El martes 19 de febrero de 2013, la empresa Mandiant publicó un reporte que liga actividades de espionaje industrial con el gobierno chino. El documento gira en torno a un grupo de crackers chinos bautizados con el identificador APT1. APT en inglés es Advanced Persistent Threat.

Para mí, no es un reporte más, sino que adquiere relevancia ya que demuestra con bastantes y razonables evidencias que hay un patrocinio o tolerancia gubernamental de China orientado a actividades de robo de información que suponen una ventaja competitiva a diversas industrias chinas.

Quedé impactado de la información que se vierte en el reporte, el cual sugiero fuertemente leer y se encuentra en www.mandiant.com/apt1. A reserva de que lo leas, quisiera comentar algunos puntos relevantes de este documento que aclaro, son mis interpretaciones y opiniones de la lectura que hice del reporte.

Pero primero. ¿Estuvo bien que esta empresa Mandiant lo haya publicado? Hay voces que dicen que no, que porque es pura publicidad para la empresa que lo sacó a la luz y pone en alerta a los crackers quienes seguramente cambiarán sus técnicas. En mi opinión, pienso que hicieron más bien que mal. Mandiant es una empresa de EUA que tiene acceso a datos concretos de cómo están drenando dinero de empresas de su propio país y sería triste que se quedaran de brazos cruzados. Claro, pudieron haber alertado de los hackeos puntualmente a cada empresa, sin embargo la solución será puntual también y el problema general en sí persistirá. Creo que al publicarlo al menos moverán voluntades hasta ahora detenidas y puede significar cambios importantes en la administración de la seguridad de aquel país.

Dicho lo anterior, entremos en materia.

A lo largo del reporte se establecen diversas ligas entre el grupo de crackers chinos y su gobierno. Se dan detalles como por ejemplo que el Ejército Popular de Liberación tiene bajo su mando al grupo llamado “Unit 61398”, encargado de realizar las penetraciones y que como ya dije, es identificado por Mandiant como APT1. Inclusive se da la dirección física desde donde ocurre el ciber- espoinaje (un edificio en Datong Road en Gaoqiaozhen, Shanghai). Asimismo en el reporte se encuentran fotos del inmueble. En mi opinión se ha establecido fuertemente el origen chino del grupo de crackers auspiciado o al menos tolerado por el gobierno de ese país, cuestión que siempre ha negado oficialmente. (Pág. 3 del reporte de Mandiant).

El documento de Mandiant habla de que se estima que la Unidad 61398 emplea a cientos o tal vez miles de personas encargadas de diversas tareas de ciber- espionaje. (Pág. 3). No sólo hay gente que se mete a las computadoras, sino que hay otras más encargadas de analizar la información, distribuirla a los interesados y recibir peticiones concretas de espionaje.

Curiosamente la Unidad 61398 contrata a empleados de cierto perfil. En concreto, buscan gente de seguridad informática y de redes; asimismo piden que hablen inglés. (Pág. 3).

Se registró el robo de cientos de terabytes de información de 141 empresas alrededor del mundo. Y es de notar que esta Unidad puede estar “adentro” de varias empresas de manera simultánea. Lo anterior es relevante, ya que habla de sus capacidades: no sólo es entrar a una infraestructura, sino una vez adentro empezar a analizar la información a la  que se tiene acceso para extraerla; dicho análisis no es trivial. Es necesario comprometer un sistema, ver qué tiene y seleccionar el siguiente objetivo dentro de la empresa víctima para de nueva cuenta analizar la información que contiene y seleccionar aquella que es de utilidad. Este proceso junto con mantener el acceso informático no autorizado, evidentemente consume tiempo y recursos humanos/tecnológicos. (Pág. 3). El equipo de personas encargadas de estos análisis podría incluir lingüistas, desarrolladores de software, creadores de malware, expertos analistas de industrias, economistas; todos ellos orientados a penetrar empresas e interpretar la información “recibida” (Pág. 5).

