«If you like a hole, whatever the hole, bruteforce it at all costs».
(Anonymous)
Es evidente que Internet y la era digital están modificando a una escala sin precedentes la condición natural de los lazos interpersonales y su desenvolvimiento. Irónicamente se ha constatado que las personas construyen una confianza más profunda al conocerse en canales digitales, antes incluso de conocerse en persona. Dichas plataformas digitales generan confianza de una forma un tanto misteriosa y excesiva (que conviniera ser puesta a prueba constantemente). Sin embargo desde mi muy personal punto de vista, la confianza ni se negocia, ni debería ser ciega. Se asemeja a un gigantesco rascacielos de naipes que tarda siglos en armarse y se desmorona al primer movimiento en falso. La analogía es especialmente válida en la vorágine del entorno digital.
Como seres humanos, en algún punto de nuestras vidas tendremos que enfrentar la decepción o la traición, (palabras normalmente ligadas en mayor medida a las relaciones sentimentales). En muchos casos, dependiendo del nivel de «daño» aparente, sufrirlas puede ser devastador hacia la propia identidad de la persona cambiando totalmente quiénes somos, nuestros planes a futuro, o «tergiversando» la forma en la que afrontemos futuros idilios. Y por supuesto destruir para siempre la visión que teníamos sobre la seguridad y tal vez hasta la intimidad.
En seguridad TI, uno de los activos a explotar al realizar un ataque es precisamente la confianza del usuario, permitiendo al blackhat penetrar hacia la red. Esto viene relacionado de igual manera al falso sentido de confidencia que todos asumimos al instalar un antivirus, implementar un firewall, pasar con creces una auditoría de seguridad, o tener un Master en IT Security, pues la regla de oro en este «negocio» es saber que realmente no hay mucho que se pueda hacer en contra de alguien (o algo) lo suficientemente experimentado que ha decidido «llegar a nosotros» a toda costa.
Justamente el propósito de estas líneas es desglosar lo fácil que resultaría para un hacker, destruir completamente la vida de una persona, explotando y traicionando nuestra inconsciencia y el vulgar natural instinto de confianza que creamos alrededor de nosotros. Refiero al lector el siguiente escenario para su reflexión, en 3 pasos generales, extirpado de un caso real (por más macabro o imaginario que parezca).
1. Reconocimiento de la presa
Llamaremos a nuestra víctima Fernando.
Fernando es un ejecutivo de alto rango en una empresa privada, de cuyo nombre no puedo acordarme, que pese a las reticencias de su jefe, ha conseguido se haga una prueba de penetración a sus defensas corporativas, mediante la contratación de un gray hat (el pobre de Fernando no sabe que contrató a un gray hat). Fernando está realmente preocupado por la seguridad de su empresa (y la suya), y es uno de los pocos ejecutivos que ha puesto sobre la mesa, que dicho tema es una necesidad primordial para el futuro de la organización.
Su compañía tiene las protecciones típicas de cualquier otra: un firewall de X marca, antivirus, autenticación de dos factores y todo lo que siempre vemos y se le vende a una compañía por parte de los fabricantes.
Entonces, Fernando ya tiene al gray hat, A.K.A auditor de IT Security & Pen-tester, listo para la acción, pero desafortunadamente, como bien lo apunta el gran Kevin Mitnick en su libro The Art of Deception, Fernando no sabe nada acerca del «elemento humano» que eventualmente será la causa de su destrucción. Para efectos prácticos, nos centraremos en Fernando y lo relativamente sencillo que sería arruinarle la vida; dejando algunas vicisitudes a la imaginación del lector.
Pero vamos a ver… ¿quién demonios es Fernando?
El astuto gray hat, antes de firmar el contrato, que lo avalaba como auditor oficial para la empresa de Fernando, ya trabajaba en recolectar información sobre él. Llegaba muy puntualmente a las oficinas de la empresa, atendiendo los meetings que fijarían los términos y condiciones del compromiso, aprovechando también para hacer plática ligera e «inocente» con la secretaria y los empleados del lugar.
