"Mis Datos No son Importantes"

En más de una ocasión he escuchado la siguiente afirmación: “En mi computadora no guardo nada de valor”. La anterior aseveración me la comentó una conocida después de haberle explicado los riesgos de contar con hábitos de navegación en Internet poco seguros o bien el hecho de tener poca o nula protección para los datos que residen en su equipo de cómputo.

Esta persona me afirmó que en su computadora realmente no consideraba que guardara información relevante que pudiera ser de utilidad a un hacker. Por lo tanto no ve la necesidad de proteger de ninguna forma esos datos porque no tienen valor, y asume que no tienen importancia para un atacante.

Inmediatamente después de que supuestamente me había desarmado con su respuesta desinteresada respecto a no tener nada de valor en su sistema, le pregunto que si entonces me podía prestar un par de horas su computadora para que pudiera husmear en ella y sacar información que me interesara. También le digo que si resulta ser algo curioso, chistoso o precoz, me deje publicarlo en Internet.

La respuesta inmediatamente es que no me dejaría husmear en su equipo y menos aún me daría permiso de subir algún archivo a la red. Pongo cara de curiosidad junto con asombro, y le pregunto que por qué me niega el acceso a su equipo.

Primero empieza por decirme que tiene fotos familiares (y en mis adentros pienso que podría tener hasta de otro “tipo”) y que eso no es de mi incumbencia. Luego sigue pensando y recuerda que tiene un archivo en claro (sin cifrar) donde enlista sus contraseñas que usa en línea, incluyendo Facebook, su correo y demás servicios que hoy en día utilizamos.

De pronto sale rubor de sus mejillas. Me dice que tiene un correo guardado que no quisiera que nadie leyera. Mi imaginación vuela, intuyo que podría ser de su amante o amigo “muy cercano” que tiene contenido sólo para adultos, o peor aún, que la puede meter en un buen lío con su pareja. Eso definitivamente es algo que no debe de caer en ojos ajenos y es impensable que se suba a un sitio de Internet.

Volviendo al archivo de contraseñas, rápidamente también se acuerda que ahí guarda las de su banca en línea donde hace transferencias de dinero entre sus propias cuentas y también envía dinero a otras personas. Por cierto, también tiene las contraseñas de la banca en línea de su empresa ya que a veces debe de hacer transferencias en fin de semana. Desconozco si su banco utiliza un segundo factor de autenticación (token).

Luego recuerda que ha guardado en su equipo personal uno que otro archivo del trabajo. De hecho tal vez no sean dos ni tres y estemos hablando de un par de docenas. Ya saben, para trabajar en casa. Al menos uno de ellos contiene alguna información sensible que preferiría no saliera de su sistema y menos que un tipo lo pusiera en Internet para que fuera del dominio público. Hasta ahora sólo se ha acentuado cada vez más la necesidad de negarme el acceso a su información.

Luego recuerda que a veces se pone lenta la red de su casa. Y se ha dado cuenta de que esto sucede minutos después de cuando ve pasar a su vecinito adolescente que entra al domicilio de enfrente. Le digo que podría ser que este chico entra a su red y navega con el Internet “prestado”. Y quién sabe a qué sitios podría estar entrenado o que otras cosas podría estar haciendo (ante un delito en Internet, las autoridades llegarían a tocar a la casa de mi conocida). La dejo pensando. Me asegura que probablemente sea su imaginación porque su vecinito es muy decente.

Finalmente, la observo por un par de segundos. Le digo que hay criminales en línea que infectan con virus a equipos de cómputo de usuarios en Internet. Puede ser para que desde ahí se manden mensajes no solicitados (spam). O bien para participar en ataques contra servidores web en Internet. También hay criminales que amasan una gran cantidad de equipos hakeados bajo su control y que posteriormente rentan a otros grupos de dudosa reputación para diversos fines. Estos malhechores lo último que desean es que el usuario se dé cuenta de que su equipo ya no le pertenece y por esta razón el virus infecta silenciosamente.

Ha terminado mi labor. Le digo que tiene razón. Que no vale la pena mover un dedo para proteger su equipo de cómputo. Me ganó. Me demostró que sería una pérdida de tiempo. Me despido amablemente y sigo mi camino esperando a la siguiente persona que me diga “En mi computadora no guardo nada de valor”.

