Todo el año es carnaval para los hackers

EmpresasGestión de la seguridadSeguridad

Javier Larrea, director técnico de Stonesoft Iberia, explica cómo las Técnicas de Evasión Avanzadas encuentran nuevas formas de camuflaje.

Ya nada es igual. Para los hackers, todo el año es carnaval. De una manera u otra, han conseguido desarrollar un considerable número de tácticas para conseguir frustrar cualquier solución de seguridad, ya sea un firewall, un software antivirus o un Sistema de Prevención de Intrusos (IPS).

Las AETs o Técnicas de Evasión Avanzadas disfrazan constantemente sus ataques de la mejor manera posible para que los sistemas de seguridad no puedan detectarlos ni bloquearlos. En consecuencia, el contenido malicioso se entrega en un sistema vulnerable subyacente, sin que nadie lo advierta o siquiera lo sospeche.

Hasta hace relativamente pocos meses –los primeros descubrimientos de lo que verdaderamente estaba ocurriendo tuvieron lugar en octubre de 2010- sólo se conocían un puñado de técnicas de evasión que los sistemas de seguridad manejaban relativamente bien. Sin embargo, fue justo entonces cuando una nueva categoría de ataques a redes, denominada Técnicas de Evasión Avanzadas, entró en liza. La red finlandesa de especialistas en seguridad de Stonesoft desveló su modus operandi: una combinación virtualmente infinita de métodos de camuflaje con técnicas de evasión ya conocidas, de manera que pueden eludir sin problemas cualquier solución de seguridad de red.

Una de las más conocidas técnicas de evasión se basa en la fragmentación de la IP, por la cual el atacante bien se aprovecha de fragmentos de datos codificados, bien inunda el IPS con ellos. En cambio, otras se basan en IP y opciones TCP, o en secuencias TCP.

En efecto, la suite de protocolo TCP/IP juega un papel fundamental. Se basa en el estándar IP RFC 791, escrito en 1981, que establece que un sistema debe ser conservador en su comportamiento de envío y liberal en el de recepción, para conseguir una interoperabilidad lo más fiable posible entre los sistemas.

Lamentablemente, esta política allanó sin pretenderlo el camino a los ataques, porque los diferentes sistemas operativos y aplicaciones se comportan distintamente cuando reciben los paquetes. Así pues, la aplicación del sistema de destino podría detectar algo enteramente diferente a lo que habría originalmente en el tráfico de red.

La idea consiste en la alteración del tráfico entre el cliente y el sistema de detección. Por ello el IPS tiene diferente entendimiento del estado del protocolo con respecto al que cuenta el host. Así, por ejemplo, un IPS no es capaz de amortiguar suficientes fragmentos de datos antes de aplicar firmas.

Y en esto, precisamente, consiste el estado de desincronización, es decir, el cambio de contexto entre el IPS y el sistema de destino, del que las técnicas de evasión se aprovechan porque les permite construir los paquetes de datos de forma que parezcan normales y seguros y, no obstante, cuando son interpretados por el host final, se revelan como un ataque.

Inteligentemente camuflados

A diferencia de las evasiones simples a las que estamos acostumbrados, las AETs nunca escatiman las maneras de camuflar un ataque, así como los niveles hacia los que apuntan en el tráfico de red. Para que nos podamos hacer una ligera idea, en pruebas de laboratorio se ha encontrado que pueden articular ofensivas tanto en la IP o en capas de transporte (TCP, UDP) como en protocolos de la capa de aplicación, incluyendo SMB y RPC. Y aquí es donde realmente estriba el desafío para los sistemas de prevención de intrusión.

Las arquitecturas IDS e IPS necesitan reconocer y cubrir todas las formas posibles en las que el sistema atacado podría re-ensamblar los fragmentos de datos. A diferencia de un firewall, que abre o cierra el paso a los paquetes dependiendo de su fuente, destino, protocolo u otras propiedades, los IDS e IPS inspeccionan y permiten que el tráfico de datos avance mientras no se detecte ninguna amenaza. Si algún malware consigue penetrar, estos dispositivos bien alertarán al administrador –en caso de que exista un IDS- [Gráfico 1], o bien cortarán la conexión de datos, en el caso de un IPS [Gráfico 2].

La perspectiva adecuada: la normalización

Para asegurarnos de que se detectan incluso las Técnicas de Evasión Avanzadas, las IPS necesitan controlar algo más que los patrones de malware conocidos. Sencillamente, las aplicaciones de seguridad encargadas de casar las firmas de ataques con la información recibida por el host objetivo no pueden seguir observando el tráfico de red paquete por paquete.

Tampoco es suficiente para los dispositivos de seguridad ubicar paquetes en el orden correcto y re-ensamblar todos sus fragmentos. Por ello, las funciones de un IPS convencional, tales como las firmas o patrones basados en expresiones regulares –procedimientos usados normalmente para defenderse de los abusos – no funcionan con las AETs.

Los sistemas de seguridad deben considerar otras posibilidades: los  chequeos basados en la normalización.

La conclusión es clara: es necesario adoptar una prevención proactiva. Queda claro que los sistemas basados en softwares de seguridad flexibles proporcionan la mejor defensa contra las AETs. Y es que es extremadamente difícil –algunas veces imposible- mantener actualizadas soluciones basadas en hardware con patrones de amenazas rápidamente cambiantes; por el contrario, las aplicaciones basadas en software permiten implementar actualizaciones y parches de seguridad de forma inmediata.

Además, puede ser útil contar con una plataforma de gestión en la que los administradores controlen centralizadamente todos dispositivos IPS, con el fin de desplegar desde un punto central todas las actualizaciones a través de la red hasta penetrar profundamente en toda la arquitectura de seguridad.

La mala noticia es que no existe, hoy en día, un 100% de protección frente a las AETs, porque evolucionan constantemente dentro de una base dinámica. Además, todavía no está claro el grado en el que estas técnicas ya están siendo usadas: como las AETs no dejan rastros, un ataque no es detectado hasta que el código malicioso ya ha penetrado en el sistema, y para entonces no es posible determinar qué método empleó para sortear el sistema de seguridad. No obstante, y con todas las medidas explicadas anteriormente, las compañías pueden al menos adoptar las mejores precauciones posibles para proteger sus redes.

Gráficos

[Gráfico 1]: Detección de Intruso: El IDS inspecciona el tráfico de datos entrante y reporta la existencia de paquetes de datos sospechosos a través de un sistema de aleta.

[Gráfico 2]: Prevención de Intrusos: El IPS inspecciona el tráfico de datos y no permite la entrada a paquetes sospechosos.

Leer la biografía del autor  Ocultar la biografía del autor