Una vez que los crackers de APT1 establecían acceso, periódicamente seguían visitando a las víctimas. No sólo por unas semanas, sino por meses o años (de ahí su nombre de ataques persistentes). Por el tipo de datos extraídos, básicamente estaban detrás de información industrial y de defensa (planos, procesos, resultados de pruebas, documentos con estrategias de precios, acuerdos comerciales, etc.). En mi opinión, esto claramente significa que perseguían tres objetivos: 1) Robar información que beneficie a empresas chinas ahorrándoles grandes cantidades de inversión;  2) Tener a la mano estrategias de mercado, precios de compra y venta así como acuerdos para adelantarse a algún movimiento de la empresa víctima o negociar un mejor trato para algunos sectores de la industria china y 3) Obtener información de defensa de países extranjeros como tecnología militar o estrategias de seguridad; básicamente datos que pudieran ser de utilidad en este ámbito. (Pág. 3).

De las 141 empresas víctimas, 87% se encontraban en países cuyo lenguaje oficial es el inglés. Interesante dato. Me pregunto. ¿Quiere decir que ese tipo de países son los que tienen información realmente útil? ¿O que este grupo de crackers expuesto en el reporte se dedicaba a este tipo de países pero que hay otros que se orientan a otras regiones?

La Unidad de espoinaje se vio benficiada por una conexión de fibra óptica contratada con China Telecom que es propiedad del gobierno de aquel país. Si hicieran operaciones encubiertas dentro de su propio país, lo más inteligente sería no pasar tráfico por una empresa gubernamental (Pág. 19).

Si bien no es nada divertido, lo que leí en la página 51 del reporte me hizo reír. Hasta antes de esta página me preguntaba cómo habían logrado los analistas de Mandiant capturar toda esta información. ¿Cómo le habían hecho para conocer tantos detalles y dar direcciones, identidades, etc.? Respuesta: hackeando a los hackers. Resulta que los atacantes tenían prácticas online inseguras. Por ejemplo, iniciaban sesión a FaceBook o Twitter directamente desde las máquinas desde donde hackeaban. Aunque el reporte no es muy explícito en todas las “prácticas inseguras” de los atacantes, pues es un hecho que nunca pensaron que a ellos los iban a espiar y de ahí sus descuidos. Supongo que pecaron del mismo pecado que explotaron: sentirse seguros.

Lecciones aprendidas.

Mi primera lección aprendida (de nueva cuenta) es que los antivirus protegen de las amenazas conocidas y comunes. No harán lo mismo para malware especializado y dirigido. En un pequeño ejercicio con 1,000 muestras de virus usados por APT1, sólo se encontraron 22 “conocidos”.

Si bien se pudo usar VirusTotal con motores reales de antivirus y obtener diferentes resultados (tal vez alguien ya lo haya hecho), el punto es que en mi opinión la mayoría de los virus usados por APT1 de todas maneras no se hubiera identificado. Si en tu empresa te tomas la seguridad seriamente, debes complementar el antivirus con un producto de listas blancas.

Mi segunda lección es que las empresas siguen siendo muy laxas en su seguridad. No hay nada perfecto, pero al menos se puede dificultar la labor de los atacantes si se tienen ciertas prácticas de seguridad en marcha. En el video publicado por Mandiant donde se observan algunas de las técnicas usadas por APT1 se puede ver que no son estrategias de ataque demasiado avanzadas (sin embargo, ver mi quinta lección).

En la página 27 del reporte de Mandiant se ilustra y describe la estrategia de ataques spear phishing que lleva a una liga maliciosa o que contiene un ZIP con malware dirigido. Es algo que productos como Bit9 (whitelisting), FireEye o Mandiant podrían mitigar, junto con una estrategia de monitoreo y respuesta a incidentes, sin mencionar una gestión de parches y nuevas actualizaciones o seguir al menos algunos de los 20 controles sugeridos del SANS.

Pero vaya, no quiero enlistar N protecciones. El punto es que con algunos cambios en la gestión de la seguridad y una inversión no tan grande se podría mejorar significativamente el nivel de seguridad de esas corporaciones que fueron y serán víctimas de hackeos.

Mi tercera lección es respecto al spear phishing (del cual en la página 28 se dice que es una de las técnicas favoritas para penetrar organizaciones). En otros foros y blogs se habla una y otra vez que hay que entrenar a los empleados para que identifiquen correos sospechosos que puedan tratarse de spear phishing. En la página 27 del reporte de Mandiant se describe que la gran mayoría de ataques se concretaron por medio de spear phishing, correos que eran cuidadosamente elaborados, diseñados y con mensajes coherentes.