Cómo Evitar que Comprometan tu Cuenta Corporativa de Twitter

Cada vez es más común leer de hackeos a cuentas corporativas de Twitter. Lo anterior, aunque no pudiera representar un riesgo a la infraestructura interna de una empresa, sí significa un episodio vergonzoso para la compañía ya que normalmente el atacante escribe tweets embarazosos, publica fotos indecentes o ligas que llevan a sitios maliciosos.

Es importante mencionar que el objetivo de una cuenta corporativa de Twitter es aprovechar esta red social para estar en contacto con los clientes de la empresa, enviar ofertas o información relevante que se desee comunicar, así como notificar de nuevos productos y servicios o bien, contestar inquietudes o quejas de los clientes.

Por lo tanto, lo último que se desea es que un hacker comprometa la cuenta de esta red social y envíe mensajes totalmente fuera del interés de la organización.

A continuación ofrezco una serie de medidas que pueden reducir el riesgo de que se comprometa una cuenta corporativa de Twitter:

Sistema seguro: el equipo de cómputo desde donde se utilizará Twitter debe estar bien protegido.

a).- No debe faltar un antivirus actualizado, un sistema operativo constantemente parchado para evitar vulnerabilidades y lo mismo con sus aplicaciones (Internet Explorer, FireFox, Office, etc.). Tal vez no esté de más un endurecimiento del sistema (hay guías en línea). 

b).- Por último, impedir el ingreso de dispositivos tipo USB (para evitar virus) a estas computadoras y sólo instalar software corporativo autorizado.

c).- Con el fin de resguardar la integridad de estos sistemas, se debe de evitar leer correo desde ellos (de preferencia desinstalar clientes de email como Outlook). El correo es cada vez más un vector de ataque por los adjuntos maliciosos que se envían a través de él o las ligas a sitios con malware que se incluyen en los mensajes.

d).- Por otro lado, es prudente no instalar aplicaciones que históricamente han sido un dolor de cabeza por su inseguridad (constantemente se descubren vulnerabilidades –incluyendo de día cero- que hay que estar parchando frecuentemente) y que son: Java, Adobe Reader y Adobe Flash. De hecho es una buena medida no instalar programas que no se vayan a requerir para el envío de tweets.

e).- La navegación por sitios de Internet es otra fuente de infecciones que pueden tomar el control del sistema, instalar un par de keyloggers y robar la contraseña de nuestro Twitter. Aunque es preferible impedir toda la navegación a sitios de Internet, puede haber algunas razones válidas por las cuales se debe entrar a páginas de la red, entonces se puede hacer una de dos cosas (por ejemplo):

        I.            Instalar un navegador diferente al Internet Explorer (por ejemplo Chrome o FireFox) con un add-on instalado tipo No-Script (evita la ejecución de Java y JavaScrit entre otras varias funcionalidades de seguridad).

      II.            Con VMWare Player o VirtualBox instalar una máquina virtual de Linux y desde ahí navegar. Mantener la máquina virtual actualizada es básico y mantenerla aislada del sistema maestro.

f).- Podemos proteger un sistema al limitar en extremo su conectividad al exterior (Internet), pero los atacantes se las han ingeniado para hacer ataques indirectos. Comprometen a un sistema cualquiera dentro de la empresa y posteriormente desde ahí atacan el equipo al que realmente quieren llegar. Por lo tanto si decidiéramos que nuestro equipo no tendrá ni Outlook, ni podrá navegar a donde quiera y tampoco se le podrán meter USB, entonces el atacante podría utilizar el método indirecto aquí descrito.

Lo que hará es comprometer a un sistema cualquiera dentro de la empresa y de ahí atacar a nuestro equipo desde donde se envían tweets; lo anterior es posible dada la relación de confianza que hay entre todas las PC y servidores de una empresa. Para incrementar la seguridad del equipo usado para enviar tweets, habrá que usar su firewall de Windows o las listas de control de acceso de dispositivos de red para reducir esa confianza a ciertos servidores y equipos cliente con los que verdaderamente se justifique una comunicación vía red (la restricción puede ser por dirección IP y/o puertos). La segmentación en las redes también puede ayudar, entre otras medidas.

Políticas para enviar tweets: de preferencia debe de haber una política que establezca algunos parámetros y criterios para poder mandar mensajes de manera segura. Se puede incluir:

·        Equipo autorizado para enviar tweets. Establecer cuál va a ser la o las computadoras desde donde está permitido enviar mensajes a Twitter. Lo anterior con el fin de evitar usar otros equipos con medidas de seguridad poco robustas.

