lunes, 27 de agosto de 2012

Malware y ataques destructivos y dirigidos


Finalmente luego de un par de décadas desde los viejos Stoned y especialmente el Michellangelo

http://en.wikipedia.org/wiki/Stoned_(computer_virus)
http://en.wikipedia.org/wiki/Michelangelo_(computer_virus)

Que atacaban la integridad de las computadoras en sí afectando el MBR de los discos, la vieja "moda" de infectar estaciones de trabajo para que definitivamente se "rompan" está volviendo.

http://en.wikipedia.org/wiki/Shamoon
http://es.wikipedia.org/wiki/Flame_(malware)

El nivel de sofisticación de lo último que se va encontrando en malware es razón suficiente para ser alarmante ya que las contramedidas usuales en funcionamiento son efectivamente consideradas y superadas por el malware, por ejemplo: se usa certificados robados y los drivers a instalar en Windows están firmados correctamente, por lo que el virus los instala sin problemas en el sistema luego de obtener permiso de Administrador.

Kits y Presupuesto
Una clave del problema actual son los kits disponibles en el mercado negro de malware en la red, del que son habitues los hackers y script kiddies locales. En gral. los kits tienen un costo no fácilmente pagable por un script kiddie, sin embargo, los trabajos por encargo no son desconocidos para los hackers locales ni carecen de antecedentes en la justicia (es decir, fueron delitos reales, detectados, investigados, algunos sancionados inclusive).

Un ejemplo de compra de kits para hacking en el bajo mundo en Argentina lo vemos en los delitos practicamente constantes (pero que se detectan y llevan a la justicia más o menos cada 6 meses), de robo de credenciales para homebanking.

Habiendo un trabajo por encargo de por medio, tenemos el issue de la financiación, es decir, el hacker va a tener acceso a un presupuesto que le va a permitir pagar por un kit.

Antecedentes:
Un prejuicio habitual entre los no expertos en seguridad IT es que los Kits son mayormente "assembles" (rejuntes), de código, impredecibles y mayormente inutiles. Claro, es una posibilidad, sin embargo la tecnología de Kits es muy vieja en el mercado negro y de vez en cuando algun kit en venta resulta ser muy bueno.

http://en.wikipedia.org/wiki/Virus_Creation_Laboratory


Multiplicando la capacidad de ataque
Los kits representan una particular amenaza, ya que potencian radicalmente la capacidad de un grupo pequeño de atacantes o inclusive de individuos.

Sin kits, un atacante debe investigar y desarrollar un malware suficientemente potente para ser efectivo y lograr el objetivo. Por ejemplo, borrar o destruir un par de miles de discos rígidos de las pcs de los empleados de una organización.

El kit dispara los tiempos: la compra de un kit le permite a un individuo y/o a un grupo pequeño de atacantes dirigir una ofensiva contra una infraestructura altamente protegida con probabilidades altas de éxito y con tiempos de preparación del ataque muy reducidos (días a semanas).

* Un kit aparece en el mercado y contiene vectores de ataque que van a funcionar por plazos muy cortos, de días a semanas como máximo. Se vende muy caro cuando es nuevo y va bajando de precio a medida que pasan los días (y el kit se vuelve potencialmete menos efectivo y/o totalmente inutil).

* Sin embargo, habiendo la suficiente motivación, el acceder a un kit precipita un ataque efectivo y altamente destructivo contra una organización, con la cualidad intrínseca de ser imprevisible.

* Es decir, hace 10 días atrás no existía el kit (ni los medios técnicos que posee), y no era viable atacar a ciertas organización, 10 días después, el kit es accesible y un grupo de hostiles puede pagar (a un hacker o varios), para que realicen un ataque dirigido.


Romper, no afectar
Hace tiempo, los virus no eran dirigidos, no se buscaba afectar a una empresa u organización en particular, hoy es muy distinto. Habiendo la suficiente motivación política (y tal vez ni siquiera económica), un grupo de interés puede buscar atacar e intentar destruir la infraestructura informática de una organización.

Por ejemplo:
"Saudi Aramco Oil Producer's 30,000 workstations victim of Cyber Attack"
http://thehackernews.com/2012/08/saudi-aramco-oil-producers-30000.html


Romper estaciones de trabajo, no servers ni redes y el MTTR
La actual motivación para atacar fuerte, rápida y decisivamente al mayor número de estaciones de trabajo de una organización "target" es simple: las infraestructuras centrales, redes y servidores están altamente fortificadas y aseguradas casi de seguro y hay un punto clave aquí: el MTTR.

*MTTR
http://en.wikipedia.org/wiki/Mean_time_to_repair

El MTTR de los puntos centrales de una infraestructura informática, servidores y redes, es casi siempre el más bajo posible de obtener con los recursos de la organización. Por ejemplo:

a) un ataque puede borrar completamente un server, luego, usando backups el server es restaurado en muy poco tiempo

b) un ataque puede hacer un takedown completo y muy rápido de un centro de datos, luego, es rápidamente reeemplazado por un centro de datos secundario.

[ Ejemplo de ataque para b): se puede realizar usando vulnerabilidades zero day de routers, y sobreescribiendo los firmwares de todo el equipamiento de networking de "core" de la infraestructura, fácilmente "ubicable" gracias a tener "a mano" la ubicación lógica de los routers con recursos como trazadores y análisis de configuraciones de ruteo (gateways, etc.)]

Si bien atacar los puntos centrales de una organización permanece como un objetivo muy deseable en los ataques dirigidos de la actualidad, es mucho más fácil y mucho más probable de ser efectivo directamente al afectar a un grupo masivo de estaciones de trabajo.

La motivación de "romper estaciones de trabajo" implica un impacto variopinto:
 - hace falta tiempo para reconstruir, digamos 2000 estaciones de trabajo;
 - hace falta tiempo para recuperar los datos privados, es casi seguro que si el malware logró permiso de administrador en una estación de trabajo el tiempo suficiente, los datos locales fueron destruídos efectivamente;
- hace falta tiempo - mucho en gral. - para recuperar los datos desde backup centralizado para todas las estaciones de trabajo afectadas por el ataque (típicamente la infraestructura de recuperación de backups va a ser saturada muy rápido, ya que suele prever una carga probable máxima mucho menor a la requerida para tolerar un uso masivo y repentino).
- La cantidad de información no backupeada en las estaciones de trabajo suele ser masiva (típicamente ubicada en directorios no añadidos a los sets de backup locales ni remotos), lo que implica que al perderse, la organización va a perder una fuerte capacidad operativa durante un tiempo considerable.
- etc. etc.

Es decir,

* el MTTR de la estaciones de trabajo es potencialmente mucho mayor en la organización, que el MTTR de los núcleos informáticos (centros de datos, servidores, redes, etc.).

* la cantidad de recursos organizacionales dedicados a proteger las estaciones de trabajo suele ser los mínimos posibles para la mayoría de las estaciones de trabajo (haciendolas potencialmente más vulnerables), mientras que los núcleos informáticos tienen cuantiosos recursos invertidos en protección (backup, redundancia, disaster recovery, etc.).

Es decir,

Los ataques dirigidos masivamente contra estaciones de trabajo no son una coincidencia o simplemente "el camino de menor resistencia" (al menos no solamente eso), sino que estamos en presencia de ataques calculados y pensados, con un alto nivel de motivación potencial dada por la altas chances de éxito en la búsqueda de afectar la infraestructura.

No hay comentarios: