, E/S, alimentación eléctrica, reloj, etc.

(6) Características físicas: distribución, tamaño, tipo (funcional o paramétrico), estructura (mismo trazado/distribución, cambia el trazado). Por su parte, la obsolescencia programada puede implementarse utilizando troyanos hardware, por ejemplo, la batería de un móvil debe dejar de operar a los seis meses o debe explotar o debe dar un comportamiento caótico. Otro ejemplo sería un troyano software que se comporte de forma impredecible o uniforme estilo “bioritmos de un ser humano”, degradando más o menos y volviendo a un estado de no actuación-degradación de forma sutil, uniforme o abrupta. Un troyano hardware podría actuar sobre un vehículo conectado/autónomo y realizar actos maliciosos disparar airbags, frenar, cerrar ventanillas, bloquear dirección, etc. Como contramedidas a los troyanos hardware aplicar tecnología PUF que permite saber si un dispositivo hardware ha sido modificado (cambiado por otro, cambio de un circuito en la electrónica de un vehículo de transporte o bien si se ha cambiado una cámara de video-vigilancia por otra).

En el ciclo de vida de una amenaza avanzada (malware, ciber-arma, etc.) se pueden identificar diferentes fases:

1) Penetración-brecha. Infectar un único sistema de computación. Un ataque dirigido: USB, correo electrónico, algún proceso de actualización mal gestionado, una gestión de claves criptográficas deficiente, vulnerabilidades en diseño, configuración e implementación, etc.

2) Instalarse. Encuentra silenciosamente un objetivo correcto, se comunica (no demasiado) con un sistema C&C (Command and Control) externo para obtener las instrucciones y actualizar el código.

3) Actuar. Transfiere información confidencial al sistema C&C.

4) Si se ve cogida o detectada. Poner una semilla y desaparecer ocultándose. La semilla reaparece cierto tiempo después (segundos, días, semanas, meses, etc.).

En el ciclo de vida de un ciber-ataque moderno al igual que en el de una ciber-arma existen diversas etapas que pueden estar controladas o no por un atacante utilizando C&C (Command and Control), infiltración del malware dropper con RAT embebido, exfiltración de datos al sitio del atacante, etc. Las etapas son:

1) Reconocimiento externo. Aquí se pueden utilizar diferentes técnicas como, por ejemplo, el análisis de Redes Sociales, las conferencias, llamar al departamento de help-desk o al administrador, realizar un escaneo externo (p.e. vía exploradores/bots), comprar información y herramientas en el mercado negro y en la Web profunda, utilizar Google Hacking, etc.

2) Brecha: penetración, escalada de privilegios y confusión-ofuscación. Aquí se utilizan diversas técnicas como el phishing/spear-phishing, la explotación de vulnerabilidades, la ingeniería social (explotando miedos, avaricia, lujuria, egoísmo, poder, etc.), utilizar una unidad USB infectada (pen-drive, etc.), emplear credenciales comprometidas (username/login y contraseña), ficheros auto-run, proceso de inyección (se trata de ejecutar otro procedimiento como un hilo malicioso dentro de otro proceso; de este modo se puede realizar la evasión, leer la memoria de procesos del host y afectar el comportamiento de procesos del host. El proceso inyector malicioso se mete entre los hilos dando lugar a un proceso infectado en la víctima esto permite enviar datos al sitio del atacante), etc.

3) C&C: Operación y exfiltración. Utilizar http legítimo, emplear peticiones DNS legítimas, usar TOR, fust-flux, comentarios en Facebook, Twitter, Youtube, utilizar DGA (Domain Generation Algorithm). Los servidores C&C regulares pueden ser filtrados por firewall y por blacklists, DGA esta generando una lista diaria de dominios (miles de dominios). El malware intenta resolver cada uno de dichos dominios aleatorios. El ataque (quien creó el algoritmo) sabe que dominios serán generados. Una vez que se bloquea un cierto dominio C&C, el atacante puede seleccionar uno de los dominios generados diariamente, registrarse y continuar con sus actividades maliciosas.

