Kitabı oku: «Hackear al hacker», sayfa 3
Garantía de un acceso futuro más fácil
Aunque es opcional, una vez un atacante ha obtenido el acceso inicial, la mayoría de los hackers trabajan implementando un método adicional que asegure que podrán acceder de forma más rápida y sencilla al mismo activo o software la próxima vez. Para muchos hackers, esto significa situar una puerta trasera (backdoor) conocida por la cual puedan conectarse directamente en ocasiones futuras. Otras veces, significa descifrar contraseñas o crear nuevas cuentas. El atacante siempre puede utilizar las mismas explotaciones que ya han funcionado con éxito la última vez para conseguir el acceso inicial, pero por lo general quiere otro método que funcione incluso si la víctima soluciona el problema que antes funcionaba.
Reconocimiento interno
Una vez que la mayoría de los hackers han accedido al sistema, empiezan a ejecutar múltiples comandos o programas para saber más sobre el objetivo y qué es lo que está conectado a él. Por lo general, esto significa buscar conexiones de redes en la memoria y en el disco duro, e identificar usuarios, recursos compartidos, servicios y programas. Todas esta información se utiliza para entender mejor el objetivo y sirve como punto de inicio para el siguiente ataque.
Movimiento
No es habitual que el atacante o el malware se contente con acceder solo a un objetivo. Casi todos los hackers y los programas maliciosos quieren difundir su área de influencia por más y más objetivos. Una vez han conseguido acceder al objetivo inicial, propagar esta influencia dentro de la misma red o entidad es muy sencillo. Los métodos de intrusión del hacker descritos en este capítulo resumen las distintas maneras de hacerlo, pero en comparación con los esfuerzos para el acceso inicial, el siguiente movimiento es más fácil. Si el atacante se mueve hacia otros objetivos similares con usos parecidos, se denomina movimiento lateral. Si el atacante pasa de dispositivos con un privilegio a privilegios más altos o más bajos, se denomina movimiento vertical.
La mayoría de los atacantes se mueven de bajos a altos niveles de privilegios utilizando técnicas de movimiento vertical (de nuevo, mediante los métodos de intrusión descritos en este capítulo). Por ejemplo, una metodología común de hacker es que primero el atacante comprometa una única estación de trabajo de un usuario. Utilizará este acceso inicial para buscar y descargar contraseñas de cuentas administrativas locales. Después, si estas credenciales administrativas están compartidas con otras máquinas (que a menudo lo están), entonces se mueve horizontalmente y repite el proceso hasta que captura accesos a cuentas muy privilegiados. A veces, esto se produce inmediatamente durante la primera intrusión, porque el usuario o el sistema conectado ya cuenta con privilegios altos. A continuación, se mueve hasta el servidor de autenticación y obtiene todas las credenciales de conexión del usuario. Este es el modus operandi estándar para la mayoría de los grupos de hackers actualmente, e ir del compromiso inicial a la obtención de una red completa (o pwning, en lenguaje hacker) puede suponer menos de 1 hora.
En mi experiencia personal, y te recuerdo que solo soy un hacker medio, yo tardo normalmente sobre 1 hora en conseguir el acceso inicial y 1 hora más en capturar la base de datos de autenticación centralizada. Es decir, yo, un hacker medio, necesito unas 2 horas para hacerme por completo con una empresa. El tiempo máximo que he necesitado han sido 3 horas.
Ejecución de la acción prevista
Una vez que el acceso está garantizado y la propiedad del activo obtenida, los hackers llevan a cabo lo que tienen previsto hacer (a menos que el acceso haya puesto al descubierto un objetivo nuevo). Todos los hackers tienen previsiones. Un pentester legítimo tiene la obligación por contrato de hacer una o varias cosas. Un hacker malicioso difundirá algún malware, leerá o robará información confidencial, hará modificaciones perjudiciales o causará daños. La única razón que tiene el hacker para poner en riesgo uno o más sistemas es hacer algo. Hace algún tiempo (dos o tres décadas atrás), a la mayoría de los hackers simplemente les bastaba demostrar que habían hackeado un sistema. Hoy en día, el hackeo tiene un 99 % de motivación criminal y el hacker tiene que hacer algo malicioso a su objetivo (aunque el único daño que haga sea permanecer infiltrado de forma silenciosa esperando una futura acción potencial). El acceso no autorizado sin daños directos también es un daño.
Borrado de pistas
Algunos hackers intentarán borrar sus pistas. Esto es lo que solían hacer todos los hackers hace unos años, pero actualmente los sistemas informáticos son tan complejos y tienen tantos números que la mayoría de los propietarios de activos no comprueban la existencia de pistas de hacker. No comprueban los inicios de sesión, no comprueban los cortafuegos y no buscan signos de hackeo ilegal a menos que estos no les golpeen en la cara. Cada año, el Data Breach Investigations Report de Verizon (http://www.verizonenterprise.com/verizon-insights-lab/dbir/) informa de que la mayoría de los atacantes pasan desapercibidos durante meses y años y que un 80 % de los ataques se podrían haber detectado si los defensores se hubieran preocupado de mirar. Gracias a estas estadísticas, la mayoría de los hackers ya no se molestan en borrar sus pistas.
