No todos los ataques son siempre cosa de phishing corriente y moliente. Otras veces, por fortuna no muy abundantes, los problemas pueden provenir de un diseño deficiente del sistema online, y si no que se lo pregunten a HSBC y este cuidado método de explotación, sobre el cual se ha publicado una reseña extraordinaria, documentando los hallazgos del caso.
Suerte que han tenido que los descubridores del problema no eran otros que investigadores de la Universidad de Cardiff, que han evitado, con la mayor de las lógicas, el disclosure público del problema, que ha sido pertinentemente subsanado por la entidad sin que se registre perjuicio alguno para sus clientes.
Otra cara de los ataques contra entidades son los perpetrados vía troyanos. Julio habló esta misma mañana sobre una nueva modalidad, en la que los troyanos se comunican con los atacantes vía ICMP, y no enviado las típicas peticiones a servidores http, ftp o de correo, en los que se recolectan las credenciales sustraídas.
Mediante ICMP se puede ofuscar la información y complicar enormemente la monitorización de las mismas. Sirva este ejemplo de tráfico ICMP codificado y sin codificar, en el que un troyano envía información a un servidor malicioso vía ICMP. Son datos procedentes de la conexión SSL real, concretamente, de un PC infectado con el troyano auténticándose contra Deutsche Bank.
Sección de datos sin codificar
Sección de datos decodificados
Para nuestra desgracia, el I+D de los atacantes suele ser normalmente el más aventajado. Esto son sólo dos ejemplos de los miles posibles. Queda tanto por hacer …
Va a llegar un momento en que tengamos que blindar de tal forma nuestras comunicaciones que resultará más sencillo no comunicarnos y volver a la vida «pre-internet».
A Manuel Ángel:
No es para tanto, hombre. Si empezamos a pensar en todos los riesgos que entraña cualquier actividad humana, no haríamos nada.
Por cierto que la vida pre-internet no estaba exenta de riesgos. El fraude es uno de los oficios más antiguos del mundo. Por otro lado, mi humilde opinión es que las ventajas de Internet compensan sobradamente sus riesgos (que, insisto, no son nuevos; solamente el modo de ejecución es novedoso). Sin Internet no tendríamos el blog de Sergio, por ejemplo.
A Sergio:
No sé qué opinas, pero este troyano me parece menos peligroso que los que actúan por http. Enviar paquetes «echo request» a Internet no sirve de mucho. Así que añadir una regla en el firewall (personal o corporativo) bloqueando ICMP hacia Internet no cuesta nada, y tampoco causa demasiados trastornos. Ahora bien, si bloqueas http no navegas.
Viéndolo de otro modo, es muy interesante el mismo concepto de carga de pago en el ping cuando lo aplicamos al fraude interno dentro de empresas.
Mmmm….No sigo por ese camino, que me estoy pasando al lado oscuro ;-) El ataque teórico que se me está ocurriendo no es para postearlo aquí. Algún día quizá tendré ocasión de contártelo (mejor delante de unas cervezas, invito yo) :-)
Desearia tener un amigo con el que poder hablar de estas cosas mientras me todo una cerveza : (
Manu,
Sí, efectivamente, no deja de ser una PoC pero bueno, para mí lo que significa es que los que mueven el cotarro, el crimen organizado, mueve ficha e innova.
Una razón para seguir innovando los que estamos al otro lado.
PD: Esas cervezas me las apunto, y espero que las tomemos :)
Lordek,
Si te pilla bien Málaga, pago yo la primera ronda :)
Sergio:
Tienes toda la razón cuando dices que el crimen organizado mueve el cotarro. Qué tiempos aquellos cuando detrás de los ataques sólo había gente deseosa de notoriedad, de conocimiento o simplemente de poner a prueba la seguridad de los sistemas porque sí. A veces creo que el declive de esa escuela empezó junto con el de X.25. Ahora prácticamente todo es mafia, que se refina técnicamente a base de inversión. Madre mía, parezco un abuelo contando batallas. :-)
Es curioso que vuelvan a investigar en las debilidades de TCP/IP (en lugar del ping de la muerte, éstos han inventado el ping del phishing). Ese tipo de ataque, apoyado en capas por debajo de la 4 en TCP/IP, prácticamente estaba cayendo en el olvido. Lo que demuestra que hay algunas venas inagotables. TCP/IP es una de ellas…y (¿por qué no? ) X.25 podría ser otra. Al fin y al cabo, todavía queda «negocio» suculento en IBERPAC, por ejemplo.
En cuanto a las cervezas, seguro que nos las tomaremos… :-) También va por tí, Lordek :-)