4) Reconocimiento interno. Se utilizan técnicas de escaneo de ARP, escaneo de SYN (en busca de sesiones medio abiertas), escaneo de FYN, escaneo de puertos (p.e. vía Nmap), etc. En el escaneo de puertos se buscan servicios que están utilizando puertos para comunicarse como http, el 80, DNS, el 53, versión del sistema operativo, etc. Cuando un atacante obtiene una posición en un computador, necesita moverse a lo largo de la organización. El atacante escanea la subred para encontrar servicios explotables y expuestos en otros computadores y plataformas. Una vez que se encuentra un puerto abierto, ocurren explotaciones adicionales.

5) Despliegue y distribución: movimiento lateral, herramientas legítimas utilizadas maliciosamente. Se utilizan diferentes técnicas como pasar el hash/ticket, se emplean shares, etc. PSExec es una herramienta legítima de Microsoft, comúnmente utilizado por profesionales de IT, permite ejecutar un proceso en una máquina remota de forma interactiva. Los atacantes utilizan esta técnica para desplegar su malware a través de toda la red. Seguidamente se realizan daños y autodestrucción del ataque para no dejar rastros (borrar logs, registros de auditoría, backups, imágenes, etc.). En una situación de no infección el proceso de paso de tickets si la máquina de usuario no tiene malware es el siguiente: primero envía una petición tgt al controlador de dominio, este responde con un tgt firmado, la máquina sin malware realiza la autenticación con éxito, seguidamente envía el tgt actual junto con una petición tgs al controlador de dominio, éste responde con el tgs, seguidamente el computador sin malware envía al servidor de aplicaciones el tgs actual como identificación y éste responde con acceso concedido. Una situación de movimiento lateral se da si existe infección en la máquina de la víctima, el proceso de paso de tickets en este caso si la máquina de usuario tiene malware es el siguiente: primero envía una petición tgt al controlador de dominio, este responde con un tgt firmado, la máquina con malware realiza la autenticación con éxito y roba enviando a la máquina del atacante el tgt, seguidamente la máquina del atacante envía al controlador de dominio el tgt actual y la petición tgs, el controlador de dominio responde a la máquina del atacante el tgs, seguidamente la máquina del atacante envía el tgs actual como identificador al servidor de aplicaciones y éste responde con acceso concedido.

6) Etapas finales: Recogida de datos, Exfiltración de datos, Generación de daños (Revelación de datos, corrupción información, robo servicios, denegación de servicios, etc.), Autodestrucción a bajo nivel sin dejar evidencias forenses.

Las vulnerabilidades pueden clasificarse en diversas categorías:

(1) Vulnerabilidades físicas. Frente al fuego, inundación, negligencia, robo/hurto, terminales saboteados, no redundancia, etc.

(2) Interpretación incorrecta. Procedimientos definidos muy pobremente, error de empleados, personal insuficiente, gestión inadecuada, cumplimiento y aplicación inadecuada, etc.

(3) Problemas de codificación. Ignorancia, poca concienciación y formación en ciberseguridad, requisitos definidos pobremente, software defectuoso y no auditado ni depurado su código, comunicación no protegida (confidencialidad/integridad/privacidad), etc.

(4) Comportamiento. Empleados disgustados y enfadados, procesos no controlados, diseño de red muy pobre, equipos configurados incorrectamente, etc.

Los controles, salvaguardas y contramedidas contra los ciber-riesgos se pueden clasificar en diferentes categorías:

1) Controles preventivos y de resiliencia. Operan antes, durante y después de un evento de ciberseguridad. Previenen fraudes, fuga de datos, trastornos, denegación de servicios, hacen resistente el sistema frente a ataques, etc. Aquí se incluyen: controles físicos, software de cifrado y firma digital, emplear sólo personal cualificado, usar procedimientos bien diseñados, control de acceso al software y hardware, verificaciones de edición programados, sistemas de detección y prevención de intrusiones (IDS/IPS), prevención de fuga de datos (DLP), mecanismos de trazabilidad con gestión adecuada de evidencias, SIEM, IAM, SOC, etc.

