Llegamos a ustedes gracias a:



Reportajes y análisis

¡Frustrado! 15 trucos para contener a los hackers

Para erradicar a los hackers persistentes a veces tiene que tener un poco de creatividad

[29/05/2017] Los piratas informáticos maliciosos tienen reputaciones excesivas. Son súper genios que pueden adivinar cualquier contraseña en segundos, hackear cualquier sistema y causar estragos generalizados a través de múltiples redes no relacionadas con una sola pulsación de tecla, o lo que diga Hollywood. Aquellos de nosotros que luchamos contra hackers todos los días, sabemos que los buenos muchachos son generalmente mucho más inteligentes. Los hackers simplemente tienen que ser persistentes.

Cada año, algunos hackers hacen algo realmente nuevo. Pero en su mayor parte, los hackers repiten lo probado y verdadero. No se necesita un súper genio para comprobar si faltan parches o crear un ataque de ingeniería social. Hackear es un trabajo mecánico: una vez que aprenda algunos trucos y herramientas, el resto se convierte en rutina. El trabajo verdaderamente inspirado es el de los defensores de la seguridad, los que hackean con éxito a los hackers.

A continuación, se presentan algunos de los trucos más inteligentes que se utilizan hoy en día por los defensores de la seguridad informática para frustrar a los hackers. Algunas de las trampas son tan buenas que los hackers tienen dificultades para no caer en ellas. Cuando se oye hablar de un gran ataque, lo más probable es que los defensores no implementaron muchos de estos trucos y fueron vulnerados a causa de ello.

Hágalo con datos

La defensa basada en datos ha existido durante años. Pero el concepto de usar datos para detectar, definir y remediar las amenazas mejoró en los últimos años, con casi todos los proveedores de seguridad informática subiéndose al coche. Aquí, la nube ha ayudado, por lo que es relativamente fácil de recopilar y analizar grandes cantidades de datos. Pero la principal mejora ha sido un nuevo enfoque en los datos que creamos.

Empresas como CrowdStrike, FireEye, CounterTack y ThreatMetrix, ofrecen productos que analizan los flujos de datos de red teniendo en cuenta las conexiones salientes a redes malas conocidas, o cualquier familia de amenazas persistentes avanzadas (APT, por sus siglas en inglés) que puedan tener en su entorno. Productos de proveedores, como Advanced Threat Analytics de Microsoft, pueden determinar si un hacker está intentando robar su base de datos de credenciales de inicio de sesión y, en caso afirmativo, cuánto tiempo han estado en su entorno. Hay empresas que pueden detectar rápidamente spam, intentos de phishing y malware simplemente observando la actividad en sus decenas de miles de nodos gestionados en todo el mundo. Pueden ver patrones regionales y globales que una empresa no puede detectar. Si no está incorporando datos en sus prácticas de seguridad, es hora de hacerlo.

Haga tambalear a los hackers con datos engañosos

Salpique los sistemas internos de la empresa con un poco de datos falsos, y deje que los hackers tomen el cebo. Esa es la idea detrás de los datos engañosos. Después de todo, es muy difícil detener cada fuga de datos, e igualmente difícil de buscar todos los datos de una manera que no resulte en demasiados falsos positivos. En su lugar, monitoree sus redes internas, utilice software de prevención de fugas de datos (DLP, por sus siglas en inglés) y sitios externos para detectar fugas de sus datos falsos y atrapará a los hackers.

Uno de mis temas de datos falsos favoritos fue llevado a cabo por un hospital, que creó falsos pacientes con nombres de miembros del grupo de rock Kiss, pero con ortografías ligeramente diferentes y falsas iniciales al medio. Solo los miembros clave del equipo de TI y la dirección sabían que Ace J. Freelee, Gene H. Symmons, Petre L. Chriss y Paulie S. Stanlee no eran pacientes reales.

Sembrar su red con honeypots

Los honeypots llevan los datos engañosos al enésimo grado. Son activos falsos colocados en la producción, donde cada pedacito de datos es falsificado. Servidores, clientes, dispositivos de red: un honeypot puede ser cualquier cosa. Una vez configurado, cualquier persona que toque su honeypot debe ser investigado por malicia. El contrario exacto de casi cada defensa de seguridad de computadora tradicional, los honeypots son de alto valor y bajo ruido.

