Frameworkspara monitoreo

Data LossPrevention

No.25 / agosto-septiembre 201 5 ISSN: 1 251 478, 1 251 477

Botnet Liberpy Likejacking TIC yciberterrorismo

HoneypotGlastopf

25MMoonnii ttoorreeoo yy ddeetteecccciióónn

PPrrootteecccciióónn ddee ddaattooss eenn mmoovviimmiieennttoo

Contenido

Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Coordinación deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especial izada en temas de seguridaddel UNAM-CERT. Se autoriza la reproducción total o parcial de este contenido con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.

04

08

21

Operación Liberpy: Keyloggers y robo deinformación en Latinoamérica27

30

34

SOS: alguien ha secuestrado mis likes

Frameworks para monitoreo, forense y auditoría detráfico de red-I I (POC)

TIC (Internet) y ciberterrorismo - I I I

Glastopf: Honeypot de aplicaciones web – I

DLP: Tecnologías para la prevención de la fuga deinformación

Monitoreo y detección

Protección de datos en movimiento

La información que generamos cada día se ha vuelto“nómada”. Me atrevo a decir esto porque en nuestrosdías es muy común enviar archivos por correoelectrónico, subirlos a la nube, pasar documentos alteléfono o a la tableta, trabajar en aplicacionesbasadas en la web y muchas otras tareas quevuelven a la información que generamos un viajeroincansable.

Entre este flujo de datos se encuentran nuestrasfotografías, las contraseñas de acceso a todos losservicios que consumimos, nuestras converscio-nes en línea, la comunicación por correo y en algunoscasos hasta datos bancarios, l lamadas telefónicasy mucha, mucha más información.

Proteger los datos en movimiento nos motivó apresentar en este número tecnologías relacionadasal monitoreo del tráfico de red y al análisis de esainformación; herramientas que son úti les paraconocer y ajustar los parámetros de red a lasnecesidades de cada organización, para la detecciónde intrusiones y continuidad de operaciones. Puesbien, las propuestas de nuestros autores son unapoyo para evitar que estos viajeros digitales pierdanel camino o se “crucen con el lobo” a mitad de sudestino.

Invitamos a todos nuestros lectores, especialmentea aquellos administradores de red o responsablesde TI en cada nivel, a conocer los contenidos quepreparamos en esta ocasión, esperamos que seande uti l idad.

Feliz y seguro viaje, información.

Jazmín López SánchezEditoraCoordinación de Seguridad de la Información

.Seguridad Cultura de prevención TI M.R. / Número 25 /agosto-septiembre 201 5 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral, Registro de Marca 1 29829

DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN

DIRECTOR GENERALDr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS

INSTITUCIONALES

Act. José Fabián Romo Zamudio

COORDINADOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna

DIRECTORA EDITORIALL.A. Célica Martínez Aponte

EDITORAJazmín López Sánchez

ASISTENTE EDITORIALKatia Rodríguez Rodríguez

ARTE Y DISEÑOL.D.C.V. Abri l García Carbajal

REVISIÓN DE CONTENIDORubén Aquino Luna

Xocoyotzin Carlos Zamora Parra

Jonathan Banfi Vázquez

Marcelo Barrera Plata

Miguel Raúl Bautista Soria

Octavio Domínguez Salgado

COLABORADORES EN ESTE NÚMEROJavier Ulises Santi l lán ArenasAlejandra Morán EspinosaOscar Alquicira GálvezAbraham Alejandro Servín CaamañoPablo Ati l io RamosDiego Perez MagallanesSergio Anduin Tovar BalderasGalvy I lvey Cruz ValenciaIsrael Andrade Canales

Editorial

UNAMCERT

04

La fuga de información

El problema principal de la fuga de informaciónes que las amenazas, las vulnerabil idades y lasmalas prácticas de seguridad que la propician sepresentan en una gran variedad de escenariosdurante el ciclo de vida de la información:creación, procesamiento, almacenamiento,transmisión y deposición.

Durante la creación o la adquisición de lainformación olvidamos definir cuáles van a serlas reglas del uso de la misma, comenzando asílos problemas de control. ¿Quiénes tendránacceso? ¿En cuáles dispositivos se podráalmacenar? ¿A quiénes se podrá transferir? ¿Sepuede publicar? ¿Durante cuánto tiempo seráúti l? Son preguntas que podríamos plantearnos

No cabe duda que la facil idad para procesar,almacenar y transmitir la información que las TICnos brinda a su vez dificulta el control sobre lamisma, para muestra de lo anterior: la fuga deinformación en medios digitales. Dicho problemase ha colocado dentro de las primeras cuatrotendencias sobre delitos informáticos en esteaño [1 ] y además, es una noticia común en losmedios de comunicación, desde la fuga de losprimeros cuatro capítulos de la nueva temporadade “Game of Thrones” [2] hasta el robo de datospersonales en una de las tiendas departamen-tales más populares de México [3].

Parece que si las condiciones son propicias,alguien extrae o pierde información que incluyedocumentos laborales, bases de datos coninformación sensible, fotografías o videos queen cuestión de horas el público puede descargardesde la comodidad de su dispositivo personal.

DLP: Tecnologías para la preven-ción de la fuga de informaciónIsrael Andrade Canales

UNAMCERT

05

El problema es demasiado grande para unasolución definitiva, involucra gente, tecnología,aspectos legales, de gestión, y a su vez, que lasmedidas precautorias no desfavorezcan el usoágil de la información.

¿Qué es un DLP?

Una de las estrategias que las empresas estánadoptando con más fuerza es el uso de sistemasde Prevención de Pérdida de Información(traducción propia de Data Loss Prevention,DLP). Se trata de un sistema porque son unconjunto de tecnologías que previenen la fugade información.

El principio fundamental de esta serie de técnicasse basa en una herramienta más que conocidaen el mundo de la seguridad informática: elantivirus; sólo que en lugar de buscar todas lasformas reconocibles de una pieza de malware,éste sistema busca patrones y firmas de lainformación que nosotros consideremossensible.

Adicionalmente, otras herramientas del DLP sedistribuyen en toda la infraestructura informática(principalmente en los equipos de escritorio y enlos dispositivos de red) para cubrir todos losestados de la información y los puntos de fuga.

El dueño de la información puede definir si algúnarchivo, base de datos o algún tipo de dato enparticular (como el número de una tarjeta decrédito) debe ser analizado y, en su caso,bloqueado si es transmitido por algún medio.Estas herramientas pueden ser configuradasdesde la forma más sencil la y ágil de clasificación(pública o privada) hasta el esquema máscomplejo.

Mientras la información se encuentra almacena-da en uno o más equipos, el dueño puede realizaruna búsqueda exhaustiva (justo como lo haríaun antivirus en la búsqueda de malware en elequipo) y descubrir cuántas copias de lainformación o del mismo dato se encuentrandistribuidas sobre la infraestructura tecnológicay así proceder a su organización, control oeliminación. ¿Te imaginas en cuántos docu-

justo en el momento de adquirir o crear dichosmedios, no sólo para información laboral,también para la personal.

El descontrol de la información empeora en elsiguiente estado de la información: el almacena-miento. Hoy contamos con una extensa variedadde dispositivos en donde podemos almacenararchivos y la mala práctica es no tener un controlde dónde se resguardan. Es por esto que en elámbito laboral están en boga los inventarios deinformación, prácticas que eran exclusivas paralos bienes materiales.

Cuando transferimos, compartimos o publica-mos la información perdemos por completo sucontrol, es aquí donde comienza la pesadil la,porque otras personas pueden hacer mal uso delos contenidos: copias y accesos no autorizadosa personas, correos personales, almacena-miento en dispositivos móviles, en la nube, redessociales, etcétera.

En último lugar se encuentra el estado final dela información (la cual olvidamos frecuente-mente): la eliminación. Por una parte está lapráctica poco realizada del borrado seguro: ¿quéinfor- mación podría obtenerse de nuestras viejasmemorias USB, de los teléfonos celulares o delos servidores que se dan de baja en lasempresas?; y por el otro, la dificultad de eliminarla información una vez que ha salido de nuestroambiente de control, por ejemplo, cuando sealmacena en Internet.

Figura 1. Ciclo de vida de la información

UNAMCERT

06

resguardados de esta manera, sea porimplicaciones legales (como en el caso de la LeyFederal de Protección de Datos Personales) opor su criticidad para el negocio (como en el casode los capítulos fi ltrados de “Game of Thrones”).

También es importante recalcar que este tipo desistemas requieren mantenimiento por parte depersonal especial izado y no son infalibles, puespueden presentar “falsas alarmas” debido a laconfiguración imprecisa de políticas o la defini-ción de patrones de búsqueda incorrectos quegenerarán más de un dolor de cabeza.

Sin embargo, como mencioné al principio deeste artículo, la fuga de información es una delas tendencias más importantes en materia deseguridad. Con el perfeccionamiento de estastecnologías y su integración con otras como losDRM[1 ], deberá disminuir considerablemente elproblema. ¿Crees que algún día esta tecnologíaserá uti l izada comúnmente por los usuarioscaseros en sus computadoras y dispositivosmóviles como lo hizo el antivirus o el firewallpersonal?

mentos, dispositivos de almacenamiento ycorreos viejos has abandonado algún archivocon datos sensibles?

