En la mente de un hacker

Durante la campaña electoral de 2004, Jeremy Poteet presidía el acto de lanzamiento de la página web de un candidato al Congreso americano y cuya seguridad había diseñado él mismo. Tan sólo 16 minutos más tarde de presentarla en sociedad, la página era atacada.

Sin embargo, ninguno de los ataques tuvo el efecto negativo que perseguía. Poteet logró evitar sus efectos ya que había anticipado varios tipos de agresión. ¿Cómo lo supo? Sencillamente, porque Poteer es un hacker y nada como conocer el otro lado para defenderse de quienes lo habitan.

Poteet, responsable de Seguridad en Appdefense, pertenece al tipo de hacker conocido como 'white hat' o investigador de seguridad. Es alguien que busca los posibles puntos de fallo en el software. Los hackers 'black hat', por su parte, son todo lo contrario. Es gente que intenta defraudar a través de las vulnerabilidades que encuentra en la codificación de los programas.

En el pasado, la mayoría de los hackers lo era por diversión o desafío. Ahora, los 'black hat' venden sus capacidades de captura de contraseñas, autorizaciones para las páginas de banca online e información personal para el robo de datos por miles de euros. Conocer la metodología de los hackers 'black hat', saber lo que buscan y cómo lo consiguen debe formar parte fundamental de cualquier estrategia empresarial. Según George Kurtz, autor del libro 'El hacking expuest', los objetivos de los atacantes ha cambiado en los últimos años.

"Cuando llegué a la industria TI, los problemas radicaban en que una empresa no tenía cortafuegos. Ahora existen miles de aplicaciones interactivas; tecnologías Web 2.0 conectadas a las bases de datos, etc., lo que conlleva un peligro inherente", explica Kurtz, fundador de Foundstone, una organización de formación en métodos de hacking y codificación segura. Foundstone es una división de McAfee y Kurtz es vicepresidente de la división Enterprise de la compañía.

Ciertamente, los hackers están ahora centrando su atención en las aplicaciones. Según un estudio de Gartner y Symantec, en 2006, cerca del 90 por ciento de los ataques de software se dirigió contra la capa de aplicaciones de las TI empresariales. "Una vez que se abre el acceso al puerto 80, cualquiera tiene vía libre a las aplicaciones", explica Kurtz.

Estos fallos a nivel de aplicaciones no son nuevos. En el año 2002, Poteet ganó el concurso Open Hack IV, convocado por eWEEK, cuyo objetivo era comprometer una página ficticia de comercio electrónico. Poteet consiguió atacar la versión de prueba, que estaba vinculada a una aplicación de base de datos Oracle.

El fallo que Poteet pudo explotar fue la pantalla en la que los usuarios configuraban su perfil. El nombre de usuario consistía de un único campo, supuestamente uno que no permitía ser editado. Pero una vez que los datos se introducían por la interfaz con el servidor Web recopilando datos del navegador, poco importaba si el campo era editable o no porque en este punto, todo se puede editar.

Poteet introdujo el nombre de 'P Pérez' en el campo y esperó. En el momento en el que alguien con el mismo nombre introdujo su clave, Poteet consiguió acceder a todos los datos de P Pérez.

El problema está en que la mayoría de los desarrolladores de aplicaciones no piensa como Poteet. Así, éste afirma haber consultado con muchas empresas y descubrir que existen vulnerabilidades en cada campo de cada pantalla de cada aplicación. Y no estamos hablando de pequeñas empresas. La mayoría de los clientes de Poteet son empresas del Fortune 500, y muchas de éstas, entidades financieras. Pero incluso dentro de este sector, una industria que conoce bien las consecuencias de una seguridad ineficaz, los que desarrollan los códigos suelen dejar agujeros por imprudencia o negligencia... Agujeros que atraen a los atacantes.

Puedes engañar una vez...

Si hay una cosa que se puede decir con certeza con respecto a la seguridad es que la gente siempre repite los mismos errores. Y los hackers, al fin y al cabo, son también humanos.

Los agujeros más comunes incluyen datos en los avisos de error que se pueden utilizar para acceder a los distintos sistemas, que facilitan crear inyecciones SQL o códigos XSS (programas de páginas cruzadas) y que proporcionan el control de acceso a las aplicaciones J2EE.