Empresas como Cymmetria y KFSensor ofrecen honeypots comerciales, y existen decenas de alternativas de código abierto. O simplemente puede usar un activo antiguo que de otro modo se jubilaría. Estos se verán más realistas para los hackers, simplemente porque ha declarado que no son de la producción sin sacarlos de la producción.

Siga los sitios de publicación de hackers

Para mantenerse un paso adelante de los hackers, vale la pena saber lo que están haciendo. Al seguir los populares sitios de publicación de hackers como Pastebin o sitios en la web oscura, obtendrá información sobre nuevas hazañas, e incluso verá información robada de intrusiones. Si los depósitos de datos de los hackers incluyen sus datos engañosos, sabrá que su empresa ha sido vulnerada. Esta es una gran estrategia de detección que le dará tiempo para cerrar agujeros, rastrear a los atacantes y preparar la administración para cualquier anuncio público resultante. Empresas como HoldSecurity incluso monitorean los sitios de hackers por una tarifa fija.

Esto no es solo reactivo. Puede utilizar los datos de hackers publicados de forma proactiva, incluso si su organización no ha sido hackeada. Por ejemplo, muchas publicaciones de hackers incluyen decenas de miles de nombres de inicio de sesión y contraseñas, a menudo a las redes sociales y otros sitios populares de los consumidores. Puede valer la pena examinar los datos para encontrar cuentas de correo electrónico de los empleados o nombres de inicio de sesión, y luego probar las contraseñas encontradas en comparación con las utilizadas en la red de su empresa. Si coinciden, dígale al empleado que cambie su contraseña y recuerde que no debe reutilizar contraseñas de la empresa en sitios web no afiliados. Una vez más, hay empresas que harán esto por una cuota.

Marque a los hackers mediante la creación de cuentas de correo electrónico falsas

Al igual que con los datos engañosos, puede crear cuentas de correo electrónico falsas que no se puedan buscar desde fuera de la empresa y no se incluyan en ninguna lista de grupos. De esta manera solo pueden ser alcanzados por fuentes internas y no son utilizadas por nadie o están asociadas con ninguna cuenta real. Supervise cualquier caso de correo electrónico enviado a estas cuentas, especialmente desde fuera de la empresa. No debe recibir ningún correo electrónico, así que cualquier mensaje enviado a él es spam o indica que alguien ha comprometido su sistema de correo electrónico.

Lleve a los malos actores hacia agujeros negros y vigile su actividad

Los agujeros negros tienen un pedigrí de seguridad probado hace mucho tiempo. Al crear una ubicación en la que se desvía una actividad de hackers una vez detectada, puede asegurarse de que no causen ningún daño. A lo largo del camino, puede ralentizarlos mediante la creación de límites artificiales para llevar su actividad a un arrastre. Puede crear un agujero negro utilizando los servicios de administración de DNS o de dirección IP, y cuando un hacker (o malware) pide un nombre DNS o una dirección IP inexistente, como al escanear un rango de direcciones IP, su servicio desviará al hacker hasta un agujero negro configurado con cualquier número de trucos de rendimiento negativo, como latencia severa, corrupción de paquetes, retransmisión y fragmentación de súper paquetes.

El agujero negro funciona como cualquier otro dispositivo legítimo o software, respondiendo por la espera y pidiendo tres veces para todo. Al salpicar sus agujeros negros con honeypots, puede aprender más sobre las intenciones de su hacker. La lentitud artificial también puede ayudarle a rastrear el origen del hacker o del malware. Pero recuerde, los agujeros negros deben configurarse apropiadamente para garantizar que servicios legítimos que pregunten accidentalmente por nombres DNS inexistentes o direcciones IP no terminen siendo enviados a un agujero negro.