Quizá la funcionalidad más interesante es la delmonitoreo y bloqueo de cualquier intento detransferencia no autorizada de los datos enresguardo. Esto funciona con la misma tecnolo-gía que un firewall, que detiene un patrón deataque, pero en este caso se evita que lainformación sensible salga si no lo está permitido.Por ejemplo, un usuario apunto de mandarse unacopia del reporte de finanzas a su correo personal(para revisarlo en casa) será detenido desde elcl iente de correo o navegador, también serádetenido al momento de subirlo a la nube y susistema operativo no le permitirá almacenarlo ensu memoria USB, si así fue establecido.

Pues bien, para el usuario no especial izado eninformática, un DLP podrá parecerle un mediode control más. Por eso es necesario que estetipo de mecanismos sean acompañados de unaspecto importante: una sensibi l izacióninformada del porqué cierto tipo de datos serán

Figura 2. Funcionamiento de un DLP

UNAMCERT

07

Notas al pie

[1] La gestión digital de derechos o DRM (por sus siglasen inglés) son un conjunto de tecnologías de hardware ysoftware que controlan el acceso a contenidos digitales,principalmente películas y música, que permiten controlarla ejecución, vista o la impresión de información. Ladiferencia principal con un DLP es que los candados deseguridad están embebidos en el contenido y el softwareo dispositivo debe validar el derecho sobre el mismo; sinembargo, esta característica no permite tener un controlsobre bases de datos o datos crudos como números detarjetas de crédito, números de seguridad social, etcétera.

Referencias

[1] ESET. (2015). "Tendencias 2015 El mundo corporativoen la mira" Obtenido de ESETLatinoamérica,http://www.welivesecurity.com/wp-content/uploads/2015/01/tendencias_2015_eset_mundo_corporativo.pdf, consultado el 01 de junio de 2015.

[2] NOTIMEX. (2015). "Se filtran los primeros capítulos deGame of Thrones" Obtenido de ElEconomista,http://eleconomista.com.mx/entretenimiento/2015/04/12/se-filtran-primeros-capitulos-game-of-thrones, consultado el 01 de junio de 2015.

[3] Alberto García Álvarez. (2015). "¿Qué hacer despuésde una fuga de datos?" Obtenido de ForbesMéxico,http://www.forbes.com.mx/que-hacer-despues-de-una-fuga-de-datos/, consultado el 01 de junio de 2015.

Si quieres saber más consulta:

• Recomendaciones al Elegir una Suite deSeguridad

• Dispositivos móviles: un riesgo de seguridaden las redes corporativas

• Normatividad en las organizaciones: Políticasde seguridad de la información - Parte I

Israel Andrade Canales

Ingeniero en computación de la Universidad

Nacional Autónoma de México, Maestro en

Investigación de Operaciones del Posgrado de

Ingeniería de la misma institución. También fue

miembro de la cuarta generación del Plan de

Becarios de Seguridad en Cómputo del

UNAM-CERT. Se ha desempeñado como

auditor, analista de riesgos y consultor de

seguridad de la información en el sector

público, privado y bancario desde 201 0.

Ha publicado artículos en la revista

“.Seguridad” y colaboró como traductor técnico

para el boletín de seguridad OUCH! del SANS

Institute.

UNAMCERT

08

Frameworks para monitoreo, forense yauditoría de tráfico de red-I I (POC)Javier Ulises Santi l lán Arenas

En el artículo anterior se presentó unaintroducción general sobre tres frameworks demonitoreo de tráfico de red: NSM (NetworkSecurity Monitoring), SIEM (Security Informationand Event Management) y PNA (PassiveNetwork Audit) . Recapitulando, tanto el objetivodel análisis como los recursos técnicos (softwarey hardware) con que se cuente, definen el modelode análisis que puede ser más conveniente parael analista de tráfico. Para mayor referencia sepuede consultar la Figura 1 . “Panorama Generalde los modelos de monitoreo y análisis” delartículo anterior.

El actual trabajo tiene como objetivo presentaruna prueba de concepto de Passive NetworkAudit Framework (PNAF), implementación de unframework basado en PNA el cual puede ser

uti l izado como herramienta de análisis pasivo detráfico de red, aprovechando ventajas de otrasherramientas. El alcance de este artículo incluyela instalación, configuración y modelos deejecución para extracción de datos e inter-pretación de información. Para una mejorreferencia del modelo teórico, puede consultarseel artículo anterior y la fuente original[1 ] de dichoframework.

Modelo general de PNAF

El modelo general de PNAF (Figura 1 ) define elfuncionamiento y flujo de datos a través del cualPNAF decodifica, fi l tra e interpreta informacióna partir del tráfico de red.

UNAMCERT

09

Figura 1. Modelo de análisis de Passive Network Audit Framework (PNAF)

Modos de instalación

PNAF incluye una serie de herramientas[2] para captura y análisis de tráfico de red. Debido asus características y capacidades, algunas de estas herramientas por sí mismas pueden invo-lucrar complejos procesos de instalación y configuración. Por esta razón, PNAF está diseñadopara proveer modos de instalación que facil i ten y automaticen el proceso de manera que elanalista pueda hacer uso del framework sin mayor problema. Existen cuatro modos de instala-ción explicados a continuación.

Instalación mediante instalador

PNAF incluye un instalador que automatiza la descarga, compilación y configuración de todaslas herramientas. Este instalador incluye un wizard (asistente de instalación) basado en dialog.Para poder uti l izar este modo de instalación es necesario cumplir los siguientes requerimientos:

Es posible su funcionamiento en Ubuntu u otra distribución basada en Debian, sin embargo implicaverificar las equivalencias en paquetes instalados por Apt. Asimismo, es posible usar el instalador

UNAMCERT

1 0

en otros sistemas no basados en Debian siempre y cuando se instalen manualmente todas lasdependencias necesarias para la compilación de las herramientas. Para esto se puede consultarel archivo README e instalar las dependencias equivalentes de la lista de Apt/emerge.

Debido a que PNAF instala una gran cantidad de dependencias, se recomienda instalar elframework en un ambiente chroot para evitar cualquier problema de compatibi l idad de dependenciasen el sistema nativo. En esta prueba de concepto el proceso se hará de esa manera y se explicaráa continuación.

Asumiendo que se cuenta con un sistema Debian 8 de 64 bits (amd64) :

1 . Creación del ambiente chroot (vía debootstrap) :

Ahora se cambia al ambiente chroot:

2. Descarga de PNAF

Opción 1 : Desde el repositorio oficial del proyecto:

Opción 2: Desde el mirror en github:

Una vez descargado, ingresar al directorio y ejecutar el instalador:

Esto ejecutará el asistente. Primero se deberá confirmar que se desea instalar PNAF.Posteriormente se pueden seleccionar las herramientas que se incluirán en el framework. A pesarde que no todas las herramientas se uti l izan en esta versión de PNAF (v0.1 .2) se recomiendaseleccionar todas para uti l izarlas de manera independiente. Visto de este modo, PNAF es tambiénun asistente para la instalación de herramientas de análisis de tráfico de red.

UNAMCERT

11

Figura 2. Selección de herramientas en la instalación de PNAF

Si es la primera vez que se instala PNAF se debe seleccionar una instalación limpia, “cleaninstallation”. En caso de que exista una instalación previa, la instalación limpia eliminarácualquier herramienta y archivos instalados por PNAF. Si sólo se desea agregar o reinstalarciertas herramientas, se debe seleccionar “NO” en este paso.

Figura 3. Selección del tipo de instalación

A partir de ese momento el instalador comenzará a compilar y configurar todas las herramientas.Este proceso puede durar aproximadamente 30 minutos, dependiendo de las capacidades delequipo. En caso de que exista un error en el proceso, el instalador mostrará el mensajecorrespondiente y se podrán verificar los archivos install.log e install.log.exec para identificar elproblema. De lo contrario, si el proceso terminó correctamente, PNAF habrá quedado instalado ylisto para usarse.

Como recomendación, para actualizar las variables de ambiente hay que salir del ambientechroot y volver a entrar. Asimismo, para identificar cuándo se esté dentro del directorio de chrootes conveniente agregar una etiqueta al shell:

Para verificar que PNAF se ha instalado correctamente:

UNAMCERT

1 2

Figura 4. Opciones de ejecución de PNAF

Instalación mediante Debian chroot preconfigurado

El segundo modo de instalación corresponde al uso de un directorio chroot con todas lasherramientas precompiladas y preconfiguradas. Esta alternativa básicamente evita todo elproceso de compilación y creación del directorio raíz con debootstrap (herramienta presentadaen el modo anterior). Por otro lado, facil i ta tener una planti l la con un directorio preparado parausarse con chroot. Con este modo sólo es necesario descargar el archivo empaquetado .tar.bz2(aproximadamente 1 .3 GB) y desempaquetarlo en el sistema de archivos local.

Es importante mencionar que este modo funciona sólo si el sistema local en el que se planeainstalar es Debian 8 amd64 (la compilación de todas las herramientas depende de la arquitec-tura y de las versiones de las dependencias usadas por Apt).

