Llegamos a ustedes gracias a:



Reportajes y análisis

Hackeando con seguridad

[03/08/2010] Desafortunadamente existen personas que utilizan su inteligencia para causar daño. Los hackers de sombrero negro se encuentran entre ellos; estos genios del mal buscan ingresar a los sistemas informáticos de empresas y organizaciones ya no por el inofensivo gusto de demostrar que podían hacerlo sino para ganar dinero. ¿Qué tan fuertes son los sistemas contra estos individuos?  ¿Hasta dónde se puede llegar?

Quizás la forma más segura de responder a esta pregunta sea acudiendo a los Némesis de los delincuentes, a los hackers de sombrero blanco (por oposición a los primeros) que se encargan de realizar el llamado hacking ético, aquel que busca probar la fortaleza de los sistemas de defensa de su empresa tratando de vencerlos.
Ese es el camino profesional que escogió Gabriel Lazo y su socio Raúl Díaz, directores de EnHacke, firma dedicada a la seguridad informática, y que los ha llevado a crear metodologías con nombres impactantes como NinjaSec para sus auditorías de seguridad. Ambos, a través de la Red -no podía ser de otra forma-, contactaron con Antonio Ramos de España, autor de varios libros sobre Seguridad y Hacking Ético Corporativo, y realizaron un seminario llamado Primer Evento Peruano – Español de Seguridad de la Información para los Negocios, en el cual estuvimos presentes y tomamos nota de la creciente importancia de esta ya no tan nueva actividad.
Peligro: El Hacking de Sombrero Negro
De acuerdo a Lazo las principales preocupaciones en seguridad informática en las empresas es la pérdida de datos, seguida de la presencia de malware en su organización, y de la vulnerabilidad del software y los sistemas. En año anteriores esta preocupación era menor pero ha ido creciendo, sin embargo, paradójicamente se sabe que más de la mitad de las empresas invierte menos del 5% de su presupuesto a la seguridad informática.
Lazo también señaló que los estudios muestran que para el 2012, el 60% de los servidores virtualizados serán menos seguros debido a que la seguridad no es una de las prioridades en la implementación de los proyectos de virtualización.
Pero además de todas estas singularidades de la industria, se debe de tomar en cuenta el problema del Black Hat Hacking o Hacking de Sombrero Negro. Muchas personas no prestan atención a esto porque piensan que es un mito. Pero un atacante lo suficientemente determinado y con los conocimientos necesarios puede entrar prácticamente a cualquier organización en la actualidad. Ejemplo: Google, que sufrió uno de los ataques más grandes que se ha visto en los últimos tiempos; Yahoo, y NASA.
¿Quiénes son estos atacantes? Hay varios tipos. Uno de ellos son los script kidies que son personas que tienen un conocimiento básico o medio que no logran realizar ataques sofisticados pero que sí logran lanzar herramientas automáticas para sus ataques, con la esperanza de romper la seguridad de su objetivo. De no lograrlo, pasan a un siguiente objetivo.
En realidad, estos individuos no son muy de temer. Los verdaderos peligros están conformados por aquellas personas que se encuentran en los foros de hackers, y que dedican sus esfuerzos a ganar dinero con su actividad. Son personas con mucho conocimiento pero sobre todo con una dedicación y persistencia inimaginable.
Normalmente nosotros entramos en los canales de venta de tarjetas de crédito o de intercambio de información corporativa, y con ello podemos mostrar cómo es que la gente cambia bases de datos de tarjetas de crédito, señaló Lazo, mostrando una vista de uno de estos canales -aunque se cuidó de tapar ciertas áreas con información sensible.
Lazo mostró los mensajes en los que los hackers ofrecían tarjetas de Estados Unidos y de otros países del norte, y dejó de lado los canales en los que se ofrece material latinoamericano para no herir susceptibilidades de entidades financieras peruanas.
¿Existen hackers en Perú? Bueno, Perú está de moda y se encuentra en la mira de los inversionistas, y, desafortunadamente, de los hackers. En los foros, los hackers comienzan a intercambiar información sobre las nuevas empresas que se crean y sobre las falencias en la seguridad que tienen sus sistemas. Por tanto, en los foros ya se ve gente interesada en el Perú, delictivamente hablando.
Una prueba de esto es la presencia de botnets en el país. Aunque aún no se han detectado centrales de botnets en el Perú, sí se ha detectado su uso con fines maliciosos. De hecho, hay un alquiler de botnets, botnets as a service, indicó Lazo, en Internet, y mostró la página de inicio -con la caricatura de un ladrón enmascarado- de un sitio de alquiler de botnets (el Sistema de Administración de PCs Zombies) en el cual solo bastaba ingresar el usuario (en realidad dice ratero) y clave proporcionada previo pago para poder usar la red conformada, según dice el sitio, por más de 12 mil PC, 5 mil de las cuales se encontraban prendidas al momento de la muestra.
