Hace algo más de un año, en Security Art Work se habló sobre la esteganografía y algunos de los métodos utilizados en esta disciplina (entradas una, dos y tres).

Con el artículo de hoy toca rememorar este tema, ya que tal y como está últimamente todo el tema de la privacidad con leyes como PIPA y SOPA, uno se puede preguntar si nos veremos “obligados” a tener que comunicar cierta información mediante técnicas más elaboradas de cifrado. ¿Podría ser la esteganografía una de ellas?

La entrada de hoy corre a cargo de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones y al que nos gustaría ver más a menudo por estos lares.

Aunque la entrada de hoy no es totalmente original como suele ser habitual, ya que fue publicada en su mayor parte ayer en su blog personal “Apuntes de seguridad de la información”, hemos creído interesante traerla también a nuestros lectores ya que guarda relación con dos de los aspectos en los que S2 Grupo está especializada: la Seguridad de la información y la Gestión de procesos (o eventos, en este caso) en tiempo real.

Vamos pues con ella y esperemos que les guste.

Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.

Seguimos hablando de nuestro anonimato en Internet y de las diferentes formas existentes de identificación de usuarios que existen. En este caso, llegamos a este paper donde se explica como se puede llegar a obtener una “huella digital” de los usuarios que visitan una página web. El investigador Peter Eckersley se dio cuenta de que los
navegadores proporcionan mucha información sobre su configuración a la hora de visitar una página web, y que esta información puede utilizarse para identificar al navegador de forma única, y si entendemos que este navegador solo lo utiliza una persona o un conjunto de ellas, podríamos identificar a dicho usuario, o en el peor de los casos a la máquina utilizada.

Como se ha hablado en artículos anteriores (véase la serie sobre sistemas de monitorización social), hemos visto que existen diferentes sistemas de monitorización utilizados por los gobiernos para poder “garantizar la seguridad del estado”. Pero, ¿existen algunos sistemas más accesibles a la población de a pie?

Seguramente algunos de ustedes ya habrán oído hablar de RapLeaf, pero para aquellos que aún no sepan de su existencia, podemos decir a grandes rasgos que es una compañía cuyos beneficios provienen de la utilización de nuestros datos en Internet. RapLeaf construye bases de datos sobre individuos con toda aquella información de los usuarios que existe en Internet, como pueden ser redes sociales, historiales de compra o interacciones entre las diferentes webs.

Estos días he estado jugando un poco con Cymothoa. Para quien no lo conozca, esta herramienta te permite inyectar un payload dentro del espacio de direcciones de un proceso, o dicho de otro modo, troyanizar un proceso en Linux. Cymothoa está desarrollada en C y se encuentra disponible en Backtrack 5 dentro de /pentest/backdoors/cymothoa. (N.d.E. A su derecha pueden observar una imagen de una Cymothoa Exigua, un parásito que se adhiere a la lengua de determinados peces, la atrofia y acaba por reemplazarla por sí mismo, como si fuese un órgano más. Si tienen curiosidad, gogleen y verán que bicho tan interesante.)

Al no encontrar mucha información sobre su funcionamiento estuve indagando un poco sobre el código para ver exactamente como trabaja. La idea de esta herramienta es sobrescribir directamente el base address de alguna de las librerías utilizadas por el proceso, siendo por defecto el “dynamic linker/loader” (/libr/ld*.so). Los payloads utilizados por Cymothoa están embebidos en el propio binario y pueden verse con el parámetro -S aunque, como veremos a continuación, podremos incorporar los nuestros sin mucho esfuerzo:

Esta es mi historia, de quien fui, de donde llegué pero no de quien soy. Tal vez les resulte inverosímil, irreal o aburrida. Yo solo relato los hechos. Son libres de ponerlos en duda.

1999. Primer año de carrera. Elegí informática por un simple y llano motivo: me gustan los ordenadores. A mis tempranos 10 años había estado programando en Basic (¿recuerdan HOME, PRINT…?). Ese año fue realmente interesante; no disponía de ordenador en casa de mis amados progenitores, así que pasaba la mayoría del tiempo en la sala de ordenadores de una Facultad de Informática. Había pocos ordenadores y traían un sistema operativo, digamos que ya viejo, el Windows 3.11 (gran sistema). Éste nos permitia, a un par de amigos y a mí controlar bien la ocupación de la sala ya que enviábamos archivos por red que producían un overflow y la famosa pantalla azul de Windows. Tras unas tres pantallas azules el usuario se iba y nos dejaba el ordenador ya para todo el día. No, no iba mucho a clase, pero bueno, eso es otra historia.

Uno de los operadores que más me gusta a la hora de definir filtros con Wireshark es “matches“. Con este operador podremos extender las limitaciones que nos ofrece el resto de filtros a la hora de localizar determinados patrones en nuestros ficheros pcap. De forma parecida a “contains”, el operador “matches” nos permite buscar por determinadas cadenas de texto así como bytes con la ventaja adicional de soportar PCRE (Perl-compatible regular expression). Este operador será realmente útil a la hora de buscar gran variedad de ataques como DDOS, fuzzing, opcodes que coincidan con ciertos patrones de malware conocido, o, como veremos a continuación, exploits que se aprovechan de un stack/heap overflow.

Siguiendo con nuestra serie de posts sobre sistemas de monitorización social, en este caso toca hablar de NarusInsight y Ghostnet.

Continuando con la anterior entrada sobre Echelon, aparte de esa archiconocida red ha habido, y continúa habiendo, otras instituciones y países que se han unido a la utilización de estas prácticas creando sus propias “redes espía”. El FBI, sin ir más lejos, tenía su propio software llamado Carnivore, el cual nació en octubre de 1997 como sucesor de Omnivore y fue reemplazada en 2005 por el software comercial NarusInsight, que explicaremos en el siguiente post de la serie.

Carnivore funcionaba básicamente como un sniffer más que era utilizado bajo el sistema operativo Microsoft Windows. Su tecnología era bastante sencilla y común, pero lo que marcaba la diferencia y la efectividad era que podía ser instalado en los proveedores de Internet o en cualquier otro punto en el que se tuviera un acceso preferente a los datos que se intercambiaban en las comunicaciones. Además de este factor tan importante, como es la posición donde se situaba, su funcionalidad clave era el gran poder de filtrado del que se disponía, siendo éste su elemento diferencial. En la imagen podemos ver una captura de su interfaz de configuración.

Los sistemas de monitorización social comúnmente conocidos como redes de espionaje, son mecanismos, normalmente gubernamentales, que se encargan de interceptar y analizar todo el tráfico que se transmite por las comunicaciones electrónicas, para así, como “ellos” lo definen, poder detectar y anticiparse a ataques terroristas, planes de narcotráfico y conspiraciones políticas entre otras funciones.

Existen diversos sistemas que cumplen estas características y con esta serie de posts me gustaría hacer una pequeña introducción a algunos de ellos.

Echelon

La red Echelon es considerada como la mayor red de espionaje creada para la interceptación de comunicaciones electrónicas de toda la historia y es el sistema de espionaje más conocido de todos sin lugar a dudas. Se han escrito multitud de libros e incluso se ha hecho alguna película (“Echelon conspiracy”) donde tenemos a Echelon como principal “protagonista”.