¿Un ataque sofisticado o 'paso de contarte lo que sucedió'?

Muro, torre y almenas

Últimamente tenía la impresión de que se ha convertido en tendencia anunciar que hemos sido víctimas de un ataque informático, decir que han utilizado medios muy sofisticados y seguir con nuestra vida. Esa impresión significaba, para mi, que era una forma fácil de eludir contar lo que había sucedido (y los medios se conformaban con la explicación, que ya les parecía suficiente). El caso ese que descubrí hace no mucho (aunque tiene más de un año) el trabajo: [PDF] A “sophisticated attack”? Innovation, technical sophistication, and creativity in the cybercrime ecosystem publicado en WEIS 2022 que parece apoyar lo que suponíamos:

We observe that almost every cybercrime is reported to be a “sophisticated attack” and explain how incentives align to misrepresent very run-of-the-mill events in this manner. We describe the cybercrime ecosystem, analysing the distinct parts and discussing what forms of sophistication and incentives can be found in each kind of work. We move on discuss how framing cybercrime as technically sophisticated attacks performed by skilled criminals has distorted criminological analysis and contributed to misaligned incentives within criminal justice and security policy. We conclude that the criminal justice system is aiming the wrong types of interventions at the wrong kinds of actor.

La cuestión es que nadie hace casi nunca más trabajo del necesario y que, en muchos casos, con poco esfuerzo se consiguen grandes resultados, al menos en el mundo de los ataques informáticos.

De las conclusiones:

We argue that this mis-attribution of sophistication is not a mere irritation or fringe issue, i.e. something which security professionals and academics might decry on social media but which bears no real impact; it is in fact contributing to a far wider mood music within law enforcement and sentencing practice, and academia that has had serious negative effects. As long as this narrative of sophistication persists, it creates perverse incentives to widen the net of law enforcement, to design interventions along misleading lines, and to draw attention away from the real drivers of harm.

Esto es, no hay tantos expertos capaces de realizar atanques verdaderamente sofisticados y esta banalización de la información puede llevarnos a tomar malas decisiones y a enfocar el problema de manera inadecuada.

En el artículo definen media docena de tipos de atacantes, que puede ser interesante señalar:

  • Expertos en investigación básica y cambios de paradigma Hacking – basic research and paradigm shifts.

En este caso hablamos de incentivos y motivaciones económicas complejas, aunque esta es una pequeña parte de todo el ecosistema. Es costosa en tiempo, conocimientos, …

  • Atacantes avezados, expertos en penetración y amenazas persistentes avanzadas Skilled actors, penetration testers and APTs.

Aquí ya tenemos a personas con buenos conocimientos de lo que han encontrado otros. Son hábiles en aplicar este conocimiento y realizar los ataques. Aquí entraría la parte económica relacionada con la realización del ataque (o la defensa) y la venta de este conocimiento a quien lo pueda demandar.

  • Constructores de herramientas y proveedores de infraestructura Tool builders and infrastructure providers

Los ataques se han convertido en muchos casos en ataques como servicio ‘crime as a service, lo que significa que aparecen organizaciones que proporcionan las herramientas para que otros las usen en su propio beneficio. Esto ocurre tanto en las herramientas de ataque, como en la infraestructura necesaria para desplegarlas y no tener que preocuparse demasiado de ellas.

  • Emprendedores Entrepreneurs

Esencialmente, los usuarios de las herramientas y los servicios anteriores, que sacan provecho de su conocimiento de la infraestructura.

  • Piratillas y ladrones de poca monta ‘Script kiddies’ and petty fraudsters

Son gente que está empezando y que usan los servicios de otros sin mucho conocimiento, simplemente siguiendo guías y recomendaciones que otros han preparado.

  • Hacktivistas y otras personas sin motivación económica Hacktivists and other non-monetary motives

No sólo hay gente interesada en estos asuntos por el dinero, sino también por ideales, ideología o principios ‘más elevados’. Son pocos, muy motivados y con muy diversos niveles en sus capacidades tecnológicas.

Por cierto, que esta clasificación me ha recordado otro artículo interesante I Watched You Roll the Die: Unparalleled RDP Monitoring Reveal Attackers’ Tradecraft donde clasificaban a los atacantes en cinco categorias:

  • Bardos (bards), sin un gran nivel cuyo único objetivo es usar sistemas informados para sus propios intereses (muchas veces de simple entretenimiento, accediendo a recursos que no tienen disponibles por el motivo que sea).

  • Guardabosques (rangers), que exploran los sistemas y encuentran algunos vulnerables o poco progegidos, abriendo el camino para otros atacantes.

  • Ladrones (thieves), que son los que tratan de obtener beneficio económico de los sistemas atacados.

  • Bárbaros (barbarians), que serían los que usan herramientas, básicamente mediante fuerza bruta, para entrar en diversos sistemas.

  • Magos (wizards), que utilizan estos recursos para esconder su verdadero oriigen y poder realizar acciones de su interés.

En este caso se trata de una honeynet utilizada para ver cómo se comportaban diferentes agentes que utilizan ataques a través de las herramientas de escritorio remoto RDP. Los autores habrían observado a los atacantes y su actividad cuando descubrían los recursos vulnerables.