UNAMCERT

1 3

Igualmente se puede verificar que PNAF se ha instalado correctamente:

Instalación (uso) mediante una máquina virtual

En este modo de instalación es necesario descargar una imagen de máquina virtual en formatoOVA para ser importando con VirtualBox o Vmware.

1 . Descargar la imagen en http://pnaf.honeynet.org.mx/download/pnaf-0.1 .2.ova

2. En VirtualBox:

En el menú File/Import appliance/ seleccionar el archivo OVA y crear la máquina virtual.

Esta máquina virtual tiene instalado PNAF con todas las opciones mostradas en el instalador.Las credenciales de acceso para el usuario root se muestran en el mensaje de bienvenida unavez que se inicia la máquina virtual.

Figura 5.

Máquinavirtual

preconfigurad

a con PNAF

Una vezdentro de lamáquina

UNAMCERT

1 4

Instalación mediante módulo de Perl (instalación independiente)

Esta opción incluye la instalación del núcleo (core) de PNAF, es decir, instalación independientedel módulo de Perl. Este modo se puede uti l izar cuando se desee usar PNAF con una insta-lación propia de las herramientas. Sin embargo, no es recomendable ya que se necesitaconfigurar una gran cantidad de opciones, incluyendo la ruta de los archivos binarios de cadauna de las herramientas, archivos de configuración, logs, etcétera. Para esto, una vezdescargado PNAF, editar la configuración de cada una de las herramientas:

Configuración

La mayoría de las opciones de configuración se definen directamente como argumentos almomento de la ejecución del auditor de PNAF (pnaf_auditor) .

Para visualizar las herramientas incluidas en el framework se puede ejecutar:

Para mayor información sobre las opciones disponibles en PNAF 0.1 .2:

En caso de necesitar una configuración específica, por ejemplo, agregar firmas del IDS Suricata,se pueden modificar los archivos de configuración dentro del directorio /pnaf/etc.

PoC: análisis de capturas de tráfico de red

A continuación se analizarán tres archivos de captura en formato PCAP. La flexibi l idad de lasherramientas usadas por PNAF permite extraer e interpretar la información de maneras diferentes.El análisis en esta prueba de concepto no representa la totalidad de la información que se puedeobtener. Así, la PoC incluye un análisis general los archivos de captura de manera que se obtengala siguiente información y cuyo propósito se explica en la siguiente tabla:

Tabla 1. Análisis de información de la PoC

Información a identificar Propósito

Identificación de activos Identificación de los equipos que participan en el tráficode red incluyendo estadísticas de uso por tipo deconexión, protocolos, tasas de transferencia, etc.

Posibles eventos e seguridad (alertas de IDS) Identificación de posibles actividades anómalas omaliciosas a partir de un motor IDS.

Recursos que se acceden Identificación de recursos como URLs, dominios,archivos transferidos.

Auditoría de software usado en la organización Identificación pasiva del software uti l izado en la red tantopor clientes como por servidores. A partir de estainformación se lleva a cabo la identificación depotenciales vulnerabil idades basadas en CVE.

UNAMCERT

1 5

Ejecución inicial

Procesamiento generalTeniendo el archivo de captura test1.cap, se ejecuta pnaf_auditor de la siguiente manera:

Esto ejecutará una serie de herramientas y procesará la información almacenando losresultados en el directorio /pnaf/www/test1.

Figura 6. Ejecución de PNAF

Procesamiento específicoAhora, asumiendo que se desea obtener un fi ltrado específico, se puede ejecutar pnaf_auditorcon las siguientes opciones:

En esta ejecución se indica que se analizará el archivo de captura test2.cap y que la red de laorganización “home_net” es el segmento 1 92.1 68.1 .0/24 (se pueden indicar más segmentos enformato CIDR[3] separados por comas). Asimismo, se indica que se desea extraer el payload encaso de identificar una alerta de IDS (úti l para análisis a fondo y verificación de falsos positivos).

Análisis e interpretación de la informaciónLa interpretación de la información se puede llevar a cabo en distintas etapas.

UNAMCERT

1 6

1 . Logs de línea de comandosEl log generado durante la ejecución muestra el resumen de los resultados. Esta fase esimportante porque se obtiene información de las herramientas uti l izadas así como del panoramageneral de los datos obtenidos. La siguiente figura muestra la explicación del log generado porPNAF.

Figura 7. Log de ejecución y resultados generales de PNAF

2. Logs en interfaz webPNAF permite una visualización de los resultados a través de una interfaz web básica. Estainterfaz permite l istar:

• Archivos de log “crudos” generados por cada una de las herramientas• Archivos de log preprocesados en formato JSON[4]• Archivos de log con resultados de auditoría en formato JSON y visualizados en forma deárbol

UNAMCERT

1 7

Para poder uti l izar la interfaz web es necesario activar el servidor web apache incluido en PNAF.

Usando la configuración predeterminada, todos los directorios de resultados que se almacenen en/pnaf/www e indicados en la opción --log_dir podrán ser visualizados en la web usandohttp://localhost o la dirección IP específica donde se ejecute PNAF.

Figura 8. Visualización web básica de PNAF

Dentro de este directorio se tiene la siguiente estructura y se muestra un ejemplo en la Figura 9:

Figura 9. Archivos generados para la visualización web de PNAF

# apachectl start

UNAMCERT

1 8

El análisis en esta PoC va de lo general a lo particular. Primero se puede dar un vistazo generalen el contenido del archivo json/summary/dataset.html. Aquí, el analista puede acceder a lainformación clasificada de las herramientas. Cada herramienta contiene dos categorías principales,Summary (resumen de los datos) y Tracking (información por activos -IP, servers, etcétera-).Según la necesidad del analista y los hallazgos encontrados se pueden extraer datos a profundidadpor cada herramienta y fi ltrar la información mediante el cuadro de búsqueda en cada árbol deherramienta.

Figura 10. Conjunto de datos (datasets) de las herramientas usadas en PNAFF

Continuando con el análisis, ahora se visualiza el fi l trado y preprocesamiento de datos genera-dos por PNAF, el cual l leva a cabo una correlación básica y conjunta de la información, creandodiferentes categorías. Para ello se accede al archivo /json/summary/auditSummary.html y esaquí donde el analista puede extraer información detallada de la actividad de cada uno de losactivos que intervienen en el tráfico de red. Por ejemplo, se puede obtener información sobreURL, certificados SSL, alertas IDS, archivos transferidos, software uti l izado, etcétera. De lamisma manera, si la auditoría se prefiere hacer tomando como clasificación general a losactivos, entonces se puede visualizar el archivo /json/summary/auditTracking.html.

Figura 11. Resumen de auditoría. Clasificación general

UNAMCERT

1 9

Figura 12. Resumen de auditoría. Clasificación por activos

Finalmente, el archivo /json/summary/auditOutput.html muestra el resultado del análisis devulnerabil idades basadas en CVE[5] y versiones de software encontradas. Este análisis incluyeun sistema de puntaje (score) que indica el posible impacto de las vulnerabil idades identificadas.Asimismo, se muestra la l ista de equipos identificados en listas negras de dominios o IP, o cuyainteracción estuvo involucrada con equipos de la red.

Figura 13. Resumen de auditoría. Análisis de vulnerabilidad de software basado en CVE

Conjuntando toda la información recopilada y fi ltrada tanto por PNAF como por el mismo ana-l ista, es posible determinar el estado general y características de la red. La información detalladadependerá del tipo de problema o necesidad que se desea resolver.

Finalmente, es importante hacer énfasis en el hecho de que PNAF es susceptible a falsos posi-tivos debido a la naturaleza misma de PNA, en donde, al no contar con la información completay obtener datos a partir de una interpretación del tráfico de red, cierta información podría repre-

UNAMCERT

20

sentar hechos erróneos. Así, una de las tareasdel analista implica la identificación y verifica-ción de información certera.

Actualmente PNAF se encuentra en desarrolloen la versión 0.2. Futuras versiones incluiráncambios significativos en la interfaz web yestabil idad del framework. Para actualizacionesconsultar las páginas del proyecto.

Notas al pie

[1] Javier Santillan. (2014). Passive Network AuditFramework, Master thesis. The Netherlands: EindhovenUniversity of Technology.

[2] Tabla 1. “Herramientas de análisis de tráfico de red” delartículo anterior.

[3] https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing

[4] https://en.wikipedia.org/wiki/JSON

[5] https://cve.mitre.org/

Referencias

Javier Ulises Santillán Arenas. (2015). "Frameworks paramonitoreo, forenseyauditoríade tráficodered I"enRevista.Seguridad número 24,http://revista.seguridad.unam.mx/numero24/frameworks-para-monitoreo-forense-y-auditor-de-tr-fico-de-red-i

JavierSantillan.(2014).PassiveNetworkAuditFramework,Master thesis. The Netherlands : Eindhoven University ofTechnology.

Si quieres saber más consulta:

• The Honeynet Project Map• Blog del proyecto Heneynet• Honeynet UNAM-Chapter• PNAF en el proyecto Honeynet

Javier Ulises Santillán Arenas

Ingeniero en Computación por la Facultad deIngeniería, UNAM, con la especial ización de“Redes y Seguridad”. Maestro en Ciencias porla Eindhoven University of Technology (TU/e) enNetherlands con la especial ización deInformation Security Technology, parte delprograma Kerckhoffs Institute.