·        No ingresar a páginas web que envíen nuestros seguidores. Es común que un follower de la cuenta corporativa nos mande una liga para revisar su contenido. Se debe de evitar visitar dichos sitios utilizando el mismo equipo desde donde se mandan tweets. De preferencia visitarlos desde otra computadora diferente (o desde una máquina virtual aislada).

·        Envío de tweets. Especificar desde dónde se pueden enviar mensajes, por ejemplo desde la página de Twitter o desde clientes como TweetDeck, HootSuite, etc. Sería importante establecer cuáles clientes se consideran seguros, enlistarlos y sólo desde ahí mandar información.

Contraseña robusta: para abrir una cuenta de Twitter, se pide una contraseña. Es de suma importancia seleccionar un password robusto. Por ejemplo de al menos 15 caracteres, que incluya mayúsculas y minúsculas, números y claro, caracteres especiales. Adivinar las contraseñas de cuentas de Twitter es muy común dada la pobre selección de passwords que hacen los usuarios, por lo tanto es muy importante que no sea “adivinable”. En algún momento, Twitter debe de ofrecer un segundo factor de autenticación, el cual incrementará la seguridad de la autenticación. Y si bien nos va, tal vez arregle otros problemas que depende de la compañía solucionar (aquí un ejemplo).

Ya que estamos hablando de contraseñas, es importante mencionar que nunca se debe de proporcionar cuando haya peticiones “extrañas”. Típico que te llega un correo que aparenta ser de Twitter pidiéndote que ingreses a un sitio (que no es de Twitter pero que parecer serlo www.accountupdate.twitter.ru).

Contraseña única: el password de Twitter no debe de ser el mismo usado en otra cuenta. Es común que un atacante llegue a hackear la contraseña por ejemplo de GMail, y posteriormente pruebe a ver si esa misma contraseña sirve en otros lados (como Twitter). Es frecuente que por la dificultad de recordar numerosos passwords, los usuarios seleccionen la misma contraseña para diferentes cuentas (se puede usar LastPass que es gratuito y se utiliza para administrar contraseñas de manera segura; y hasta app para teléfonos tiene).

Redes inalámbricas: las redes WiFi comúnmente halladas en hoteles, cafés o restaurantes suelen ser totalmente inseguras por lo que un atacante puede interceptar la comunicación y comprometer la cuenta de Twitter. Se recomienda usar la red 3G de los teléfonos o bien usar WiFi pero junto con una aplicación que cifre el contenido enviado (implementando una Virtual Private Network con productos como openVPN o ProXPN por ejemplo); y es importante mencionar que en todos los casos (sobre todo cuando se esté fuera de la Empresa), usar una VPN es siempre una buena idea. Para una seguridad extrema, es preferible no usar redes inalámbricas para enviar mensajes de Twitter.

Apps de terceros: es común permitir a otras aplicaciones hacer uso de la cuenta de Twitter para que ellas envíen mensajes sin necesidad de que dicha aplicación se autentique constantemente. Por ejemplo aplicaciones como FourSquare, SoundHound o varias apps de periódicos tienen la capacidad de enviar mensajes a Twitter en nuestro nombre una vez que nosotros les hemos otorgado el permiso correspondiente. Resulta ser que si la aplicación del tercero es comprometida o se le da permiso a una aplicación maliciosa, entonces la cuenta de Twitter se podría ver también comprometida al abusar del privilegio previamente otorgado. Lo recomendable es no permitir que ninguna aplicación de un tercero se conecte y envíe tweets a nuestro nombre (lo anterior se puede verificar ingresando a Twitter en Configuración-> Cuenta-> Aplicaciones).

Página válida de Twitter: es importante que nosotros seamos los que tecleemos la página www.twitter.com desde el navegador y verificar que inicia con “https”. Lo primero evitará ir a sitios apócrifos, lo segundo establecerá un canal seguro desde nuestro equipo al servidor de Twitter. Nunca ir a la página de Twitter por medio de una liga que nos haya sido enviada por correo o que se haya enlistado en un sitio web no confiable.