Actualmente es cuando los hackers deben borrar menos sus pistas, puesto que utilizan métodos que nunca serán localizados mediante la detección de acciones de hacker tradicionales. Lo que utiliza el hacker es tan común en el entorno de la víctima que es casi imposible distinguir entre actividades legítimas e ilegítimas. Por ejemplo, una vez dentro, el hacker normalmente lleva a cabo acciones en el contexto de la seguridad de un usuario legítimo, a menudo accediendo a los mismos servidores y servicios que dicho usuario. Y además utiliza las mismas herramientas (como programas de acceso remoto y lenguajes de script) que el administrador. ¿Quién puede decir lo que es malicioso y lo que no? El campo de la detección de intrusiones se tratará en el Capítulo 14.
Hackear es aburridamente exitoso
Si quieres saber cómo hackean los hackers, aquí lo tienes. Se encuentra todo resumido en este capítulo. Lo único que falta es añadir algunas herramientas, curiosidad y persistencia. El ciclo del hackeo funciona tan bien que algunos pentesters, después de haber superado la excitación inicial de ser pagados como hackers profesionales, se aburren y acaban haciendo otras cosas unos años después. ¿Podría haber un testimonio más grande de lo bien que funciona el ciclo? Sí, y es dentro de este marco y de esta forma de pensar que los defensores deben luchar contra los atacantes.
Malware automatizado como herramienta de hackeo
Cuando se utiliza, el malware puede llevar a cabo uno o más pasos, automatizándolo todo o tomando el control manual una vez el objetivo se ha conseguido y sometido. La mayoría de los grupos de hackers utiliza una combinación de ingeniería social, malware automatizado y atacantes humanos para llevar a cabo sus objetivos. En grupos amplios, cada hacker tiene asignado un rol y una especialidad. El malware ejecutará un paso de intrusión sencillo y tendrá éxito incluso sin intentar cualquiera de los otros pasos. Por ejemplo, el programa malicioso más rápido de la historia, el SQL Slammer, solo pesaba 376 bytes. Ejecutó su carga de desbordamiento de búfer contra el puerto UDP 1434 de SQL sin tener en cuenta si el objetivo estaba ejecutando el SQL. Como no había muchos ordenadores que ejecutaran el SQL, estarás pensando que el ataque no sería demasiado eficiente. Pues nada de eso; en 10 minutos cambió el mundo. Ningún otro programa malicioso ha estado tan cerca de infectar a tantos servidores en tan poco tiempo.
NOTA Si he omitido algún paso de la metodología hacker o me he dejado algún método de intrusión, pido disculpas. Una vez más, te recuerdo que solo soy un hacker medio.
Hackear éticamente
Me gustaría pensar que mis lectores son hackers éticos que se aseguran de tener el derecho legal de hackear cualquier objetivo que se hayan propuesto. Hackear un sitio para el cual no tengas la autoridad predefinida y expresa de hacerlo no es ético y, a menudo, es ilegal. Tampoco es ético (aunque no ilegal) hackear un sitio y dar a conocer una vulnerabilidad encontrada si no hay dinero. No es ético y suele ser ilegal encontrar una vulnerabilidad y pedir al sitio que os contrate como pentester. Esta última situación pasa siempre. Lo siento, no se puede decir a alguien que has encontrado una manera de hackear sus sitios o servidores y pedir un trabajo o dinero a cambio sin que esto sea una extorsión. Puedo decir que casi todos los sitios que reciben una solicitud sin ser solicitada no creen que puedas serles útil y no querrán contratarte. Ellos te ven como su enemigo y rápidamente llaman a sus abogados.
El resto del libro está dedicado a describir tipos concretos de hackeo, métodos particulares de intrusión, cómo los defensores luchan contra estos métodos y cómo expertos en su campo combaten contra estos hackers con su mismo juego. Si quieres vivir hackeando o luchar contra hackers, necesitas entender la metodología del hacker. Las personas descritas en este libro son unos monstruos en sus campos y puedes aprender mucho de ellos. Ellos lideran el camino. Una buena manera de empezar es con Bruce Schneier, descrito en el Capítulo 3, considerado por muchos como el padre de la criptografía informática moderna.