El gray hat pronto se vuelve parte del entorno; todos lo ven muy frecuentemente, reforzando su noción de confianza en él y mejor aún, viéndolo como una gran autoridad en materia de ciberseguridad. Construye relaciones sin que los demás apenas se den cuenta; esto le servirá considerablemente para romper el perímetro de las defensas, insertándose desde dentro si fuese necesario.
El gray hat finalmente firma el contrato comenzando el juego. Una vez fuera, llama a la secretaria, que recordemos, ya tiene su confianza, y le pide que como parte del trabajo, debe utilizar su computadora para unas «pruebas». Por supuesto ella accede, primero en parte gracias a la nueva «amistad/familiaridad» surgida, y lo más importante: ha visto como su jefe directo, Fernando, sale a comer con el gray hat, dejando clara una relación muy formal en desarrollo, que ella no puede atreverse a cuestionar de ninguna manera. Negarse a la petición del gray hat podría traerle desavenencias que es mejor evitar.
Pero regresemos a lo que tenemos sobre Fernando. El gray hat ha hecho un canvassing ligero por Internet, únicamente ayudándose de Google y algunas utilidades sencillas de recolección de información, nada complejo en realidad. Descubre que está felizmente casado con Josefa y tiene un pequeño retoño Fernando Jr., de 13 años. Sabe perfectamente a qué escuelas asistió Fernando en su juventud, y todo su social media (Facebook, Twiter, Snapchat…). Lo anterior con cada uno de los miembros de su familia, por supuesto.
Aunque el gray hat todavía no ha perpetrado ninguna clase de embestida directa, ya hay perspectivas serias de comenzar el asalto, y preparar el terreno por varios flancos es de vital importancia. Toda esta estrategia será posible entenderla con mayor claridad, en los movimientos realizados por el gray hat más adelante.
2. Conectando con la presa
Llegados a este punto, el gray hat empieza a preguntarse: «¿Qué se me antoja hacerle a Fernando? ¿Lo chantajeamos con exponer todos sus secretos personales? ¿Destruimos toda su identidad de años, todo su perfil, lo volvemos completamente invisible, como si fuera un cadáver viviente? ¿Robamos su información mediante un ransomware y pedimos rescate? ¿Le hacemos la vida imposible por un buen tiempo, haciéndole muy difícil utilizar sus dispositivos o pagar sus cuentas y deudas? ¿Ingresamos a su banca en línea y hacemos una donación anónima a las monjitas de la iglesia de su comunidad? Tal vez se me antoje entrar a su compañía y robar secretos corporativos que pueda vender en el mercado negro. O, por qué no, mejor… hacemos todo».
Lo anterior requiere un nivel considerable de encubrimiento, y acceso profundo a cada uno de los recursos de Fernando; sobre todo no debe percatarse de ningún intento de intrusión o empezará a sospechar del gray hat, pues sabe que lo ha contratado para burlar el perímetro de su compañía. Pero el perfil de Facebook y en sí, todas sus redes sociales, son claves para desplegar el ataque. En general, nuestras redes sociales dicen mucho más de nosotros de lo que admitiríamos, y suelen ser el talón de Aquiles de casi cualquier individuo.
El gray hat podría comenzar extendiendo una invitación de amistad, mediante unos cuantos «malabares» en algún perfil de ataque. Aunque nos detendremos aquí; porque existe un pequeño detalle que puede resultar en un problema; actualmente la mayoría de la gente sin importar la edad, pone un tanto en «entredicho» a los que suelen agregar en Facebook, si los conoce o no es irrelevante; posiblemente Fernando, siendo un ejecutivo conocedor de la Seguridad TI, le niegue la invitación al perfil fake, por muy real que parezca, prefiriendo mantener intacto su círculo social actual y no expandirlo inútilmente, con personas que no ve desde hace tiempo o que no conoce.