2) Controles de investigación o de tipo detective. Operan después del instante del evento de ciberseguridad. Se trata de encontrar el fraude o problema cuando ocurra. Se incluyen: MAC, firma, hash (obligatorio SHA512), punto de comprobación, comprobaciones duplicadas, mensajes de error, informes sobre cuentas de usuarios (p.e. eliminar cuentas huérfanas), revisar los logs de actividad. Mecanismos forenses para ciberseguridad resistentes a mecanismos anti-forenses.

3) Controles correctivos. Operan después de los controles del tipo detective, resuelven problemas y previenen problemas futuros. Aquí se incluye: recuperación de copias de seguridad y procedimientos de backups, re-ejecuciones, planificación de contingencias, etc.

Algunas de las tecnologías que deben aplicarse en una defensa multidimensional contra las ciber-armas de cara a hacer frente a posibles riesgos y amenazas avanzadas no convencionales son:

1) Disuadir, engañar, confundir, desinformar, etc. Utilizando plataformas distribuidas de engaño o DDP, sistemas señuelos y plataformas-herramientas de cebo como honeypots y honeynets, generadores de mensajes erróneos para equivocar, etc. Este tipo de contramedidas también sirve para detectar ya que ralentiza la actividad del atacante y también como mecanismo de trazabilidad e investigación forense para extraer datos y metadatos del atacante.

2) Predecir. Se trata de averiguar con anticipación posibles trazas de intentos de intrusión o funcionamiento malicioso.

3) Identificar. Aquí se integran tecnologías como valoración, análisis y gestión de riesgos, gestión de activos, gobernanza de riesgos, etc.

4) Proteger. Aquí se incluyen tecnologías como control de acceso, tecnologías de protección como firewall, IPS, DLP, AV, búsqueda de la causa raíz, concienciación y formación, seguridad y protección de datos, políticas de seguridad, generación de procesos de protección Web, protección anti-malware en USB, cifrado, hash, MAC, firma, etc.

5) Detectar. Aquí se integran tecnologías como detección de anomalías y eventos, detección de procesos y cuentas huérfanas, monitorización continuada, DDP, DLP, IDS/HIDS/AIDS/NIDS, detección de vulnerabilidades (debilidades, bugs, deficiencias, incorrecciones, no validaciones, etc.) y amenazas (malware, APTs/ARTs, etc. Permite buscar y detectar la causa raíz, etc.

6) Responder. Aquí se incluyen tecnologías como planificación de respuestas en comunicaciones/procesamientos, reconfiguración de firewalls, mitigación y análisis. Aquí se incluye el hack-back (ilegal).

7) Recuperar. Aquí se incluyen tecnologías como planificación de recuperación, tecnologías de remedios, hotsites y coldsites, recuperación de copias de seguridad o backup, recuperar secretos de la fragmentación en múltiples fragmentos por key-escrow o interpolación de Lagrange con polinomios de fragmentación Shamir.

Un vector de ataque se define como un camino por el cual un atacante puede ganar acceso a un computador, esta definición incluye vulnerabilidades ya que puede necesitar varias vulnerabilidades para lanzar un ataque. Algunas vulnerabilidades o vectores de ataque utilizados para los ataques son:

1) Mala configuración. Un atacante puede utilizar un fallo en la configuración dentro de una aplicación concreta para ganar acceso a una red o computador personal para causar una gran variedad de ataques. Los settings que son incorrectamente configurados normalmente los settings por defecto son un objetivo fácil para un atacante lo explote.

2) Fallos del kernel del sistema operativo. Un atacante puede utilizar un fallo en el kernel dentro del sistema operativo que es el código del núcleo del sistema operativo para ganar ciertos privilegios para explotar una vulnerabilidad dentro del sistema operativo.

