Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo protegerse contra las técnicas anti forenses

[20/11/2009] Debido a los cada vez más sofisticados procedimientos anti forenses que los hackers usan para cubrir sus rastros, el hackeo de bases de datos se ha generalizado y se está volviendo más difícil de detectar. Es esencial, entonces, que los profesionales responsables de proteger la integridad de los datos corporativos, conozcan el análisis forense desde adentro hacia afuera, así como los trucos que usan los hackers para hacer fracasar esta técnica.

Aunque las bases de datos contienen un alto porcentaje de datos confidenciales, muchas organizaciones carecen del presupuesto y del apoyo de la administración para implementar protecciones. De acuerdo con estudios, 60% de las organizaciones han experimentado una brecha en los pasados 12 meses, 80% esperan que se incrementen los ataques a las bases de datos, y 40% en promedio fallan en las auditorías de seguridad.
Hay muchas herramientas para ayudar a frustrar ataques -tales como productos de administración de las vulnerabilidades que incluyen evaluación de vulnerabilidades y funcionalidad de monitoreo de usuario-, pero el truco es implementar soluciones integrales que ayuden en el análisis forense y provean visibilidad de cómo los atacantes cubren sus rastros.
Metodologías comunes anti-forense
Donde las acciones de bases de datos son rastreadas por diferentes mecanismos de registro, como registros de respaldo, rastreo, transacción y sistema operativo; los atacantes sofisticados tratan de esconder sus actividades ganando privilegios de administrador de la base de datos para manipular esos registros.
Algunas formas comunes por las cuales los atacantes obtienen privilegios de administrador incluyen:
Explotar una vulnerabilidad.
Encontrar un login y contraseña válidos (por fuerza bruta, adivinando, robándolas o con la ayuda de un troyano).
Tomar ventaja de controles de acceso débiles o faltantes.
Explotar una vulnerabilidad en una aplicación o en el sistema operativo.
Los atacantes interfieren con los registros usando las siguientes técnicas:
* Desactivar el registro. Algunos mecanismos de registro pueden ser neutralizados por administradores simplemente corriendo un comando en el servidor de la base de datos. Esta es la forma más fácil de evitar algunos mecanismos de registro.
* Interceptar y modificar los mecanismos de registro. En la mayoría de sistemas de administración de bases de datos (DBMS), es posible extender la funcionalidad cargando librerías externas. Estas librerías tienen código que puede ser ejecutado dentro del proceso del servidor de base de datos. Como resultado, el código tendrá acceso sin restricciones a toda la memoria del proceso y los componentes de la base de datos, permitiendo a un atacante manipular registros a voluntad. El atacante será capaz de modificar la memoria del servidor de base de datos para interceptar y evitar el registro, insertar puertas traseras, raptar sesiones de usuario, etcétera.
* Personificar otros usuarios de la base de datos. Debido a que algunas DBMS permiten que usuarios privilegiados ejecuten comandos bajo diferentes cuentas de usuario, es posible personificar a cualquier usuario. Cuando los registros son revisados después de un ataque, apuntarán a un usuario inocente y enviarán investigadores forenses tras falsas pistas.
* Abusar del diseño del mecanismo de registro. Con algunos servidores de base de datos es posible borrar y/o sobreescribir registros. Algunos mecanismos de registro están diseñados para reutilizar espacio de registro después de que se cumplen ciertas condiciones. El espacio de registro también puede ser reducido con comandos específicos, forzando a las más antiguas entradas de registro a ser borradas y/o sobreescritas. Los atacantes pueden forzar estas condiciones o ejecutar comandos para borrar y/o sobreescribir entradas de registro.
Tener capacidades completas de revisión de derechos del usuario le asegurarán que tenga los controles de acceso apropiados en su lugar, las características de seguridad activadas, los parches de seguridad aplicados y un reforzado uso de contraseñas fuertes. Al asegurar que sus bases de datos están propiamente aisladas, puede bloquear la entrada de un atacante externo en su sistema o la habilidad de un atacante interno para incrementar sus privilegios en un sistema al que tiene legítimo acceso.
Administración integrada de las vulnerabilidades en la base de datos
Hay muchas soluciones disponibles para ayudar a las organizaciones a defenderse, pero las opciones son complicadas, de modo que es esencial desarrollar un programa completo de administración de las vulnerabilidades. Debido a que los atacantes están buscando datos que puedan vender, y que la información confidencial pasa 99% de su tiempo en una base de datos, es claro que allí es donde debería estar el foco.
