El concepto de APTs la amenaza oculta en la actualidad

Màs información de Segurpricat Siseguridad : la consultoria de seguridad
Màs información de Segurpricat Siseguridad : la consultoria de seguridad

APTs: la amenaza oculta

16/06/2015, por Juan Ramón Moya Vasco

Las APTs  (se abre en nueva ventana) (del inglés Advanced Persistent Threats) constituyen unos de los problemas de seguridad más importantes y potentes que las tecnologías de seguridad informática han de hacer frente hoy en día. Un enfoque global de este concepto se decribe en este artículo.

Orígenes históricos

En plena guerra entre Cartagineses y Romanos, con Roma a punto de ser aniquilada, Publio Cornelio Escipión, conquistó la inexpugnable y fuertemente amurallada ciudad de Cártago Nova, gracias a un ejército dotado de los mejores expertos en escalada, batallas navales, estrategia, escaramuzas, combates cuerpo a cuerpo.

Todo ello realizado subrepticiamente, entrando en la ciudad amurallada y poco a poco haciéndose con posiciones más efectivas, primero un puestos, luego otro, hasta controlar todo y conseguir que el grueso del ejército entrara en la ciudad.

Es interesante e ilustrativo leer con detenimiento este pequeño gran relato de nuestra historia, porque Publico Cornelio fue para los cartaginenses un enemigo que poseía niveles sofisticados de conocimientos y recursos que le permitieron atacar a sus objetivos mediante el uso de múltiples vectores de ataque. Una vez atacada la infraestructura y establecidos dentro de ésta se hicieron con el dominio. Una APT frente a una gran fortaleza, sólo que ahora las grandes fortalezas no tienen 6 metros de espesor en sus paredes sino una conexión a Internet de alta velocidad. El modus operandi es el mismo. De hecho, Publio sentó cátedra en las estrategias para la tercera guerra púnica, por lo novedoso y técnico de su ataque. Publio Cornelio Escipión “El Africano”, fue para los cartagineses una Amenaza Persistente Avanzada en cuanto a planificación y ejecución. Ahora, los grandes estrategas de las APT, igual o más destructivos, no tienen grandes nombres que pasen a la historia.

– Innovación y estrategias de ataque en la Historia: adaptación técnica a medios en constante evolución –

Al día de hoy, en el año 2015, 2224 años mas tarde de esa gran batalla, su estrategia e innovación en el arte de la guerra, se ven reflejados en el campo de batalla actual, el ciberespacio. El modelo de planificación es prácticamente el mismo, cambian los escenarios y los hitos temporales, pero las motivaciones y objetivos perduran en el tiempo.

El concepto de APT en la actualidad

La sociedad actual se sustenta en el ciberespacio y su progresión es exponencial. La economía, la prestación de servicios por parte de las Administraciones Públicas, la actividad de las empresas, profesionales y ciudadanos, el acceso a la información, la educación, el comercio o el ocio o cuestiones tan personales como nuestra salud, se sustentan hoy más que nunca en el ciberespacio. Trabajar, jugar, comprar, mantener relaciones sociales, financieras o pagar impuestos online, entre otras muchas, constituyen actividades cotidianas que se llevan a cabo usando el amplio abanico de dispositivos electrónicos y redes de comunicaciones que existen actualmente en el mercado.

Pretendemos en este artículo aportar información sobre las APT, al tiempo que nos hacemos una pregunta a la que es difícil responder ¿podríamos hacer un anexo de todas aquellas cosas que funcionan en el ciberespacio, informáticamente …..? un avión, una central nuclear, el flujo de electricidad …..¡qué miedo!, en épocas de elecciones el ejército protegía los repetidores telefónicos, las centrales eléctricas, los servicios de correos, ¿y ahora, qué debería proteger el ejercito?