3) Buffer-overflow (stack o heap). Es causado cuando un trozo de código no comprueba adecuadamente la longitud apropiada de la entrada y el valor de la entrada no es el tamaño que espera el programa. Cuando un buffer con comprobación deficiente o nula se carga con datos suministrados por el usuario. Un ataque puede explotar una vulnerabilidad de desbordamiento de buffer (o buffer overflow) lo que conduce a una explotación posible de ejecución de código arbitrario, a menudo de privilegios del nivel administrador con la ejecución del programa. El buffer overflow puede ocurrir en ambos pila y localizaciones de la memoria heap. Un buffer overflow suele utilizarse en la mayoría de los ataques. Un buffer overflow heap ocurre en el área de datos heap que es dinámicamente asignado por la aplicación que se ejecuta.

4) Validación de entradas insuficiente. Un programa falla al validar la entrada enviada al programa desde un usuario. Un atacante puede explotar una vulnerabilidad de validación de entrada insuficiente e inyectar código arbitrario que normalmente ocurre dentro de aplicaciones Web, por ejemplo, SQLi/SQL injection.

5) Enlaces simbólicos. Se refiere a un fichero que señala a otro fichero. Un atacante puede explotar una vulnerabilidad de link simbólico para señalar a un fichero destino para el que un proceso de sistema operativo tiene permisos de escritura.

6) Descriptor de fichero. Un fichero utiliza números de un sistema para seguir la pista de los ficheros en contraposición a los nombres de ficheros. La explotación de una vulnerabilidad de descriptor de fichero permite a un atacante la posibilidad de ganar privilegios elevados para programar ficheros relacionados.

7) Fallos en el diseño. Ocurren en el propio diseño que no ha sido auditado adecuadamente.

8) Race condition. Ocurre cuando un programa intenta ejecutar un proceso y el objeto cambia concurrentemente entre referencias repetidas permitiendo que un atacante gane privilegios elevados mientras un programa o proceso esta en modo privilegiado.

9) Permisos incorrectos de fichero / directorio. Un permiso incorrecto asociado a un fichero o directorio da lugar a no asignar apropiadamente procesos y usuarios. El explotar esta vulnerabilidad puede permitir que ocurra una multitud de ataques

10) Ingeniería social. El proceso de utilizar interacciones sociales para adquirir información sobre una víctima o sistema de computación. Estos tipos de ataques proporcionan alternativas rápidas para descubrir información para ayudar a un ataque que en circunstancias normales no pueden estar disponibles.

11) Spear Phishing. Por ejemplo, se utiliza en RAT Shady.

Algunas estrategias para prevenir que un dropper (malware) acceda a su dispositivo de computación:

1) Desde sitios Web. Si no se esta seguro de la reputación de algún sitio Web donde se nos pide la instalación de un cierto software, abandone el sitio e investigue el referido software. Si esta limpio y es correcto (vía exploración anti-malware) vuelva al sitio Web e instálelo. Si no es correcto evítese una infección por malware.

2) Desde correos electrónicos. No confiar en nada asociado a los correos electrónicos spam ya que pueden ir asociados con malware (concepto de mspam). No pulsar en links o abrir ficheros adjuntos que transporte, no instalar nada que este tipo de correos para evitar infectarse por malware.

3) Desde medios físicos. No conecte en su dispositivo de computación pendrives USB (discos o drive flash) que pueden llevar ficheros infectados procedentes de amigos, familia, empresas de actualización del software. Se debe escáner primero y si no se esta seguro no aceptar dichos ficheros.