Formó parte de la tercera generación del “Plande Becarios de Seguridad en Cómputo”DGTIC/UNAM-CERT. Colaboró de 2008 a 201 2como encargado del área de Detección deIntrusos y Tecnologías Honeypot en la entoncesSSI/UNAM-CERT, donde también participócomo conferencista e instructor del plan debecarios y de lineas de especial ización en elCongreso de Seguridad en Cómputo. Esmiembro del proyecto Honeynet UNAM –Chapteren The Honeynet Project.

Actualmente labora como security evaluator enBrightsight BV en los Países Bajos.

UNAMCERT

Glastopf: Honeypot de aplicacionesweb – ISergio Anduin Tovar Balderas

Actualmente el uso de Internet está creciendo ylas aplicaciones web se han incrementado endiversos sectores, como el gubernamental,educativo, empresarial y otros, lo que atrae a losatacantes que buscan obtener informaciónsensible o que tienen otras intenciones.

Este artículo tiene como finalidad mostrar laimplementación de un honeypot de bajainteracción que sea capaz de responder ante losdiferentes tipos de ataques a páginas web. Unhoneypot es un equipo señuelo configurado einstalado en una red de investigación o produc-ción para poder obtener información de ataques,atacantes o intrusos.

De esta forma, la organización que lo implementapuede obtener información muy valiosa, porejemplo, conocer direcciones IP, herramientas ymétodos de ataque, scripts, entre otros datos.Toda esa información ayudará a mejorar laseguridad en el perímetro y en las aplicacionesweb que se uti l icen.

Glastopf fue creado por Lukas Rist (tambiénconocido por su seudónimo Glaslos) en el año2009 a través de la iniciativa Google Summer ofCode. Lukas Rist es miembro de la organizacióninternacional de investigación Honeynet Projecty también desarrolla otros proyectos de investi-gación, entre los cuales se destaca Conpot, unhoneypot de Sistemas de Control Industrial (ICSpor sus siglas en inglés).

Requisitos de hardware/software

Los requerimientos para la instalación deGlastopf son:

• Sistema Operativo Linux Debian 8.1 –Jessie [1 ]

• Glastopf [2]• Conexión a Internet

UNAMCERT

22

Glastopf

Es un honeypot de baja interacción paraaplicaciones web capaz de emular miles devulnerabil idades web con el objetivo de recopilarla información de tales ataques, como inserciónremota de archivos (RFI), inyección SQL,inserción local de archivos, entre otros.

Glastopf está desarrollado en Python bajo unalicencia GPL y actualmente se encuentra en laversión 3.1 .2, también conocida como Glaspotv3.

"In principle, our honeypot works like anormalwebserver.Someonesendsarequestto a web server, the request gets processed,maybe something gets stored into adatabase and the server returns a response.If the request wasn't correct, this could be anerror page.

Now we want to simulate this behavior in ourhoneypot: The attacker sends a maliciousrequest, the honeypot processes the requestand maybe writes to a database or the filesystem, and replies to the attacker, as shownin figure 1. But our goal is to provide a properreply for every request from the attacker - toconvince him that we are vulnerable."[3]

"El principio del honeypot es trabajar como unservidor web normal, en el momento en que uncliente envíe una petición al servidor web, éstaserá procesada y el servidor regresará unarespuesta. Si la petición no es correcta semostrará una página de error.

Ahora nosotros tratamos de simular estecomportamiento en nuestro honeypot: elatacante envía una petición maliciosa, elhoneypot procesa la petición, puede escribir enla base de datos o en un archivo del sistema yresponder al atacante tal como se muestra en laimagen 1 . Nuestra meta es dar la respuestaapropiada a todas las peticiones del atacantepara convencerlo de que es vulnerable."

Imagen 1. Panorama general de funcionalidad. LukasRist (Traducción de UNAM-CERT)

La siguiente tabla muestra de forma generallas herramientas que uti l iza Glastopf.

Tabla 1. Descripción de herramientas

Nombre Descripción

BFR (Better FunctionReplacer based on APD)

APD es un completodepurador/perfi lador que secarga como una extensiónde Zend y cuyo objetivo esser análogo a gprof delLenguaje C o aDevel::DProf dePerl.

hpfeeds Es un protocolo l igero desuscripción/publicación dedatos compartidos. Existeen otros lenguajes deprogramación a parte dePython como Go, Ruby,C++, etcétera.

Pylibinjection Es una bibl ioteca envol-vente en Python de labibl ioteca libinjection escritaen C que sirve para analizarel lenguaje SQL y detectarataques de inyección SQL.

distribute Es un paquete de Python yuna capa de compatibi l idadque se instala conSetuptools. Este último esuna bibl ioteca establediseñada para facil i tar elempaquetado de proyectosde Python.

MySQL Sistema de gestión de Basede Datos relacional.

Glastopf Honeypot de baja interac-ción de aplicaciones webdesarrollado en Python.

UNAMCERT

23

Implementación

Es posible instalar Glastopf en diversossistemas operativos como Debian, Raspbian,OpenBSD, Ubuntu, OS X y otros. Para estecaso se uti l izará Debian 8.1 - Jessie[4] y sedeberán configurar los repositorios[5] parainstalar las dependencias que el honeypotrequiere.

RepositoriosA continuación te muestro la configuración yactualización de los repositorios en DebianJessie.

Lista de repositoriosPrimero edita el archivo sources.list ubicadoen /etc/apt.

Imagen 2. Archivo sources.list

Actualización de repositoriosEjecuta el comando apt-get update para resin-cronizar los archivos de índice de paquetes.

Imagen 3. Actualización de repositorios

PaquetesCon el comando apt-get install realiza lainstalación de los paquetes que necesitaGlastopf.

Imagen 4. Instalación de paquetes de Glastopf

Durante la instalación MySQL solicita ingresarla contraseña del usuario root.

Imagen 5. Contraseña al usuario root de MySQL

Imagen 6. Confirmar contraseña de MySQL

Con la siguiente instrucción instala y actualizalos paquetes de Python que Glastopf requiere.

Imagen 7. Instalación y actualización de paquetes dePython

BFRAhora continúa con la instalación y configura-ción de BFR.

Imagen 8. Instalación de BFR

Al terminar la instalación se muestra la rutadonde se instaló BFR.

Imagen 9. Ruta de instalación de BFR

Verifica la creación del archivo para agregar laextensión.

Imagen 10. Verificación del archivo de BFR

UNAMCERT

24

Imagen 16. Creación de usuario y base de datos paraGlastopf

GlastopfA continuación instala Glastopf y posterior-mente configúralo para habil i tar el envío deinformación uti l izando hpfeeds y almacenarinformación en la base datos.

Instalación

Imagen 17. Instalación de Glastopf

Configuración e inicioConfigura Glastopf e inicia el honeypot con lainstrucción glastopf-runner.

Imagen 18. Configuración e inicio de Glastopf

Cuando inicia Glastopf, se observa una salidasimilar a la siguiente:

Imagen 19. Glastopf

Ahora agrega la directiva zend_extension en elarchivo de configuración de PHP ubicado en/etc/php5/apache2/.

Imagen 11. Configuración de la extensión BFR

PylibinjectionContinúa con la instalación de Pylibinjection, queservirá para analizar el lenguaje SQL y losataques de inyección SQL que recibirá elhoneypot.

Imagen 12. Instalación de Pylibinjection

distributeProcede con la instalación de distribute.

Imagen 13. Instalación de distribute

hpfeedsInstala hpfeeds.

Imagen 14. Instalación de hpfeeds

MySQLAhora crea la base de datos y el usuario paraque Glastopf pueda almacenar información.

Imagen 15. Ingresar a MySQL

UNAMCERT

25

Imagen 21. Páginas web de Glastopf

Consulta de datosFinalmente realiza una consulta a la base dedatos glatopf para mostrar los registros queestá almacenando el honeypot en la tablaevents.

Imagen 22. Consulta de datos

En esta primera parte del artículo proporcionéuna forma de implementar un honeypot debaja interacción de aplicaciones web capaz dealmacenar los datos capturados para suposterior análisis, de esta forma se facil i tainformación valiosa para poder implantarmedidas de seguridad y robustecer nuestrossistemas web. En la segunda parte, se mos-trarán los diferentes tipos de ataques queGlastopf puede capturar.

Referencias

[1] Instalar Debian 8.1:https://www.debian.org/releases/stable/debian-installer/

[2] Glastopf: https://github.com/glastopf/glastopf.git

VerificaciónEn este punto se terminó la instalación yconfiguración, y se inició Glastopf en Debian8.1 . Ahora se revisarán algunos detalles,además de mostrar los datos capturados por elhoneypot en la base de datos.

Al iniciar el honeypot, éste se conectará a labase de datos que creada en los pasosanteriores y creará automáticamente elesquema de la base de datos que uti l izaráGlatopf, así podrás observar las tablas.

1 . Ingresar a la base de datos glastopf.

