Herramientas para el entrenamiento y simulación de phishing segmentado. ¿Armas de doble filo?
Hola,
Repasando los feeds me he topado con un artículo de Xavi, en el que se habla de ataques phishing personalizados desde una perspectiva que, sin duda alguna, no es la tradicional.
Los ataques de este tipo, a los que yo prefiero llamar segmentados, como consecuencia del paralelismo más que evidente que existe entre la segmentación en marketing tradicional y los mecanismos para orientar los ataques de intento de robo de credenciales que comentamos, son responsables, según iDefense Labs, de al menos 15.000 ataques específicos contra víctimas corporativas en los últimos 15 meses. No es una cifra para tirarse de los pelos, al menos si contemplamos la tipología y montos derivados de la amalgama completa de fraudes que puede sufrir una organización, pero sí es una cifra que puede invitar a contemplar estrategias de mitigación.
Esta necesidad de promover técnicas de entrenamiento y concienciación provoca que con el paso del tiempo hayan aparecido herramientas que permiten gestionar y medir el grado de respuesta de una organización y sus integrantes ante ataques spear phishing, o de phishing segmentado. Primero fue PhishMe, una herramienta comercial dirigida al entrenamiento en este tipo de ataques, y ahora, muy recientemente, se ha anunciado la próxima liberación de Lunker, una herramienta con la misma finalidad, en formato de código abierto, que estará disponible para ser descargada y utilizada sin coste alguno.
Las herramientas de seguridad gozan de una peligrosa dualidad sobre la cual existe un eterno debate. Empleando el símil del cuchillo, podemos usarlo para cortar en rodajas un tomate, pero también podemos asestar una puñalada con él. En el caso de las herramientas de seguridad pasa exactamente igual, y el carácter imprimido al uso dependerá de quién las emplee y con qué finalidad. A buen seguro, la disponibilidad masiva de Lunker provocará que algunos usuarios, tentados con la idea de hacer dinero fácil, la usen para ejecutar ataques, aunque como es normal, existirán muchos usuarios que la emplearán para prevenir los incidentes dándole un uso adecuado.
En este debate, yo me posiciono en la parte que defiende la necesidad de que existan herramientas, aún con el riesgo de que pongan al alcance de los usuarios malintencionados medios para perpetrar un fraude. Si una organización ha utilizado una herramienta y se ha preparado y entrenado para mitigar el riesgo de fraude por robo de credenciales, no debería ser preocupante que un usuario malicioso emplee esa u otras herramientas para tratar de ejecutar un ataque. En caso de existir un buen entrenamiento y una correcta estrategia, los impactos deberían ser mínimos, ya que, al menos en mi juicio, el éxito de un ataque de phishing depende más del grado de conocimiento y la concienciación de las víctimas que de la calidad del mismo. Estoy firmemente convencido, y la experiencia así me lo ha demostrado, que el phishing, tradicional o vía troyanos, a través del conocimiento, la prudencia y la contemplación de unas medidas mínimas medidas de seguridad, no sólo puede ser mitigado, sino que puede anulado por completo. Por otro lado, los ataques siempre pueden ser lanzados sin la existencia de herramientas, cuyo riesgo potencial principal no es la ejecución en sí de las acciones maliciosas, sino, en todo caso, la facilitación de las mismas, y siempre dependiendo del caso.
Se prevé que Lunker se presente el mes que viene en la conferencia OWASP, y formará parte de la próxima versión de OWASP LiveCD. Los autores de Lunker han anunciado que estará igualmente disponible como herramienta standalone.
Procedimientos de investigación forense ¿Dentro o fuera de la organización?
Buenas,
Este mes, concretamente el pasado día 5, IBM lanzó una solución para la gestión de Electronic Discovery (eDiscovery) dentro de las organizaciones que licencien el software. El producto está especialmente pensado para dar cumplimiento a las reglas norteamericanas descritas en las Federal Rules of Civil Procedure, sobre funcionamiento general de procesos civiles en los tribunales de justicia, aunque como es obvio, es una solución no sólo legal, sino técnica, y puede abastecer a otros procesos de investigación forense.
El Electronic Discovery, o Ediscovery, es un conjunto de procesos que persiguen la localización, clasificación y recogida de información digital de un modo seguro, confiable y que respete la integridad y validez de los datos, para ser usados posteriormente como evidencias admisibles y válidas en procesos judiciales, civiles y/o criminales, o litigios internos en las organizaciones. La máxima de estos procesos es siempre recoger evidencias válidas e irrefutables que permitan sostener un proceso de investigación útil para la parte denunciante, empleando para ello datos que no vulneren los derechos de los inculpados y cumpliendo a lo largo del proceso con el resto de la legislación vigente que sea de aplicación.
