8 de diciembre de 2016

MuyComputerPRO

Salto al vacío… con paracaídas

Salto al vacío… con paracaídas

Salto al vacío… con paracaídas
julio 14
12:04 2011

María Campos

Por María Campos, country manager de Stonesoft Iberia.

En los últimos cinco años, los proveedores de soluciones de seguridad están apurando a fondo en las curvas y pisando el acelerador hasta alcanzar velocidades de vértigo. Pero, lamentablemente, los hackers han demostrado hasta la fecha un mejor pilotaje y llevan la delantera en esta peligrosa carrera. En efecto, desde hace un tiempo, éstos han desarrollado un considerable número de tácticas para conseguir frustrar cualquier solución de seguridad, ya sea un firewall, un software antivirus o un Sistema de Prevención de Intrusos (IPS).

Hasta hace poco, sólo se conocían un puñado de técnicas de evasión que los sistemas de seguridad manejaban relativamente bien. Sin embargo, una nueva categoría, denominada Técnicas Avanzadas de Evasión (AETs) fue descubierta por la red finlandesa de especialistas en seguridad de StoneSoft en 2010, quienes desvelaron su modus operandi: una combinación de nuevos métodos de camuflaje con técnicas de evasión ya conocidas capaces de eludir prácticamente cualquier solución de seguridad de red. Así, disfrazan sus ataques de manera que ningún sistema de seguridad puede, con total seguridad, detectarlos ni bloquearlos. En consecuencia, el contenido malicioso se envía a un sistema vulnerable subyacente sin que nadie lo advierta.

Una de las más conocidas técnicas de evasión se basa en la fragmentación de la IP, por la cual, el atacante bien se aprovecha de fragmentos de datos codificados, bien inunda la los IPS con ellos. Otras técnicas de evasión se basan en IP y opciones TCP, o en secuencias TCP.

En este sentido, la suite de protocolo TCP/IP juega un papel fundamental. Se basa en el estándar IP RFC 791, escrito en 1981, y establece que un sistema debe ser conservador en su comportamiento de envío y liberal en el de recepción, a fin de conseguir una interoperabilidad lo más fiable posible entre los sistemas.

IPv6

Esto allanó el camino para los ataques, porque los diferentes sistemas operativos y aplicaciones se comportan de forma distinta cuando reciben los paquetes. Y de esa manera la aplicación del sistema de destino podría ver algo enteramente diferente a lo que habría originalmente en el tráfico de red.

Estado de Desincronización

Igualmente, la red en sí misma puede alterar el tráfico entre el sistema de detección y el host. Este sería el caso, por ejemplo, de un IPS que no pudiera amortiguar suficientes fragmentos de datos antes de aplicar firmas, o no fuera capaz de re-ensamblar los fragmentos correctamente. Por este motivo, el IPS no contaría con el contexto original del empaquetamiento de datos y reescribiría la corriente de datos antes de enviarla al sistema de destino.

Este desajuste recibe el nombre de Estado de Desincronización, y no es otra cosa que un cambio de contexto entre el IPS y el sistema de destino, del que las técnicas de evasión se aprovechan porque da lugar a que se construyan los paquetes de datos de forma aparentemente normal y segura, aunque finalmente se revelen como un ataque cuando son interpretados por el host final.

Por tanto, para asegurarnos de que se detectan incluso las Técnicas de Evasión Avanzadas, las IPSs necesitan controlar algo más que los patrones de malware conocidos. Sencillamente, las aplicaciones de seguridad encargadas de casar las firmas de ataques con la información recibida por el host objetivo no pueden seguir observando el tráfico de red paquete por paquete.

Tráfico Internet

Por el contrario, deben considerar otras posibilidades -o chequeos adicionales, la denominada normalización- para controlar el tráfico de datos, como paquetes no recibidos por el host final, o protocolos que puedan ser decodificados en múltiples formas.

Asimismo, también parece demostrado que los sistemas basados en software de seguridad flexibles proporcionan la mejor defensa contra las AETs. Es extremadamente difícil –cuando no imposible- mantener actualizadas soluciones basadas en hardware con patrones de amenazas rápidamente cambiantes; en cambio, las aplicaciones basadas en software pueden implementar actualizaciones y parches de seguridad de forma inmediata, máxime si se cuenta con una plataforma de gestión desde la que los administradores puedan controlar centralizadamente todos los sistemas.

En conclusión: no existe, a día de hoy, una solución que asegure un 100% de protección frente a las AETs, porque éstas evolucionan constantemente dentro de una base dinámica. Además, todavía los investigadores no tienen claro el grado en que estas técnicas ya están siendo usadas: como no dejan rastros, sus ataques no son detectados hasta que ya han penetrado en el sistema, y para entonces no es posible determinar qué método se empleó para sortear el sistema de seguridad.

Aún así, y con las medidas que proponemos, las compañías pueden al menos adoptar las mejores precauciones posibles para proteger sus redes. En definitiva, no podemos evitar el salto al vacío, pero al menos contaremos con paracaídas.

About Author

Elisabeth Rojas

Elisabeth Rojas

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!