2. Mostrar las tablas.

Imagen 20. Tablas de la base de datos de Glastopf

Después de iniciar Glastopf e ingresar la direc-ción IP del equipo donde se instaló el honeypoten un navegador web, se pueden observar laspáginas web que Glastopf ofrece a los atacantes.

UNAMCERT

26

https://github.com/glastopf/glastopf/blob/master/requirements.txt

[3] Lukas Rist. (4 de noviembre de 2010). "Know YourTools: Glastopf". Obtenido de The Honeynet Project,https://honeynet.org/sites/default/files/files/KYT-Glastopf-Final_v1.pdf

[4] Debian Jessie, guía de instalación:https://www.debian.org/releases/stable/installmanual

[5] SourcesList: https://wiki.debian.org/SourcesList

Si quieres saber más consulta:

• Sitio oficial del honeypot Glastopf• Repositorio Github de Glastopf• Ciber Fast track. Reporte final del honeypot

Gastopf• Know Your Tools para Glastopf• Proyecto Honeynet• Proyecto Honeynet en la UNAM

Sergio Anduin Tovar Balderas

Es egresado de la carrera de Ingeniería en

Computación con módulo de salida en Redes y

Seguridad por la Facultad de Ingeniería de la

Universidad Nacional Autónoma de México

(UNAM).

Egresado de la octava generación del Plan de

Becarios en Seguridad Informática de UNAM-

CERT. Ha participado como instructor de

nuevas generaciones en este mismo plan de

capacitación. Laboró en el proyecto Seguridad

en UNIX de la misma organización, además ha

impartido cursos y participado en proyectos

con dependencias de la UNAM y entidades

externas del sector público.

Labora desde 201 4 en la Coordinación de

Seguridad de la Información en el área de

Detección de Intrusos y Tecnologías Honeypot.

UNAMCERT

la región. Para lograr tales cometidos, no sólotuvimos que analizar las amenazas en cuestión,también fue necesario entender y recopilar lainformación de las campañas realizadas enconjunto con sus objetivos.

Diversas técnicas, desde falsos correos con unsoftware para seguir envíos de un courierconocido hasta la infección de sistemas a travésde dispositivos USB, permitieron a estoscibercriminales controlar más de dos mil equiposen toda Latinoamérica.

¿Cómo funcionaba Liberpy?

Las diferentes campañas de Liberpy empezaroncon el envío de correos electrónicos falsos paranotificar a las posibles víctimas de la apariciónde este “software” de rastreo.Aquellos usuarios infectados comenzaron a

Desde hace ya algunos años hemos comuni-cado que Latinoamérica no es sólo una regiónque recibe amenazas desde otros lugares delmundo, por el contrario, hemos sido testigos delincremento de ataques desarrollados en laregión. En el presente artículo compartiremos unresumen de una de las últimas investigacionesdel Laboratorio ESET Latinoamérica, en dondegracias a acciones en conjunto con HISPASEClogramos desmantelar una botnet dedicada alrobo de información a usuarios latinoameri-canos, la cual afectaba en 98% de los casos.

Operación Liberpy abarcó un periodo de más deocho meses de actividades de una botnet enLatinoamérica. Durante ese lapso se detectaronacciones, campañas de propagación y técnicasde persistencia. A través del trabajo en conjuntode las diferentes entidades involucradaslogramos realizar un sinkhole de la botnet, lo quenos permitió en primera instancia dimensionarparte de su tamaño y, además, coordinar el cesede las operaciones de estos cibercriminales en

Operación Liberpy: Keyloggers y robode información en LatinoaméricaPablo Ramos, Diego Perez Magallanes

UNAMCERT

28

formar parte de la botnet además de volverse unnuevo modo de propagación a través de losdispositivos USB que se conectaban a susequipos.

De esta manera la botnet no sólo dependía delos usuarios que fueron víctimas de la ingenieríasocial sino que, además, aquellas personas queno lograban identificar un USB infectadocontinuaban esparciendo la amenaza.

Los equipos infectados con Liberpy se conec-ta ban por intervalos regulares al panel de controlpara enviar la información que habían logradorecopilar de los sistemas afectados. La versión1 .0 se conectaba cada 1 0 minutos, mientras quela versión 2.0 lo hacía cada hora.

Entre algunas de las particularidades de Liberpypudimos observar que los cibercriminalesdedicaron sus esfuerzos a determinado tipo devíctimas, en particular parecía que sus objetivoseran usuarios de un país o países específicos,ya que al clasificar las conexiones que existieronal sinkhole, cuantificamos un total de 2047 bots,de los cuales 1 953 eran de Venezuela.

Para diferenciar entre los bots, agrupamos lossistemas basados en sus direcciones IP, puertosde origen, frecuencia de conexión en laconfiguración de los bots y user agent sobre untotal de 1 1 ,754 conexiones recibidas.Procesando las capturas de tráfico con Bro, sesimplificó el trabajo de procesamiento y facil i tóla identificación de patrones entre los bots.

Imagen 1. Funcionamiento de la botnet Liberpy

UNAMCERT

29

Pablo Ramos

Ingeniero en Sistemas de la Informaciónegresado de la Universidad TecnológicaNacional, Facultad Regional Buenos Aires,Argentina. En 201 0 ingresó a ESETLatinoamérica como Especial ista de Awareness& Research. En jul io de 201 2 fue promovido alcargo de Security Researcher, teniendo a sucargo la planificación y realización deinvestigaciones en la temática.

Diego Perez Magallanes

Especial ista de Awareness & Research en laempresa ESET Latinoamérica. Además sedesempeña como vocero de ESETLatinoamérica y representa a la empresa en todotipo de actividades tales como seminarios,conferencias, capacitaciones internas y otroseventos de exposición pública.

Puedes leer el paper completo en:

• http://www.welivesecurity.com/wp-content/uploads/201 5/07/Operaci%C3%B3n-Liberpy-Keyloggers-en-Am%C3%A9rica-Latina.pdf

Liberpy fue una botnet que estuvo activa pormás de ocho meses en la región, estabaorientada a robar información de usuarios deLatinoamérica y en particular de Venezuela.Recopilaba datos privados como usuarios,contraseñas, accesos a banca en línea ytarjetas de crédito de los más de dos milequipos infectados.

Estudiar el comportamiento, las acciones,

técnicas y metodologías uti l izadas por los

cibercriminales es un paso más para ayudar a

miles de usuarios latinoamericanos y del

mundo a estar alerta, identificar amenazas y

proteger sus sistemas. Detectar las nuevas

amenazas que los cibercriminales propagan

es una de las tareas que los laboratorios de

análisis de

malware l levamos adelante, pero el trabajo enconjunto entre entidades permite abarcardiferentes aristas que nos ayudan a hacer deInternet un lugar más seguro.

Imagen 2. Distribución de los bots de Liberpy

UNAMCERT

30

Galvy I lvey Cruz Valencia

SOS: alguien ha secuestradomis likes?

En la actualidad, yde acuerdo con la página tuexperto.com,Facebook cuenta con 1 ,390 mil lones deusuarios, lo que la convierte en la red social conmayor cantidad de adeptos; y por lo tanto resultalucrativo a nivel personal y de negocio estarpresente en ella.

Muchas empresas han visto en esta plataformauna clave esencial para su estrategia decomunicación y marketing al hacer del botón“Me gusta”, también popularizado como “Like”,su arma predilecta.

Prueba de ello es lo que podemos observar enlas agencias de marketing en línea, dondeofrecen a sus clientes la garantía de conse-guirles miles de “Likes naturales” decompradores potenciales de sus productos.

Esta mecánica consumista del mencionadobotón ha hecho que los cibercriminales seinteresen en generar aplicaciones que logren

“secuestrarlo”, permitiéndoles tomar el controlde su uso en nombre del usuario.

A esta actividad maliciosa, los expertos enseguridad la han denominado “Likejacking”.

¿Qué es el Likejacking?

De acuerdo con Sophos, uno de los proveedoresde servicios antimalware más reconocidos, elLikejacking es una versión particular del ataquecibernético llamado Clickjacking[1 ] , el cual tienecomo objetivo “tomar el control de los clics delusuario en una página web, sin que éste losepa”[2].

Si en una página web esto tiene ciertasimplicaciones, aplicado en el ambiente deFacebook, la actividad maliciosa persigue variosfines, entre los que podemos mencionar:

UNAMCERT

31

inocentes usuarios que se confían de cosas queparecen demasiado buenas para ser verdad,como acceso a:

• Información trending-topic.• Aplicaciones de novedad.• Videos, música y games de moda.

Como podrás darte cuenta, los criminalescibernéticos que realizan el Likejacking resultanuna especie de vampiros modernos, los cualessólo podrán ingresar a tu cuenta si primero tú losdejas pasar.

Así que no es de sorprenderse que no exista sólouna variante de este tipo de ataques web. Laempresa de soluciones antivirus Symantec tienedetectadas, de acuerdo a su Catálogo deAtaques[4], 38 diferentes firmas, entre las quese pueden mencionar:

• Likejacking - botón general, el cual se usapara secuestrar y dar Like en cualquier contenidopublicado en Facebook.

• Likejacking dedicado para estafas enparticular. Para ejemplificar este último,comparto el caso de uno de mis contactos enFacebook, quien fue víctima de un Likejackingdedicado a propagar una supuesta actualizaciónde WhatsApp que lo haría gratuito si lograba undeterminado número de Likes.

