Como protegerse de los ataques man-in-the-middle

Recomendaciones de VeriSign

[ 20/03/2009 - 07:58 CET ]

A medida que surgen nuevas modalidades de ataques man-in-the-middle, el proveedor de SSL ofrece sugerencias de prevención a los usuarios finales y a las empresas.

Diario Ti: Debido al nuevo tipo de ataque man-in-the-middle (MITM) revelado en la conferencia Black Hat D.C., VeriSign ofrece consejos sencillos que los usuarios finales y las empresas pueden utilizar para acabar en forma efectiva con las amenazas en línea.

El ataque mencionado es la última versión de MITM, en el cual el usuario sufre un engaño y es llevado al sitio web incorrecto. Las técnicas más comunes para engañar a los visitantes incluyen correos electrónicos de phishing, sitios inalámbricos falsos y, más recientemente, el ataque a servidores DNS no seguros. Utiliza un servidor fraudulento para interceptar las comunicaciones entre el navegador del usuario y un sitio web legítimo, y luego funciona como proxy, capturando información confidencial por HTTP (no HTTPS) entre el navegador y el servidor fraudulento.

Lo que hace que este ataque sea diferente de los ataques MITM anteriores es que el sitio fraudulento intenta aprovechar señales visuales falsas, reemplazando el ícono favorito del sitio fraudulento por un ícono del candado, que tradicionalmente se identifica como una señal visual de sitio protegido con SSL. Sin embargo, si bien este ardid puede reproducir el candado, no puede recrear el indicador HTTPS legítimo o el color verde aún más evidente de la barra de direcciones en los navegadores web de alta seguridad, en los que el sitio está protegido con un Certificado EV SSL (Extended Validation Secure Socket Layer).

VeriSign ofrece a los usuarios finales y a las empresas los siguientes consejos:

Usuarios finales:

• Los ataques man-in-the-middle y de phishing que se encuentran en la actualidad se pueden combatir a través de los Certificados EV SSL y prestando atención cuando falta el brillo o color verde. Los Certificados EV SSL confirman en forma definitiva la identidad de la organización que posee el sitio web. Los criminales informáticos no tienen acceso a los Certificados EV SSL de los sitios que falsifican y, por lo tanto, no pueden imitar el color verde que muestra que un sitio web autenticado es seguro.

• Descargue la última versión de los navegadores web de alta seguridad, como Internet Explorer 7 o versión superior, FireFox 3 o versión superior, Google Chrome, Safari u Opera.

• Aproveche los dispositivos de autenticación como los tokens y otras formas de autenticación con dos factores para cuentas confidenciales.

• Trate los correos electrónicos que reciba de remitentes desconocidos con un alto grado de escepticismo y no haga clic en enlaces para obtener acceso a sitios seguros (escriba la dirección del sitio en el navegador).

Empresas:

• Coloque el Certificado SSL EV en su página de inicio y en cualquier otra página donde se realice una transacción segura.

• No ofrezca logins en páginas que todavía no están en una sesión SSL.

• Ofrezca autenticación con dos factores a los clientes como una forma opcional de agregar otro nivel de seguridad cuando se obtiene acceso a las cuentas.

• No incluya enlaces en los correos electrónicos que envíe a clientes y pídales que descarguen la última versión de sus navegadores de su preferencia.

“Aunque los criminales informáticos estuvieron utilizando Certificados SSL de autenticación baja en los ataques tipo phishing y man-in-the-middle durante años, la presentación en la conferencia de seguridad Black Hat es un buen recordatorio para que los usuarios finales estén alertas cuando realizan transacciones en línea", dijo Tim Callan, vicepresidente de marketing de producto de VeriSign. “Las amenazas de seguridad se presentan de muchas maneras, y estar un paso adelante requiere capacitación por parte de los usuarios finales y un enfoque de seguridad completa y en capas por parte de los sitios web para garantizar que los usuarios tengan una experiencia segura".

Extraído de Diario TI

Los ciberataques desde China: algunas conclusiones

Publicado en Kriptópolis (http://www.kriptopolis.org)

Por Fernando Acero

Creado 09/12/2007 - 2:53pm

Por Fernando Acero

Cuando no nos habíamos recuperado del problema de Estonia con Rusia [0], con aquellos ciberataques que provocaron la intervención de expertos de la OTAN, parece que el problema de los ciberataques chinos va en aumento y por desgracia, está afectando a sistemas muy sensibles.