3
Perfil: Bruce Schneier
Bruce Schneier es una de esas personas con tanta experiencia y capacidad que muchas introducciones se refieren a él como «lumbrera de la industria». Empezando por que mucha gente lo llama «padre de la criptografía informática moderna», Schneier trascendió su enfoque centrado inicialmente en el cifrado para preguntar en voz alta por qué la seguridad informática no es extremadamente mejor después de todas estas décadas. Habla con autoridad y claridad sobre una amplia variedad de temas de seguridad informática. Lo invitan con frecuencia como experto a programas de televisión nacionales y ha testificado en varias ocasiones en el Congreso de los Estados Unidos. Schneier escribe y redacta blogs, y yo he considerado siempre sus enseñanzas como un máster informal en seguridad informática. Yo no sería ni la mitad de profesional de la seguridad informática de lo que soy ahora sin sus enseñanzas públicas. Él es mi mentor no oficial.
Schneier es conocido por decir cosas extremadamente sencillas que llegan al corazón, y a veces a las tripas, de una creencia o dogma sostenido. Por ejemplo: «Si te centras en los ataques SSL, estás haciendo más por la seguridad informática que el resto del mundo». Lo que quiere decir es que hay tantas otras cosas, mucho más a menudo explotadas con éxito, de las que preocuparse que, si realmente te preocupa una explotación SSL que ocurre raramente, ya debes haber solucionado previamente todo lo demás, más importante. En otras palabras, tenemos que priorizar nuestros esfuerzos en seguridad informática en lugar de reaccionar ante cualquier nueva vulnerabilidad anunciada (y a veces nunca explotada).
Otro ejemplo de cosas que ha comentado es que los que se dedican a la seguridad informática se molestan cuando los empleados no se toman en serio la seguridad de las contraseñas. En lugar de eso, muchos empleados utilizan contraseñas débiles (cuando está permitido), utilizan la misma contraseña en distintos sitios web no relacionados (así están pidiendo a gritos que les hackeen) y muchas veces dan sus contraseñas a amigos, compañeros de trabajo e, incluso, extraños. Nos sentimos frustrados porque nosotros conocemos las posibles consecuencias para el negocio, pero el usuario no entiende el riesgo que corre la empresa cuando utiliza políticas de contraseñas débiles. Lo que Schneier enseñaba es que el usuario evalúa las contraseñas en base al riesgo que puede sufrir él mismo. Pocas veces un empleado es despedido por utilizar políticas de contraseñas erróneas. Incluso si un hacker roba los fondos bancarios de un usuario, estos son reemplazados de inmediato. Schneier nos ha enseñado que somos nosotros, los profesionales en seguridad informática, los que no entendemos el riesgo real. Y hasta que este riesgo real no cause un daño al usuario, este no cambiará su comportamiento de forma voluntaria. ¿Cómo puede ser que tú seas el experto en un tema y que sea el usuario quien entienda mejor el riesgo?
Es el autor de más de 12 libros, como Applied Cryptography: Protocols, Algorithms and Source Code in C [Criptografía aplicada: protocolos, algoritmos y código fuente en C], escrito en 1996. Aunque ha escrito otros libros de criptografía (incluidos un par con Niels Ferguson), hace tiempo Shcneier empezó a decantar su interés hacia por qué la seguridad informática no mejora. El resultado fue una serie de libros, en los cuales exploraba las razones no técnicas (de confianza, económicas, sociales, etc.) de la continua debilidad. Estos libros están llenos de teorías fácilmente comprensibles e ilustradas con ejemplos. Estos son mis libros favoritos de interés general de Schneier:
■ Secrets and Lies: Digital Security in a Networked World [Secretos y mentiras: seguridad digital en un mundo conectado]
■ Beyond Fear: Thinking Sensibly About Security in an Uncertain World [Más allá del miedo: pensar con sensatez sobre la seguridad en un mundo incierto]
■ Liars and Outliers: Enabling the Trust that Society Needs to Thrive [Mentirosos y valores atípicos: habilitar la confianza que la sociedad necesita para prosperar]
■ Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World [Datos y Goliath: las batallas ocultas para recoger información y controlar el mundo]
Si quieres entender realmente la seguridad informática, por qué no es mejor y sus problemas inminentes, debes leer estos libros. También debes leer el blog de Schneier (https://www.schneier.com/) y suscribirte a su newsletter mensual Crypto-Gram (https://www.schneier.com/crypto-gram/). Existe una marcada diferencia en la calidad de aquellos que leen con regularidad a Schneier y los que no lo hacen. Su estilo de escritura es accesible y entretenido, y no soporta a los proveedores de seguridad «falsa». Sus últimas entradas de la serie denominada «Doghouse» contra criptofraudes son lecciones en sí mismas. Escribe con regularidad sobre los temas más importantes del día.