4) Desde ventanas emergentes o pop-up. Algunas ventanas emergentes o boxes intentarán acorralarle para que descargue algún tipo de software o acepte un escaneo del sistema de algún tipo, por ejemplo, con un antivirus contaminado. Frecuentemente se emplean tácticas sutiles para hacerle creer que necesita lo que le ofrecen para estar a salvo. Lo que se debe hacer es cerrar la ventana emergente sin hacer clic en nada que se encuentre en dicha pantalla (botones aceptar, cerrar, abandonar e incluso la X de la esquina superior). Se debe cerrar la pantalla utilizando el Windows Task Manager presionando Ctrl-Alt-Delete y por ejemplo cerrando sesión.

5) Desde otro fragmento de software. Algunos programas intentan instalar malware como una parte de su propio proceso de instalación. Cuando instale software, ponga atención de los message boxes antes de hacer clic en OK, Next o I Agree. Escanee el acuerdo de usuario en busca de algo que sugiera malware, ya que ser una parte de la instalación. Si no se esta seguro, cancelar la instalación comprobar el programa y ejecutar de nuevo la instalación si se determina con un antimalware que es seguro.

Para poder hacer frente a amenazas avanzadas y ciber-armas es necesario desplegar arquitecturas sofisticadas de defensa en profundidad que fomenten el aseguramiento de la información y la resiliencia:

1) Disponibilidad. Cualquier usuario o entidad de un dispositivo o el propio dispositivo debe ser capaz de poder acceder a los servicios, independientemente del lugar y hora cuando lo necesite y a tiempo para ello debe contar con mecanismos de redundancia. Según el tipo de sistema tendrá diferentes requisitos de disponibilidad, por ejemplo, un sistema de monitorización de incendios o de salud en un hospital tendrá mayores necesidades de disponibilidad que un módulo de sensores de contaminación en una autopista. El propósito de la disponibilidad es que los datos/recursos se encuentren accesibles cuando se les necesite. Entre las amenazas a la disponibilidad la corrupción o borrado de datos, la DoS/DDoS, el cifrado o esteganografía ilegal de datos (sería en caso de las amenazas del tipo ransomware como WannaCry, NotPetya, Cryptolocker, Locky, Petya, etc.), el actuar maliciosamente contra la alimentación eléctrica, etc. Como métodos de protección utilizar redundancia y copias de seguridad/backups, utilizar entornos robustos y resilientes (frente a cuestiones de alimentación eléctrica (SAI, grupos electrógenos con filtros anti-picos maliciosos), frente a problemas de comunicación, inhibidores de RF, frente a fallos del sistema), etc.

2) Autenticación, autenticidad y autorización. La autenticación puede ser dispositivo a dispositivo (M2M), humano a dispositivo y humano a humano. La autenticación es el proceso de probar que una entidad es quien dice ser. Puede ser simple de cliente a un validador-servidor o puede ser mutua donde ambos extremos se autentican mutuamente de esta forma se impide el phishing. La autenticación puede ser multi-factor (lo que uno sabe, lo que uno tiene-lleva, lo que uno es-biometría fisiológica o de comportamiento, donde esta uno, que hora y fecha es, recibir una segunda contraseña por SMS, correo electrónico, etc.). La autenticación puede ser sin revelar la contraseña utilizando tecnología ZK. La autorización permite que sólo las entidades autenticadas puedan realizar ciertas operaciones (privilegios, derechos de acceso, etc. como leer, escribir, ejecutar, borrar, cerrar, ordenar, abrir, disparar, etc.) en un sistema, red, ecosistema, etc. El propósito de la autenticidad es mantener auténticos los datos, en el mismo estado en que fueron creados, almacenados o transferidos. Entre las amenazas a la autenticidad modificar los datos en todas sus formas incluidos sus metadatos. Como métodos de protección backups, hash, MACs, etc.

3) Posesión. El propósito de la posesión es que los datos sean propiedad o se encuentren controlados por un usuario correcto. Entre las amenazas a la posesión robar datos, quitar los datos de un entorno seguro. Como métodos de protección utilizar seguridad física, control de acceso, sandboxing, VLANs, etc.