Pero el gray hat encuentra otro patrón: Fernando es un profesional muy activo en Linkedin y hoy día, esa red social goza de una gran reputación; ciertamente se asume casi de inmediato que una persona con carrera y experiencia laboral es alguien confiable ¿no es así?; por supuesto que Fernando tiene agregados a sus amigos de la Universidad, de la carrera, en los años que él estudió, como casi toda la gente con una cuenta en Linkedin. El gray hat verifica que hay algunos de esos amigos/excompañeros que no tienen dicha red social y son el blanco perfecto para usurpar sus identidades creándoles un perfil falso.
El gray hat conecta este falso perfil(es), con otras cuentas fake, para crear la ilusión de que es una persona existente y (resaltemos) «confiable». Llena el perfil con información que concuerde con el gremio de Fernando mandando el anzuelo calculador, por medio de un invitation request + message:
«¡¡Fernando!! Han pasado años desde la universidad y las clases inhumanas de Ecuaciones Diferenciales. Actualmente estoy trabajando en una compañía de Software, me encantaría tenerte entre mis contactos y a lo mejor un día quedamos para charlar o comer. Un saludo».
Fernando sabe de antemano que las relaciones en Linkedin tienden a ser más formales y trata de recordar al remitente con un «quizá te vi en mi monstruosa clase de Ecuaciones hace muchos años» o un «quizá hablamos un día en el campus», pero esto no tiene importancia porque su cerebro le dice que esta red es para profesionales y puede valer la pena agregarlo, si hubiera una futura consulta o relación laboral. El mundo es pequeño. Hay una gran posibilidad de que Fernando agregue al gray hat en sus contactos, no obstante vamos a suponer que es demasiado quisquilloso y le niega la invitación.
Lo que sigue es ir contra los otros dos activos restantes, importantísimos para Fernando, y que desconoce pueden también ser blandidos en su contra, su esposa e hijo: Josefa y Fernando Jr. Recordemos (muy novelesco), que nuestros seres queridos son la fuente diaria de nuestra inspiración y fuerza.
Desafortunadamente también son nuestra mayor debilidad.
Para efectos maquiavélicos de este escenario, señalaremos que Josefa tampoco muerde el anzuelo y el gray hat va con todo contra su hijo pequeño, Fernando Jr.
Honestamente, conectar en Facebook con un millenial es una tarea que hasta un newbie podría lograr, (peligrosísimo que un menor de edad tenga la vía abierta sin restricciones a redes sociales) por lo cual omitiremos todo el proceso (similar en buena parte al gancho que se le envió a Fernando), teniendo el gray hat finalmente, acceso a Fernando Jr. y por extensión a sus padres.
Pero es de notarse, aclarar (y recalcar) que nuestros flancos más endebles, no siempre son los más visibles, pudiendo otro aprovecharse de ello al máximo, sin que nos demos cuenta si quiera.
3. Ejecutando la ofensiva
En la interacción del gray hat con Fernando Jr. sabe que casi nunca se encuentra en casa hasta la noche, pues practica Waterpolo y tiene una laptop, una tablet y diversos dispositivos IoT en casa. Una vez ganada la confianza del niño, mediante diversas charlas, blandiendo el skill perfecto de Social Engineering, el gray hat está listo para mandar la bomba que le dará todo lo que quiere.
Le envía a Fernando Jr. un attachment infectado con un troyano que seguramente va a abrir. Debe ser lo suficientemente excitante para que inmediatamente lo abra, de otro modo, la atención de un niño millenial puede perderse rápidamente y provocar fallas o retrasos en la operación. El gray hat le manda un link de su interés, ligado con su afición deportiva con un resultado casi infalible: ver la Final Four Europeo del Waterpolo, que solo se televisa en el continente viejo, y si quieres verlo en HD, debes pagar a un canal de deportes, que francamente él podría pagarse sin inconvenientes, pero puede requerirle méritos o esfuerzos «aburridos». Es muy posible además, que el niño tenga en su poder una tarjeta bancaria, pero jugaremos con la impaciencia característica de su generación, queriendo tener todo al alcance de un clic (o menos). Cuando Fernando Jr. abre la liga, voilá!, descarga un troyano indetectable a su antivirus casero, y le da acceso remoto al gray hat, con persistencia total.
