TEST DE INTRUSIÓN vs ANÁLISIS DE VULNERABILIDADES: ¿Cómo elegir la mejor opción?
Cuando se trata de evaluar la seguridad de un sistema y/o red, existen diferentes servicios que pueden ayudar a identificar posibles brechas de seguridad y debilidades. Dos de los servicios más comunes son el test de intrusión y el análisis de vulnerabilidades. Aunque estos dos servicios comparten objetivos similares, hay diferencias significativas entre ellos que pueden afectar la decisión de cuál es la mejor opción para una organización en particular. Test de intrusión: la simulación de un ciberataque real El test de intrusión es un servicio de evaluación de ciberseguridad más detallado y personalizado que el análisis de vulnerabilidades. A diferencia del análisis de vulnerabilidades, que se enfoca en identificar vulnerabilidades conocidas, el test de intrusión busca simular un ciberataque real para identificar brechas de seguridad específicas que pueden ser explotadas por atacantes reales. Se podría decir, que el test de intrusión completa al análisis de vulnerabilidades añadiendo una fase más; la fase de explotación de vulnerabilidades. Los tests de intrusión son realizados por especialistas en seguridad que utilizan herramientas y técnicas manuales para identificar vulnerabilidades en el sistema y evaluar el riesgo de explotación. Estos especialistas intentan explotar las vulnerabilidades identificadas y evalúan la respuesta del sistema o red, lo que permite una identificación del riesgo general más completa e identificar los falsos positivos propios del análisis de vulnerabilidades. El test de intrusión es más invasivo y costoso que el análisis de vulnerabilidades, pero también proporciona información más detallada y precisa. Análisis de vulnerabilidades: la búsqueda de vulnerabilidades conocidas El análisis de vulnerabilidades es una evaluación automatizada y exhaustiva de sistemas o redes en busca de posibles vulnerabilidades y debilidades de seguridad. Los análisis de vulnerabilidades están basados en herramientas automáticas, que con un poco de parametrización, consiguen encontrar vulnerabilidades conocidas en los activos tecnológicos, y generan informes de los resultados. El análisis de vulnerabilidades es menos invasivo que el test de intrusión, ya que se enfoca en buscar vulnerabilidades conocidas sin intentar explotarlas. Sin embargo, esta evaluación puede proporcionar una visión general útil del riesgo asociado a los activos tecnológicos, especialmente si se realiza regularmente para identificar vulnerabilidades nuevas y actualizaciones pendientes de seguridad. ¿Cómo decidir entre el test de intrusión y el análisis de vulnerabilidades? Para decidir entre el test de intrusión y el análisis de vulnerabilidades, es importante considerar la naturaleza de los sistemas o redes que se están evaluando y los objetivos de seguridad de la organización. Si la organización maneja información crítica y sensible, como datos personales de clientes o información financiera, un test de intrusión puede ser la mejor opción para evaluar y planificar la mejora de tus sistemas. El test de intrusión es especialmente útil si la organización ha sufrido ataques en el pasado y desea identificar y solucionar vulnerabilidades antes de que sean explotadas por atacantes reales. Por otro lado, si la organización busca satisfacer los requisitos de seguridad de sus clientes o desea cumplir con un requisito de una certificación de seguridad, un análisis de vulnerabilidades puede ser suficiente. Además, el presupuesto y la disponibilidad de recursos también pueden influir en la decisión. Si la organización tiene un presupuesto limitado y desea obtener una evaluación rápida y automatizada, un análisis de vulnerabilidades puede ser la mejor opción. Por otro lado, si la organización tiene recursos y tiempo para una evaluación más detallada y personalizada, el test de intrusión puede ser más preciso y completo. Conclusión El test de intrusión y el análisis de vulnerabilidades son servicios de evaluación de ciberseguridad con diferentes enfoques y resultados. La elección entre uno u otro depende de la naturaleza de los sistemas o redes que se están evaluando, los objetivos de seguridad de la organización, el presupuesto y la disponibilidad de recursos. En mi opinión, lo más importante para tomar esta decisión es apoyarte en un especialista en ciberseguridad que pueda asesorarte de manera personalizada. Recuerda, empezar a evaluar el estado de la seguridad de tus sistemas y redes es vital para desarrollar una estrategia de ciberseguridad eficiente, y sobre todo, efectiva. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com
Hackear con tecnología