Cuenta de correo registrada: para abrir una cuenta, Twitter nos pide una cuenta de correo. Lo ideal es que esa dirección de correo electrónico no pertenezca a una persona (así evitamos que el hackeo de esa cuenta de correo derive en el compromiso de la cuenta de Twitter). Es preferible usar un correo electrónico corporativo creado específicamente para este propósito (tweet@corporativo.com) y que dicha cuenta de correo sea sólo para administrar la cuenta de Twitter y no para estar leyendo y enviando correos por doquier. Así protegeremos la cuenta de Twitter.

Conlcusión.

Puedes adoptar todas las medidas anteriormente descritas o sólo algunas. Depende del nivel de riesgo que estés dispuesto a aceptar. Y si todo lo anterior falla, será necesario pedir ayuda a Twitter ante una cuenta comprometida con el fin de que puedas recuperar el control de la misma. Felices tweets te desea @FaustoCepeda.

Infografía de la Historia de los Lenguajes de Programación

Infographic by Veracode Application Security

Es mejor planear antes de recibir un ataque de DDoS

Les comparto el artículo que escribí para ComputerWorld México. Trata de lo que hay que planear (acciones a seguir) antes de ser víctima de una denegación de servicio.

http://www.computerworldmexico.mx/Articulos/28547.htm

Características de las malas auditorías de seguridad

Les comparto mi artículo que redacté para Computerworld México:

http://www.computerworldmexico.mx/Articulos/28243.htm

Cursos para Desarrollar Programas Seguros.

Me dijo un desarrollador: “Se quejan de que no sabemos desarrollar un programa de manera segura pero a la hora de querer encontrar un curso dónde poder aprenderlo, hay muy pocas opciones”.

¿Y saben? Tiene razón. Sobre todo buenas opciones en México.

 

En fin. Me di a la tarea de buscar algunas posibilidades. Aclaro que no sé si estos cursos se dan en nuestro país o no y que no he tomado ninguno de ellos. Tómenlo como una lista y ustedes vean cuál les parece mejor.

Curso del EC-Council: “Certified Secure Programmer”. Aunque su curso de “Ethical Hacker” del EC-Council no me pareció tan bueno por estas razones, le doy un voto de confianza a este curso.

http://www.eccouncil.org/courses/ec-council_certified_secure_programmer.aspx

Curso de OffSec (creadores de BackTrack): “Offensive Security Web Expert”. Cuando estos señores dicen “hands-on”, en verdad lo es y no creo que les vaya a disgustar, son garantía de ofrecer excelentes cursos.

http://www.offensive-security.com/information-security-certifications/oswe-offensive-security-web-expert/

Curso del SANS: “Secure Coding in Java/JEE: Developing Defensible Applications”. El SANS tiene reputación por hacer buenos cursos en general.

http://www.sans.org/event/sans-2013/course/secure-coding-java-jee-developing-defensible-applications

Curso del SANS: “Secure Coding in .NET: Developing Defensible Applications”. Como ya dije, el SANS tiene Buena reputación de ofrecer cursos técnicos y de calidad.

http://www.sans.org/event/sans-2013/course/secure-coding-net-developing-defensible-applications

Curso de “Web Application Security Training” de WhiteHatSec. En dicha empresa labora Jeremiah Grossman, un experto de seguridad reconocido por su labor en seguridad en aplicaciones por lo que estimo que sus ofertas pueden ser atractivas.

https://www.whitehatsec.com/edu/edu.html

 

Curso del CERT (SEI Training): “Secure Coding in C and C++”. Supongo que por venir del CERT de EUA debe de ser bueno. Subrayo la palabra “supongo”. Revisen bien su oferta.

http://www.sei.cmu.edu/training/p63.cfm

 

Curso tipo “eLearning” de VeraCode: “Application Security eLearning”. Veracode tiene buenos productos competitivos para seguridad en aplicaciones. Supongo que estos cursos deben estar bien. Subrayo la palabra “supongo”.

http://www.veracode.com/products/application-security-elearning.html

Catálogo de cursos de SecureCodingAcademy. Dudé en enlistar aquí a estos cursos. Nunca había escuchado de esta “academia”, así es que revisa bien las condiciones de los cursos y los temarios. Y tal vez comentarios (buenos y malos)  en Internet antes de adquirir uno de estos.

http://www.securecodingacademy.com/course-catalog

 

Bueno, hasta aquí mi lista. ¿Tú conoces algunos buenos cursos para desarrollar programas seguros? ¿Sabes de alguno que se imparta en nuestro país y que lo recomiendes? Codificar de manera segura no es una cuestión trivial. Y aunque existen varios libros y sitios en donde se pueda aprender este arte, algunos prefieren los cursos.