El primer paso para crear una estrategia completa de seguridad y cumplimiento de estándares a nivel de la base de datos, es descubrir los activos de su base de datos. Por ejemplo, si sucede un ataque, sus estrategias de solución crecen mucho más engorrosas si no está seguro de exactamente cuántos ejemplos de bases de datos tiene. ¿Hay múltiples copias de esas bases de datos? ¿Hay bases de datos no descubiertas?
Un proceso de descubrimiento integral no solo lo ayudaría a comprender lo que tiene que proteger, sino que lo ayudaría a priorizar qué hacer con esas instancias que contienen los datos más sensibles. Debido a que un atacante puede tomar el control de un sistema de baja prioridad, pobremente protegido, y usar ese acceso como una base de lanzamiento para ganar acceso a un sistema de alta prioridad, es clave proteger todo lo que está conectado a su red.
Controlar el acceso: limite roles y privilegios
Un componente crítico al proteger información corporativa sensible es asegurar la separación de deberes en la base de datos.
La mayoría de organizaciones no tiene idea de quién tiene acceso a qué datos, y esto los hace vulnerables a criminales internos maliciosos. También significa que están enfrentando potencialmente un estado de no cumplimiento si fueran auditadas.
Tener una visión íntegral de todos los derechos, roles y privilegios del usuario a lo largo de la empresa, permite a los equipos de auditoría interna y a las organizaciones de TI identificar cómo fueron obtenidos ciertos privilegios dentro de un rol particular -y las vulnerabilidades potenciales creadas con la simple existencia de ese rol. Por ejemplo, si una persona de recursos humanos deja una compañía, probablemente aún haya un rol que fue creado para ese ex empleado en bases de datos específicas. Vale la pena examinar ese rol para ver el nivel de acceso, qué tan crítica es la información almacenada e iniciar pasos para asegurar que ese rol sea eliminado.
No solo es esto un componente importante del ciclo de vida de la administración de vulnerabilidad, sino que demostrar la separación de deberes es un componente crítico de muchos mandatos de cumplimiento, incluyendo el Acta Sarbanes-Oxley, el Acta de Portabilidad y Responsabilidad de Seguros de Salud y otras.
Sepa lo que están haciendo
Otra parte integral para desarrollar un programa integral de administración de la vulnerabilidad es implementar el monitoreo de actividad del usuario de la base de datos, que detectará ataques de tipos variados. Preservar la evidencia del ataque en un repositorio protegido fuera del alcance de un hacker, ayuda a establecer un poderoso frente contra atacantes que están aplicando métodos anti -forenses.
El monitoreo de bases de datos (DAM, por sus siglas en inglés) tiene que ver con usuarios privilegiados de base de datos que pueden manipular esta funcionalidad, monitoreando la salud y desempeño de la misma para evitar y/o desactivar el monitoreo como se explicó previamente. A estos usuarios privilegiados se les da por definición acceso a las zonas más profundas. Incluso en un ambiente fuertemente asegurado, la confianza y la verificación dirigen la necesidad de DAM en cualquier sistema.
DAM podría ser realizado usando herramientas de terceros que puedan rastrear toda la actividad de la base de datos basándose en políticas predefinidas. Cuando estas herramientas detectan actividad sospechosa -como procedimientos anti forenses- pueden disparar alertas, bloquear la actividad actual, grabar la sesión entera, etcétera. Cuando estas herramientas no son parte (no dentro) del servidor de base de datos, también pueden monitorear de manera cercana las actividades de los administradores de base de datos.
El monitoreo basado en red puede monitorear múltiples bases de datos de manera concurrente, pero no puede ver tráfico encriptado o monitorear sesiones locales (por ejemplo, un administrador de base de datos usando SSH para conectarse remotamente y luego conectarse localmente al servidor de base de datos). Las herramientas basadas en el anfitrión pueden monitorear sesiones locales y remotas, pero solo puede monitorear bases de datos corriendo en el mismo servidor.
Ya que los casos de hackeo de bases de datos que involucran sofisticados procedimientos anti forenses continúan ascendiendo, estos ataques requerirán contramedidas igualmente sofisticadas. Entender los fundamentos del análisis forense y las técnicas que los hackers usan para hacer fracasar a éstos, son esenciales para los profesionales responsables de proteger la integridad de los datos corporativos.
Los equipos de seguridad proactivos que establecen una línea de base de controles y separación de deberes a nivel de base de datos, y entregan la mezcla correcta de seguridad de base de datos integral, así como soluciones de riesgos y cumplimiento, serán capaces de proteger las joyas de la corona de las organizaciones: datos corporativos.
Cesar Cerrudo, Network World (US)
Cerrudo es un Investigador del Equipo SHATTER con Application Security