"EL SER HUMANO COMO LA CADENA MAS DEBIL DE LA SEGURIDAD CIBERNETICA"

"EL SER HUMANO COMO LA CADENA MAS DEBIL DE LA SEGURIDAD CIBERNETICA"

El ser humano, el unico animal de la faz del planeta capaz de razonar, inducir, planificar , organizar y crear grandes civilizaciones y conocimientos a lo largo de toda su existencia, pero como todo no es del color de rosas , el arma que tambien nos ha funcionado a lo largo de nuestra historia para crear grandes sociedades, tambien se vuelve lamentablemente contra nosotros y esta es que la imaginacion y la capacidad de abstraer la realidad y la inteligencia para afectar la realidad de otros a nuestro favor.

Ya lo decia el fallecido y legendario hacker Kevin mitnick alla en los 90s que de nada sirve gastar cientos de miles de dolares en medidas defensivas si los profesionales detras del ordenador o de tales medidas defensivas no saben protegerse ellos mismos o no saben estrategicamente ni gestionar su propia psicologia, bien desde que nacio internet y se masifico al publico en general desde finales de los 80s e inicios de los 90s se han venido usando diversas tecnicas de inteligencia para hacer fraude y estudiar la psicologia para enganar al ser humano en general.

He vivido tambien varias historias de como la ingenieria social puede ser completamente eficaz casi al 100% aun cuando los ataques han fallado o casi todos los ataques de red team han fallado casi en su totalidad, son las mismas personas que muchas veces nos dan la informacion que necesitamos para dar en el target que necesitamos o que nos hace falta en una auditoria o test de penetracion, es por ello que se han hecho tan famosos los ramsonware aquellos softwares maliciosamente programados para secuestrar un equipo y pedir dinero, una forma novedosa de ciber-extorsion a cambio de tus datos.

Un dia en mi antiguo trabajo me percate de que casi todos los empleados dejaban la computadora sin una password de seguridad y si la implementaban esta era lo suficientemente debil como para descifrarla con ataques de fuerza bruta o rainbow tables en minutos / segundos, tambien me percataba de que no suspendian el equipo en absoluto lo que pudiera dar la ventaja a un atacante inteligente de insertar algun bash buny o algun ataque mediante HID como los que se utilizan hoy en dia, se conectaban tambien a cualquier red que estuviera cercana si de equipos moviles hablamos, lo que me pudiera permitir efectuar un ataque MITM o un gemelo malvado con un AP similar a la red empresarial o algun rogue acces point, en fin muchos ataques podian hacerse dentro de esa corporacion la cual por motivos eticos y legales y de seguridad no dire nombres.

Hoy en dia existen infinidad de ataques que mencionare solo algunos , ya que este articulo en caso contrario no tendria fin, asi que enumerare los mas populares y su contramedida abajo de la descripcion de dicho ataque, para finalizar mencionare medidas generales para evitar cualquier ataque de ingenieria social dependiendo del ramo del sector de la organizacion en la que se tenga que prevenir o disminuir la capacidad de los ataques ciberneticos.

1. Phishing Automatizado con SET (Kali linux)

Este metodo es muy eficaz y es el que por defecto ha sido por mucho tiempo el ataque de facto de los ciber-delincuentes al persuadir a sus victimas o enganarlas y hacerles creer que estan dentro de un sitio legitimo cuando en realidad no esi al 100%, si no estan ante un sitio clonado para robar los datos.

Dependiendo de la habilidad del atacante este podria ser un ataque pasivo pero muy eficiente si se tienen las habilidades para modificar la pagina o el sitio para que parezca lo mas realista posible, manipulando psicologicamente ala victima.

La herramienta por de facto para efectuar este tipo de ataques es SET , incluida en el sistema operativo kali linux o en su defecto en otros sistemas operativos enfocados a la ciberseguridad o al hacking etico, esta herramienta trae por defecto casi todo para automatizar nuestro ataque de phishing , mas sin embargo ya dependera de nuestras capacidades para personalizar los sitios clonados y enganar o persuador mas rapidamente al usuario victima.