Es de todos conocido que China es fuente de malware de todo tipo [1], en especial troyanos y también origen de ataques de phishing, cuyas víctimas preferentes suelen ser bancos españoles (pensarán que somos más fáciles de engañar), pero ahora se habla de ciberataques con origen gubernamental [1] y de alta sofisticación tecnológica. Incluso hay sospechas de que la reciente contaminación de discos duros fabricados en China mediante troyanos [1], tuviera algo que ver con todo este feo asunto...

Ya alertaron los expertos sobre la adquisición de capacidades de guerra cibernética [2] por parte de las unidades del Ejército de Liberación del Pueblo, pero equivocaron el posible objetivo de dichas capacidades. En lugar de atacar Taiwan, foco de conflicto regional con China, los ataques se han dirigido a Alemania [2], Nueva Zelanda, India, Francia, Reino Unido [3] y Estados Unidos [3]. Los objetivos de estos ataques han sido variados, desde empresas tecnológicas, o relacionadas con materias primas y energía, a sistemas gubernamentales relacionados con defensa o la energía. Nos podemos hacer una mejor idea de todo lo anterior, mediante este interesante informe de McAfee [4]. En ocasiones, el posible éxito de los ataques ha obligado a la desconexión de ordenadores de la Red, como ocurrió el pasado mes de junio, con la desconexión de 1.500 ordenadores del Departamento de Defensa [5] de los Estados Unidos.

Tal es la preocupación por los ciberataques y sus posibles consecuencias para los intereses nacionales, la seguridad o la economía, que los EEUU incluso se plantea la posibilidad de bombardear físicamente [6] el origen de los mismos, si se da el caso. Mientras, parece que algunas demostraciones militares en el Pacífico [7] van por ese camino, con las consiguiente respuesta por parte de China [8]. El pesimismo es tal, que se está hablando de una nueva “ciberguerra fría [9]”, con opiniones para todos los gustos. No deja de ser curioso que cuando alguien roba las contraseñas de las embajadas sea China una de las naciones que pone el grito en el cielo [9].

Pero hay un toque de atención procedente de analistas de la OTAN [10] que me preocupa y mucho:

Muchas oficinas estatales ni siquiera saben aún que tienen filtraciones de información. Probablemente, no se conoce todavía el 99% de los casos. Los atacantes utilizan troyanos dirigidos a oficinas estatales concretas. Como éstos se han creado a la medida, la detección de firmas no puede identificarlos y engañan a las tecnologías de detección, por lo que el problema es grave. Los fabricantes de malware tienen capacidades de aseguramiento de calidad especializadas que aplican a todo su software malintencionado para asegurarse de que éste no sea detectado [11].

Recordemos que a diferencia de los virus, cuya carga de pago se acababa manifestando de un modo u otro, el objetivo del malware actual es que el usuario no se entere que lo tiene y obtener de él toda la información que se pueda, en especial, la que tiene valor económico o de inteligencia. Podemos hacernos otra pregunta ¿cuántas instituciones, empresas o usuarios están preparados para darse cuenta de que les han entrado hasta la cocina y les han robado hasta el papel de la mantequilla?.

Estos mismos analistas de la OTAN, también sostienen que el 90%-95% de las amenazas a los sistemas de información, pueden evitarse con herramientas ordinarias y buenas prácticas de TI, lo que yo pongo en duda en base a los resultados recientes. Aunque también es cierto, que estos expertos avisan de que los últimos ataques procedentes de China, han sido muy sofisticados y deberían llamar la atención de los gobiernos y de las principales empresas de todo el mundo.

Protegerse adecuadamente ante esta situación puede ser muy caro, extremadamente caro, e inútil en algunos casos. No hay que perder de vista, que gran parte del problema tiene como origen el actual monocultura informática que afecta a la sociedad, empresas e instituciones, como ya denunció en su momento Bruce Schneier [12]. No debemos perder de vista tampoco, que nuevas tecnologías también abren nuevas vulnerabilidades, como bien descubrieron los estonios hace unos meses. Ellos tienen el e-dni antes que los españoles y lo usan para casi todo, hasta para las votaciones, pero sufrieron una denegación de servicio en sus instituciones y no lo pudieron usar. Pero como veremos más adelante, el e-dni, lejos de ser una forma de mejorar la seguridad, puede ser fuente de nuevos problemas, si firmamos lo que no debemos mediante engaño.