En mi último artículo, hablaba de las bondades del hacking sin tecnología, donde explotábamos las debilidades intrínsecas del ser humano mediante ingeniería social. Todo esto es muy bonito y seguro que más de un psicólogo tendría algo que aportar a mis palabras…pero hoy voy a irme al lado opuesto: el uso de la tecnología. No voy a centrarme en ninguna categoría concreta, pero si voy a hacer una especie de menú de degustación para que podáis tener una visión general y seáis vosotros mismos los que decidáis en cual queréis invertir. Normalmente cuando hablamos de esto solemos ceñirnos a un contexto de software y nos quedamos ahí, pero lo que veo que habitualmente no se menciona es la tremenda cantidad de hardware físico que existe para facilitarnos el arte de la intrusión. Suele ser el gran olvidado, y por este motivo creo que un artículo que aporte algo de información puede ser útil a todas las personas que estén interesadas en esta disciplina. Obviamente cada dispositivo es útil en un contexto y aunque suele ser de consenso común el conocimiento de en cual aplicamos cada cacharrito os aseguro que hay gente con una capacidad increíble de encontrar utilidades nuevas continuamente. Dispositivos inyectores de teclado Hay muchos a este respecto actualmente, pero de los primeros en salir al mercado, por no decir el primero, fue Rubberducky de Hak5. Este dispositivo con el aspecto de un simple pendrive permite inyectar comandos simulando un teclado conectado al equipo. ¿Qué significa esto? Significa que si consigues enchufarlo a un puerto USB de la víctima podrás escribir a velocidad de vértigo toda una serie de comandos, scripts o lo que se os ocurra que pueda hacerse con un teclado convencional. Podría pareceros poco, pero imaginad un escenario donde lo llevamos en un bolsillo y en el momento en el que alguien se levanta para ir al baño aprovechamos para conectarlo. Solo necesitamos 1 segundo para abrir una consola de comandos e insertar un usuario administrador en el sistema, incluirlo en el grupo de administradores de escritorio remoto y permitir todas las conexiones en el cortafuegos de Windows. Y quien dice esto dice filtrar hashes ntlmv2, abrir una shell inversa mediante powershell, invocar mimikatz…y un inmenso etcétera de funcionalidades, solo limitadas por vuestra imaginación o capacidades de scripting. Y la guinda del pastel es que a todos los efectos es un teclado. Ningún endpoint va a enfadarse por un teclado ¿verdad? Por muy quisquilloso que sea el antivirus de turno para el solo es una persona escribiendo, no un diabólico software (salvo que nos invoquemos mimikatz desde internet, claro). Originalmente cuando buscábamos un efecto de este calibre teníamos que limitarnos a Rubberducky, pero actualmente han aparecido muchas marcas blancas mediante la denominación Badusb o HID Injector que podéis encontrar en plataformas como Aliexpress o Amazon. Básicamente son clones de Rubberducky con hardware libre y con algunas mejoras. ¿Cuáles son estas mejoras? Si bien antes teníamos que conectar el dispositivo y de inmediato lanzaba su secuencia única de teclado previamente programada, ahora disponemos de algunos que incluyen wifi y nos permiten conectarnos desde una aplicación del móvil para activarlo a voluntad, con espacio de almacenamiento incluido para poder seleccionar el efecto que más nos convenga. Eso abre la posibilidad de simplemente esperar sentado cómodamente a que la persona se despiste y ejecutar el pandemónium en su equipo en el momento adecuado. Keyloggers de hardware Todos conocemos los de software, un programita malvado que instalamos cuando tengamos acceso al equipo en cuestión que registra las pulsaciones de teclado para robar contraseñas, conversaciones privadas y esas cosas que los que amamos la privacidad no nos hace gracia que nos roben. Este tipo de dispositivos hacen la misma labor, pero mediante hardware, donde los molestos antivirus no pueden buscarnos las cosquillas. Los más conocidos son los de Airdrive que únicamente tenemos que poner entre el puerto USB y el teclado como si un extensor se tratase y él ya se encargará de registrar todas las pulsaciones a las cuales podremos acceder cómodamente desde su punto de acceso wifi. Evidentemente debemos esperar un descuido de la persona para poder colocarlo en su lugar y con equipos portátiles no nos sirve de mucho salvo que tengan un teclado conectado, pero en estaciones de trabajo es maravilloso para obtener passwords cuando todo el mundo vuelve de la hora de comer. Drones de intrusión ¿Qué ocurre cuando queremos robar un handshake de una red inalámbrica y en la empresa han hecho bien su trabajo y han reducido el rango de cobertura únicamente al interior de su perímetro? Pues que o lloramos en un rincón o usamos un dron. Si amigos, actualmente hay distribuciones para Kali que funcionan en una raspberry pi mediante ARM y en algún momento alguien pensó “¿un momento…y si ato una a un dron?”. De eso tratan este tipo de proyectos. Pilotas el dron hasta el tejado del edificio, donde tengamos cobertura de la red inalámbrica y desde ahí hacemos todas las maldades que nos plazca. Discreto y eficaz. Es habitual usar el kernel de Re4son para proporcionar una forma fácil de acceder a ciertas funcionalidades clave a través de una pantalla táctil situada en el dispositivo volador. Y muchos chismes más El abanico es inmenso, dispositivos de clonado NFC, falsos cables de carga con un badusb incluido, pendrives que fríen los componentes electrónicos solo con conectarlos, interceptadores tipo Man in the Middle de hardware, jammers wifi como apoyo para nuestros ataques…existe de todo lo que os podáis imaginar, y cada vez habrá más, porque la tecnología evoluciona constantemente y su abaratamiento nos permite integrarla en casi cualquier cosa. Así que, cuando ese misterioso comercial de una empresa que nunca habéis oído hablar os regale un ratón con su logo quizás deberíais plantearos si conectarlo es la mejor opción. Yo he llegado a incluir sorpresas hasta en un calentador de tazas USB ¿queréis café calentito? Tened cuidado ahí fuera. Pedro Benito DuránConsultor de Ciberseguridad y Responsable del Departamento de Auditoría y