Vaya a la ofensiva

Una zona éticamente gris que es ilegal en muchos países, el hacking ofensivo puede ser el mejor truco de un defensor para frustrar a actores maliciosos. Muchos de ustedes probablemente ya se han cansado de soportar ataques después de un ataque, especialmente de un hacker persistente. Si pedirles que dejen de funcionar no funciona, algunos defensores creen que no solo es ético, sino que es necesario sacar a un hacker persistente con un ataque preventivo. Considere Stuxnet, el ejemplo más visible y exitoso de esto, que sacó varias centrifugadoras iraníes. Puede que no sea legal o visto como ético, pero funcionó.

El hacking ofensivo ocurre todo el tiempo en escenarios pequeños y privados. Hay incluso compañías que puede emplear, herramientas que puede utilizar, y honeypots que automatizan capacidades ofensivas de la incursión. Todavía no he visto a un hacker, cuando fue hackeado por su objetivo previsto, que no haya estado sorprendido.

Establezca trampas 'de oro'

En un movimiento similar al hacking ofensivo y los datos engañosos, puede crear un bocado de aspecto sabroso que, cuando se abre, revela la verdadera dirección IP e identidad del hacker. A menos que el hacker abra la trampa en un entorno desconectado o haya bloqueado todo el tráfico saliente, lo que nunca hacen, entonces la información necesaria se obtiene y es enviada de nuevo a usted.

He conocido a más de unos cuantos piratas informáticos que se cansaron de un hacker que estaba tratando de hackearlos, así que dejaron que el tipo malo "hackeara" el sistema falso y llevara a casa el supuesto premio máximo. En su lugar, cuando lo abrió, la trampa disparó y formateó su disco duro o eliminó todos sus archivos. No es bonito, pero es efectivo.

Tire de la lana sobre los ojos del hacker con trucos de parcheo

Si es responsable de enviar parches, sabes lo complicado que puede ser. Tiene que parchar todas las vulnerabilidades críticas de una manera oportuna, pero tan pronto como libera el parche, es inmediatamente ingeniería inversa para localizar el exploit. Y debido a que la mayoría de las empresas se sientan en los últimos parches, si es que los aplican en absoluto, cualquier parche se convierte en una pasarela de hackers en sistemas vulnerables.

Si proporciona parches a los clientes, es posible que desee considerar el siguiente truco. Uno de mis empleadores una vez se enfrentó a un agujero tan grande que hizo virtualmente vulnerable a cada aplicación. El daño a nuestro ecosistema después de lanzar el parche sería enorme, por lo que decidimos liberar el parche "oculto" dentro de algunos otros parches distribuidos a lo largo de los meses. Cualquier hacker de ingeniería inversa que mirara dentro de un parche vería lo que parecía ser "bytes" no relacionados, y toda la imagen saldría después de que todos los parches fueron distribuidos y aplicados (e incluso entonces probablemente pasarían desapercibidos). Esta táctica ha sido utilizada por muchas compañías desde entonces.

Cierre los sistemas con cero administradores

Durante décadas, ser administrador de root, administrador local o administrador de dominio ha sido el Santo Grial de la piratería. Pero, ¿y si no hubiera cuentas de administrador o root? No se puede robar algo que no existe.

En lugar de apegarse a la tradición, mejor tener "cero admins" vaciando todos los grupos altamente privilegiados de cualquier miembro permanente. Con esta estrategia, los administradores funcionan como usuarios no privilegiados y, cuando necesitan realizar una tarea administrativa, solicitan una cuenta o una sesión altamente privilegiada sobre la marcha que ha sido limitada en el tiempo, limitada a tareas o limitada por dispositivos, requiriendo una nueva contraseña cada vez. Si un atacante la roba, es inútil.

Estas credenciales de una sola vez, con sus derechos mínimos y permisos (llamados "just enough admin" o suficientes para administrar), son muy eficaces. Debido a que las credenciales deben ser solicitadas y justificadas, y pueden ser fácilmente auditadas. Puede ser difícil deshacerse de todos los administradores permanentes en su entorno, pero tener tan cerca de cero como sea posible, estará mucho más seguro.