Se puede leer algo de información en How Unparalleled RDP Monitoring Reveal Attackers’ Tradecraft

El phishing: los usuarios lo tienen realmente difícil

Hace no mucho cayó en mis manos el artículo: I Don’t Need an Expert! Making URL Phishing Features Human Comprehensible donde se pueden leer algunas ideas sobre el phishing y las URLs y lo difícil que puede llegar a ser darse cuenta de que estamos siendo engañados.

Judging the safety of a URL is something that even security experts struggle to do accurately without additional information. \changed{In this work, we aim to make experts’ tools accessible to non-experts and assist general users in judging the safety of URLs by providing them with a usable report based on the information professionals use.} We designed the report by iterating with 8 focus groups made up of end users, HCI experts, and security experts to ensure that the report was usable as well as accurately interpreted the information. We also conducted an online evaluation with 153 participants to compare different report-length options. We find that the longer comprehensive report allows users to accurately judge URL safety (93% accurate) and that summaries still provide benefit (83% accurate) compared to domain highlighting (65\% accurate).

Creo que merece la pena su lectura (se puede descargar de [PDF] I Don’t Need an Expert! Making URL Phishing Features Human Comprehensible) para repasar conceptos básicos sobre las URLs, pero también para ver cómo los expertos se enfrentan al problema y echarle un vistazo a los datos que aparecen. En particular, yo tuve la oportunidad de hacer la prueba que indica en la Tabla 3 con un grupo y fue bastante ilustrativo (incluso para mi mismo, que no era perfectamente capaz de identificar todos los casos). Arriba también se puede ver el vídeo de la presentación en el congreso del ACM Special Interest Group on Computer-Human Interaction (SIGCHI). Arriba hay un vídeo de la presentación del artículo.

Un par de informes sobre ciberseguridad del año 2022

Riazor y nubes

Hace años comentaba informes que iba leyendo de vez en cuando, pero ahora lo había dejado un poco abandonado. No es que pretendar comentarlos ahora, pero estuve echando un vistazo a un par de ellos y creo que vale la pena echarles un ojo y,por lo tanto, enlazarlos.

Me parece interesante porque nos habla del contexto local.

Para mi tiene el interés de hablar de la nube, es más cortito que el otro.

La codificación de los mensajes y el phishing

Escultura

Se habla poco de los problemas que puede traernos la codificación de un mensaje, texto lo que sea… Algunos sistemas intentarán interpretarla como si estuviera escrita en la codificación que esperan, otros la mostrarán sin más, en algún caso puede haber algún tipo de interpretación.

De esto nos habla Brian Krebs en Teach a Man to Phish and He’s Set for Life y un caso de este estilo en el nombre de un fichero: el recpetor trataba de cambiar el nombre, pero se encontraba con que las flechas de movimiento dentro del texto se movía en sentido contrario al que debían:

For example, when he downloaded and tried to rename the file, the right arrow key on the keyboard moved his cursor to the left, and vice versa.

La cosa tiene hasta un nombre y es lo que se llama anulación de derecha a izquierda (right-to-left override) y tiene todo el sentido para idiomas como árabe, hebreo … Se lleva a cabo mediante un caracter especial, que se abrevia como RLO.

The file included in this phishing scam uses what’s known as a “right-to-left override” or RLO character. RLO is a special character within unicode — an encoding system that allows computers to exchange information regardless of the language used — that supports languages written from right to left, such as Arabic and Hebrew.

Esto puede dar lugar a situaciones donde vemos un fichero que se llama “lme.pdf” (un PDF, potencialmente poco peligroso) pero que en realida es “fdp.eml” (un mensaje de correo, más peligroso).

Look carefully at the screenshot below and you’ll notice that while Microsoft Windows says the file attached to the phishing message is named “lme.pdf,” the full filename is “fdp.eml” spelled backwards. In essence, this is a .eml file — an electronic mail format or email saved in plain text — masquerading as a .PDF file.

Cuando abrimos el mensaje como si fuera un PDF, se abre como un mensaje de correo, muestra una página en HTML y nos redirige, a través de algún sistema de redirecciones que oculta el destino final, a algún sitio donde no querríamos ir.

Opening the .eml file generates a rendering of a webpage that mimics an alert from Microsoft about wayward messages awaiting restoration to your inbox. Clicking on the “Restore Messages” link there bounces you through an open redirect on LinkedIn before forwarding to the phishing webpage.

El resto, ya lo podemos imaginar, puede ser cualquier petición de datos ilegítimos que nos produzcan algún problema más adelante.

Comprendiendo mejor las baterías

Cambio de batería.

No me llevo bien del todo con la electrónica y el hardware. Eso no me impide comprender lo importante que es y admirar entradas como Understanding Battery Performance of IoT Devices donde un experto nos desgrana los detalles importantes de la baterías.

Casi al principio ya dice que el tema de las baterías es complicado:

But batteries are hard

Después habla de la temperatura, el uso, y muchas otras consideraciones.

Para guardar.