4) Integridad. Permite saber si algo se ha modificado (software o hardware), por ejemplo, un sistema de monitorización de clientes tendrá un elevado nivel de comprobación de integridad frente a errores aleatorios debido a la sensibilidad de la información. La pérdida o modificación de los datos puede ocurrir debido a la comunicación en presencia de interferencias, la pérdida o manipulación de datos puede ocurrir debido a la comunicación y potencialmente puede causar pérdida de vidas humanas. El propósito de la integridad es detectar-prevenir que los datos sean manipulados de una manera no autorizada. Entre las amenazas a la integridad alterar los datos para invertir su significado o para altera el resultado de las decisiones basadas en dichos datos. Como métodos de protección utilizar la firma digital, los hashes anidados, los MACS, los backups, los mecanismos de corrección de errores FEC de elevadísima distancia Hamming, etc.

5) Trazabilidad. Añade redundancia y responsabilidad de ciertas acciones, obligaciones y planificación de la implementación de políticas de seguridad de red. La trazabilidad no se puede parar ante los ataques y es útil para que otras técnicas de seguridad operen adecuadamente. Las cuestiones de seguridad de núcleo como integridad y confidencialidad pueden no ser útiles si no están sujetas a la trazabilidad. En caso de repudio de incidentes una entidad debería trazar sus acciones a través de un proceso de trazabilidad que puede ser útil para comprobar la historia de dentro de lo que sucede y quien de hecho es el responsable del incidente de seguridad.

6) Auditoría. Permite una evaluación sistemática de la seguridad de un dispositivo, servicio u organización midiendo el cumplimiento a un conjunto de criterios establecidos. Debido a muchos bugs y vulnerabilidades en muchos sistemas la auditoría de seguridad desempeña un rol importante a la hora de determinar cualquier debilidad explotable que ponga en riesgo a los datos. La auditoría depende del valor de las aplicaciones y datos. Se correlaciona con pen-test.

7) Precisión. El propósito de la precisión es que los datos se encuentren sin errores y fallos. Entre las amenazas a la precisión la modificación de los datos/metadatos en todas sus formas. Como métodos de protección utilizar hash, MACs como SHA512, backups, fragmentación de secretos Shamir o key-escrow, etc.

8) Confidencialidad. En aquellos escenarios y ecosistemas donde los datos son sensibles, dicha información no debe revelarse o leerse por parte de entidades no autorizadas (los atacantes utilizan sniffers, keyloggers, creepware, Webcams, cámaras de video-vigilancia, CCTV, visión desde satélites, drones, micrófonos escondidos o a distancia, etc.). Por ejemplo, los datos de un paciente, los datos de negocios privados, datos militares, las credenciales-contraseñas de seguridad, las claves criptográficas secretas, etc. deben ocultarse de entidades no autorizadas utilizando cifrado simétrico, asimétrico, esteganografía, fragmentación de secretos, etc. El propósito de la confidencialidad es ocultar los datos de quienes no deberían verlos. Entre las amenazas a la confidencialidad revelar la información y el análisis de tráfico cifrado. Como métodos de protección utilizar el cifrado simétrico y asimétrico, los controles de acceso, tecnología Tempest, etc. Algunas técnicas de monitorización utilizables en el ciberespacio son: clickstream (registra información sobre un usuario durante una sesión de navegación Web como los sitios Web visitados, el tiempo de la visita, qué anuncios visitó, que colores de botones pulsó, que compró, etc.), Web log (consta de una línea de información por cada visitante a un sitio Web y se almacena en un servidor Web), adware (software que genera anuncios que se instalan en un computador cuando un individuo descarga algún otro programa de Internet), key-logger/key-trapper de tipo software (un programa que registra cada pulsación de tecla y click de ratón, p.e. para robar contraseñas), spyware/sneakware/stealthware (software que se oculta en un software descargable y realiza funciones de trazabilidad siguiendo la pista de nuestros movimientos online, mina la información almacenada en un computador o utiliza la CPU y memoria del computador para realizar en segundo plano alguna tarea que el usuario desconoce, por ejemplo minar cripto-monedas de forma ilegal), key-logger de tipo hardware (dispositivo hardware que captura las pulsaciones del teclado en su camino del teclado a la tarjeta madre del computador), cookie (pequeño fichero que lo deposita en el disco duro el sitio Web que contiene información sobre el usuario y sus actividades en la Web. Las cookies permiten a los sitios Web registrar la llegada y salida de los usuarios, normalmente sin su conocimiento o consentimiento a pesar de que existe legislación que lo prohibe).