Luego entonces me viene a la cabeza que un mensaje spear phishing bien hecho y previamente analizado por el atacante será muy difícil que sea identificado como tal por la víctima. Hasta para los llamados “expertos de seguridad”. Si no hay nada sospechoso o raro en el mensaje de correo, lo más natural será ir a la liga sugerida o abrir el PDF adjuntado. ¿Es culpa del empleado?

Yo opino que no del todo. Si yo fuera usuario y un experto me viene a decir que no abra correos sospechosos, después de preguntarle lo que significa “sospechoso” y que me conteste que “cosas raras e inesperadas”, procederé a aventarle una maceta y le voy a decir que se ponga a trabajar y que me provea de un ambiente seguro y un mecanismo que me permita hacer mi trabajo que incluye leer correos de clientes y colegas sin que tenga que estar adivinando si es o no “sospechoso”, porque aun así, habrá correos tan bien hechos que haga lo que haga me engañarán.

Me da risa cuando ponemos tanto empeño en decirles a los usuarios que no abran correos sospechosos ni ejecuten archivos raros, cuando ese archivo es un PDF que explota una debilidad en Adobe que los de Sistemas/Seguridad NO parcharon. ¿Culpa del usuario de todas maneras?

Mi cuarta lección es que este tipo de ataques APT1 no tienen el objetivo de dañar la reputación de la víctima, ni de hacerle una denegación de servicio ni de publicar en Internet la información robada. Se trata de lo que por años se ha dicho: la información.

Los chinos lo saben, los rusos lo saben, todos lo saben: información es poder y da una ventaja competitiva, de otro modo no se tomarían la molestia de gastar dinero y recursos para mantener a un grupo de personas orientadas al robo y análisis de información. A veces como que siento que se le tiene más temor a ataques de reputación que a los de robo silencioso de información. En fin.

Mi quinta lección es sobre la sofisticación de los ataques que hablé párrafos atrás refiriéndome a que no eran muy avanzados. Sólo hago notar que el hecho de que no hayan sido avanzados no se traduce de inmediato en que los atacantes son unos idiotas Script Kiddies. ¿Si la infraestructura víctima no es nada robusta, para qué utilizar ataques avanzados si con mecanismos básicos y simples se puede conseguir lo deseado?

Mi séptima lección. Se ha dicho que lo mejor sería bloquear el tráfico desde China hasta tu empresa (se toca este tema en la página 39) en caso de que no tengas ningún negocio qué tratar con ellos. Simplemente bloqueas ese tráfico y se acabó. Falso. Lo que tendrían que hacer los atacantes al ver que se topan con una pared, es “saltar”: comprometen a un equipo en Canadá y de ahí inician su ataque.

Comentarios Aleatorios.

Primero: el 19 de febrero de 2013, Time publicó una nota llamada “U.S. Ready to Strike Back Against China Cyberattacks”. Mi pregunta es por qué los EUA tuvieron que esperar a un reporte de una empresa privada para declarar que están listos para ver cómo arreglan el asunto.

¿Las agencias de inteligencia entonces no sabían nada o no tenían suficientes elementos previos? Me pregunto si las agencias de tres letras de EUA tienen mejores reportes y evidencias de los hackeos desde China o algún otro país y cuentan con ellos desde hace años.

En mi opinión, poco han hecho por su sector empresarial dejando que siga sangrando ese líquido vital de información valiosa. Y si no lo sabían, pues sin comentarios.

Segundo: si bien libros como Zero Day de Mark Russinovich o Deamon de Daniel Suárez están bien como lectura y mezclan la realidad con ciencia ficción, el reporte de Mandiant it’s the real shit. Eso es lo que pasa en la realidad, no lo que podría pasar.

Tercero: días después de la publicación del reporte de Mandiant, China niega que auspicie o tolere actos de hackeo. Si llegan a leer u hojear el reporte, verán detalles que  les dejarán poca duda. Lo anterior, aunado a sospechas de años atrás de que esto ha estado ocurriendo; caray, pues es difícil de negar que sucede.

Cuarto: hay opiniones que estiman que los chicos malos de APT1 no son los más hábiles de China. Podría haber otros equipos de aquel país con más capacidades técnicas que persiguen otros objetivos más difíciles de penetrar. Es altamente probable que sea así.

La certificación CISSP de la ISC2 pretende evaluar diversos conocimientos de una persona en materia de seguridad informática. Es reconocida a nivel mundial (incluye México, por si te queda la duda) y hay una buena cantidad de personas que han logrado pasarla y mantenerla.