Figura 2. Likejacking dedicado a una estafa en particular

Cuando se daba clic sobre la publicación,redirigía a una página que pedía el númerotelefónico del dispositivo móvil del usuario, quienfinalmente terminaba suscrito a un servicioPremium vía SMS, es decir, una modalidad defraude en la que se realizan cargos en la facturao se consume el saldo de los usuarios.

Por ello, para Symantec “este tipo de ataquespuede representar una seria amenaza deseguridad, ya que la acción maliciosa no sólo

1 . Mercadológicos2. Informativos3. De pruebas de seguridad4. Daño a la reputación en línea

¿Cómo funciona y cómo sepropaga?

Para entender cómo funciona, comparemos alLikejacking con una trampa en el suelo de unaselva. La capa superficial luce como la malezaverde del lugar, pero abajo hay un abismo en elcual cae la incauta presa. Es decir, esta actividadmaliciosa opera como un botón de dos capas, laprimera es idéntica a la del botón Like que todosconocemos, pero detrás hay un aplicación listapara tomar el control de tus clics.

Ahora que tenemos idea de cómo trabaja elLikejacking, es momento de saber cómo sepropaga.

De acuerdo con el Reporte de Amenazaspublicado por McAfee en febrero de 201 5[3], estatrampa se puede difundir mediante los siguientesmecanismos:

• Campañas de phishing.• El secuestro de buscadores, ya sea la página

o los resultados que arrojan.• Servidores web con vulnerabil idades.• Bots para enviar por correo electrónico

solicitudes de Like a “amigos” del usuariocomprometido, quienes al oprimir el botón sevuelven automáticamente motor de lapropagación.

También resulta ventajoso aprovecharse de los

Figura 1. Likejacking

UNAMCERT

32

opera dentro de Facebook sino en otras páginasmaliciosas, que en su mayoría permiten explotarel botón Like”[5], lo que puede extender lospeligros que podrían afectar al usuario.

Algunos de los problemas más evidentes a losque te podrías enfrentar son:

• Ser el portavoz de información inapropiada.• Daños a tu reputación en línea.• Suscribirte a sitios de los que realmente no

te interesa saber nada.• Compartir tu información con personas que

no quisieras.

Los ataques de Likejacking comenzaron aescalar en 201 1 , según evidenció el estudiorealizado por Symantec durante el mes deagosto: “al analizar 3.5 mil lones de publica-ciones de videos, se encontró que alrededor del1 5 por ciento de este total fue identificado comoataques de Likejacking”[6].

Algunos investigadores, como ChesterWisniewski, han coincidido que “una de lasrazones que han permitido que estos ataquesoperen es que Facebook no solicita ningunaconfirmación cuando das clic en el botón Like, loque prevendría potencialmente el ataque y suexplotación activa”[7].

La detección oportuna de un Likejacking en tucuenta de Facebook puede evitar que tucomputadora se infecte con otros códigosmaliciosos; por ejemplo, haciéndolo formar partede una red zombi de computadoras desde lacual fácilmente pueden robar tu informaciónpersonal y financiera.

Prevé el Likejacking

Afortunadamente, desde 201 1 existen variasacciones que podemos tomar para prevenir caeren la trampa que representa esta técnicamaliciosa; y mientras no llegue la mencionada“autenticación del botón Like”, te invito a seguirestos cinco pasos para mantenerte alejado delLikejacking:

1 . Es bueno ser samaritano y apoyar lascausas, pero antes de dar Like a una páginapiensa: ¿realmente esa información te interesay le darás seguimiento? Seguir miles de páginases un factor de exposición de información y tevuelves un polo de atracción de loscibercriminales.

2. Configura la privacidad y seguridad detus cuentas, tal vez no exista la autenticación delbotón Like, pero al menos puedes colocar fi ltrosdecisivos para que otras personas, incluso tusamigos, no puedan publicar en tu Biografía sinque des tu autorización. Esto será determinantepara evitar propagar campañas de Likejacking yotras estafas.

3. Al navegar en tu cuenta de Facebook,procura uti l izar el modo Incógnito en GoogleChrome, Inprivate en Internet Explorer oVentana Privada en Mozil la Firefox, estodisminuirá la posibi l idad de tener un exceso derastreo mediante cookies.

4. Evita, y si es posible prohíbetelo,navegar en tu cuenta de Facebook encomputadoras de cibercafés, en estos equipossuelen existir distintos tipos de malware ousuarios maliciosos que buscan adueñarse detu información.

5. Uti l iza alternadamente dosnavegadores; uno para tu sesión en Facebook yotro para las demás actividades que realizarás.Si requieres abrir alguno de los enlaces que tecomparten tus amigos o de las páginas quesigues, procura usar un tercer navegador.

Recuerda, no reconocer el problema no hará queéste desaparezca. Mantente alerta, es por el biende tu cuenta y las cuentas de quienes te rodean.

Notas al pie

[1] De acuerdo con el Departamento de Computación eInformación Científica de Suecia, el clickjacking es “unataquemaliciosoenelquesesecuestraalgúncomponenteUI Java Server Face de un sitio web. En términos técnicos,un iframe invisible es colocado debajo del componentecliqueable en una página; y en lugar de hacer la acciónpara la que fue hecho, el iframe falso se ejecuta pararesultar en un acción maliciosa muy diferente a la esperaríael usuario”. Recuperado de Martin Kaldma y Martin Nord(2014). "Clickjacking". Obtenido dehttp://www.ida.liu.se/~TDDD17/oldprojects/2014/Clickjacking%20%20An%20Advanced%20Web%20Security%20Attack/ClickjackingFinal.pdf , consultado el 29 de mayode 2015.

UNAMCERT

33

[2] Chester Wisniewski. (2015). "What is "Likejacking"?"Obtenido de Security News Trends,https://www.sophos.com/en-us/security-news-trends/security-trends/what-is-Likejacking.aspx,consultado el 30 de mayo de 2015.

[3] Carlos Castillo, et. al. (2015). McAfee Labs ThreatsReport. Obtenido dehttp://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2014.pdf, consultado el 29 de mayo de2015.

[4] Symantec. (2015). "Attack Signatures". Obtenido dehttp://www.symantec.com/security_response/attacksignatures/, consultado el 29 de mayo de 2015.

[5] Ibídem.

[6] Emil Protalinski. (2011). "Symantec finds 15% ofFacebook videos are Likejacking attacks". Obtenido dehttp://www.zdnet.com/article/symantec-finds-15-of-facebook-videos-are-likejacking-attacks/ , consultado el 2de agosto de 2015.

[7] Op. Cit. Chester Wisniewski. (2015).

Referencias

Carlos Castillo, et. al. (2015). McAfee Labs Threats Report.Obtenido dehttp://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2014.pdf, consultado el 29 de mayo de2015.

Chester Wisniewski. (2015). "What is "Likejacking"?Security news trends". Obtenido dehttps://www.sophos.com/en-us/security-news-trends/security-trends/what-is-Likejacking.aspx,consultado el 30 de mayo de 2015.

Emil Protalinski. (2011). "Symantec finds 15% of Facebookvideos are Likejacking attacks". Obtenido dehttp://www.zdnet.com/article/symantec-finds-15-of-facebook-videos-are-Likejacking-attacks/, consultado el 2de agosto de 2015.

Heather Campobello. (2011). "Likejacking Scams onFacebook. How clickjacking can harm users of socialnetworking sites". Obtenido dehttp://www.webpronews.com/Likejacking-scams-on-facebook-2012-04, consultado el 28 de mayo de 2015.

Martin Kaldma y Martin Nord. (2014). Clickjacking.Obtenido dehttp://www.ida.liu.se/~TDDD17/oldprojects/2014/Clickjacking%20%20An%20Advanced%20Web%20Security%20Attack/ClickjackingFinal.pdf, consultado el 29 de mayode 2015.

Víctor Manzhirova. (2015). "Facebook se acerca a los1.400 millones de usuarios activos". Obtenido dehttp://www.tuexperto.com/2015/02/01/facebook-se-acerca-a-los-1400-millones-de-usuarios-activos/,consultado el 1 de agosto de 2015.

Symantec. (2015). "Attack Signatures". Obtenido dehttp://www.symantec.com/security_response/attacksignatures/ consultado el 29 de mayo de 2015.

Imagen Likejacking, Leslie Villela. Agradecimientoespecial por su apoyo en el diseño de la imagen 2 delartículo.

Si quieres saber más consulta:

• 5 Consejos Prácticos para Mejorar laSeguridad en Redes Sociales

• ¿Qué es el clickjacking?• Prevención en navegadores ante ataques

Clickjacking

Galvy Ilvey Cruz Valencia

Es licenciado en Ciencias de la Comunicaciónpor la Facultad de Ciencias Políticas y Socialesde la UNAM. Es Maestro en Comunicación yTecnologías Educativas por el InstitutoLatinoamericano de la Comunicación Educativa.

Fue colaborador del UNAM-CERT como editorde su revista; ha sido docente y coordinadoreditorial de la revista digital Integración360. Hoy,se desempeña en el área de Medios Educativosen Informática dentro del Instituto NacionalElectoral.