No obstante, cuando una nueva amenaza aparece, el miedo a lo desconocido, la falta de conocimiento e incluso la temeridad a no saber a lo que nos enfrentamos, llevan a denominar a todo aquello que no tiene calificativo o es difícil de catalogar, como Amenaza Persistente Avanzada (APT). Craso error, cuando el análisis a realizar debería de ser de una manera holística – cada realidad como un todo distinto de la suma de las partes que lo componen- y así poder intitular a dicha amenaza como APT o no.

Evolución tecnológica y especialización de APTs Fue en 1939 cuando el científico y matemático John Louis Von Neumann escribió “La Teoría y Organización de Autómatas Complejos”, donde vislumbraba por primera vez la posibilidad de poder desarrollar pequeños programas replicantes que fueran capaces de tomar el control de otros programas. Si bien el concepto tiene miles de aplicaciones en la ciencia, y como toda buena idea, tiene su lado oscuro, su aplicación negativa de la teoría de Von Neumann.

En 1949-1950, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y VictorVysottsky crean un juego denominado CoreWar basado en la teoría de Von Neumann y cuyo objetivo consiste en programas escritos en ensamblador que combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es considerado el precursor de los virus informáticos.

Desde ese mismo instante con la evolución propia e inherente de la tecnología, las redes de comunicaciones, los protocolos de conexión, etc han dado lugar a que la complejidad de los ataques hayan ido evolucionando paralelamente a ese incremento tecnológico, tanto en conocimiento como en fabricación de herramientas hardware y software para llevarlos a cabo.

Actualmente existe malware para todas las plataformas más comunes como Iphone, Ipad, Tablets, IOS, Android, Symbian, PocketPC, Palm, siendo el método de propagación de lo más variopinto. Cualquier tipo de tecnología de comunicación es aprovechada como modelo de propagación del malware, es por ello que se ha generado una carrera de fondo entre los desarrolladores de malware en busca de agujeros de seguridad y las empresas al objeto de mejorar sus productos y solventar esos fallos que los podrían arrastrar a pérdidas económicas incalculables.

Prueba de ello, es que cuando una plataforma cubre un espectro importante de la tecnología y sus usuarios crecen por doquier, se convierte en un objetivo primordial a atacar. De hecho al día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits; los usuarios de plataforma Windows representan el 90% del mercado. Sin embargo plataformas como Linux y Macintosh, hasta comienzos del 2000, que se consideraban impolutas respecto a ataques -ya que estos sistemas estaban restringidos a usuarios con una capacitación y conocimientos medio/alto-, las X-Windows no estaban tan desarrolladas para el usuario de a pié, su complejidad en la instalación, la ausencia de drivers y repositorios de software, permitía estar a salvo de toda esta vorágine

Todo evoluciona desde los años 2010 hasta nuestros días, 2015, . Así, los sistemas Linux y Mac, se convierten también en un objetivo de gran calibre para ataques, su gratuidad, facilidad de manejo, ingentes cantidades de drivers de todo tipo, software gratis, escritorios espectaculares, las plataformas de virtualización, …. Todo esto llama la atención de los usuarios, dando lugar a que la mayoría de los usuarios conviva con una versión de Windows/Linux, Mac/Windows/Linux.

En un periodo muy corto de los avances cibernéticos, 2010-2015, las amenazas y los daños en este campo se multiplican de manera exponencial; no pasa un día sin que leamos una noticia relacionada con uno de estos ataques, con el agravante de que es un tipo de información que a quien menos interesa es al sujeto atacado o dañado. Por eso los gobiernos de todo el mundo y en especial el sector empresarial tratan de proteger su información. La información, en este siglo, es el poder.

En estas primera líneas introductorias, quizás las más difíciles por “inconcebibles” tratamos de evidenciar que ningún dispositivo hardware, ni software, existente en la actualidad, desde el sistema más complejo instalado en una infraestructura estratégica, tal como una central nuclear, hasta la aplicación más simple que tengamos instalada en nuestro teléfono móvil, están exentas de ser atacadas. La amenaza es latente y existe.