9) Utilidad. El propósito de la utilidad es que los datos tengan valor para algún propósito o fin. Entre las amenazas a la utilidad la modificación de los datos en todas sus formas. Como métodos de protección utilizar hash, MACs, firmas, backups, etc.

10) No repudio. Es una propiedad o característica que produce evidencias en casos donde el usuario o dispositivo no puede negar una acción realizada. Por ejemplo, negar el envío o recepción de un mensaje, en los sistemas de pago los usuarios o proveedores no deben negar una acción de pago.

11) Privacidad (de lo que se hace, de las identidades de las entidades que interactúan, de la geolocalización, de los contenidos, de los instantes de tiempo en que ocurren, de los tamaños de los mensajes que se intercambian, etc.). Es un derecho de las entidades para determinar el grado al que interactuarán con su entorno y con que extensión la entidad desea compartir información sobre ella con otras entidades. Los principales objetivos de la privacidad son: (i) Privacidad en los dispositivos. Depende de la privacidad física y de las comunicaciones. La información sensible puede fugarse fuera del dispositivo en caso de robo/hurto o pérdida del dispositivo y debe haber resiliencia a los ataques side-channel como, por ejemplo, los de análisis de emanaciones EM. (ii) Privacidad durante las comunicaciones. Depende de la disponibilidad del dispositivo y de la integridad y fiabilidad del dispositivo. Los dispositivos sólo deberían comunicar cuando exista necesidad para minimizar la revelación de la privacidad de datos durante las comunicaciones. Se utiliza el cifrado, la esteganografía, la fragmentación de secretos, etc. (iii) Privacidad en los almacenamientos. Para proteger la privacidad de los datos almacenados en dispositivos, se podrían utilizar diferentes técnicas: (a) Posibles cantidades de datos necesarios se deberían guardar en los dispositivos a prueba de ataques de infiltración. (b) La regulación debe extenderse para proporcionar protección de los datos de usuario después de la vida del dispositivo final (borrado de los datos del dispositivo si el dispositivo se roba, se pierde o no esta en uso. (iv) Privacidad en los procesamientos. Depende de la integridad del dispositivo y la comunicación. Los datos no deberían ser revelados o retenidos por terceras partes sin el consentimiento del propietario de los datos. (v) Privacidad de la identidad. La identidad de cualquier dispositivo sólo debería ser descubierta por entidades autorizadas (humanas y dispositivos). (vi) Privacidad de la localización geográfica indoor y outdoor. La posición geográfica (mediante GPS/Glonass/Galileo, visión por satélites) y la posición dentro de un edificio (vía i-Beacons vía Bluetooth, RFID/NFC, etc.) de dispositivos relevantes sólo debería descubrirse por parte de entidades autorizadas (humanas y dispositivos).

Hoy en día la ciberseguridad-privacidad debe defenderse-luchar contra enemigos cada vez más sofisticados donde las amenazas van siendo cada vez más avanzadas, el entorno va siendo más desfavorable (ciber-armas, estrategias de ataque delictivas, basadas en APTs, ARTs, inteligencia artificial, etc.). Las ciber-armas (se correlacionan con las amenazas avanzadas malware multi 0-day, troyanos, RATs, gusanos, ransomware, spyware, etc.) son objetos o herramientas e incluso agentes estáticos/móviles, sus objetivos son muy diversos (económicos, políticos, paramilitares, de inteligencia, de caos, etc.) y persiguen (hacer daño físico, daño funcional, daño medio-ambiental, daño mental, daño de reputación, interrumpir, degradar, crear caos, espiar, etc.).