Lo más lamentable de todo lo anterior, es que a pesar de que estamos sobre aviso, todavía se produzcan accesos a sistemas de alta seguridad y en países altamente desarrollados tecnológicamente. Un caso reciente, que también atribuyen a China, ha afectado a instalaciones nucleares de los Estados Unidos [13]. Esto me provoca cierto pesimismo sobre nuestra capacidad real a la hora de evitar ataques se este tipo. ¿No decían los expertos de la OTAN que bastaban las herramientas ordinarias y buenas prácticas de TI para evitar el 95% del los problemas?, parece que no, a la vista de los resultados. Nos miramos el ombligo y discutimos si el software propietario es mejor que el libre y viceversa y mientras, se los cuelan hasta la cocina gracias a un 95,6% de los sistemas que usan un mismo software propietario, eso sí, cuentan con todas las certificaciones y bendiciones de seguridad habidas y por haber. Dicho de otro modo, que tu airbag esté certificado, no evita que te mates con tu coche.

Pues señores algo falla y estoy con lo que dice Bruce Schneier, tenemos lo que nos merecemos. El problema es fruto de un monocultivo informático inasumible [14] y de nuestra dependencia tecnológica, que se focaliza en determinadas empresas que son monopolios de facto. En este saco también entra algunas empresas de hardware de comunicaciones, cuyos fallos de seguridad están teniendo el mismo efecto negativo por su presencia global y su elevada cuota del mercado.

Mal nos podemos defender si una determinada vulnerabilidad afecta al 95,6% de los ordenadores instalados y para defendernos, hace falta software y hardware adicional en tiempo y en lugar, que siempre tendrá un elevado coste, por el impresionante factor de escala en el que nos movemos. Un euro por ordenador son muchos, pero que muchos euros, lo malo es que no es un euro por ordenador. La naturaleza es muy sabia [15] y creo que no hubiera sobrevivido en la Tierra ninguna especie cuya presencia fuera el 95,6% de la población global y que fuera vulnerable a un determinado virus o bacteria, la extinción habría sido masiva a pesar del factor de seguridad que impone la reproducción sexual ¿no creen ustedes?. De hecho, las infecciones actuales se producen de forma masiva y afectan casi al 100% de los ordenadores a las que se dirigen, sin que se puedan defender por la elevada capacidad de infección, mutación y adaptación del malware de última generación. Eso es así, lo estamos viendo a diario, afectando incluso a sistemas de alta seguridad, sin que parezca que se pueda poner remedio al problema. Yo estoy convencido de que este problema no se soluciona mediante las recetas tradicionales de antivirus y cortafuegos, pero expertos hay que dicen lo contrario.

Si seguimos por el mismo camino, que ya vemos que no es bueno, puede que esta batalla esté perdida de antemano. Natalya Kaspersky, CEO de Kaspersky Lab, admite en unas declaraciones a la revista ComputerWorld [16], que no tienen soluciones para el ciberdelito:

Pensamos que era posible realizar antivirus y que eran una protección adecuada. Ya no es así." Además asegura que Kaspersky tiene "a 50 ingenieros analizando el nuevo malware y buscando formas de bloquearlo, pero con 200 nuevas muestras por día, y en aumento, el trabajo se hace arduo". "Ninguna compañía antivirus puede venir y decirte que puede manejarlo todo. Consideramos responsable hacerlo saber a la gente de forma clara.

Desde mi punto de vista, una forma de protegerse "naturalmente" sería aumentando la competencia en el mercado del software, evitando los monocultivos informáticos y generando una mayor diversificación en las plataformas mediante el fomento de las alternativas a todos los niveles. Tenemos que evitar el paso transparente del malware a través de todas los sistemas de una organización, que es lo que parece que no podemos evitar con los bálsamos de Fierabrás "tradicionales".

Pero como están las cosas, ese objetivo de diversificación tecnológica parece inviable y aunque les estamos viendo las orejas al lobo y en ocasiones, incluso estamos sintiendo sus terribles dentelladas en el trasero, todavía no percibo una voluntad clara y decidida para solucionar el problema, ni en las instituciones, ni en la sociedad, ni en las empresas.

También estoy convencido de que que hay que mejorar la cultura de seguridad a todos los niveles de la sociedad. Creo que la conferencia impartida durante el DISI 2007 por Sergio de los Santos, de Hispasec, sobre la Evolución del Malware [PDF] [17], es más que esclarecedora y muestra el elevado nivel de conocimientos que es necesario tener, si no se quiere tener problemas. En el escenario presentado, bastaba hacer clic sobre un banner para ser infectado y de nada valían los certificados digitales, el e-dni, o las comunicaciones cifradas, el problema estaba a nivel de usuario y en su navegador, aterrador y desconocido por el gran público sin duda.

