jueves, 17 de octubre de 2013

Ciberataque, anatomía de un delito electrónico

altEn la medida que las amenazas se incrementan en número y gravedad, los delitos cibernéticos mejoran su posicionamiento en Internet. Una descripción minuciosa nos orientará para entender la problemática actual. Podemos esbozar los pasos que utiliza un ciberdelincuente para atacar su información.

por Osvaldo Callegari*

Su principal meta es encontrar vulnerabilidades a través del reconocimiento, penetración real de la red en modo de intrusión.  Insertar malware y borrar todas las pistas de su posición o estadía.-

El malware se introduce en su red de varias formas, en algunos casos simple y en otros de extrema peligrosidad. Su rango va desde lanzamiento de publicidad (ventas y promoción de artículos) hasta ataques potencialmente desvastadores afectando la totalidad de una infraestructura.

Dentro de soluciones integrales analizamos un producto de Dell, SonicWall (empresa recientemente adquirida), el cual esta pensado para hacer frente a todas las etapas de los ataques cibernéticos y eliminar todo tipo de malware que este afectando la informática de su empresa.

Fases de un ciberataque
1. Reconocimiento
El objetivo del reconocimiento es aprender acerca de las vulnerabilidades de la red dirigida y sistemas, incluyendo credenciales, versiones de software y configuraciones de inicio del sistema.

2. Enumeración
El segundo paso en cualquier tipo de ciberataque es la enumeración que subrepticiamente se expande obteniendo el reconocimiento de los datos. Servicio de exploración y marcación de archivos  son muy populares durante la fase de enumeración.

3. Recopilación

Uno de los métodos para la recopilación de esta información es a través de la ingeniería social, que engaña a los usuarios finales al entregar información privada. Están a  menudo perpetrados por phishing (correo electrónico fraudulento), pharming (sitios web fraudulentos) y drive-by pharming (Configuración  y redirección de DNS en puntos de acceso inalámbrico).


4. Guerra del discado
La guerra del discado implica el uso de un sistema automatizado para llamar a cada uno de los números de teléfono pertenecientes a una empresa con la esperanza de encontrar un módem que puede proporcionar acceso directo a los recursos internos de la empresa.

5. Intrusión y ataques avanzados
Una vez que los atacantes han identificado vulnerabilidades conocidas y correlacionadas, pueden aprovecharlas para penetrar en la red.

Aún más peligrosos son los sofisticados "día cero", ataques que explotan las debilidades de software,  que aunque no son públicamente divulgados, pudieran haber sido distribuidos en el mercado negro entre los atacantes, que comprenden desde delitos menores a las pandillas criminales transnacionales organizadas.

6. Denegación de Servicio (Negación de Servicio)
Es otra forma avanzada de intrusión maliciosa, denegación de servicio (DoS), cuyo objetivo es hacer que las redes queden inoperantes mediante el bombardeo de solicitudes o peticiones de comunicación externos.

Dentro de los que se incluyen ataques de denegación Smurf, ataques de inundación de ping SYN Flood y ataques de ping de la muerte Ping of death.

7. Inserción de Malware
Tras infiltrarse en una red, el siguiente paso en un ataque es insertar malware de forma secreta para mantener un control permanente sobre los sistemas a distancia y  finalmente ejecutar el código dentro de la red para lograr un objetivo particular.  Una vez inserto, el malware puede ser una molestia (por ejemplo, la comercialización de pistas de audio), controlador (proporcionar la puerta de acceso o control remoto) o destructivo (para causar daño o para cubrir las huellas del atacante).

Tipos de malware
Nuisance
Algunos tipos de malware no son excesivamente maliciosos por naturaleza, pero pueden causar molestias, afectar el rendimiento del sistema y la productividad.

Spyware
Utilizado para recoger información sensible y regresar de nuevo a su distribuidor, también puede ser una molestia importante, por lo general infectar navegadores web haciéndolos casi inoperable.
El spyware es a menudo utilizado para fines de marketing engañoso, como la actividad de seguimiento del usuario sin su conocimiento.
 
Adware
Como su nombre indica, se utiliza típicamente para difundir anuncios, proporcionando algún tipo de beneficio económico para el atacante.

 Después de ser infectado por el adware, la víctima es continuamente bombardeada por pop-ups (Ventanas emergentes), barras de herramientas y otros tipos de anuncios al momento de utilizar el equipo infectado, navegar por ejemplo.

Dentro de las molestias se pueden visualizar publicidades farmacéuticas, concursos o el clásico “Gane dinero con poco”.

Malware Control
Los demás códigos de malware funcionan a la espera de emitir controles o ejecutar ataques. Troyanos-ejecutable código incrustado en algunos casos (por lo general de uso común)  dentro de las aplicaciones están a menudo diseñados para ser lanzado por un usuario de confianza sin que lo sepa.  Troyanos de acceso remoto (RAT) crean nuevas puertas de acceso para control remoto.

RootKits, los hemos mencionado en artículos anteriores, son por demás insidiosos, se esconden en bajo nivel, utilizan los recursos del sistema operativo para proporcionar al atacante acceso a la red sin restricciones, pueden pasar desapercibidos de los antivirus convencionales, lo que dificulta la posibilidad de erradicarlos.

Los Troyanos y rootkits realizan a menudo la creación de zombies, los cuales realizan ataques a otros equipos en forma de botnet.

Malware destructivo
Por lo general diseñados para infligir daño, los virus informáticos pueden purgar un disco duro entero, haciendo inútiles los datos en cuestión de segundos. Comúnmente se propagan a través de archivos compartidos, descargas de Internet o archivos adjuntos de correo electrónico, los virus deben ejecutarse en el sistema de destino antes de que realmente supongan una amenaza. Una vez activados se reproducen en todo el sistema infectado.

Su objetivo: Buscar y destruir  archivos específicos o partes del disco duro.

A diferencia de los virus, los gusanos pueden propagarse a través de redes sin activación del usuario. Una vez infectado por un gusano, el sistema comprometido comienza a rastrear la red local en un intento de localizar a otros sistemas de destino. Después de localizar un objetivo, el gusano explota vulnerabilidades en su sistema operativo, inyectándolo con código malicioso.

Aunque a veces es visto como una molestia, los gusanos también pueden propagar otro malware e infligir daño.

Clean-up (Etapa final)
La etapa final del ciclo de ataque es librar al sistema infectado de pruebas forenses. Un elemento proactivo para este paso es para los atacantes de ser lo más discreto posible en los pasos anteriores.

Por ejemplo, un atacante puede requisar las credenciales de un usuario de la red de confianza sin hacer sonar las alarmas por acceder a los sistemas de destino o utilizar aplicaciones comunes, como la mensajería instantánea, para insertar archivos maliciosos o extraer información.

El objetivo principal de este paso es borrar cualquier rastro del ataque del sistema.

Esto se puede hacer mediante la supresión manual, automatización de línea de comandos o registros de eventos, la desactivación de alarmas y la actualización o revisión de software obsoleto después del ataque se ha logrado.

Además, los hackers y ladrones cibernéticos suelen dar rienda suelta a los virus y gusanos para destruir potencialmente pruebas incriminatorias.

Un criminal experto puede comprometer su red sin que usted lo sepa.

SonicWALL ofrece una línea completa de defensas contra todas las formas de ataque cibernético y malware.

Dentro de las funciones principales podemos citar:

* Reensamblado de Inspección Profunda de Paquetes ® (RFDPI)

* La tecnología multicore de arquitectura paralela, escanea y analiza el tráfico entrante y saliente para identificar las amenazas múltiples, aplicaciones y protocolos, a velocidad de cable y sin tamaño de archivo o limitaciones.