(Como apunte adicional, el lector puede cuestionar que omitir la evasión del antivirus es un conveniente Deus ex machina. Sin embargo, basta únicamente con husmear un poco en su search engine favorito, y revisar las numerosas técnicas de evasión de AV’s para constatar, que no es algo que deba ser detallado en el relato).
Luego, el agresor utiliza la máquina de Fernando Jr. como pivote para infectar y llegar al resto de los dispositivos caseros, identificando de manera muy sencilla la máquina del target principal: la computadora de Fernando padre, el ejecutivo.
Adicionalmente se pueden transferir a partir de aquí, diversas hacking utilities en modo stealth o romper su router para comunicarse directamente con los servers maliciosos del gray hat. En este punto Fernando ya está cabalmente comprometido; el gray hat posee su computadora a través de la de su hijo, y lanza múltiples ataques en segundo plano para quebrar su información, capturar sus passwords, deshabilitar su antivirus, o crear excepciones en las reglas de su firewall/AV para dejar pasar su malware sin temor a que salte una alerta, de parte de las pocas defensas que aún le quedan. Inclusive si Fernando contara con medidas extra, como la autenticación de dos factores, servicios de no repudiación, identificación de los dispositivos que se conectan a una cuenta, es altamente probable que se puedan bypassear, porque estamos utilizando la misma computadora que utiliza Fernando, y no habrá ninguna sospecha clara.
El atacante ya sabe todos los accesos que Fernando usa, hasta la VPN que tiene con su compañía de trabajo y que ahora el gray hat puede explotar haciéndose pasar por él, para dañar severamente a la empresa.
Si el atacante tuviera como objetivo principal destruir a Fernando, en esta etapa de la intrusión ya no habría manera de pararlo. Lo lograría sin duda alguna.
4. Cosechando la siembra
Si recuerda el curioso lector, cuando el gray hat comía con Fernando en las reuniones de la empresa, le pidió a la secretaria acceso a su máquina para ejecutar algunas “pruebas”. El gray hat ha mantenido «caliente» esa relación monitoreándola hábilmente por dos razones principalmente:
Para parecer que se encuentra trabajando; porque a pesar de que la secretaria respeta al gray hat como IT gurú, es inevitable que le informe a Fernando sobre la ejecución de “pruebas” realizadas por él. Fernando se entera de esto, pero lo espera: sabe de antemano que el trabajo del gray hat es hacer una intrusión a la compañía, así que lo toma como parte del encargo. El gray hat no se arriesga, correlaciona el comportamiento de Fernando con el de la secretaria, para verificar que no haya sorpresas, y que no sospechen de algo «indebido». Además le puede dar tiempo para borrar sus huellas, no dejando evidencias de cualquier intento de intromisión.
Secretamente monitorea los ataques «convenidos» que han venido ejecutándose en esa computadora al resto de la red. A través de este ataque inicial, ha sido posible infectar múltiples computadoras mediante el file sharing de la secretaria. Sabemos que ella no posee privilegios de sysadmin, pero puede mandar correos a quien sea dentro de la compañía, pues se encuentra dentro del mismo dominio, y serán «confiables» en automático.
Asumiendo que aún no se ha logrado infectar la máquina de Fernando, el gray hat manda un correo desde la cuenta de la secretaria con un attachment malicioso. Es bastante factible que no tirará de las alertas del spam filter, porque estamos dentro del perímetro, por lo que al abrirlo, “confiando” en que viene de la secretaria con un mensaje importante, Fernando quedará infectado. De esta manera al ser un ejecutivo de la empresa, tendrá accesos más altos que cualquiera y se hará una escalación de privilegios, que le permitirá al gray hat, después de las elevación a nivel ejecutivo y movimientos laterales hacia el departamento de Sistemas, control total sobre la red como sysadmin.