Mis opiniones del reporte de Mandiant (APT1)

El martes 19 de febrero, la empresa Mandiant publicó un reporte que liga actividades de espionaje industrial con el gobierno chino. El documento gira en torno a un grupo de crackers chinos bautizados con el identificador APT1. APT en inglés es Advanced Persistent Threat.

Para mí, no es un reporte más, sino que adquiere relevancia ya que demuestra con bastantes y razonables evidencias que hay un patrocinio o tolerancia gubernamental de China orientado a actividades de robo de información que suponen una ventaja competitiva a diversas industrias chinas.

Quedé impactado de la información que se vierte en el reporte, el cual sugiero fuertemente leer y se encuentra en www.mandiant.com/apt1. A reserva de que lo leas, quisiera comentar algunos puntos relevantes de este documento que aclaro, son mis interpretaciones y opiniones de la lectura que hice del reporte.

Pero primero. ¿Estuvo bien que esta empresa Mandiant lo haya publicado? Hay voces que dicen que no, que porque es pura publicidad para la empresa que lo sacó a la luz y pone en alerta a los crackers quienes seguramente cambiarán sus técnicas. En mi opinión, pienso que hicieron más bien que mal. Mandiant es una empresa de EUA que tiene acceso a datos concretos de cómo están drenando dinero de empresas de su propio país y sería triste que se quedaran de brazos cruzados. Claro, pudieron haber alertado de los hackeos puntualmente a cada empresa, sin embargo la solución será puntual también y el problema general en sí persistirá. Creo que al publicarlo al menos moverán voluntades hasta ahora detenidas y puede significar cambios importantes en la administración de la seguridad de aquel país.

Dicho lo anterior, entremos en materia.

A lo largo del reporte se establecen diversas ligas entre el grupo de crackers chinos y su gobierno. Se dan detalles como por ejemplo que el Ejército Popular de Liberación tiene bajo su mando al grupo llamado “Unit 61398”, encargado de realizar las penetraciones y que como ya dije, es identificado por Mandiant como APT1. Inclusive se da la dirección física desde donde ocurre el ciber- espoinaje (un edificio en Datong Road en Gaoqiaozhen, Shanghai). Asimismo en el reporte se encuentran fotos del inmueble. En mi opinión se ha establecido fuertemente el origen chino del grupo de crackers auspiciado o al menos tolerado por el gobierno de ese país, cuestión que siempre ha negado oficialmente. (Pág. 3 del reporte de Mandiant).

El documento de Mandiant habla de que se estima que la Unidad 61398 emplea a cientos o tal vez miles de personas encargadas de diversas tareas de ciber- espionaje. (Pág. 3). No sólo hay gente que se mete a las computadoras, sino que hay otras más encargadas de analizar la información, distribuirla a los interesados y recibir peticiones concretas de espionaje.

 Curiosamente la Unidad 61398 contrata a empleados de cierto perfil. En concreto, buscan gente de seguridad informática y de redes; asimismo piden que hablen inglés. (Pág. 3).

Se registró el robo de cientos de terabytes de información de 141 empresas alrededor del mundo. Y es de notar que esta Unidad puede estar “adentro” de varias empresas de manera simultánea. Lo anterior es relevante, ya que habla de sus capacidades: no sólo es entrar a una infraestructura, sino una vez adentro empezar a analizar la información a la  que se tiene acceso para extraerla; dicho análisis no es trivial. Es necesario comprometer un sistema, ver qué tiene y seleccionar el siguiente objetivo dentro de la empresa víctima para de nueva cuenta analizar la información que contiene y seleccionar aquella que es de utilidad. Este proceso junto con mantener el acceso informático no autorizado, evidentemente consume tiempo y recursos humanos/tecnológicos. (Pág. 3). El equipo de personas encargadas de estos análisis podría incluir lingüistas, desarrolladores de software, creadores de malware, expertos analistas de industrias, economistas; todos ellos orientados a penetrar empresas e interpretar la información “recibida” (Pág. 5).