A los hackers les apasionan las inyecciones SQL: Una buena inyección de código SQL es capaz de recopilar la información de todas las tablas en una base de datos. Y si los atacantes consiguen editar las consultas de los usuarios, podrían incluso cambiar la toda la información de una base de datos.

Estos son los temas más preocupantes con respecto a la codificación de aplicaciones, según el Open Web Aplication Security Project (www.owasp.org/index.php/OWASP_Top_Ten_Project). Esta lista también incluye información útil que aparece en los mensajes de error, como por ejemplo: "Microsoft OLE DB Provider for SQL Server error '80040e14' Column 'newsTBL.NEWS_ID' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. G:\WEBSITES\WWW.COMPAÑÍA.COM/internal/dbSys.inc, line 241".

Con sólo ver este mensaje, el hacker puede averiguar que la aplicación utiliza una OLE DB para comunicarse con la base de datos, que utiliza SQL Server como SO de base de datos, que los comandos de SQL se pueden pasar a la base de datos y que existe una tabla llamada newsTBL en la base.

La tendencia del mal

Una tendencia que se ha convertido en un boom para la maquinaria del malware es el avance tecnológico que los rootkits han conseguido.

"Algunas de las tecnologías rootkit que analizamos en el Avert Labs (McAfee) son increíbles", asegura Kurtz. "Estamos viendo cosas que nunca se han dado en el pasado, hechas con una nueva metodología, diseñadas para robar información financiera sigilosamente. Desde el punto de vista del delincuente, han pasado de una dinámica de 'buscar una vulnerabilidad', a una de 'buscar una vulnerabilidad de codificación de aplicación, automatizar la vulnerabilidad, introducirla en una bot, cargar las páginas para reinfectar al cliente y después utilizarla para ser dispersada por otras redes bot...". Los investigadores en seguridad están observando muy de cerca el desarrollo de dos nuevas tecnologías rootkit que contribuirán a incrementar aún más la importancia y los beneficios económicos de las redes bot: los rootkits virtuales y los hipervisores malignos.

"Sabemos que los delincuentes están buscando nuevas maneras de mantener su presencia en los sistemas TI durante más tiempo y sin ser percibidos", apunta Joe Telafici, vicepresidente de Avert Operations, de McAfee. "Cuanto más tiempo consiguen estar en una máquina sin que se les descubra, más dinero pueden ganar". Tanto los hipervisores malignos como los rootkits virtuales, conceptos aún por desarrollar, permiten a los autores del malware instalarse en una máquina sin ser detectados durante mucho tiempo. Los investigadores están a la espera de lo que hagan los "black hat" y están convencidos de que se trata de una cuestión más de cuándo lo conseguirán que de si podrán...

Dejadlo sangrar

Thomas Ptacek, fundador e investigador de la compañía Matasano, señala que los desarrolladores y arquitectos de sistemas no sólo tienen la responsabilidad de evaluar los productos que protegen los activos de la compañía, sino que además tienen el deber de intentar romper la codificación subyacente para ver si 'sangran' (la comprobación del riesgo de la vulnerabilidad), que es precisamente la estrategia que utilizan los hackers. "Para realizar pruebas minuciosas, es preciso analizar con detalle los distintos módulos de las aplicaciones", explica Ptacek.

Windows Vista, por ejemplo, revela que Microsoft ha realizado mejoras en el área de seguridad. En su versión de 64 bits, Vista elimina algunas de las herramientas que pueden ser explotadas por los hackers.

Esta edición dificulta la explotación de ciertas funciones inseguras al asumir que el punto de entrada de los atacantes siempre se realiza por el mismo sitio o puerto. Vista también elimina la posibilidad de inyectar códigos en el kernel de Windows, impidiendo de este modo que otros programas monitoricen los vínculos entre aplicaciones. En el sistema operativo de Microsoft aparece el nuevo UAC (Control de Cuentas de Usuario) que lleva a cabo un redireccionamiento de algunos archivos y claves de registro a los llamados "sandboxes", algo parecido a las escapatorias en las carreras de Fórmula 1.