El password cracking no es pasar un diccionario (2ª parte)
En capítulos anteriores… En el artículo anterior, exploramos las venturas y desventuras habituales al empezar en el mundo del password cracking, así como los posibles dolores de cabeza resultantes de una mala metodología que pueden desembocar en un irrefrenable deseo de tirarnos llorosos a las ruedas de un coche. Para evitar todo ello desarrollamos una serie de conceptos básicos que siempre deben tenerse en cuenta a la hora de abordar esta disciplina. Por recapitular de forma rápida, actualmente deberíamos siempre tomarnos un tiempo antes de empezar, para evaluar el tipo de hash, la política y el contexto. Esta triada, detallada en el texto previo nos permitirá calcular la viabilidad de un ataque concreto antes siquiera de empezar. A partir de aquí, podemos comenzar el laborioso trabajo de la extracción de patrones, los cuales también se mencionaron anteriormente. Hoy trabajaremos algo más en profundidad en este tema. Descubrimiento de patrones El descubrimiento de patrones es toda una ciencia y necesitamos de una serie de ingredientes imprescindibles para aumentar nuestra tasa de éxito. Muchos patrones podemos deducirlos simplemente pensando, como aquellos que se mencionaron en el articulo anterior, pero otros sencillamente no se nos van a ocurrir. ¿De que forma podemos dar con un patrón desconocido? Únicamente conociendo la palabra patronizada. ¿Y cómo podemos descubrir esta sin conocer su patrón? Ah, ahí habéis dado con la clave de esto: es un maravilloso bucle infinito, como la escalera de Penrose. Yo suelo llamarlo el bucle de password cracking. El objeto de este articulo es aprender a romperlo. Primera llave: Fuerza bruta Decía Asimov que la violencia es el ultimo recurso del incompetente, pero seguro que el no contaba con una RTX 3080 Ti con 10240 nucleos CUDA listos para machacar a esos entrometidos hashes que se empeñan en seguir intactos. Si compañeros, la paralelización es nuestra amiga en la fuerza bruta, especialmente con longitudes de 1 a 7 caracteres. Debo señalar que la relevancia aquí no es crackear unos cuantos hashes más que se nos resisten, si no encontrar aquellos patrones que los gobiernan. Un hash es para hoy, pero un patrón es para siempre. Esto se realiza en hashcat con este simple comando: hashcat -a 3 -m [TIPO DE HASH] -w 3 -p : -O –hwmon-disable –outfile-format=2 -i –increment-min=1 –increment-max=7 -1 ?d?l?u?s [ARCHIVO DE HASHES] ?1?1?1?1?1?1?1 De esta manera, en escasos minutos calcularemos todas las permutaciones hasta 7 caracteres de mayúsculas, minúsculas, dígitos y símbolos. Si alguien tiene patrones de esta longitud, serán nuestros…y recordad que podremos extrapolarlos a longitudes mayores una vez obtenidos. Segunda llave: Diccionario con reglas aleatorias Hashcat nos permite aplicar reglas a los diccionarios que utilicemos. ¿Qué es una regla? Es una forma de modificar la palabra original aplicandole un patrón predeterminado. Por ejemplo, poner la primera letra en mayúscula y agregarle una admiración al final. Esto es maravilloso cuando conocemos los patrones, pero inútil si son desconocidos. No obstante, también posee una opción completamente apropiada en este escenario: la generación aleatoria. Yo uso esta opción para que el propio azar genere patrones que yo he podido pasar por alto, una vez obtenidas estas passwords podemos incorporar lo averiguado a nuestro conocimiento de patrones y utilizarlo para extrapolar otras passwords aun sin descubrir. hashcat -a 0 -m 1000 -w 2 –force -p : –hwmon-disable –outfile-format=2 -g 1000000 [ARCHIVO DE HASHES] [ARCHIVO DE DICCIONARIO] Este método puede ser aún más potente si hacemos uso de otra opción poco conocida, el debug-mode. Esto nos permite comprobar que reglas han sido exitosas y guardarlas en un archivo para su posterior análisis. Todas estas reglas se redirigen haciendo uso de la siguiente sintaxis. –debug-mode=1 –debug-file=[ARCHIVO DONDE GUARDAR LAS REGLAS] De esta manera, con el tiempo suficiente, podremos diseñar un conjunto de reglas de forma totalmente automatizada basada en nuestros descubrimientos. Conclusiones Como hemos visto, para romper el bucle del password cracking tenemos que encontrar maneras de obtener aquellos patrones que rigen las contraseñas que aun no hemos conseguido. Esto podemos intentar hacerlo simplemente pensando patrones no descubiertos, pero no es la más eficiente, y por eso hemos mencionado dos claves que nos pueden aportar una valiosa ayuda en estos escenarios. En las próximas entregas veremos como convertir esos patrones obtenidos en valiosos archivos de reglas que podremos utilizar en conjunción a nuestros diccionarios para aumentar su efectividad. Hasta entonces, paciencia. Pedro Benito DuránConsultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology
Auditoría y pentesting: comprobando la seguridad de los sistemas