Las amenazas han sufrido su evolución en función del entorno y dan sentido a las APT. Al igual que la naturaleza se adapta, las amenazas que en un principio eran puntuales y muy concretas en cuanto a objetivos, con técnicas muy simples y consecuencias para el usuario más molestas que dañinas, se están convirtiendo en sofisticadas herramientas potencialmente dañinas; los objetivos son muy heterogéneos y los ataques van dirigidos a cualquier tipo de organización -públicas o privadas, con ánimo de lucro o sin el-, ; afectan a empresas del sector de las tecnologías, gobiernos, organizaciones militares, partidos políticos, administraciones de cualquier tipo, … y utilizan técnicas, sobre todo de Ingeniería Social basadas en la confianza, ejecutadas por atacantes o a veces grupos de hackers con distintos perfiles, que consiguen con paciencia y tesón, robar todo tipo de información, provocando un riesgo en la infraestructura que hace que sus efectos sean demoledores, son las denominadas APTs  (se abre en nueva ventana) Advanced Persistent Threats (Amenazas Persistentes y Avanzadas).

– Ataque en directo http://map.ipviking.com/  (se abre en nueva ventana)

Conclusiones

Por todo lo expuesto anteriormente, para que un ataque se pueda considerar con el apelativo de APT, deberá aportar algo nuevo, muy novedoso en el campo de la ciberseguridad, no solo desarrollar o rediseñar exploits para vulnerabilidades aún no descubiertas denominadas Zero-days.

El ataque debe cumplir fehacientemente cada una de las fases siguientes:

  1. Recopilación de información.
  2. Análisis de vulnerabilidades.
  3. Explotación.
  4. Desplazamiento lateral.
  5. Detección de activos/datos.
  6. Exfiltración de información.

y utilizar técnicas novedosas para ganar acceso a los objetivos.

El ataque deberá estar diseñado para perdurar en el tiempo y conseguir evadir todas las medidas de seguridad de las plataformas mas usuales, Windows y Linux, así como de las técnicas de exfiltración de datos y Command and Control C&C, para que el ataque no sea detectado en ninguna de las fases por las que va pasando.

Evitará todos los medios hardware y software que hayan sido implantados en la infraestructura como los IDS (Intrusion Detection System), IPS (Intrusion Prevention System), NIS (Network Inspection System), Firewalls, que estarán ojo avizor a todo el tráfico de la red, así como las medidas de seguridad adoptadas por los sistemas operativos como SEH, SafeEH, SEHOP, Stack Cookies, DEP, ASLR, PIE, NX.

Deberá tener la capacidad de adaptación en el caso de ser detectado. Al día de hoy, cuando algún elemento de seguridad detecta un ejecutable malicioso, las infraestructuras más novedosas tecnológicas de cara a la seguridad, proceden a trasladar el código malicioso a una Sandbox (Caja de Arena) para aislar, ejecutar y comprobar que es lo que hace y cómo lo hace, para una vez analizado, tomar las medidas necesarias para solventar la amenaza.

Contará con planes de contingencia al objeto de dar continuidad al procedimiento, según la fase del ataque en la que se encuentre, y no ser repudiado por cualquier sonda o detector ubicado en la red para tal fin.

De hecho la sofisticación de los ataques para salvar todas estas medidas, sugiere que forman grupos multidisciplinares con amplias habilidades y experiencia para lograr el acceso a infraestructuras complejas. Ocultan su identificación a través de botnets compleja, creadas con mucha antelación al ataque, simples ordenadores como el suyo o el mío que son utilizados en un instante de tiempo muy corto. Los atacantes tienen como fin el provocar daños en la infraestructura, provocar la pérdida o interrupción de un servicio o el robo de información confidencial o privada.

Si ha leído con atención esta exposición, siéntese, reflexione y hágase la misma pregunta que nosotros nos formulamos: ¿tenemos la seguridad de que nuestros ordenadores no forman parte de una APT?

– Juan Ramón Moya Vasco. Responsable de Seguridad del Ayuntamiento de Mérida. juanramon.moya@merida.es –

Julian Flores @juliansafety
Director de seguridad,Segurpricat Siseguridad

     

Anuncios

1 comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s