Asegure sus estaciones de trabajo administrativas

Asegurar estaciones de trabajo administrativas, también conocidas como SAWs o PAWs, son otra opción para reducir en gran medida el riesgo de ataque malicioso. Haga que todos los administradores utilicen computadoras súper seguras (reales o virtuales) para realizar todas las tareas de administración: las computadoras que no pueden conectarse o recibir conexiones desde Internet, requieren autenticación de dos factores y un conjunto muy limitado de programas incluidos en la lista blanca. Al crear un lugar altamente seguro para que los administradores puedan realizar tareas administrativas, es improbable que los hackers en las estaciones de trabajo comprometidas habituales obtengan credenciales especiales.

Hackee su propio código

Los mejores desarrolladores hackean su propio código, así como piden a personas de su confianza o contratan a profesionales para que lo hagan. Puede hacerlo manualmente o mediante una herramienta de revisión de código. No importa cómo lo haga, no deje que un hacker malintencionado sea el primero en intentar romper su código. Muchas de las organizaciones más grandes del mundo están ahora a bordo con piratería de sombrero blanco y ofrecen programas de recompensas, a menudo con cientos de miles de dólares, en premios en efectivo.

Estar en foros secretos de hackers

Los hackers solían reunirse en sitios web públicos para discutir y tratar, pero después de unas cuantas detenciones, se dieron cuenta de que los foros privados solo por invitación son el camino a seguir. El requisito de la invitación, de otro hacker de confianza, está destinado a garantizar que usted es un hacker malicioso legítimo.

Desafortunadamente para estos foros (pero afortunadamente para nosotros), la policía y otros defensores son miembros rutinarios de estos lugares supuestamente privados. A veces la membresía se obtiene convirtiendo a un hacker previamente arrestado en un agente, o asumiendo su cuenta; otras veces el sitio de hackers no puede rechazar el dinero ofrecido por un nuevo extraño. De cualquier manera, si puede ingresar en un foro secreto de hackers, puede obtener una idea de lo que los malos están haciendo y compartir esa información con otros defensores.

Siga a su hacker para exponer su verdadera identidad

Desenmascarar la identidad real de un hacker malicioso es una gran manera de detenerlos. Nadie lo hace mejor que Brian Krebs. Utiliza las búsquedas de DNS, los registros de dominios y una lista cuidadosamente vinculada de varias identidades falsas de un hacker en el tiempo. En algún momento en el camino, el hacker se deslizará hacia arriba y revelará su nombre real o un correo electrónico de origen o un sitio de medios sociales que utilizaron antes de que fueran completamente de sombrero negro. A partir de eso, Brian ha sido capaz de revelar una imagen sonriente de ellos en Facebook, o en Disney World con su familia.

Las investigaciones de Brian y sus revelaciones posteriores son algunas de las mejores historias de investigación criminal que leerá. Deles una lectura, aprenda del amo, y comience a cazar.

Atraiga a su hacker a un lugar físico para su arresto

Nunca se recomienda hacer frente a un hacker directamente en persona, pero si puede hacer que se involucre la fuerza de la ley, puede ser una estrategia segura para resolver su problema. Por mucho tiempo sabemos quién es nuestro hacker, pero no podemos arrestarlos. A menudo es porque nuestras órdenes de captura no funcionan en el país en el que reside nuestro hacker. Las compañías de seguridad y los vendedores con mandatos pendientes a veces esperarán a que sus objetivos tomen unas vacaciones o se conecten a través de un país que apoya sus capturas, y cuando la persona aparece, los arrestan.

Pero uno de los mejores métodos para atraer a un hacker a un arresto es invitarlos a una entrevista para un gran trabajo (falso) y, en el caso de los hackers fuera de su jurisdicción, en un lugar en un país que apoye su captura. Los piratas informáticos, tal vez buscando legitimarse después de años de delito, a menudo aparecen, y se les puede convencer para que muestren su habilidad de élite. En algunos casos, las claves y contraseñas secretas de los hackers han sido capturadas utilizando esta táctica. Ellos se emocionan pensando que han conseguido una entrevista de trabajo, y en su lugar han filtrado sus secretos y han sido capturados en el proceso.

Parte de mí se siente mal por estos hackers. Estaban tratando de ser legítimos. Entonces, ¿quién sabe si hubieran permanecido en el lado bueno? Además, cuando salen de la cárcel, si realmente se han reformado, todavía pueden obtener un nuevo trabajo increíble en el lado correcto de la división de defensores/hackers.