* Uso de entrada de millones de puntos de contacto comunes en el Global Response Intelligent Defense (GRID) de red.

* Threat Center proporciona una comunicación continua, retroalimentación y análisis sobre la naturaleza y el comportamiento cambiante de las amenazas.

* Investigación Labs que continuamente procesa esta información, de manera proactiva la entrega de las contramedidas y actualizaciones dinámicas para detener las últimas amenazas.

* El Gateway  Anti-Virus, Anti-Spyware, prevención de intrusiones e inteligencia de aplicación y control del servicio de entrega inteligente, protección en tiempo real de la seguridad de la  red frente a las últimas amenazas combinadas, incluyendo virus, spyware, gusanos, troyanos, vulnerabilidades de software y otros códigos maliciosos.

* Servicio de prevención de intrusiones (IPS) evitar que los atacantes exploten vulnerabilidades conocidas (Paso 2 del ciclo de ataque)

* La inteligencia de aplicaciones y control evita que los atacantes puedan utilizar las aplicaciones comunes de transmitir datos desde o hacia el sistema comprometido

* Control integrado de acceso inalámbrico con cortafuegos

* Secure Remote Access (SRA) crea una red privada virtual VPN   que descifra y analiza todo el tráfico autorizado SSL en busca de malware antes de que entre en la red, y añade autenticación forzosa, el cifrado de datos y política de acceso granular.

* Email Security proporciona una protección integral a amenazas de correo electrónico para las organizaciones de todos los tamaños, parando transmitidas por correo electrónico spam, virus, phishing y ataques, al tiempo que contribuye a la política interna y cumplimiento normativo.

El análisis del flujo del tráfico permite determinar cuales son las amenazas en tiempo real además de análisis de tráfico histórico y proporciona una visión de gran alcance en el tráfico de aplicaciones, utilización de ancho de banda y las amenazas de seguridad junto con la solución de problemas de gran alcance y capacidades forenses.

Dentro de las redes con muchos computadores es necesario considerar cortafuegos de perímetros con actualizaciones de firmware permanentes.

Podemos decir como resumen que cada vez es más amplio el segmento de las vulnerabilidades en una red de datos, está en manos del gerente o encargado del sistema mantener políticas ágiles y capacitación constante de manera de poder afrontar los desafíos futuros de la mejor manera posible.  Se puede aseverar que igual no será suficiente…

La palabra cibercrimen puede interpretarse de diversas maneras, está el caso de los delincuentes, hackers y ladrones, pero también se lo puede  relacionar de alguna manera con organizaciones que los combaten, como es el caso de clínicas forenses.

Un caso de resonancia fue el que desmanteló el FBI en la operación de redes cibercriminales vinculadas al software malicioso Yahos y la botnet Butterfly los cuales produjeron más de 850 millones de dólares de pérdidas entre cuentas bancarias, tarjetas de crédito y otros datos personales.

La red social Facebook ayudó a identificar a los criminales y las cuentas afectadas. Sus "sistemas de seguridad fueron capaces de detectar cuentas vulneradas y proporcionaron herramientas para eliminarlas.

El propio FBI recomienda que los usuarios actualicen sus aplicaciones y los sistemas operativos de forma regular para reducir riesgos así como realizar regularmente análisis antivirus del sistema informático.

Para mayor información sobre los productos analizados consulte en el sitio www.dell.com

Los nombres de los productos y compañías aquí mencionados pueden ser marcas comerciales y / o marcas comerciales registradas de sus respectivos propietarios.

* Para contactar al autor de este artículo escriba a ocalle@ar.inter.net


Frases destacadas
“El malware oculto le da a su atacante las llaves de su red”.
“Un intruso sigiloso puede acceder a todos los recursos de los sistemas”.


Síganos en Twitter: @integradores1   www.galexsoluciones.co.nr   Facebook: Integradores de Seguridad Electrónica

No hay comentarios:

Publicar un comentario en la entrada