El malware puede eventualmente provocar cambios en el codigo, pero éstos desaparecen cuando el proceso termina. Así, al menos, se consigue que el malware no afecta a otros usuarios y a otros procesos.

Está claro que estas medidas de seguridad no son la solución definitiva contra los ataques, pero contribuye de manera importante a reducirlos. No obstante, algunos observadores y expertos vaticinan que ese nuevo perfil de seguridad en Windows Vista no hará sino impulsar la innovación y los ataques de los hackers. McAfee estima que, dentro de seis meses, los autores de malware comenzarán a intentar desarrollar rootkits para máquinas virtuales aprovechando las tecnologías de Intel y AMD.

De momento, esto sigue siendo como el juego del gato y el ratón. La aparición de nuevas técnicas de seguridad hace que los hackers intenten descubrir sus vulnerabilidades, mientras que los creadores de malware investigan la manera de rentabilizarlas.

Cualquier usuario puede conseguir los escáneres y otras herramientas utilizadas por los hackers con tan sólo disponer de una conexión a Internet, y los arquitectos y desarrolladores de programas deben utilizar estas herramientas como parte integra de cualquier diseño de codificación.

No son una panacea contra los ataques pero, al menos, permiten comprobar y verificar la robustez de un programa.

El mejor consejo posible lo encontramos en las propias recomendaciones de Ptacek: Hay que desmembrar y analizar los códigos metódica y detalladamente. "Mejor que usted mismo ataque a su propio sistema a que lo haga un hacker 'black hat".

Recomendaciones para su sistema de defensa: las reglas de Aitel

Dave Aitel, CTO y cofundador de Immunity, lleva tiempo tratando de responder a esta pregunta: ¿Cuál es la diferencia entre las bandas organizadas de delincuentes online y las empresas comerciales que realizan pruebas en busca de vulnerabilidades? "Una compañía tiene un presupuesto alto, infraestructura dedicada y un personal experimentado. Entonces, ¿por qué lucha contra los hackers como si fueran unos novatos? El hecho es que, si alguien recibe mucho dinero para resolver un problema importante, lo más probable es que se aproveche sin aportar resultados verdaderamente contundentes", asegura Aitel en su blog personal.

Como consecuencia, nacieron las "Seis Reglas para hacer frente a los pesos pesados", una guía para los pequeños grupos de profesionales de la seguridad. Estas reglas proponen convertir a estos grupos en máquinas eficientes contra el cíbercrimen.

Regla nº1: Si no lo puede depurar al instante, no le sirve de nada.

Siempre habrá casos en que una herramienta (de depuración) no funciona y será por culpa del usuario, dice Aitel. La complejidad de la comunicación entre redes es otro aspecto a considerar. Incluso cuando el objetivo dispone de un IPS (sistema de prevención de intrusos), es posible que funcione la agresión. Pero si nunca lo ha intentado, nunca lo sabrá.

Regla nº2: No separe los equipos de investigación y los de ataque.

Esta regla de Aitel se basa en su propia experiencia. En su anterior compañía, el equipo de consultoría no podía comunicarse con los investigadores por culpa de un cortafuegos. El resultado: el equipo de investigación investigaba problemas hipotéticos sin relevancia en el mundo real.

Regla nº3: Forme un equipo de respuesta rápida que pueda reaccionar ante cualquier ataque en menos de 8 horas

"Hay investigadores que se inclinan por uno u otro aspecto (reacción rápida o análisis lento pero minucioso). Formo parte de los que apuesta por un equipo de respuesta rápida aunque contando también con un equipo de análisis minucioso", explica Aitel.

Regla nº4: Empápese en las tecnologías que ya dispone en la empresa.

Saque el mayor partido de los euros destinados a investigación en programas que ya tienen implantados. Estos son riesgos que se pueden eliminar sin más demora.

Regla nº5: Desarrolle afiliaciones técnicas con gente que sabe programar una explotación.

Forme parte de la comunidad de investigación de seguridad, cuyos miembros se encuentran en eventos y conferencias.

Regla nº6: Un equipo, una misión.

Obviamente, la gente desea trabajar con lo que ya conoce: Windows o Linux. Pero para poder triunfar, ha de contar con gente que sepa observar y solucionar el escenario completo, cualquiera que sea el sistema operativo.