Las empresas se enfrentan a numerosas amenazas externas e internas. Si hablamos de ciberseguridad, hay que tener en cuenta también ambos aspectos. Con el aumento progresivo de la digitalización y la implementación de nuevos servicios y tecnologías, estos riesgos aumentan, pero no de forma progresiva sino de manera exponencial. El hecho de incorporar herramientas informáticas y de digitalizar toda la información de la compañía conlleva muchos beneficios, entre ellos el aumento de la eficiencia, la productividad y la competitividad. Pero también llevan consigo ese aumento de los riesgos inherentes a cualquier tecnología. Implementar las tecnologías y servicios de seguridad que ayuden a proteger los sistemas, además de adoptar buenas políticas y cultura de ciberseguridad es fundamental. Pero para hacer todo esto de la forma más efectiva posible, hay que empezar por el principio. Conocer cuál es el estado inicial de la compañía en términos de ciberseguridad, cuáles son sus puntos fuertes y débiles así como posibles vulnerabilidades ayudará a implementar la mejor estrategia posible en cada caso. Esto permitirá, además, realizar una óptima gestión de los riesgos y establecer las mejores capacidades de respuesta ante posibles ciber incidentes. En este sentido, las auditorías informáticas así como sus diferentes variantes son el mecanismo que nos permite obtener esa visibilidad. Básicamente nos permiten responder a varias preguntas, entre ellas: ¿Qué nivel de ciberseguridad tengo? La auditoría informática ¿En qué estado se encuentran mis sistemas informáticos? Para responder a esta pregunta debemos recurrir a las auditorías. Estas van a ayudar a las empresas a comprobar la eficiencia de sus equipos, sus sistemas y a tener una mayor visibilidad de dónde y cómo se encuentra la información corporativa. No necesariamente tienen que estar enfocadas únicamente a los aspectos de seguridad, sino que se puede comenzar realizando una auditoría general para comprobar si todo está funcionando de forma correcta, si se utilizan los recursos de forma adecuada o si existe algún problema que corregir. Estos aspectos en realidad están completamente hilados con los de seguridad en sí mismos, ya que para que un sistema sea seguro en primer lugar debe funcionar de forma correcta, sin fallos. Las auditorías exclusivas de seguridad se centrarán en aspectos más concretos como la seguridad de los sistemas, equipos y programas que se están usando en la empresa, detectando debilidades y posibles vulnerabilidades. En el caso de los datos corporativos, hay que tener en cuenta que además de auditorías técnicas también conviene llevar a cabo controles y auditorías de cumplimiento, que verifiquen y velen porque se están llevando a cabo de forma apropiada las políticas y procedimientos tanto internos como en base a normativas aplicables de protección de datos. Además de lograr esa imagen inicial del estado de los sistemas, las auditorías deben llevarse a cabo de forma periódica, ya que debido a la velocidad con la que se implementan nuevos servicios tecnológicos y crece la información, ese estado va cambiando con el tiempo. No olvidemos además que la ciberseguridad es un proceso continuo, y conocer en qué situación nos encontramos ayudará a protegernos de posibles amenazas. Estas auditorías se pueden llevar a cabo tanto de forma interna, llevada a cabo por la propia organización, como de forma externa, contratando empresas especializadas para llevar a cabo estos controles. Controles que, por otro lado, deberían ser llevados a cabo por todas las empresas, con independencia de su tamaño. Pentesting ¿Y si nos ponemos en la piel de un ciberdelincuente y ponemos a prueba nuestros sistemas ante un ataque? Esta es la base de un test de penetración o pentesting. Esta técnica permite llevar a cabo ataques simulados contra los sistemas de la empresa para detectar posibles vulnerabilidades y poder corregirlas adecuadamente antes de que puedan ser explotadas por terceros. Sus métodos incluyen desde la recogida de información en fuentes abiertas hasta simulaciones de ciberataques a nivel técnico e incluso de ingeniería social, para comprobar la capacidad de los empleados de actuar frente una amenaza de ciberseguridad que use esta técnica. En este sentido, existen diferentes tipos de pentesting, en función de la información de base con la que cuenta el profesional que va a realizar el test de intrusión. Por ejemplo, si disponen de mucha información sobre los sistemas y políticas de seguridad de la empresa se denominan “White Box” o de caja blanca. Al contrario, si no conocen absolutamente nada, estaríamos ante un test “Black Box”, que sería prácticamente lo que haría un ciberdelincuente. En medio, encontramos los pentesting “Grey Box” que disponen de algo de información pero no toda, variable en cada caso. Estas pruebas se realizan por empresas y profesionales que lógicamente han sido contratados y autorizados previamente para llevar a cabo estas intrusiones de forma legal, firmando los contratos de confidencialidad pertinentes. Al igual que antes, lo ideal es llevar a cabo estos test de penetración de manera periódica. No solamente porque las propias características de la empresa van cambiando con el tiempo, sino porque los ciberataques y amenazas de seguridad van adaptándose y sofisticándose con el tiempo. Realizar pruebas de intrusiones teniendo en cuenta las nuevas técnicas de ataque nos permitirá estar un paso por delante. Comprobar el estado antes, durante y después Este tipo de controles que hemos mencionado se llevan a cabo idealmente “antes” de que haya ocurrido un incidente. Una vez que la empresa ha sido víctima de un ataque de ciberseguridad, se deberá llevar a cabo un análisis específico para conocer el alcance, así como una auditoría forense que permita conocer qué es lo que ha ocurrido y obtener la información relacionada con el incidente. Aunque lo ideal es realizar las auditorías para prevenir posibles intrusiones, es importante en el caso de que ocurra una llevar a cabo también este tipo de mecanismos para poner las medidas adecuadas que no se hayan puesto antes y aprender de los errores. En definitiva, cualquier auditoría o pentesting de seguridad que se realice en la empresa será beneficioso gracias a la enorme cantidad de información que nos facilitará su informe final. NOTA: Hemos preparado