Read more

¿y a ‘root’ y a ‘Sysadmin’?  Siempre he pensado que el área TI (Tecnologías de Información), mejor conocida como “Sistemas”, está subvalorada; sin embargo, también pienso que algunos responsables de TI, deberían buscar, de manera más vehemente, que TI sea un área estratégica; dar soluciones que aporten a la compañía, y no sólo a las actividades cotidianas del día a día o “apagar incendios” o “bomberazos”.

Desafortunadamente la gente percibe así a TI, pero haré a un lado mi trauma impresión y hablaré de algo que me inquieta particularmente desde que me pasé al lado oscuro de la fuerza área de Seguridad de la Información hace varios años.

Una situación recurrente es que algunas posiciones de TI por su propia naturaleza requieren de accesos privilegiados o elevados, es decir, que pueden administrar, borrar, crear o modificar información o datos, códigos fuente de los sistemas, bases de datos; insisto, como parte natural de sus funciones. Sin embargo, y como dicen en Spider-man: “Un gran poder conlleva una gran responsabilidad”.
Read more

Me interesó un artículo de ArsTechnica respecto a la seguridad de las contraseñas y que lleva por título “Why passwords have never been weaker – and crackers have never been stronger”. Bien vale la pena leerlo completo, ya que tiene muy buena información.

Mi conclusión al final de leer ese artículo es que cualquier contraseña de la que te puedas acordar seguramente podrá ser crackeada en segundos, minutos, o en el mejor de los casos: días. Pero se quebrará tarde o temprano.

Si es cercano a lo inquebrantable, significa que tienes una contraseña robusta y eso me lleva a pensar que tienes una muy buena memoria o que usas un administrador de contraseñas como yo para almacenar passwords complejos.

¿Por qué digo lo anterior? Leyendo el artículo, me queda claro que los trucos que usamos para armar contraseñas son ya sabidos por los crackers y por lo tanto incorporan este conocimiento en sus búsquedas.

Read more

La Comunidad OS-UPIITA invita a todos los interesados en tecnologías Open Source y Software Libre así como al público interesado en conocerlos a asistir al ciclo de conferencias y talleres EXPO OS 2012.

¿Qué es?

Expo OS es un evento orientado a mostrar la metodología Open Source, y los beneficios que esta ha logrado en la sociedad, tanto en el área tecnológica como a nivel social, y por tanto que alternativas podemos usar bajo este esquema para poder resolver conflictos de nuestra era tecnológica cotidiana.

Read more

Gracias a las advertencias y consejos de seguridad que conocemos en estos días, es muy difícil que alguien caiga en estafas que llegan al e-mail del tipo “por favor actualiza tus datos de tarjeta de crédito”, o “has ganado un viaje”, o de algunas ofertas laborales de ensueño. Son estafas que han surgido para dejar atrás las clásicas “donde quedó la bolita” saliendo del metro o en la fila del banco con la de “tengo una urgencia” y te piden que les cambies un cheque (sin fondos claro) por efectivo.

La mayoría de los mails fraudulentos que he recibido son sobre phishing bancarios, usualmente marco el mensaje como “suplantación de identidad o phishing” y reenvío el contenido del correo tanto al banco involucrado como al webmaster de la página donde alojan la estafa.

Read more

Hace poco estuve revisando algunos Currículum Vitae y me di cuenta de lo poco que pueden expresar por la manera en que están armados ya que  siguen “las buenas prácticas”. Lo que sigue es mi opinión y puede que no sea compartida por otros empleadores; tomen lo que les sirva.

Objetivo: casi todos ponen el objetivo del CV. La verdad me dice poco porque al parecer todos ponen el mismo mensaje. “Aportar mi experiencia a la corporación”, “Apoyar al logro de los objetivos de la organización”, “Desarrollarme en el ámbito laboral/profesional”.  Bla, bla, bla.

Yo preferiría eliminar este rubro de “objetivo” si van de decir el mismo choro. En todo caso, poner un objetivo alineado a la misión/visión de la empresa en donde se piensa laborar. Al menos así ves que hubo inversión de tiempo y que el candidato investigó qué diablos hace la empresa y cómo podría apoyar a esos macro-objetivos. O de plano como dije, abstenerse de poner el “objetivo” del CV.

Read more

¿Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”. No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.

¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad?  Read more