UNAMCERT

34

TIC (Internet) y ciberterrorismo - I I I

Estamos en la última edición de este análisissobre el marco legal del ciberterrorismo,previamente hemos descrito los antecedentesdel Derecho en relación con el plano digital y unaaproximación a determinar si una accióncibernética se puede considerar como un ataquearmado.

Finalmente, definiremos dos tipos de ofensa, elciberespionaje y el ciberterrorismo, junto connuestras conclusiones finales.

Ciberespionaje

Este tipo de ofensa, generalmente es un crimeno un delito federal en casi todas las naciones delmundo, es un acto o conducta que puede serrealizado por un individuo, un grupo, compañíasy hasta Estados, de ahí la importancia de defi-nirlo. Ciberespionaje es “ Obtener, saber ocopiar la información confidencial oclasificada de forma no autorizada de un

equipo de destino mediante el uso desistemas tecnológicosdeinformacióny redespara obtener una ventaja militar, política oeconómica, lo cual nos indica que elperpetrador puede ser de distintas índoles,como son: particulares, es decir individuos,competidores en un mercado determinado,por ejemplo en el mercado comercial, gruposmilitares, de insurgencia , etc., ogobiernos” [1 ].

El recurso del espionaje en el derecho deguerra está permitido, pero cuando el individuoes capturado realizando dicha actividad, jurídi-camente está sujeto a que lo capture físicamenteel Derecho Interno del Estado, ya que tieneplena jurisdicción sobre la persona. Recuérdeseel caso de Georgia, el hecho de saber a travésdel espionaje de la red gubernamental de Georgiaa dónde movería el gobierno de los EstadosUnidos las tropas, habría sido suficiente ventajaen el confl icto para los activos rusos en posi-ciones estratégicas. En otro ejemplo, si unindividuo realizara espionaje hacia otro Estado

Alejandra Morán Espinosa, Abraham Alejandro Servín Caamaño, Oscar Alquicira Gálvez

UNAMCERT

35

El espionaje a las corporaciones se ha vuelto ungran problema, de tal suerte que estos ciber-criminales han robado una gran cantidad desecretos comerciales, estrategias de mercado einformación confidencial de dichas empresaspara poder usarlas como ventajas económicas ycomerciales; han causado pérdidas económicasa las empresas afectadas; y han otorgando sinconceder que todos los usuarios sean realmenteactores independientes, no a gran escala o comoresultado de operaciones gubernamentales biendefinidas y creadas exclusivamente para ese fin,pero sí con resultados de impacto internacionaly con bases políticas.

Deben destacarse las palabras de RobertBryant, director de la Oficina Nacional deContraintel igencia de los Estados Unidos, quienel 3 de noviembre de 201 1 en su comunicadosobre el Reporte Anual del Congreso sobre elEspionaje Industrial, señaló que las pérdidashasta ese momento se calculaban entre 2 bil lonesy 400 bil lones de dólares, y que las naciones queestaban en ese momento en la cúspide delciberespionaje eran los chinos y los rusos[3].

Ciberterrorismo

El origen de la figura del terrorismo es elcatecismo revolucionario del ruso Bakunin-Nechayev[4] en Reglasenlasquedebeinspirarseel revolucio-nario, escrito en 1 889. A partir de ahíse han heredado los métodos del terrorismo agrupos como el Baader-Meinhof[5],Weathermen[6], Brigadas Rojas[7],Organización para la l ibertad de Palestina, GrupoVasco ETA y muchas otras organizaciones cuyasacciones han creado verdadero terror en elhombre contemporáneo.

Cabe destacar que definir el terrorismo esnotoriamente difíci l , ya que es impreciso yambiguo, por esta razón no ha habido consensopara definirlo, sin embargo se sabe que tiene lassiguientes características:

• Es una forma de violencia que forma parte delos cambios de naturaleza del confl icto con finestanto políticos o económicos.

• Se basa principalmente en el terror.

y esta actividad estuviera penada en el Estadodonde se realizó, bastaría la extradición pararesolver el hecho.

Es claro que este tipo de actividad es penadasegún el orden interno y la costumbre, ya que siobservamos el ejemplo de espionaje ociberespionaje empresa-empresa generalmenteno pasa nada, la empresa víctima de espionajedifíci lmente hará público el hecho dadas lasconsecuencias que podría sufrir en el mercadode negocios.

Resulta muy interesante revisar algunos datos ycifras relacionadas al ciberespionaje. Tal es elcaso de Dennis Cutler Blair, director deIntel igencia Nacional de los Estados Unidos,quien remarcó la importancia del tema en sudiscurso de evaluación anual de la comunidadde intel igencia de amenazas de 201 0, dondeexpresó lo siguiente: La “información confi-dencial es robada todos los días tanto de lasredes del sector privado como del gobierno,minando la confianza en nuestros sistemas deinformación y en la misma información de estossistemas que se pretende transmitir”[2].

Durante 201 0 se realizó una campaña en la cualse detectó que los criminales penetraron lasredes de cerca de 2,500 empresas y organismosgubernamentales. Según NetWitness,compañía dedicada a la seguridad de red, unavariante de la botnet Zeus desarrollada a finalesde 2008, hasta ese momento, había convertidoa más de 74 mil PC en las plataformas deespionaje a distancia que desviaron informaciónconfidencial propietaria de al menos 1 0 agenciasfederales y miles de empresas.

UNAMCERT

36

• Se vale de una gran cantidad de herramientaspara descontrolar al poder establecido o legítimoal grado de que al día de hoy podemos estudiarcomo actos terroristas el secuestro de avionesde pasajeros y el ciberterrorismo.

• Es una actividad en contra de las personas,los civi les:usuarios, es posible analizar lafrecuencia con la que estos archivos llegaron alLaboratorio:

• Población sin elección de blanco,el iminando personas sin distinción alguna.

• Personas públicas que por su desta-cada actuación y prestigio resultan idealespara la causa del grupo terrorista. Un ejemploes un ataque contra aquellos que gozan dela protección del Derecho Internacional,como Jefes de Estado y miembros del serviciodiplomático.

• Produce una forma psicológica de terror paraalcanzar sus fines.

• Exportación de terrorismo, exportación de laviolencia, ya que en la actualidad se ha visto quetambién es un fenómeno transnacional[8].

Ya es común encontrar videos o imágenes degrupos terroristas en Internet, un ejemplo crudode ello son los videos de ejecuciones de tropasde los Estados Unidos.

Paralelamente, debe recordarse que la mayorparte de los ciberataques van sobre propiedaddigital o infraestructura informática determinada,pero igualmente pueden involucrar estructurascríticas, como ya se dijo, causando muertes ydestrucción. No obstante, no son comunesestos últimos ataques pero si lo son lasciberoperaciones uti l izadas para recaudarfondos a través de los múltiples delitosinformáticos, como fraudes, extorción o negacióndel servicio (denial-of-service o DoS), como lossufridos por empresas como Yahoo, CNN, e-Bay,etcétera, a través de los años.

Esto tiene su lógica, ya que a menos que laspersonas terminen heridas, el nivel de terror queinfunde el ciberterrorismo es menor que elpropagado a través de los métodos clásicos y elnivel de alcance es significativamente superior ysuti l a la vez: “En marzo de 2000 el Departamentode Policía Metropolitana de Japón reportó queun sistema de software que habían adquiridopara dar seguimiento a 1 50 vehículos de la

policía había sido desarrollado por el culto AumShiryko, mismo grupo que puso gases en el metrode Japón en 1 995 matando 1 2 personas ylesionando a más de 6,000. Al momento en quese descubrió esto, el culto ya había recibido losdatos de 1 1 5 vehículos. Además, habíandesarrollado un software para por lo menos 80empresas japonesas y 1 0 agencias guber-namentales y habían trabajado como subcontra-tistas de otras empresas, lo que hizo casiimposible que las organizaciones supieran queestaban desarrollando el software comosubcontratistas. El culto pudo haber instaladotroyanos para iniciar o facil i tar ataquesciberterroristas en una fecha posterior. Ante eltemor de un caballo de Troya, en febrero pasadoel Departamento de Estado envió un cableurgente a cerca de 1 70 embajadas pidiéndoleseliminar el software, tiempo después se supo queéste había sido realizado por los ciudadanos dela antigua Unión Soviética”[9].

Todos los usos que se le pueden dar alciberespacio en cuestiones relacionadas alciberterrorismo son innumerables e inimagi-nables, por ejemplo para buscar financiamiento,reclutamiento o entrenamiento; como medio decomunicación o propaganda y de muchas otrasformas. Sin embargo, es de destacarse su uso

UNAMCERT

37

para fi jar objetivos ya que es ahí precisamentedonde se remarca la importancia del ciber-espacio en estos casos: es una herramienta queha bajado costos y ha ampliado las posibi l idadesde la logística terrorista, inclusive resultaigualmente difíci l la detección de estos grupos,ya que uti l izan estrategias de anonimato físicasy tecnológicas para la realización de susoperaciones, algunos de estos casos son el usode cafés Internet o de redes privadas sinautorización.