El password cracking no es pasar un diccionario
Introducción Muchos pentesters cuando se menciona el password cracking hacen una mueca de desagrado como si estuviéramos hablando de un trabajo ingrato, tipo embadurnarse el cuerpo con filetes de ternera y tirarse al mar para hacer de cebo para tiburones. El porque de esta reticencia nunca lo he tenido muy claro, he recibido diversas explicaciones al fenómeno, desde el clásico “no le veo muchas posibilidades” al innovador “si ya tienes los hashes, es que ya tienes acceso”. En mi opinión, el password cracking es una disciplina que bien aplicada, puede ayudarnos en contextos donde de ninguna otra forma obtendríamos un acceso. Las interpretaciones anteriores son puntos de vista que normalmente no recogen la enorme variedad de escenarios donde el cracking de contraseñas es un arma verdaderamente útil. El objetivo de este articulo es mostrar una visión general de los distintos contextos donde puede ser utilizado con éxito y sentar unas bases para comenzar a mejorar las técnicas aplicadas. Normalmente la gente que tiene unas expectativas tan bajas es debido principalmente a que sus éxitos con la disciplina son pobres o nulos, de ahí la importancia de saber distinguir cada escenario para poder aplicar la metodología apropiada. Pasos previos Para entrar en materia, separaremos los distintos escenarios y los requisitos necesarios para que estos sean aplicables. Para ello comenzaremos matizando lo que en mi opinión es la parte más relevante del password cracking: el tiempo. Aunque la relatividad general diga que el tiempo es relativo, no hay nada menos relativo que el tiempo de proceso de un diccionario y un conjunto de reglas para un hash cuyo algoritmo tenga un tiempo de computación extremadamente lento. Esto puede implicar que las horas necesarias se multipliquen exponencialmente varias ordenes de magnitud hasta convertirse en algo totalmente impracticable. La forma más sencilla de entender el tiempo es conocer las métricas de ese hash, las cuales pueden obtenerse con un comando muy sencillo de hashcat: hashcat -b Esto procesará todos los tipos de hashes que la herramienta puede computar, dándonos los valores individualmente. Como podéis ver en mi captura de ejemplo, no es lo mismo procesar NTLM (39016.3 MH/s) que WPA-EAPOL (369.7 kh/s) ya que hay tanta diferencia entre ellos que el ataque aplicado a uno, forzosamente no puede servirnos para el otro. Esto es algo que normalmente no veo mencionado cuando alguien habla de la materia, y su relevancia es absoluta. ¿Qué conclusión debemos sacar de esto? Que en función del escenario y el hash obtenido, deben aplicarse unas técnicas u otras. Es algo sencillo de comprender, un diccionario que tarde en pasarse 1 hora en NTLM tardará 41 días en WPA-EAPOL aproximadamente, todo esto en condiciones ideales. Una vez entendido esto, aquellos que hayáis tenido escaso éxito en el password cracking, podréis empezar a vislumbrar donde esta parte del problema. Otro concepto que debe entenderse previamente es la política y el contexto del entorno de cada hash. No son el mismo tipo de passwords las que se usan para acceder a un servicio online (para lo cual es necesario un ataque online, perdiendo todas las ventajas posibles del uso de paralelización de GPU y siendo este el más lento) que las que alguien pone en el inicio de Windows, aquellas con las que cifra un documento Excel o la que pone en la red inalámbrica de su casa. Son contextos distintos y deben tratarse de distinta manera. Usar los mismos ataques solo nos hará perder el tiempo. Pondré varios ejemplos reales de passwords obtenidas en distintos contextos: Tipo Password Inicio de Windows (NTLM) Carlos1974! Wifi (WPA) Familiagomezpiso3b Excel (Office 2013) contrasena Debo remarcar que estas passwords no son inventadas, están extraídas del mundo real y ejemplifican correctamente aquello de lo que os hablo: los contextos de entorno. En una empresa con una infraestructura basada en un dominio, normalmente las reglas que imperan suelen ser: cambio de password regular cada 90-180 dias, recordatorio de las ultimas passwords utilizadas para evitar su repetición y cierta complejidad. No obstante, el usuario medio de una empresa tiene una imaginación limitada, y la rotación continua no le ayuda en absoluto, ya que a nadie le gusta tener que memorizar algo complejo cada vez que toca cambiarla. El hastio juega a favor del password cracker, ya que implica PATRONES. Tarde o temprano, un gran porcentaje de los usuarios forzados a cambiarse la password con regularidad desarrollan un patrón. A todo el mundo le gusta sentirse especial y creer que somos como copos de nieve únicos e inimitables, pero la realidad es que somos todos muy similares a la hora de desarrollar maneras de crear passwords viables. Como ejemplos os citaré varios de los patrones que yo me he encontrado: (Mes)(año) (Ej: Marzo2020): En lugares con requisitos mas laxos es posible poner este tipo de passwords sin problema. El usuario suele elegir el mes y el año en el que le obligaron a hacer la rotación de contraseña (lo que suele provocar que a