Análisis forense
¿Hasta dónde se puede llegar? Antonio Ramos, el socio del otro lado del Atlántico, señaló que se puede llegar muy lejos, incluso más allá del ámbito de las empresas. ¿Ciberguerra? Sí, lo que parecía ser un tema de ciencia ficción fue portada hace poco tiempo de la revista The Economist.
Ahora se describen como probables amenazas del futuro escenarios de guerra informática, e incluso ya se habla del Quinto Dominio: la Red, que se añade a la Tierra, Mar, Aire y Espacio, como zona de conflicto. Pero quizás esta preocupación por el ataque externo nos puede hacer olvidar la seguridad hacia dentro de las propias organizaciones.
Ramos es experto en este campo, su especialidad, el Analisis Forense Informático, suena como una actividad propia de médicos, pero es un paso fundamental para poder defenderse contra las amenazas propias de nuestros tiempos. Su trabajo consiste en saber cómo enfrentar el fraude interno corporativo, el más común, pues el enemigo muchas veces está dentro de la propia organización.
Lo primero: tener una metodología acorde con la legislación. Quizás suene rudo decirlo pero hay que seguir los pasos necesarios como para que las pruebas que se encuentren contra un cibercriminal interno puedan no solo llevarlo a juicio sino a prisión. Una mala metodología podría ocasionar que un juez descarte todo lo investigado.
Considero que en el fraude interno en las empresas éstas tienen un desconocimiento de los servicios para protegerse contra ellos, y de qué es lo que se debe pedir antes de pagar, sostuvo Ramos.
La auditoría forense es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal, agregó el ejecutivo.
Las herramientas no son importantes, lo verdaderamente importante es el procedimiento, que no se debe romper pues debe ser sostenible ante un tribunal. La misión es buscar evidencias y para ello hay técnicas entre las cuales se puede incluir: la reconstrucción del bien informático, el examen de datos residuales, la autenticación de datos, y la explicación de las características técnicas del uso aplicado a los datos y bienes informáticos.
Generalmente, el análisis forense es un proceso reactivo pero Ramos señala que prefiere actuar proactivamente, antes que el fraude se produzca. Lamentablemente, muchas de las organizaciones no consideran a la seguridad un tema importante hasta que son víctimas del fraude. El proceso reactivo es entonces el más común.
A pesar de ello es útil, muy útil. Ramos señala que conoce casos de empresas que tenían la certeza de que uno de sus empleados les estaba realizando algún tipo de fraude y fue el análisis forense el que les permitió, gracias al uso de una metodología apropiada, poner fin al problema de una manera aceptable para la organización.
Esto no implica lograr las pruebas necesarias para ir a un juicio, pero sí lo necesario para presionar al delincuente a que se retire dejando el menor daño posible a la organización. Ramos señala que de su experiencia ha visto que solo uno de cada seis casos llegan a una corte. Los abogados de la parte acusada, cuando ven una carpeta de peritaje. dicen inmediatamente negociemos, sostiene Ramos.
Pero ¿en casos es qué se realiza el análisis forense? Cuando se sospecha de actos no autorizados dentro de la organización, se realizan ataques contra los sistemas informáticos de la propia organización, se produce sustracción de información sensible o confidencial de la organización, o cuando se intenta probar autorías o no autorías ante una acusación.
¿Por dónde comenzar? Analizando los dispositivos de almacenamiento en búsqueda de evidencias. Para ello, Ramos señala que toda empresa que contrata este servicio debe asegurarse que el que se lo proporciona debe seguir los siguientes pasos: identificación, preservación, recuperación y análisis, presentación de resultados objetivos, y destrucción segura del bien clonado.
El último paso es de vital importancia pues la empresa debe asegurarse que la firma que le proporcionó el servicio de análisis forense ha destruido luego, de manera segura, los bienes informáticos que clonaron para investigarlos.
El primer paso, la identificación, debe hacerse con calma. Las personas generalmente en casos de fraude pierden la calma y desean que se comience a recuperar datos inmediatamente, y eso es imposible, señala Ramos. Si no se tienen datos de lo que ha sucedido, los nombres de las personas involucradas u otros parámetros en la investigación no tendría límites. Si no se identifica el problema con parámetros como palabras clave, cuentas de correo, nombres de personas, el trabajo es imposible. Se debe acotar la investigación. ¿Quién puede leer 24 mil correos electrónicos? Nadie, sostuvo Ramos.