Las Contra-medidas para mitigar este tipo de ataques es:

1. Asegurarse de estar navegando en un sitio bajo HTTPS y los certificados ssl de seguridad correctos en los detalles de la navegacion

2. Concientizar a los colaboradores de una organizacion para hacer frente a las modernas amenazas de las tics del siglo XXI

3. Activar el HSTS en los navegadores y actualizar ala ultima version siempre los navegadores para tales funciones

4. Asegurarse de que la CA sea la correcta y no se trate de una manipulacion de CA para hacer creer que estamos ante sitios legitimos

5. No abrir correos con dominios totalmente desconocidos de dudosa procedencia o correos con archivos adjuntos de procedencia totalmente desconocida.

6. investigar siempre en lo posible las url si sospechamos de un sitio clonado

7. Tener siempre activado IDS / FIREWALLS con reglas siempre bien establecidas

2. ATAQUE AP ROGUE

La implementacion de medidas fisicas o monitoreos constantes en busca de patrones irregulares dentro de las instalaciones de la organizacion es muy importante , casi podriamos decir que es la mas importante de todas, por eso es una buena idea colocar sensores de proximidad y camaras de seguridad con movimiento o deteccion de movimiento cerca o dentro del rack del area de TI o donde tengamos el nucleo central de nuestras redes , es decir donde desemboquen todo el cableado estructurado de nuestra red de la organizacion, he visto muchas organizaciones que tienen el area de TI del rack abierta de par en par como si nada pasara o como si ningun ciber-delincuente pudiera meterse dentro y colocar o manipular este tipo de instalaciones, y es que no es por lo menos pero existen muchos ataques que hacen aprovechamiento de este tipo de situaciones, como el que comentamos aqui mismo en esta seccion que es el de rogue ap , un rogue ap no es ni mas ni menos que un access point o punto de acceso inalambrico que se conecta a la red misma empresarial para hacer uso de los detalles que en este caso son las implementaiones basadas en la empresa como por ejemplo direcciones ip, tablas de enrutamiento, uso de servidores sin autorizacion, suplantacion de las identidades virtuales de un servidor, desactivacion de reglas, etc.

Es sumamente peligroso que alguien inserte un ap sin autorizacion debido a que puede consumir todo el ancho de banda tambien aparte de lo que hemos mencionado anteriormente, mas sin embargo el elixir del ataque no termina aqui mismo, lo mas peligroso es que podriamos efectuar un ataque MITM o podriamos generar downgrades en la medida de las posibilidades o hacer de seridores dhcp falsos para que cuando un usuario quisiese conectarse entonces podriamos tener controlada la red desde donde se nos conecto y asi efectuar desde aqui otros diversos ataques.

Las contra-medidas para mitigar este tipo de ataques es:

1. Tener asegurado fisicamente los racks del area de TI

2. Monitorizar con sensores de proximidad, camaras con deteccion, etc dentro del area de TI donde tengamos el area de TI

3. Implementar alarmas ya sea de hardware/software para que en caso de que alguien proceda a realizar una conexion nos alerte de la misma mediante diversos metodos

4. Implementar zonas demilitarizadas O DMZ para crear puntos de acceso inalambricas o redes inalambricas

5. Utilizar en la medida de lo posible VPN para accesos totalmente remotos

6. Asegurarse de siempre tener HTTPS en la navegacion

7. Asegurarse de conectarse a la red inalambrica/ alambrica legitima de la corporacion y no a una fraudulenta

3. Clonacion de RFID / llaves de seguridad

Este es uno de mis ataques favoritos y tal vez se preguntaran porque?, bien la respuesta aqui es que es uno de los mas medio complicados tambien al tener que contar el atacante con un conocimiento un poco mas alto de lo habitual y por tener que contar con una cercania un poco mas de lo habitual para poder proceder al ataque y que este ultimo sea completamente exitoso, este ataque lo he visualizado ya en muchos medio como por ejemplo en video-juegos , en series tan populares de hacking y realistas como mr. robot, al darlene (hermana de elliot el protagonista) copia una senal de un personal de un edificio y la replica para poder abrir una puerta, esto es mas que realista, esto se puede efectuar al tener una replica de la senal, claro esta que siempre y cuando que la radiofrecuencia este debil y no cuente con mecanismos de seguridad (casi algunos no cuentan ojito ahi ;) .

esto se puede efectuar con flipper zero pero al ser un poco costoso o mas del presupuesto inicial habitual podriamos optar tambien por este tipo de disposotivos capaz de escribir dentro de lectores como los que vemos en la imagen de abajo.

