lunes 23 de julio de 2018
Revista Innovación Seguridad » Eliminadas » 1 dic 2005

0Days y el Futuro Inminente de la Seguridad Informática... (cómo defender lo indefendible).

Actualmente es común escuchar sobre lanzamientos de sistemas de detección y bloqueo de ataques informáticos, como también oír respecto a los avances en las técnicas de detección de ataques. Sin embargo, un tema tabú son los 0Days, programas que se aprovechan de vulnerabilidades que aún no han sido reportadas y, consecuentemente, se mantienen desconocidas. En este breve artículo se explicará el problema que surge de ellas y las formas de minimizar el riesgo. (1)


Detección de Fallos de Seguridad y Riesgo Asociado
Últimamente, se han liberado varias herramientas que facilitan la detección de Problemas de Seguridad, hecho que torna más sencillo descubrir fallas en los sistemas.

No obstante, sólo una minoría las reporta, ya que son muchos los 0Days desconocidos para la mayoría de los integrantes de la comunidad de la Seguridad Informática.

Problemas relacionados con el avance de los Motores de Detección
Los motores de detección de ataques avanzan técnicamente día a día, incrementando la cantidad de códigos utilizados para crear motores más complejos y, al mismo tiempo, como si fuera una suerte de paradoja, aumentando también la probabilidad de cometer errores.
En algunos casos se termina por convertir el mecanismo de defensa en el punto de entrada, como sucedió con el motor de análisis del tráfico de las conexiones de ICQ en los productos BlackIce, RealSecure y Proventia de ISS (es decir todos los productos que utilizan el mismo parser).

< Advisories (2)
< Exploit (3)

Avance en los filtrados
Uno de los mecanismos más interesantes de filtrado contra los “desbordamientos de buffer” consiste en definir el tamaño de los paquetes que se van a dejar pasar a determinados protocolos.
Dicho mecanismo resulta muy efectivo (la configuración es realmente laboriosa) y, a medida que los fabricantes de estas soluciones vayan agregando mayor cantidad de “reglas” de filtrado, la situación va a mejorar radicalmente. Pese a no detener problemas de formato SQLInjecion y XSS, no deja de ser una excelente medida.
Empero, la Historia nos ha demostrado que en la carrera de ataques contra defensa, los atacantes han prevalecido.

Entonces, la pregunta es cómo hacemos para defendernos de los famosos 0Days.

La respuesta es simple. No existe una forma realmente efectiva.

Es innegable que el 99% de Seguridad equivale al 100% de Vulnerabilidad, pues un solo atacante basta para certificar la ecuación.
A este problema se suma que dicha vulnerabilidad no es conocida, situación que genera graves problemas.

Pero se puede comenzar a ver las cosas desde otra óptica...

Principios de Análisis Forense como Mecanismo ProActivo
He aquí un pseudo análisis forense que será de gran ayuda.

Una vez que un sistema fue comprometido, el atacante suele “sembrar” una puerta que le permite ingresar nuevamente al mismo (no se describirán las técnicas utilizadas por los Backdoors ni los canales ocultos frecuentemente utilizados porque trascienden el alcance del artículo, pero en próximas ediciones con seguridad se hablará de los mismos).

Lo relevante es destacar que hay dos modalidades comunes:
< Las que escriben o modifican archivos en el Disco.
< Las que actúan sobre la memoria RAM del sistema vulnerado (modificando procesos o creando nuevos).

La técnica consiste en asumir que siempre existe la forma de ser vulnerado, con lo cual se sugiere controlar periódicamente que los sistemas no hayan sido comprometidos, de modo de minimizar de alguna forma los datos y poder tomar medidas al respecto. (4)

Conclusiones
En un futuro no muy lejano se deberá asumir como cierto que, por más medidas que se tomen, es inevitable ser vulnerado. Por lo tanto, se agregarán a las herramientas y sistemas de monitoreo actuales, mecanismos que comprueben la integridad de los sistemas, que no podrán ser residentes ya que de ese modo podrían ser modificados.

Notas:
(1) El caso T-Mobil despertó en este sentido el interés en la comunidad mundial de la Seguridad Informática. (2) http://www.securityfocus.com/archive/1/357916
(3) http://www.securityfocus.com/data/vulnerabilities/exploits/557iss_pam_exp.c Sólo por nombrar uno de los fallos; si buscan el www.securityfocus.com van a encontrar MUCHOS más. (4) En cualquiera de sus dos modalidades ocultarán a nivel kernel los cambios ocasionados y/o cambiarán estructuras en disco con el mismo fin.

Por Sergio Álvarez
Security Research I -SEC Information Security Inc
sergio.alvarez@i-sec.org

OPINÁ, DEJÁ TU COMENTARIO:

NEWSLETTER

Suscríbase a nuestro boletín de noticias

VIDEOS