Desde mi punto, los procedimientos forenses aislados, y de carácter post-mortem, es decir, efectuados bajo demanda tras la sospecha o confirmación de un incidente, son poco costosos, y suelen estar concentrados en un evento o eventos específicos sujetos a investigación. El problema lo tenemos cuando queremos implantar un esquema de recolección automático de evidencias de carácter preventivo y general. En un sistema con millones de transacciones por día, miles de máquinas, mútiples entornos diferenciados e infinidad de fuentes de riesgos potenciales candidatas a control, generar inteligencia para almacenar evidencias válidas no es sencillo, e implica costes elevados, no sólo en términos de almacenamiento, sino de procesamiento. Los MIPS siguen costando mucho, y bucear en millones de líneas de registro, cuesta también mucho dinero.
Es importante considerar que la relación técnico-legal que hemos descrito anteriormente es precisamente la que otorga mayor complejidad a los procesos forenses. Recoger pruebas válidas sin dañar los derechos de nadie no es fácil, y esto viene dado por la legislación en materia de privacidad, presente en la mayoría de jurisdicciones. Técnicamente, una cabecera de un correo es y suele ser una evidencia clara, pero tener acceso a un buzón de un empleado no es algo inmediato, por las connotaciones que tiene en la privacidad de los sujetos a los que se investiga. La complejidad de estos procesos hace que, con frecuencia, se externalicen las investigaciones, contratando para ello a expertos independientes con la suficiente cualificación, como por ejemplo, los peritos informáticos. Otro dato que añade complejidad es la especialización, ya que la legislación no suele ser homogénea en este tipo de procesos, con lo que el conocimiento legal se torna habitualmente en un requisito imprescindible de un equipo forense cualificado. Cuando se recogen evidencias o se investiga sin mirar en paralelo la legislación, actuamos en un peligroso modo llanero solitario similar al que en otras ocasiones he denunciado, consistente en auditar o efectuar consultoría sin tener ni idea de cómo funciona la empresa: cuando no se sabe a dónde se quiere llegar, lo más normal es no llegar a ningún lado. Son muchos los casos donde, tras una brillante ejecución técnica forense, las evidencias se han caído una por una en el tribunal, bien por no ser admisibles, bien por haber sido recolectadas sin tener en cuenta que recoger evidencias forenses no es recoger huevos en un gallinero: hay que seguir una metodología y hay que ser respetuosos con las prescripciones legales en materia de adquisición, conservación y tratamiento de la información digital.
Por otro lado, mantener en plantilla a peritos informáticos o expertos en informática forense no siempre es rentable, lo que apoya la tendencia de la externalización de estos servicios. Las empresas con capacidad financiera para mantener expertos forenses en plantilla son las que menos, pero aún así suponen un nicho de mercado suficientemente amplio, donde tienen cabida los productos como el que hemos comentado. Además, estos especialistas pueden dar soporte a litigios y disputas internas, con lo que, con la suficiente masa crítica, rentabilizar al personal en plantilla y los costes operacionales de la implementación de software especializado puede ser una opción viable para muchos.
Discernir por tanto si estos servicios deben ser o no parte de la organización es complicado. En los casos extremos suele estar meridianamente claro, ya que las pequeñas y medianas empresas no suelen rentabilizar la presencia in house de estos servicios, y las grandes compañías suelen tener la masa crítica y presupuesto suficientes. El problema son las empresas de un tamaño intermedio entre las PYMES y las grandes corporaciones, donde dilucidar la rentabilidad de la inversión y la pertinencia de la ejecución en casa de estos procedimientos entraña dificultades máximas a la hora de decantarse por las distintas opciones.
Mi opinión personal es que la tendencia es muy creciente en cuanto a uso de las TI en las empresas, con lo que los eventos, reclamos, disputas y procedimientos relacionados con los medios digitales serán igualmente crecientes en todos los segmentos empresariales. La competencia entre proveedores de software será cada vez mayor, y se producirán abaratamientos en los costes de operación de las soluciones forenses, ya sean licenciadas, ya sean gratuítas. En resumen, parece claro que tendemos a un ensanchamiento de la banda donde ahora sólo se mueven las grandes corporaciones, con una más que razonada previsión de que las soluciones corporate se extiendan a empresas de menor tamaño. Este ensanchamiento puede convertir que lo que hoy no es rentable, lo sea mañana.
Sea como fuere, tomar decisiones en este campo es complicado, y seguirá siendo complicado. Son demasiadas las condiciones de contorno las que determinan cómo implementar adecuadamente estos esquemas forenses en las organizaciones.
Un saludo,