5. Carroñando el botín
El gray hat es dueño de Fernando, literalmente de pies a cabeza. Además tiene a tiro a su empresa, a su esposa y a su hijo. Es el precio de vivir en una sociedad ultra dependiente de la tecnología.
Cual transformación «repentina», al estilo del extraño caso del Dr. Jekyll y Mr. Hyde, Fernando desfila con la bandera del principiante con suerte, pues el gray hat definitivamente decide actuar como un correcto white hat, informándole plenamente de todas las actividades maliciosas hechas en su contra, para tomar el mando del piloto en su vida. Al final, todo era parte del contrato: incluir a Fernando en el intento de penetración. Fernando le agradece el trabajo realizado y se da cuenta de lo graves que son sus vulnerabilidades.
Ahora, imaginemos que el gray hat en realidad es un black hat, y no existe un contrato que impida el ataque. Si no hubiera estado ahí, simplemente para probar las defensas y mostrarle a Fernando sus fragilidades. Esto le pasa a la gente todo el tiempo; no importa que no sean ejecutivos de alto rango, todo el tiempo estamos en la mira. Los black hats no tienen reglas. Ellos jamás van a tener dudas, ni límites y basta un solo día para destruir la vida de alguien enteramente. Van a explotar todo lo que esté a su alcance para llegar a su objetivo, y más si han sido contratados por alguna entidad; usarán todos los recursos inimaginables, familia, amigos. Jugarán con su mente, sus sentimientos y emociones. ¿Qué creen que pasaría si al gray hat, se le ocurría plantar un sitio entero de pornografía infantil en la laptop de Fernando y después daba aviso a las autoridades? ¿Qué puede hacer una persona promedio (porque muy a pesar de ser un ejecutivo de alto rango, para efectos del caso sigue siendo una persona promedio) contra este tipo de amenazas?
¿Cómo se detiene a una sombra?
Como es imposible volver a la edad de piedra, y sosteniendo mi línea sobre las pocas probabilidades de resistencia cuando hemos sido elegidos como target de un black hat adiestrado, al menos pondré unos bullets que pueden servir para mitigar una buena parte de los riesgos existentes allá en la jungla:
Educación/Entrenamiento
Si bien estoy de acuerdo, en que las personas no deberían ser expertas en Seguridad Informática, pues para eso están los profesionales, es importante hacerles saber que dado el creciente uso de Internet en nuestras vidas, es vital tener en cuenta estos tópicos para nuestro bienestar.
Tener procedimientos para salvaguardar nuestra privacidad y tratar de no ser tan dependientes de la tecnología, entrarían en los niveles de supervivencia que estemos dispuestos a aceptar diariamente.
Proteger la información
Cifrar tus datos. Posiblemente haya hackers muy versados que puedan romper algunos algoritmos de encriptación, pero sería demasiado saber de alguien, a quien le hayan roto un RSA 2048. En ese caso probablemente solo el Pentágono o la OTAN podrían hacerle frente.
Mantenerse alertas e informados
Manténganse con al menos 3 feeds en materia de Seguridad. Les dará lo suficiente para saber cuáles son los últimos trends en aspectos de intrusión y consejos útiles/fáciles para mantenerse alejados de la órbita de los black hats. Aunque al final de cuentas uno elige hasta dónde desea protegerse o informarse, entonces depende de ustedes si los leen, o si en verdad los toman en cuenta.
Es notable que estos temas preocupan cada vez más a toda la sociedad, sobre todo cuando raro es el día que no aparecen noticias relacionadas con espionajes masivos por parte de gobiernos a sus ciudadanos, nuevos Zero-days o brechas de seguridad en las empresas, cibercrimen, etc.
Así que cada vez somos todos más conscientes de los riesgos, y por eso cada vez se demandará más a los usuarios y muchísimo más a los profesionales de Seguridad TI.
No construyan los cimientos de su confianza con naipes.
«Well done, android. The Enrichment Center once again reminds you that android hell is a real place where you will be sent at the first sign of defiance».
(GLaDOS)