Este tipo de dispositivos suelen rondar los 20 USD o menos dentro de los mercados principales en linea, en tiendas chinas lo podriamos encontrar tambien en unos 15 usd o menos con descuento, una buena opcion para quienes quieran implementar o jugar con este tipo de ataques y con este tipo de tecnologia, si tenemos un presupuesto mucho mayor podriamos optar por el famoso flipper zero con tarjeta de expansion RFID o podriamos desarollar la nuestra para este tipo de cacharros, recuerdo muy bien mi experiencia con este tipo de ataque hace ya algun tiempo atras cuando no tenia los lineamientos de hacking etico bien establecidos, en la ciudad donde resido actualmente existen un tipo de tarjetas con tecnologia de este tipo RFID al recargar en centros departamentales y de conveniencia tenias un "saldo" para pasarla y usarla en diversos autobuses de mi ciudad que se iban descontando de los viajes pagados, esto no era nada mas ni nada menos que un mecanismos como lector / escritura de rfid, al investigar bien este tipo de tecnologias y al proceder a desencriptar la meta-informacion que contenia este tipo de tarjeta rfid me pude cerciorar de que podria hacer un volcado, y asi procedi a realizar tal volcado en formato hexadecimal, me percate del formato y lo empeze a estudiar para y lo peor de todo es que todo estaba en texto claro tanto la escritura, asi pude editar los valores para en lugar de tener 100 pesos de "saldo" a tener 100000 de "saldo" , y asi pude viajar gratuitamente durante algun tiempo hasta que cambiaron de version de la tarjeta y quedo completamente inservible, pero la satisfaccion de haber realizado este ataque de rfid siempre quedara en la memoria :).

si bien no podremos socialmente hablando hacer frente a un ataque de estos, si me percate de que estaba usando la ingenieria social hasta una parte del punto de este tipo de ataques.

En el sistema operativo kali linux tenemos una herramienta llamada rfdump entre otras para comenzar a estudiar este tipo de tecnologias.

Las contra-medidas para evitar este tipo de ataques son:

1. Implementar buena seguridad cifrada con cifrado robusto dentro de la implementacion tecnica en la RFID

2. no dejar en texto plano la escritura de datos

3. siempre tener un segundo paso para la autenticacion ya sea biometricamente o en otro medio preferido

4. tener la seguridad por capas dentro de la organizacion al entrar a otra area designada

5. autenticar y asegurarse de que las credenciales para tal persona son las correctas

6. areas mas sensibles de la organizacion custodiadas para evitar el clonado de rfid y la presencia de personas no autorizadas

7. Educar este tipo de ataques a los colaboradores de la empresa

4. Ataques HID /USB

Las siglas HID significan Human Interface Device o dicho en spanish se le suele conocer como dispositivo de entrada / salida para humanos, esto puede ser joysticks para videojuegos, memorias de almacenamiento es decir usb como las conocemos erroneamente, al ser un dispositivo de entrada y salida para determinadas instrucciones el sistema operativo lo deja pasar asi sin mas al detectarlo como mero dispositivo de "confianza" es capaz de sobrepasar el UAC de windows o las medidas de seguridad del sistema operativo en el que nos encontremos , cosa que no puede pasar con linux ya que aqui podriamos implementar medidas de seguridad al detectar dispositivos de almacenamiento o de un tipo extraible del tipo que sea, en windows tambien mediante ciertas politicas o medidas de seguridad como la edicion de ciertos archivos como por ejemplo el registro de windows para activar el bloqueo de dispositivos extraibles y evitar este tipo de ataques, cosa que algunos no efectuan al tener que utilizar las entradas usb para diversas situaciones como para discos duros, etc.