veces se encuentren varias contraseñas iguales) y también se encuentra alguna permutación de este patrón como (Estaciondelaño)(año) estilo Primavera2021. (Nombrepropio)(año)(símbolo) (Ej: Maribel2012%): Un patrón que cumple la mayoría de requisitos de complejidad de contraseña en un dominio Microsoft. Suelen rotar el nombre entre el suyo, pareja e hijos y cuando finalizan la rotación ya ha cambiado el año. Aparentemente es una buena password: tiene mayúsculas, minúsculas, símbolos y números, así como 12 caracteres…pero que cumpla los requisitos de complejidad no significa que criptográficamente hablando sea segura. Lo primero que se hace en criptoanálisis es buscar patrones, en nuestro caso analizar el mensaje cifrado no nos proporciona información al ser un algoritmo de un único sentido pero si podemos hacer ataques de diccionario basados en reglas para obtener todas las posibles permutaciones de ese patrón en concreto y tendremos éxito en aquellos usuarios que lo utilicen. (Ciudad)(año)(símbolo) (Ej: Sansebastian1994.): Similar al anterior, muchos optan por ciudades o incluso países pero básicamente el patrón es el mismo. (palabraenleetspeak) (Ej: r3n7@b1l1d@d): Parece más complejo pero no lo
Ataques SMB Relay
Hay veces que hay ataques que parecen magia. El SMB Relay es uno de esos. Cuando lo ves bien ejecutado, y no sabes que esta pasando por el cacumen de la maquina lo primero que piensas es… ¿Cómo es posible? Y es que parece un conjuro sacado de algún grimorio polvoriento…un par de comandos en un par de consolas et voila, estamos dentro, como dicen esos hackers de las películas que teclean muy rápido contraseñas como si no tuvieran software que lo haga por ellos, pobrecillos. Como ya habréis podido deducir, no es un ataque complejo, al menos su realización. Lo que ya requiere darle más a la cabeza es entender que ocurre, el porque esa misteriosa letanía obra tal grato milagro en forma de acceso instantáneo. Para ello, tenemos que inevitablemente hablar, de protocolos. Una épica historia en SMB Relay No os voy a soltar el típico rollo para definir los protocolos implicados, quien quiera algo oficial, puede irse a Wikipedia que esta mucho mejor explicado, pero si voy a contaros que ocurre cuando queremos acceder a un recurso compartido que esta en un equipo que no es el nuestro. Lo primero que necesita nuestra máquina, es saber como se llega a ese recurso, del cual solo tiene el nombre, y para darle un aire más místico a todo el asunto les daremos unos nombres acorde a las circunstancias. Dramatis personaje: FRODO: Nuestra máquina. GANDALF: El servidor de ficheros. SAM: El servidor DNS. GOLLUM: El hacker. Al principio todo es paz y amor en la Comarca. FRODO no suele saber por donde anda GANDALF, ya que siempre esta en alguna loma fumando esa hierba que suelen llevar los magos en uno de sus múltiples bolsillos, y para ello le pregunta a SAM, en forma de petición DNS, que siempre sabe donde esta todo el mundo porque es el jardinero del pueblo. SAM le responde a su amigo FRODO y le indica que este anda por 192.168.0.58. De esta forma cuando FRODO quiere pedirle el anillo único a GANDALF, ya sabe donde ir para solicitarle tan temible joya. Ahora FRODO ya puede enviarle un mensaje a GANDALF para decirle que quiere el anillo único para “una movida de un volcán”. Hasta aquí, todo estupendo. ¿Pero que pasa cuando SAM no esta? Aquí la cosa se complica. Hay muchos motivos por los cuales esto puede ocurrir. Puede ser que aunque SAM es un tipo muy bien informado, nunca haya escrito en su lista donde esta GANDALF. Si el DNS no tiene en su registro la ip asociada a cierto nombre de domino…no podrá resolverla. También existe la posibilidad de que alguien este distrayendo a propósito a SAM para que no le de tiempo a contestar a las preguntas de FRODO, o poniendo música a todo trapo al lado de su casa para que este sea incapaz de escuchar sus preguntas. Denegar el servicio de DNS, ya sea mediante inundación de trafico, o simplemente con un ataque de arp spoofing para que este sea incapaz de contestar, son medidas que alguien con malas intenciones podría realizar. Finalmente es posible que FRODO entre toda la emoción de ir a pedirle el anillo unico a GANDALF lo llame PANDALF equivocándose en el nombre, y todos sabemos que GANDALF es un mago muy quisquilloso, y si te equivocas en su nombre no te hace ningún caso. Cuando alguien solicita acceso a un recurso compartido cuyo nombre esta equivocado y no existe, nadie consigue resolver esa entrada. Entonces repito. ¿Qué ocurre si SAM no esta? La respuesta esta muy clara, a FRODO no le queda otro remedio que ponerse a gritar por todo el pueblo a ver si alguien le contesta. Esto implica que en ausencia de DNS, pasamos al protocolo LLMNR, que es un protocolo de resolución de broadcast. Es a partir de aquí cuando entra en juego GOLLUM. En cuanto escucha a FRODO gritar por todos los lados buscando a GANDALF, el pega un grito y responde poniendo voz grave: -¡Aquí estoy estimado compañero! ¿Qué quieresssss? Y FRODO responde: -Please, dame el anillo único. Y GOLLUM en simultaneo le dice a GANDALF: -Hooola GANDALF, soy FRODO, dame el tesssoro…quiero decir, el anillo único. Y GANDALF le responde: -Si eres FRODO, dime la contraseña que acordamos y usa la palabra “pepinillos” para cifrarla en el lenguaje elfico. Obteniendo de esta forma el “challenge” necesario para la comunicación. Entonces con la palabra “pepinillos” en su poder, GOLLUM le dice a FRODO: -Claaro…amigo. ¿Cuál es la contraseña que acordamos? Cifrala en elfico con la palabra “pepinillos”. -Claro, aquí tienes, mi contraseña cifrada en elfico es: “[pepinillos]FrodoBolson!”