He entrevistado a Schneier en varias ocasiones durante años y, a veces, las entrevistas pueden ser intimidadoras para el entrevistador. No porque sea difícil (que no lo es) o porque hable por encima de ti (que no lo hace), sino porque él a menudo intenta que el entrevistador siga sus propias creencias y suposiciones preconcebidas hasta el final. Si no entiendes algo o no estás de acuerdo con él, no intenta de inmediato desmontar tu argumento. Al contrario, te irá preguntando poco a poco con un estilo interrogativo, dejando que tus respuestas te lleven hacia la conclusión final. Schneier siempre enseña, incluso cuando lo están entrevistando. Te das cuenta de que ya ha pensado antes en estas preguntas y que ya ha debatido sobre esos asuntos mucho más de lo que tú hayas hecho. He intentado tomar prestado algo de esta técnica de autointerrogación cuando pienso en mis creencias fuertemente arraigadas.
Le pregunté a Schneier cómo empezó a interesarse por la seguridad informática. Me contestó: «Siempre me han interesado las matemáticas y los códigos secretos, la criptografía. Mi primer libro, Applied Cryptography [Criptografía aplicada], acabó siendo el libro que me gustaría haber leído. Pero a mí siempre me ha gustado mucho llevar la contraria. Me di cuenta de que la tecnología no era el problema más grande, sino que el mayor problema son los humanos o las interficies que interactúan con los humanos. Los problemas de seguridad informática más complicados no están relacionados con la tecnología, sino con cómo utilizamos la tecnología con todos los aspectos sociales, políticos y económicos relacionados con la seguridad informática. Yo paso mucho tiempo pensando en los usuarios de alto riesgo. Tenemos la tecnología para protegerlos, pero ¿podemos crear soluciones útiles que no les impidan hacer su trabajo? Y aunque así fuera, nunca los convenceríamos de que las usaran».
Le pregunté qué pensaba de las recientes filtraciones internas de algunas agencias de inteligencia americanas. Dijo: «En todos esos datos, no había muchas sorpresas, como mínimo para aquellos que estamos atentos. Lo que sí evidenció fue confirmación y detalle, y este detalle sí era sorprendente. El secreto es sorprendente. Yo no digo que todo lo que ha ocurrido podría haber sido evitado si hubiéramos tenido más conocimientos, pues en el mundo de después del 11-S, todo cuanto hubieran pedido habría sido aprobado. Por lo tanto, lamentablemente, todo cuanto se hizo no ha generado un gran cambio, como mínimo de inmediato. Se aprobó una ley menor (que impedía la recogida masiva de metadatos en todas las llamadas de teléfono americanas por parte de la NSA [Agencia de Seguridad Nacional]). Pero sí que trajo una vigilancia gubernamental a la arena pública, lo que hizo cambiar algunas percepciones públicas. Ahora la gente conoce el tema y se preocupa. Puede pasar otra década hasta que este impacto se note, pero eventualmente la política cambiará para bien gracias a ello».
Le pregunté a Schneier cuál creía que era el mayor problema en seguridad informática y me dijo: «¡La vigilancia corporativa! Son las empresas, más que los Gobiernos, las que quieren espiar. Son Facebook y Google quienes espían a la gente contra sus propios intereses, y el FBI puede exigir una copia tanto si las empresas quieren darla o como si no. El capitalismo de vigilancia es el verdadero y fundamental problema».
Le pregunté a Schneier en qué libro estaba trabajando (él siempre está trabajando en algún libro). Y me contestó: «Estoy pensando en un posible nuevo libro que trate los problemas físicos en la ciberseguridad como el Internet de las cosas, y cómo puede cambiar todo si los ordenadores se vuelven peligrosos. Una cosa es que una hoja de datos tenga una vulnerabilidad y se cuelgue o corra peligro. Y otra cosa es cuando se trata de tu coche. La seguridad informática débil puede matar a gente. ¡Y esto lo cambia todo! Hablé en el Congreso hace un mes sobre este tema. Dije que ha llegado el momento de ponernos serios. Ya no es momento para juegos. Necesitamos regular. ¡Hay muchas vidas en juego! No podemos aceptar este nivel de software de pacotilla lleno de errores. Sin embargo, la industria no está preparada para tomárselo en serio, y debería. ¿Cómo puede alguien trabajar en mejorar la seguridad de los coches como realmente se está haciendo cuando no hemos sido capaces de detener a los hackers y las vulnerabilidades en el pasado? Algo tiene que cambiar. Y cambiará».
Bruce Schneier ha sido durante décadas un líder de pensamiento en el mundo de la seguridad informática y continúa estando a la vanguardia de las discusiones más importantes. Si te interesa la seguridad informática, deja que también sea para ti tu mentor no oficial.
Más información sobre Bruce Schneier
Si deseas saber más acerca de Bruce Schneier, consulta estos recursos:
■ Blog de Bruce Schneier: https://www.schneier.com/
■ Newsletter Crypto-Gram, de Bruce Schneier: https://www.schneier.com/crypto-gram/
■ Libros de Bruce Schneier