También nos debe abrir los ojos un informe del SANS Institute [PDF] [18] sobre los 20 riesgos más importantes a la seguridad en Internet, "los usuarios que son fácilmente engañados y las aplicaciones creadas a medida”, se encuentran en los dos primeros puestos y se conforman de este modo, como los principales objetivos para los atacantes. Hispasec reconoció en un estudio reciente y a pesar de como están las cosas por el mundo, que "la seguridad no es una prioridad para los usuarios", o quizás, podemos decir que "la seguridad sigue sin ser una prioridad para los usuarios". Puede que esta postura de los usuarios sea el fruto no deseado de la cultura lanzada por algunas empresas de software, de que la "informática es apta para todo el mundo" y de que "todo es sencillo y automático", convirtiendo el "user friendly software" en "red hot chili suicidial challenge". Gracias a ello, los usuarios solamente se acuerdan de la seguridad de sus sistemas cuando les limpian la cuenta y desgraciadamente, estos afectados son cada día más numerosos.

Mientras, las noticias más o menos alarmantes sobre ciberataques se suceden en la prensa e Internet y las soluciones que nos vienen del poder legislativo, casi siempre pasan por el recorte de las libertades públicas y ejemplos de ello, los tenemos variados en los últimos tiempos, lo que evidentemente no soluciona el problema, e incluso, puede que empeore la situación.

Copyleft 2007 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

---

URL original
http://www.kriptopolis.org/ciberataques-desde-china-conclusiones

Enlaces
[1] http://www.networkworld.com/news/2006/030706-china-malware-symantec.html
[2] http://www.pcworld.com/article/id,132284-pg,1/article.html(News)
[3] http://business.timesonline.co.uk/tol/business/industry_sectors/technology/article2980250.ece
[4] http://www.americasistemas.com.pe/index.php?option=com_content&task=view&id=728&Itemid=14
[5] http://www.lanacion.com.ar/Archivo/nota.asp?nota_id=919471
[6] http://www.networkworld.com/news/2007/020807-rsa-cyber-attacks.html
[7] http://www.nodo50.org/gazkom/recursos/usachina.htm
[8] http://www.elcomercio.com.pe/ediciononline/HTML/2007-11-24/china_en_conflicto_con_eeuu.html
[9] http://www.google.es/search?hl=es&q=ciberguerra+fria&btnG=Buscar+con+Google&meta=
[10] http://www.americasistemas.com.pe/index.php?option=com_content&task=view&id=728&Itemid=14
[11] http://wiki.castlecops.com/HIPS_FAQ
[12] http://cryptome.org/cyberinsecurity.htm
[13] http://www.nytimes.com/2007/12/09/us/nationalspecial3/09hack.htm
[14] http://www.wired.com/politics/security/news/2004/02/62307
[15] http://es.wikipedia.org/wiki/Mutaci%C3%B3n
[16] http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010041
[17] http://www.capsdesi.upm.es/file.php/1/descargas/ABSTRACTSergiodelosSantos.pdf
[18] http://www.xombra.com/pdf.php?articulo=3190&t=1

El ataque informático que afectó al Pentágono en junio provenía de China

Una batalla silenciosa está teniendo lugar en la Red. EEUU acusa a militares chinos de haber accedido a la red informática del Pentágono el pasado junio, en el que consideran el ataque más exitoso contra el Departamento de Defensa. El gobierno de China lo niega todo.

04 Sep 2007, 17:12 Fuente: LA FLECHA, AGENCIAS

Según informa el diario 'Finantial Times', los responsables de las tredes del Pentágono se vieron obligados a cerrar parte del sistema, algo que afectó directamente a la oficina del propio secretario de Defensa, Robert Gates.

Algunas fuentes anónimas citadas por el rotativo aseguran que el rastreo del ataque conduce inequívocamente al Ejército de Liberación del Pueblo, las Fuerzas Armadas chinas.
En el ataque los autores podrían haber tenido acceso a datos internos del Departamento, aunque las fuentes consultadas afirman que probablemente la mayor parte de esa información es declasificada.

China lo niega

La reacción del Gobierno de Pekín no se han hecho esperar, y ha rechazado firmemente esas acusaciones, según informa Reuters. Asimismo, ha calificado el informe como el fruto de una forma de pensar típica de la 'Guerra Fría'.

No obstante, cada vez existen más informes sobre ataques informáticos a países con origen en el gigante asiático.

Sin ir más lejos, hace apenas una semana la canciller alemana, Angela Merkel, informaba públicamente de la realización de ataques informáticos procedentes de China, que habían logrado infectar con 'spyware' ('software' espía) algunos ministerios alemanes.

Artículo extraído de La Flecha