La preservación es el siguiente paso. Los dispositivos sospechosos se incautan y se genera una cadena de custodia, que nunca se puede romper. Si se demostrara que un dispositivo de almacenamiento en algún momento ha podido ser cambiado, la investigación se viene abajo. Por ello el bien informático se tiene que llevar ante un notario y se clona el dispositivo frente a él para poder trabajar con el clon del dispositivo.
Para este procedimiento hay máquinas especializadas como las HardCopy II o HardCopy III que son utilizadas por las fuerzas de seguridad para clonar los dispositivos. Estas máquinas clonan a nivel electrónico (no mediante software) los bienes informáticos a gran velocidad, e incluso Ramos mostró otra máquina (Shadowdrive) que pueden realizar el mismo trabajo pero en caliente, usada cuando la máquina no se puede detener. Estas máquinas son costosas pero avalan el trabajo de clonamiento que se realiza.
Cuando estas máquinas terminan su trabajo, se genera una cifra que es la que el secretario judicial va a observar: el checksum. Ésta es un número que se utiliza para salvaguardar la integridad de los datos. Cuando un dispositivo se clona bit por bit electrónicamente, se genera este checksum que viene a ser el equivalente al ADN del dispositivo. El clon y el original deben tener el mismo checksum.
La recuperación y análisis es otro de los pasos. Es evidente que si alguien ha realizado actos fraudulentos podría tener el cuidado de destruir las evidencias de ellos. Entonces, hay que intentar recuperar todo aquello que haya podido ser borrado. Y aquí la recomendación del experto fue utilizar más de una; los algoritmos de recuperación deberían trabajar igual pero eso no sucede, diferentes algoritmos pueden ofrecer resultados distintos.
Aquí se pueden utilizar herramientas de código libre como Autopsy, o software comercial como EnCase, utilizado por Scotland Yard y conocido por todos los jueces de Europa.
Ramos señala que estas herramientas son tan potentes que incluso podrían recuperar datos que se hayan enviado a través de webmails (Hotmail, Yahoo, Gmail), incluyendo los adjuntos.
La segunda parte de este paso es el análisis. Con estas herramientas se puede recuperar cadenas de caracteres, fechas, horarios, palabras clave; acciones específicas del o los usuarios de la máquina (uso de dispositivos USB); archivos específicos; correos electrónicos; sitios visitados (aunque haya borrado el historial y el cache de la máquina); y así todo tipo de evidencias que Ramos señala deben ser guardados escrupulosamente en orden.
¿Cuánto dura el proceso? De tres a cuatro semanas, así que el cliente debe saber que no es algo que se pueda hacer inmediatamente.
El cuarto paso es la presentación de los resultados. Lo más importante es que el informe sea humano, que sea entendible incluso por un neófito. El informe es el otro 30% del trabajo, y si es complicado puede echar abajo el caso ante el juez. El informe además, debe cubrir paso a paso lo acontecido, las pruebas encontradas y la metodología utilizada.
El último paso es la destrucción segura del bien clonado. El clon debe ser devuelto o destruido. Y para ello se requiere de aplicaciones que no solo destruyen el clon sino que emiten un certificado del proceso.
Ramos señaló que el borrado no es sino la sobreescritura de ceros y unos sobre el material clonado de forma electrónica, y no solo una sino hasta tres veces para asegurar la efectividad del borrado. Los certificados señalan el algoritmo de borrado y la cantidad de pasadas que se realizaron.
Ese borrado seguro se denomina wipear, entre los entendidos; y lamentablemente también es un procedimiento que utilizan los que comenten fraudes en las empresas para borrar las pruebas de sus delitos. En Internet hay para descarga un programa llamado CleanReg, que tiene un modulo de borrado seguro con los algoritmos oficiales que usa la marina de Estados Unidos. El proceso es lento pero seguro. Con tres pasadas los datos son irrecuperables, salvo que sean enviados al FBI que cuenta con un microscopio electrónico que puede recuperar datos borrados con siete pasadas.
Es bueno que se acostumbren a borrar documentos sensibles suyos o de la empresa con estas herramientas. Si donan las computadoras de la empresa, por ejemplo, tienen que someterlas a un borrado seguro, sostuvo Ramos.
Son cinco los pasos que ha definido Ramos para llevar a cabo un buen análisis forense y, por tanto, una mejor salvaguarda de la información.
¿Alguna vez le hablaron de ellos?
Jose Antonio Trujillo, CIO Perú