. Y en este momento, es cuando se obra la magia…el avido GOLLUM le dice a GANDALF: -Sssssi, mi contrasssseña essss “[pepinillos]FrodoBolson!” . Con la contraseña cifrada con el challenge adecuado, ya podemos acceder al recurso. Si el usuario tiene privilegios de administrador sobre la máquina, también podrá ejecutar comandos remotamente, los cuales usamos para abrir una shell de sistema. Y ya lo tenemos. GOLLUM con el anillo único. El proceso Como veis, hay un gran trasiego de dimes y diretes, de engaño y suplantación. Y la clave más importante, es que el que solicita un recurso no pueda resolverlo, para que de esta forma, respondiendo a sus paquetes LLMNR de broadcast, nosotros podamos obtener su hash NTLMv2 cifrado con el challenge de la maquina a la que queremos acceder. Esto puede ocurrir de las formas que hemos citado, ya sea denegando el servicio al DNS, equivocándose el usuario al escribir (os sorprendería la cantidad de veces que esto ocurre) o simplemente teniendo mapeada alguna unidad de red antigua que ahora no esta online. El proceso para realizar este ataque es mucho menos místico que toda la magia que ocurre por debajo. Para ello haremos uso de las maravillosas herramientas de Laurent Gaffie, las cuales vienen de serie en Kali. Lo primero que deberemos hacer, será editar /usr/share/responder/Responder.conf para asegurarnos que la parte que muestro en la imagen siguiente, esta de
Contratar un pentesting: ¿un privilegio o una necesidad?
Un pentesting puede ser la respuesta cuando, al hablar de ciberseguridad con clientes, amigos, familiares… nos pregunten ¿Y por qué me van a atacar a mí, si no soy nadie? Esta es una idea bastante extendida por la cual muchas empresas pequeñas y no tan pequeñas se despreocupan del impacto que puede llegar a tener un incidente de ciberseguridad, pero ¿es eso realmente cierto? De acuerdo con el Small Business Trends, el 43% de los ciberataques afectan a pequeños negocios, de los cuales el 60% de ellos, en los siguientes seis meses, tiene que acabar cerrando como consecuencia del ciberataque. Nos gustaría creer que los únicos involucrados en ciberataques son solo grandes empresas, pero, por desgracia, cada día vemos que son más las empresas que se ven obligadas a contactar con nosotros una vez han tenido un incidente grave en sus sistemas informáticos. Ya no entramos a hablar de aquellas que puedan estar actualmente comprometidas sin el conocimiento de su propia organización interna. El motivo de aumento de ataques en general es debido a que se trata de un negocio cada vez más lucrativo y los ciberdelincuentes ya no se limitan a elegir un objetivo en concreto. Los atacantes hoy en día disponen de una serie de herramientas que les permiten ir escaneando la red y explotar de manera automatizada servicios vulnerables, sin pararse a mirar si quien está detrás de este servicio es una empresa grande, pequeña o un particular. Si luego resulta que esa información a la que se ha accedido y robado/cifrado es importante; ya pagarán por ella… El test de intrusión o pentest, aparece como respuesta para acabar con todas las dudas expuestas anteriormente, aspecto este que ya se aborda en el artículo test de intrusión para estar libres de ciberataques de nuestro blog. Cada vez son más las empresas que se plantean si contratar un pentesting es algo necesario, si el coste/eficacia de este proceso es realmente útil para una empresa como la suya. Como ya empezaba a apuntar al comienzo de este artículo, independientemente del tamaño de la empresa, esta puede ser susceptible de ataques que le pueden llegar a suponer una parada de tiempo indefinido de la producción, una pérdida de reputación corporativa y valor de la marca o incluso una pérdida irreparable como pueda ser los datos de clientes y proveedores. Entender el estado en el que se encuentra la infraestructura informática en la empresa es crucial para poder valorar con objetividad el riesgo que se está dispuesto a asumir. Como decía William Thomson “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre” y en este aspecto, la seguridad de la información NO es una excepción. Hay diferentes maneras para tener una imagen del estado en que se encuentra la infraestructura informática de la empresa, como por ejemplo: la realización de un análisis de vulnerabilidades o un test de intrusión (pentest). Existen varios factores que influyen a la hora de dibujar esa imagen que pueden hacer que ésta se encuentre más o menos distorsionada, como puede ser: la calidad de los auditores, el tiempo que se le dedica a la auditoría, las herramientas que se utilizan… Uno de los métodos más eficaces y fieles para poder tener una imagen nítida de en qué estado se encuentra dicha infraestructura informática de la empresa, sería metiéndose en la mente de un atacante; para ello es conveniente tener bien procedimentada una metodología para plantearse qué serie de acciones ofensivas tomaría un atacante real. En los últimos años muchas empresas TIC han empezado a ver un marco de negocio en la ciberseguridad, y venden sus servicios como expertos auditores en el ámbito de la ciberseguridad a un precio muy asequible (¡Cuidado con esto!). Si finalmente te has convencido de que quieres contratar un servicio de test de intrusión, te recomendamos que selecciones una empresa especializada en ciberseguridad, habida cuenta de que las herramientas utilizadas en el diagnóstico sobre los sistemas informáticos y la profesionalidad de sus técnicos son determinantes para llevar a cabo una imagen realista de tu infraestructura de seguridad que detecte las amenazas reales que puedan existir. En conclusión, como ha podido verse, invertir en seguridad no puede ser entendido como un privilegio de determinadas empresas, sino como una necesidad más para afrontar su negocio, independientemente del tamaño de la empresa. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan. globalt4e.com