Una vez que los crackers de APT1 establecían acceso, periódicamente seguían visitando a las víctimas. No sólo por unas semanas, sino por meses o años (de ahí su nombre de ataques persistentes). Por el tipo de datos extraídos, básicamente estaban detrás de información industrial y de defensa (planos, procesos, resultados de pruebas, documentos con estrategias de precios, acuerdos comerciales, etc.). En mi opinión, esto claramente significa que perseguían tres objetivos: 1) Robar información que beneficie a empresas chinas ahorrándoles grandes cantidades de inversión;  2) Tener a la mano estrategias de mercado, precios de compra y venta así como acuerdos para adelantarse a algún movimiento de la empresa víctima o negociar un mejor trato para algunos sectores de la industria china y 3) Obtener información de defensa de países extranjeros como tecnología militar o estrategias de seguridad; básicamente datos que pudieran ser de utilidad en este ámbito. (Pág. 3).

De las 141 empresas víctimas, 87% se encontraban en países cuyo lenguaje oficial es el inglés. Interesante dato. Me pregunto. ¿Quiere decir que ese tipo de países son los que tienen información realmente útil? ¿O que este grupo de crackers expuesto en el reporte se dedicaba a este tipo de países pero que hay otros que se orientan a otras regiones?

La Unidad de espoinaje se vio benficiada por una conexión de fibra óptica contratada con China Telecom que es propiedad del gobierno de aquel país. Si hicieran operaciones encubiertas dentro de su propio país, lo más inteligente sería no pasar tráfico por una empresa gubernamental (Pág. 19).

Si bien no hay nada divertido en el reporte, lo que leí en la página 51 del reporte me hizo reír. Hasta antes de esta página me preguntaba cómo habían logrado los analistas de Mandiant capturar toda esta información. ¿Cómo le habían hecho para conocer tantos detalles y dar direcciones, identidades, etc.? Respuesta: hackeando a los hackers. Resulta que los atacantes tenían prácticas online inseguras. Por ejemplo, iniciaban sesión a FaceBook o Twitter directamente desde las máquinas desde donde hackeaban. Aunque el reporte no es muy explícito en todas las “prácticas inseguras” de los atacantes, pues es un hecho que nunca pensaron que a ellos los iban a espiar y de ahí sus descuidos. Supongo que pecaron del mismo pecado que explotaron: sentirse seguros.

 Lecciones aprendidas.

Mi primera lección aprendida (de nueva cuenta) es que los antivirus protegen de las amenazas conocidas y comunes. No harán lo mismo para malware especializado y dirigido. En un pequeño ejercicio con 1,000 muestras de virus usados por APT1, sólo se encontraron 22 “conocidos”.

 

Si bien se pudo usar VirusTotal con motores reales de antivirus y obtener diferentes resultados (tal vez alguien ya lo haya hecho), el punto es que en mi opinión la mayoría de los virus usados por APT1 de todas maneras no se hubiera identificado. Si en tu empresa te tomas la seguridad seriamente, debes complementar el antivirus con un producto de listas blancas.

Mi segunda lección es que las empresas siguen siendo muy laxas en su seguridad. No hay nada perfecto, pero al menos se puede dificultar la labor de los atacantes si se tienen ciertas prácticas de seguridad en marcha.

 

En el video publicado por Mandiant donde se observan algunas de las técnicas usadas por APT1 se puede ver que no son estrategias de ataque demasiado avanzadas (sin embargo, ver mi quinta lección).

En la página 27 del reporte de Mandiant se ilustra y describe la estrategia de ataques spear phishing que lleva a una liga maliciosa o que contiene un ZIP con malware dirigido. Es algo que productos como Bit9 (whitelisting), FireEye o Mandiant podrían mitigar, junto con una estrategia de monitoreo y respuesta a incidentes, sin mencionar una gestión de parches y nuevas actualizaciones o seguir al menos algunos de los 20 controles sugeridos del SANS.

 

Pero vaya, no quiero enlistar N protecciones. El punto es que con algunos cambios en la gestión de la seguridad y una inversión no tan grande se podría mejorar significativamente el nivel de seguridad de esas corporaciones que fueron y serán víctimas de hackeos.

Mi tercera lección es respecto al spear phishing (del cual en la página 28 se dice que es una de las técnicas favoritas para penetrar organizaciones). En otros foros y blogs se habla una y otra vez que hay que entrenar a los empleados para que identifiquen correos sospechosos que puedan tratarse de spear phishing.

 

En la página 27 del reporte de Mandiant se describe que la gran mayoría de ataques se concretaron por medio de spear phishing, correos que eran cuidadosamente elaborados, diseñados y con mensajes coherentes.