El programa jihad encontrado en la red en 2007es un ejemplo, es un software que podía serusado para lanzar ataques de datos[1 0]. Por otraparte, el simple uso de Google Earth puede sersuficiente para poder planificar de forma eficienteuna operación[1 1 ], lo que significa que ya setienen todos los elementos para que cualquierade las tres conductas de análisis de estedocumento (uso de la fuerza, espionaje yciberterrorismo) o todas se den en el momentohistórico actual.

La conclusión es que la tecnología no es mala,su uso tampoco. Las innovaciones son parafacil i tar la vida del ser humano, son herramientas,es el ser humano mismo quien les destina el fin.Justificadamente o no, convierte las herra-mientas en armamento tecnológico para los finesque sólo a él convienen o convencen, sin importarsi son ideológicos, económicos, políticos,mil itares, etcétera; la imaginación es el límite parala justificar el uso de la innovación tecnológica.

Es el campo jurídico quien puede resolver demejor manera los confl ictos derivados, siemprey cuando los fines del uso de la tecnología nointervengan en esclarecimiento de los confl ictos,lo cual resulta difíci l , sólo queda esperar oatestiguar.

Notas al pie

[1]Franklin D. Kramer, Stuart H. Starr y Larry K. Wentz.(2009). Cyberpower and National Security. United Statesof America: National Defense University Press andPotomac Books. p.440.E.J Osmañczyk (1976). Enciclopedia Mundial deRelaciones Internacionales y Naciones Unidas. México-Madrid-Buenos Aires: Fondo de Cultura Económica. p.1733.Ron Rhodes. (2011). Cyber Meltdown bible prophecy andthe Imminent Threat of cyberterrorism. United States of

America: Hervest House Publishers. p.43.Modesto Seara Vázquez. (2009). Derecho InternacionalPúblico. Vigésimo cuarta edición. México: Editorial Porrúa.pp. 49-50.Andrew Liaropoulos. “Cyber Security and the Law of War:The Legal and Ethical Aspects of Cyber-Conflict”. GPSGWorking Paper #7, Lecturer in International Relation andStrategyDepartmentof InternationalandEuropeanStudiesUniversity of Piraeus.-----(2013).Tallinn Manual on the International Lawapplicable to cyber warfare. United States of America,Cambridge University Press. pp. 193-195.

[2] Thomas Claburn (2010). “U.S. Severly Threatened’ ByCyber Attacks”. Obtenido de InformationWeek Governmet,http://www.informationweek.com/government/security/us-severely-threatened-by-cyber-attacks/222600872,consultado el 29 de abril de 2013.

[3] Dan Goodin. (2010). “Almost 2,500 firms breached inongoing hack attack, Zeus and Waledac unite in globalbotnet”. Obtenido de The Register,http://www.theregister.co.uk/2010/02/18/massive_hack_attack/, consultado el 29 de abril de 2013.Office of the Director of National Intelligence. “Office of theDirectorofNational IntelligenceStatementbyRobert “Bear”Bryant, National Counterintelligence Executive, upon therelease of -the Report to Congress on Foreign EconomicCollection and Industrial Espionage-”. Obtenido de PublicAffais Office,http://www.ncix.gov/publications/reports/fecie_all/EconEsp_PressConf.pdf, consultado el 29 de abril de 2013.Reuters. (2011). “Washington culpa oficialmente a Chinay Rusia de constante espionaje electrónico”. Obtenido deEl Mundo,http://www.elmundo.es/elmundo/2011/11/04/navegante/1320395426.html, consultada el 25 de julio de 2013.

[4] Serguéi Gennádievich Necháyev. En enero de 1869,Necháyev huye a Ginebra, Suiza, temiendo su arresto,entró en comunicación con Mijaíl Bakunin y su amigo MijaílAleksándrovich Bakunin, quien fue un anarquista rusocontemporáneo de Karl Marx. En su obra se esbozan susideas para un movimiento altamente disciplinado yprofesionalmente organizado. Se afirma que, así como lasmonarquías europeas utilizan las ideas de Maquiavelo olos jesuitas católicos practican la absoluta inmoralidadpara lograr sus propósitos, así también puede hacerse esomismo pero a favor de la revolución popular.

[5] Red Army Faction o Red Army Fraction fue un grupodel ala izquierda fundado en 1970 por Andreas Baader,Gudrun Ensslin, Horst Mahler, y Ulrike Meinhof. Fue ungrupo comunista y antiimperial disuelto en 1998.

[6] The Weather Underground Organization (WUO), grupode izquierda fundado por Ann Arbor en 1969. Su objetivoeracrearunarevoluciónclandestinaenlosEstadosUnidos,disuelto en 1973 después de Vietnam.

[7] Las Brigadas Rojas fueron una organización de luchaarmada revolucionaria italiana fundada en 1969.

[8] Abraham Alejandro, Servín Caamaño; Profesor adjuntodel Dr. José Eusebio Salgado y Salgado, clase de DerechoInternacionalPúblicopara laCarreradeDerecho,semestre2013-2, FES Acatlán, UNAM.

[9] Dorothy Denning. “Cyberterrorism testimony before theSpecialOversightPanelonTerrorismCommitteeonArmedServices U.S. House of Representatives”. Obtenido deGeorgetown University,http://www.cs.georgetown.edu/~denning/infosec/cyberterror.html, consultado el 16 de mayo de 2013.

[10] -----. (2007). “Programa de jihad en línea encontradoen la red”, Obtenido de Subdirección de Seguridad de la

UNAMCERT

38

Información (DGTIC),http://www.seguridad.unam.mx/noticias/?noti=2867,consultado el 16 de mayo de 2013.

[11] Gil Wilson. “Terrorism’s Digital Sword”. Obtenido deAcademia.edu.,http://www.academia.edu/3463020/Paper_Terrorisms_Digital_Sword, consultado el 16 de mayo de 2013.

Referencias

Antonio Saucedo López (1998). El Derecho de la Guerra.México: Ed. Trillas.

Cambridge University Press. (2013). Tallinn Manual on theInternationalLawapplicabletocyberwarfare.UnitedStatesof America.

CarrFeffrey. (2012). InsideCyberWarfare.SecondEdition.United States of America: O’reilly Media, Inc.

Daniel Arce Rojas. (1998). Petróleo y DerechoInternacional Humanitario. Bogotá: Pontificia UniversidadJaveriana, Facultad de Ciencias Jurídicas.Derek S. Reveron. (2012). Cyberspace and NationalSecurity: Threats, Oportunities, and Power in a VirtualWorld. USA: Georgetown University Press.

E.J Osmañczyk. Enciclopedia mundial de relacionesinternacionales y Naciones Unidas. México Madrid-Buenos Aires: Fondo de Cultura Económica.

FranklinD.Kramer,StuartH.StarryLarryK.Wentz. (2009).Cyberpower and National Security. United States ofAmerica: National Defense University Press and PotomacBooks.

GonzaloAbrilCuarto. (2010).Elcuartobios.Estudiossobrecomunicación e información. Madrid: EditorialComplutense.

Modesto Seara Vázquez. (2009). Derecho InternacionalPúblico.Vigésimocuartaedición.México:EditorialPorrúa.

Pierre Lévy. (2007). Cibercultura la cultura de la sociedaddigital. México: Anthropos Editorial.

Ron Rhodes. (2011). Cyber Meltdown bible prophecy andthe Imminent Threat of cyberterrorism. United States ofAmerica: Hervest House Publishers.

Stanimir A. Alexandrov. (1996). Self-Defense Against theUse of Force in International Law. The Netherlands:Kluewer Law International.

Thomas Ploug. (2009). Ethics in Cyberspace, howcyberspace may influence interpersonal interaction.Danmark: COPENHAGEN Institute of Technology.

T.M.C. ASSER PRESS. (2003). Yearbook of InternationalHumanitarian Law. The Netherlands: T.M.C.SSSERPRESS, Cambridge University Press.

Si quires saber más consulta:

• Día mundial contra la censura en Internet• Nueva tendencia cibercriminal: Guerras APT

Alejandra Morán Espinosa

Licenciada en Derecho por la UNAM con menciónhonorífica, candidata a Maestra en PolíticaCriminal, especial ista en Derecho Informático ynuevas tecnologías, profesor de DerechoInformático en la FES Acatlán y universidadesprivadas, ponente en temas de delitosinformáticos, ciberseguridad y tecnologías de lainformación y comunicación.

Abraham Alejandro Servín Caamaño

Licenciado en Relaciones Internacionales por laUNAM, profesor adjunto de las materias deseminario de política exterior, derechointernacional público y derecho marítimo en laFES Acatlán, cursante de la maestría MaritimeLaw en la Universidad de Southampton en ReinoUnido.

Oscar Alquicira Gálvez

Licenciado en Derecho, Profesor adjunto dederecho informático en la FES Acatlán ycolaborador en investigación jurídica y de nuevastecnologías en el laboratorio IUSTICS en FESAcatlán 201 1 -201 3 apoyando en la investigacióny realización de contenidos en línea para laenseñanza del campo jurídico a Distancia.

UNAMCERT

Revista .Seguridad Cultura de prevención para TINo.25 / agosto-septiembre 201 5 ISSN: 1 251 478, 1 251 477