Test de Intrusión para estar libres de ciberataques
La empresa Global Technology realiza un test de intrusión, que permite detectar vulnerabilidades en la seguridad de las empresas para evitar ataques en la red y poner soluciones. Tener un antivirus o un firewall no significa estar protegido frente a posibles ciberataques, sobre todo, ante las amenazas globales que se están produciendo en los sistemas de información de empresas y que cada vez son más sofisticadas, lo que dificulta disponer de soluciones que se adapten rápidamente a esos nuevos riesgos. “Con todas las amenazas que suceden, vemos que es imposible ponerle puertas al campo. Es mejor detectar posibles vulnerabilidades”, explica Enrique Polanco, socio director de Global Technology, consultora de ciberseguridad, que ha desarrollado un test de intrusión con el que se detectan ‘agujeros’ en los sistemas de seguridad de las empresas con el fin de poner medidas para solucionarlo. El test de intrusión se desarrolla en cinco fases. Las dos primeras son de detección –una más agresiva y otra menos agresiva-, para “ver qué hay” en la red tanto interna como externa de una empresa, mientras que la tercera se centra en el análisis de vulnerabilidades para lo que se emplean tecnologías como Nessus de Tenable o Retina. A continuación, se pasa a una cuarta fase, de explotación de vulnerabilidades. El equipo técnico selecciona las “más golosas” o “más grandes” por las que se empezaría. “Se consigue siempre acceso a los sistemas de información del cliente”. Ya, en la quinta fase, se genera el informe de un ataque externo (simulado desde fuera) y otro interno (a la red interna de la empresa), además de diseñarse el plan director de seguridad con las indicaciones de lo que la compañía debe hacer para evitar las vulnerabilidades. Este test, aunque se apoya en tecnología, es realizado en parte de forma manual por los técnicos. Los profesionales que lo realizan (tienen certificados CEH –Certified Ethical Hacking), son capaces con sus conocimientos y práctica de detectar todas las vulnerabilidades de la empresa. Con la realización de una parte del test de intrusión de forma manual, se evitan los problemas de los test totalmente informatizados, que pueden llegar a parar el sistema de información de la empresa y a paralizar su actividad, generando pérdidas importantes no solo por el cese del trabajo, sino también por las penalizaciones de no entregar los productos a sus clientes, entre otros costes generados. Problemas más comunes Entre los problemas de seguridad más comunes que se detectan en las compañías están la gestión de parches porque hay empresas en las que las máquinas se actualizan cada cuatro meses –“lo que es un error”-, así como la falta de capacidad de los sistemas para detectar un ataque. También se observa una demanda de protecciones específicas por inquietudes propias de los clientes como, por ejemplo, para hacer frente al ‘ransomware’ (secuestro y cifrado de la información de la empresa). Aparte del test de intrusión, las soluciones de seguridad de Global Technology también comprenden la monitorización y correlación de eventos. El objetivo es recolectar los ‘logs’ de la red (los que proceden de usuarios, los equipos, elementos de red…) y recibirlos en un correlador de eventos en el que se añade inteligencia para detectar incidencias. Este proceso se realiza a través de sistemas SIEM (Sistema de Gestión de Eventos e Información de Seguridad), que opera la propia compañía o bien del departamento de Seguridad de la empresa en la que se instale. Entre sus ventajas, destacan la recepción de alertas en tiempo real para su gestión y la “orquestación de las respuestas. Si tenemos definidos los patrones de lo que hay que hacer cuando ocurre ‘x’, se puede automatizar”. La actividad de la consultora de ciberseguridad comprende a su vez el análisis forense con el que se permite saber “qué es lo que ha sucedido para convertirlo en pruebas judiciales. Se genera un informe que se va a trasladar en denuncia” y que es validado por un notario. Un análisis que se realiza sin que la empresa tenga que parar su actividad. Global Technology – que comenzó su andadura en 2010 y que ofrece sus servicios desde Zaragoza a Aragón, Navarra, País Vasco y Cataluña-, también imparte talleres y charlas para formar al personal técnico y concienciar sobre la importancia de la seguridad a todos los usuarios del sistema de la empresa y sepan cómo actuar en el día a día. Además, ayuda a las empresas a obtener certificaciones de seguridad como la ISO 27001 (Sistema de Gestión de la Seguridad de la Información), que necesita una compañía para garantizar la protección de la información. VER ARTÍCULO PUBLICADO. Enrique Polanco AbarcaDirector General de Global Technology globalt4e.com