F-Secure y Bit9 coinciden. "Watering hole" es el término
que se debe usar de ahora en adelante para estar a la última sobre los
diferentes tipos de ataques sofisticados a empresas y organizaciones. ¿Qué significa y por qué está de moda? Aunque
los más importante es saber si realmente supone alguna diferencia con los
términos que ya solemos usar.
F-Secure ha destacado en
su informe de la primera mitad de 2013 que uno de los incidentes más interesantes del año ocurrió en
febrero. Atacaron en un corto periodo de tiempo a, entre otros, Twitter,
Facebook, Apple y Microsoft.
Todos emitieron comunicados admitiendo que habían
sufrido alguna intrusión en su red. Al parecer, los atacantes comprometieron
una popular página de programación de aplicaciones para iPhone. Los
desarrolladores de esas compañías, asiduos a esa web por motivos profesionales,
quedaron infectados
a través de una vulnerabilidad previamente desconocida en Java.
En mayo apareció un 0day en Internet Explorer.
Fue descubierto
a raíz de un ataque a una web pública del departamento de trabajo
norteamericano. Se comprometió una base de datos sobre niveles de
toxicidad de ciertas instalaciones nucleares del departamento de
energía.
Los empleados del departamento de trabajo (las verdaderas víctimas)
la usaban habitualmente para sus labores. Alguien pudo acceder al servidor y
subió código que aprovechaba esa vulnerabilidad.
Qué es y qué aporta el término
 |
Fuente: Tiespecialistas.com.br
|
La RSA los bautizó así.
Watering hole es el término usado en
la naturaleza para nombrar una poza donde los animales acuden a beber, por
ejemplo en la sabana africana. El nombre del ataque pretende representar a los
leones que,
en vez de salir a buscar a sus presas, las esperan agazapadas cerca
de la charca. Saben que tarde o temprano acudirán a repostar en ella y ahí,
cuando las víctimas se relajan, se preparan para perpetrar el ataque.
En seguridad informática, la poza es una web especializada a
la que suele acudir la víctima. Por ejemplo un foro de programación. La comprometen
de forma que puedan subir código propio, y así intentan explotar alguna
vulnerabilidad en el navegador del usuario. Esto contrasta con los ataques
"dirigidos" comunes hoy en los que se el atacante envía
específicamente por email u otros medios documentos o enlaces muy concretos y
personalizados a diferentes organizaciones, con la esperanza de que los abran y
aprovechen alguna vulnerabilidad.
Por tanto, las diferencias con otros tipos de
ataque, se podrían resumir en:
- Existe un "efecto colateral", un ataque a un
tercero que deben comprometer y esperar a que la víctima acuda. Se cuida
incluso que afecte a cierto rangos de IPs para pasar aún más desapercibido.
- Se aprovecha la potencial relajación en seguridad en la
víctima que visita una web con frecuencia. Por ejemplo, si tiene la
buena
costumbre de usar listas blancas para restringir el u so de JavaScript o
Java en el
navegador, muy posiblemente esa web a la que es asiduo, tendrá vía libre
y
facilitará la explotación al atacante. Otro ejemplo es que el propio
perfil de víctima (por ejemplo un programador) se someta o necesite una
seguridad global más relajada por su perfil más técnico.
Otros aspectos como exploits previamente desconocidos o el
trabajo es más personalizado y elaborado (porque requiere un estudio previo de
las costumbres de la víctima) ya están presentes en otros muchos tipos de ataque y no suponen diferencia.
¿Es grave?
Resumido de esta manera, parece que no existen muchas diferencias
con lo que se ha venido denominando APTs. Quizás el "efecto
colateral" de compromiso de una web específica y lo acertado de la
metáfora de los leones, es lo que ha dado popularidad al término.
Aunque los ataques colaterales no son nada nuevo, y los ha
habido mucho más espectaculares que el compromiso de una web. Recordamos dos
especialmente interesantes:
- El supermalware TheFlame atacó de una forma muy ingeniosa
a la mismísima estructura PKI de Microsoft con el único objetivo de firmar su código y
pasar desapercibido en los sistemas que realmente quería atacar.
- En febrero, Bit9 tuvo que reconocer públicamente que
entraron en su red y pudieron firmar código con uno de sus certificados. Los
atacantes fueron capaces de entrar así en la red de un tercero (la víctima real) que solo
permitía la ejecución de código previamente validado y firmado por Bit9.
En estos ataques con "daño coltaeral" la actitud del atacante es quizás menos "pasiva"
que en los llamados watering hole, pero no por ello menos elaborada o exenta de
grandes dosis de paciencia y planificación. Estos ejemplos son mucho más complejos que los que se basan en ataques a páginas de
terceros, sin embargo aún no parecen dignos de nombre propio.
En resumen, los ataques del tipo "watering hole"
pueden ser útiles en escenarios donde la seguridad de una compañía sea más
elevada que la media y, por ejemplo, sus usuarios deban navegar por sitios muy
restringidos o no se les permita abrir documentos en correos. El atacantes se
ve obligado a basarse en las vulnerabilidades de un tercero para tener éxito.
Sin embargo, los actores y circunstancias son muy similares a otros escenarios.
Si hay algo que mejorar para evitar este tipo de ataques, es
la seguridad impuesta en el navegador cuando se visitan páginas conocidas. Siempre
se han recomendado las listas blancas de navegación, para restringir el uso de Flash, JavaScript
o Java, a páginas concretas por habituales o necesidad. Este tipo de ataques aprovechan
esa relajación, y es lo que realmente importa cuestionarse. ¿Caben otras
medidas de seguridad en el navegador incluso cuando se navegan por páginas de
confianza? ¿Se deben revisar incluso las listas blancas? Sí. No es nada nuevo que la famosa seguridad en profundidad debe abarcarlo todo y es el
mejor antídoto del que se dispone hoy por hoy contra los ataques, tomen el nombre que tomen en el futuro.
Sergio de los Santos
ssantos@11paths.com