Según el informe Cisco Security Research, en octubre del 2017, el 50% del tráfico global Web se encuentra cifrado, esto representa doce puntos de incremento en volumen desde noviembre del 2016 lo cual supone una dificultad creciente para los defensores que deben hacer frente a un volumen mayor de tráfico malicioso cifrado. Algunos de los estándares y buenas prácticas utilizados en ciberseguridad son: ISO 7498-2 mecanismos y servicios de seguridad, ISO-17799 gestión de la seguridad, ISO 10181-3 control de acceso, ISO 10181-2 autenticación, NIST 800-27 política de seguridad, IEEE 1619 protección criptográfica de dispositivos de almacenamiento, NIST SP-800-53 funciones para organizar las actividades de ciberseguridad, ISO 21002, código de buenas prácticas para el control de la seguridad de información, IEEE 1667 autenticación y autorización de dispositivos de memoria, IPsec del IETF, etc.

Fotos: Freepik.

La ciberseguridad se relaciona más con la defensa, el guardar, la precaución, las salvaguardas, etc. mientras que la ciber-resiliencia con la elasticidad, la rápida recuperación, la dureza, la plasticidad, la reversión, etc

Referencias

• Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2018.
• Areitio, J. ‘Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo’. Revista Eurofach Electrónica. Nº 463. Pp. 54-62. Abril 2018.
• Areitio, J. ‘Análisis del paradigma Big Data desde la perspectiva de la ciberseguridad’. Revista Eurofach Electrónica. Nº 428. Abril 2014.
• Areitio, J. ‘Protección contra ciber-ataques en la IoE basada en la tipificación de vulnerabilidades’. Revista Eurofach Electrónica. Nº 454. Noviembre 2016.
• Areitio, J. ‘Estrategias, enfoques y tácticas de protección para la Industria 4.0 en ciber-seguridad’. Revista Eurofach Electrónica. Nº 456. Febrero 2017.
• Diogenes, Y. and Ozkaya, E. ‘Cybersecurity-Attack and Defense Strategies. Infrastructure Security with Red Team and Blue Team tacticts’. Packt Publishing. 2018.
• URL guía de cumplimiento ISO-27002: https://www.rapid7.com/docs/ISO-27002-Compliance-Guide.pdf
• Rohmeyer, P. and Bayuk, J.L. “Financial Cybersecurity Risk Management: Leadership Perspectives and Guidance for Systems and Institutions”. Apress. 2019.
• Stengel, J.’Security Pyramid: They could be in your network right now, don`t be left vulnerable’. JSCM Group, LLC. 2018.
• Landau, S. “Listening In: Cybersecurity in an Insecure Age”. Yale University Press. 2019.
• URL acceso al IEEE: https://ieeexplore.ieee.org/
• Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
• URL acceso al NIST: https://www.nist.gov/sites/default/files/documents/itl/
• Chang, C-H and Potkonjak, M. 'Secure Systems Design and Trustable Computing'. Springer. 2015
• Colbert, E.J.M. and Kott, A. “Cyber-Security of Scada and Other Industrial Control Systems”. Springer. 2016.
• Scharre, P. ‘Army of None: Autonomous Weapons and the Future War’. W.W. Norton & Company. 2018. Springer, P.J. ‘Encyclopedia of Cyber War’. ABC-CLIO. 2017.
• Zetter, K. ‘Countdown To Zero Day: Stuxnet and the Launch od the World`s First Digital Weapon’. Broadway Books. 2015.
• Westcott, S. and Riescher Westcott, J. ‘Cybersecurity: An Introduction’. Mercury Learning & Information. 2019.
• Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.Bone, J. ‘Cognitive Hack: The New Battleground in Cybersecurity … the Human Mind’. Auerbach Publications. 2017.