Avances de la Ciberguerra y su nueva arma (TheFlame)
El descubrimiento de la más
reciente espécimen de Malware TheFlame que según investigaciones preliminares
lleva algo más de 3 años activo y que segun investigadores de firmas de
seguridad como Kasperky comparte partes de código con Stuxnet, en donde la complejidad
necesaria para desarrollarlo y ponerlo en funcionamiento demuestran que hay un
grupo grande de expertos trabajando en el (patrocinados por alguna nación muy seguramente), confirmando que es una arma
sofisticada de la ciberguerra (ver artículo anterior http://inseguridadinformatica.blogspot.com/2012/01/la-consolidacion-de-la-ciberguerra.html
) el aprovechamiento de las falencias no de la implementación de una solución
de certificados digitales de parte de Microsoft sino de al menos un concepto
implementado de manera incorrecta da muestra de la evolución en las estrategias
de esta ciberguerra, ya no solo se buscan y explotan vulnerabilidades de día
cero, sino que además de analizar el código, se analiza la manera en que los
conceptos son implementados para aprovecharse de fallas en el diseño, algo que
puede ser aún más crítico que las vulnerabilidades en sí y que habla del conocimiento, herramientas y dinero con que cuentan estos equipos de desarrollo de malware para la ciberguerra,
aunque será complejo de probar, es evidente que estás nuevas armas son obra de
algunos gobiernos y que sus intenciones son el robo de información privilegiada
de varias industrias en regiones como
Oriente Medio, Europa, Norteamérica y Asia-Pacifico al realizar el análisis
de los servidores de Command and Control (C&C) se evidencio el interés de
esta ciber arma en particular por archivos en formatos de PDF, Office y AutoCAD.
Ver artículo con la investigación de los servidores de C&C http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers
El numero de dominios usados para
la infraestructura de C&C es de más de 80 que se alojáron entre el 2008 y
2012 en más de siete países, lo que da idea de la complejidad y recursos
utilizados para montar esta estructura
Las vulnerabilidades utilizadas
en principio para poder firmar y desplegar los códigos malinos fueron sobre la
propia infraestructura de certificados digitales de Microsoft ver enlaces
Al margen de los detalles técnicos
aún incompletos pero interesantes de esta nueva arma, la pregunta más allá de
ello es como consiguen desplegar una estructura de este calibre y funcionar
durante al menos tres años sin que nadie se diera cuenta de nada, esto genera
cuando menos dudas sobre la efectividad de nuestras herramientas de seguridad
(o cuando menos de su eficiencia) y deja al descubierto una verdad de a puño
con la que hemos venido conviviendo desde hace años, el enfoque reactivo de la mayoría
de las herramientas de seguridad es bueno cuando identificamos el peligro
potencial (a través de firmas que es la forma más usual) pero las detecciones heurísticas
y las nuevas amenazas están pasando completamente desapercibidas a través de
nuestras herramientas de seguridad incluidos nuestros IDS's e IPS's el llamado
en este punto es a repensar nuestros esquemas de seguridad y a analizar la
implementación de otras estrategias como la implementación de proyectos de SIEM
(Security Information and Event Management) que permite entre otras capacidades
hacer agregación de datos, centralización, alertamiento y correlación de los
eventos de todas nuestras herramientas de seguridad con el fin de conseguir
hacer foco en los eventos importantes que ocurren sobre toda nuestra
infraestructura, la instalación, configuración y afinamiento de este tipo de herramientas
no es una actividad fácil, pero el ahorro de tiempo para revisar los eventos
correlacionados es una opción que facilitara el trabajo de nuestros equipos de
seguridad, una de las mejores soluciones de esta categoría en software libre es
OSSIM http://communities.alienvault.com/community
Se hace necesario reflexionar
sobre nuestro hacer en estos temas y reorientar nuestros recursos y
herramientas a ser efectivos en la detección de este tipo de armas de la
ciberguerra, para poder defender nuestra información y se nos acaba de
demostrar nuevamente que la confianza que tenemos depositada en ciertos
proveedores (en este caso Microsoft) es conveniente como mínimo reevaluarla porque
está de sobra demostrado que quien tiene
responsabilidad en la custodia de la información no tiene amigos solo enemigos.
La otra reflexión importante es, si desde el 2008 estaba desplegada esta nueva arma de ciberespionaje sin que nadie la detectara hasta hace algunos días, que nueva arma ya desplegada esta extrayendo información sensible de nuestras redes en este momento sin que nos tengamos conciencia de ello ?.
La otra reflexión importante es, si desde el 2008 estaba desplegada esta nueva arma de ciberespionaje sin que nadie la detectara hasta hace algunos días, que nueva arma ya desplegada esta extrayendo información sensible de nuestras redes en este momento sin que nos tengamos conciencia de ello ?.