Luego entonces me viene a la cabeza que un mensaje spear phishing bien hecho y previamente analizado por el atacante será muy difícil que sea identificado como tal por la víctima. Hasta para los llamados “expertos de seguridad”. Si no hay nada sospechoso o raro en el mensaje de correo, lo más natural será ir a la liga sugerida o abrir el PDF adjuntado. ¿Es culpa del empleado?

Yo opino que no del todo. Si yo fuera usuario y un experto me viene a decir que no abra correos sospechosos, después de preguntarle lo que significa “sospechoso” y que me conteste que “cosas raras e inesperadas”, procederé a aventarle una maceta y le voy a decir que se ponga a trabajar y que me provea de un ambiente seguro y un mecanismo que me permita hacer mi trabajo que incluye leer correos de clientes y colegas sin que tenga que estar adivinando si es o no “sospechoso”, porque aun así, habrá correos tan bien hechos que haga lo que haga me engañarán.

Me da risa cuando ponemos tanto empeño en decirles a los usuarios que no abran correos sospechosos ni ejecuten archivos raros, cuando ese archivo es un PDF que explota una debilidad en Adobe que los de Sistemas/Seguridad NO parcharon. ¿Culpa del usuario de todas maneras?

 Mi cuarta lección es que este tipo de ataques APT1 no tienen el objetivo de dañar la reputación de la víctima, ni de hacerle una denegación de servicio ni de publicar en Internet la información robada.

 

Se trata de lo que por años se ha dicho: la información. Los chinos lo saben, los rusos lo saben, todos lo saben: información es poder y da una ventaja competitiva, de otro modo no se tomarían la molestia de gastar dinero y recursos para mantener a un grupo de personas orientadas al robo y análisis de información.

 

A veces como que siento que se le tiene más temor a ataques de reputación que a los de robo silencioso de información. En fin.

Mi quinta lección es sobre la sofisticación de los ataques que hablé párrafos atrás refiriéndome a que no eran muy avanzados. Sólo hago notar que el hecho de que no hayan sido avanzados no se traduce de inmediato en que los atacantes son unos idiotas Script Kiddies. ¿Si la infraestructura víctima no es nada robusta, para qué utilizar ataques avanzados si con mecanismos básicos y simples se puede conseguir lo deseado?

Mi séptima lección. Se ha dicho que lo mejor sería bloquear el tráfico desde China hasta tu empresa (se toca este tema en la página 39) en caso de que no tengas ningún negocio qué tratar con ellos. Simplemente bloqueas ese tráfico y se acabó. Falso. Lo que tendrían que hacer los atacantes al ver que se topan con una pared, es “saltar”: comprometen a un equipo en Canadá y de ahí inician su ataque.

 

Comentarios Aleatorios.

Primero: el 19 de febrero de 2013, Time publicó una nota llamada “U.S. Ready to Strike Back Against China Cyberattacks”. Mi pregunta es por qué los EUA tuvieron que esperar a un reporte de una empresa privada para declarar que están listos para ver cómo arreglan el asunto.

 

¿Las agencias de inteligencia entonces no sabían nada o no tenían suficientes elementos previos? Me pregunto si las agencias de tres letras de EUA tienen mejores reportes y evidencias de los hackeos desde China o algún otro país y cuentan con ellos desde hace años.

 

En mi opinión, poco han hecho por su sector empresarial dejando que siga sangrando ese líquido vital de información valiosa. Y si no lo sabían, pues sin comentarios.

 

Segundo: si bien libros como Zero Day de Mark Russinovich o Deamon de Daniel Suárez están bien como lectura y mezclan la realidad con ciencia ficción, el reporte de Mandiant it’s the real shit. Eso es lo que pasa en la realidad, no lo que podría pasar.

 

Tercero: días después de la publicación del reporte de Mandiant, China niega que auspicie o tolere actos de hackeo. Si llegan a leer u hojear el reporte, verán detalles que  les dejarán poca duda. Lo anterior, aunado a sospechas de años atrás de que esto ha estado ocurriendo; caray, pues es difícil de negar que sucede.

Cuarto: hay opiniones que estiman que los chicos malos de APT1 no son los más hábiles de China. Podría haber otros equipos de aquel país con más capacidades técnicas que persiguen otros objetivos más difíciles de penetrar. Es altamente probable que sea así.