Una de las maneras mas faciles es hacer este ataque con dispositivos ya listos y adecuados para esto mismo como por ejemplo las herramientas fisicas de hak5 que con un costo elevado si que valen la pena para jugar con este tipo de ataques, pero de otra opcion si no contamos con todo el presupuesto podriamos empezar a conocer arduino y otro tipo de dispositivo llamado mcmju que es una placa con fines de desarollo para teclados , esto trae un controlador de teclado para que al conectarlo directamente al ordenador lo reconozca como un teclado de ordenador y no imponga las restricciones adecuadas de seguridad, al sobrepasar la seguridad de estos sistemas operativos , todo script tiene permitido pasar aun asi no tenga los permisos de administrador de seguridad , desde aqui o mas bien dicho desde la parte de este ataque se pueden programas los scripts al gusto, como por ejemplo desactivar todos los controles de seguridad, desactivar el uac para evitar mayores problemas en el futuro, detectar informacion confidencial como la direccion ip, los nombres de las interfaces de red, los usuarios y password de la maquina y hasta realizar volcados completos de la memoria ram o de los navegadores para listar toda la informacion ahi guardada.

Como podemos ver en la imagen anterior, por menos de 10 dolares o 300 pesos mexicanos podriamos efecutar un gran ataque, ya dependera de nosotros y de nuestros conocimientos en arduino asi como de sistemas operativos para ejecutar dichos ataques a partir de diversos sistemas operativos, asi que por menos de unos cuantos dolares no muchos un ciber-delincuente podria robarnos nuestros datos, mas aun hoy en dia podia ayudarse de herramientas como la inteligencia artificial para escribir unos scripts sin siquiera en conocimiento de programacion , solo de ir investigando y copiando en cada paso del script.

por eso debemos tener mucho cuidado en lo que insertamos en nuestros equipos ordenadores o moviles mediante adaptadores, ya que al tener toda esta gama de diposicion de herramientas hoy en dia que tenemos como pentesters pero tambien que se pueden usar para el lado del mal en este caso, con una simple busqueda en github la central de los repositorios podremos encontrar todo esto.

Asi, Una simple busqueda podria poner al habilidoso atacante como nuestro mas dolor de cabeza si no tomammos las medidas para mitigacion y preventivas para poder disminuir en la medida de lo posible este tipo de ataque, la mitigacion de este ataque es muy facil como podremos ver en la seccion de mitigacion de este articulo.

Contra-medidas para este tipo de ataques:

1. Bloquear la escritura dentro del registro de windows (REGEDIT)

2. no conectar dispositivos extraibles de dudosa procedencia

3. bloquear la ejecucion de scripts de toda indole sin autorizacion previa

4. Hacer capturas regulares de snapshots del registro de windows (similar a un analisis forense del sistema operativo)

CONCLUSIONES Y MITIGACIONES GENERALES:

En conclusiones generales podriamos decir que todos este tipo de ataques que conlleva un grado de ingenieria social dentro de su labor se pueden prevenir casi en su totalidad, ya que al tener cierta concientizacion de seguridad cibernetica podriamos bloquear o mas bien el personal capacitado no permitiria o disminuiria este tipo de ataques cuando surga alguna manera de efectuarlos, la Educacion en el area de ciber-seguridad es la clave para todas las posibles mitigaciones y ataques que en el futuro pudieran surgir, me he percatado que mas del 70% de las empresas en gran parte del mundo no tienen una idea de la ciber-seguridad o si la tienen , esta ultima esta mal implementada en casi toda su totalidad y no implementan los controles adecuados de seguridad de la informacion o ciber-seguridad, la clave para erradicar todos estos males de la actual era digital del siglo XXI es la educacion , es el arma mas poderosa para concientizar a las personas al enemigo digital al que se enfrentan en las sombras, ya lo decia tzun su en el arte de la guerra , "Si no conocemos a nuestro enemigo en ningun lugar de batalla podremos hacerle frente".

REFERENCIAS Y ENLACES TECNICOS (BIBLIOGRAFIA) :

Herramenta SET

Informacion sobre el ataque Rogue Ap

Herramienta RFDUMP