Watering hole: nuevos términos para ¿nuevos? ataques

martes, 8 de octubre de 2013



F-Secure y Bit9 coinciden. "Watering hole" es el término que se debe usar de ahora en adelante para estar a la última sobre los diferentes tipos de ataques sofisticados a empresas y organizaciones.  ¿Qué significa y por qué está de moda? Aunque los más importante es saber si realmente supone alguna diferencia con los términos que ya solemos usar.

F-Secure ha destacado en su informe de la primera mitad de 2013 que uno de los incidentes más interesantes del año ocurrió en febrero. Atacaron en un corto periodo de tiempo a, entre otros, Twitter, Facebook, Apple y Microsoft. Todos emitieron comunicados admitiendo que habían sufrido alguna intrusión en su red. Al parecer, los atacantes comprometieron una popular página de programación de aplicaciones para iPhone. Los desarrolladores de esas compañías, asiduos a esa web por motivos profesionales, quedaron infectados a través de una vulnerabilidad previamente desconocida en Java.

En mayo apareció un 0day en Internet Explorer. Fue descubierto a raíz de un ataque a una web pública del departamento de trabajo norteamericano. Se comprometió una base de datos sobre niveles de toxicidad de ciertas instalaciones nucleares del departamento de energía. Los empleados del departamento de trabajo (las verdaderas víctimas) la usaban habitualmente para sus labores. Alguien pudo acceder al servidor y subió código que aprovechaba esa vulnerabilidad.

Nick Levay, CSO de Bit9, también destaca este tipo de ataque haciendo hincapié sobre su creciente popularidad. "No hay mucho que un individuo pueda hacer contra los ataques de tipo watering hole, no lo van a ver venir". Destaca que cada vez estos ataques son más especializados.

Qué es y qué aporta el término

Fuente: Tiespecialistas.com.br
La RSA los bautizó así. Watering hole es el término usado en la naturaleza para nombrar una poza donde los animales acuden a beber, por ejemplo en la sabana africana. El nombre del ataque pretende representar a los leones que, en vez de salir a buscar a sus presas, las esperan agazapadas cerca de la charca. Saben que tarde o temprano acudirán a repostar en ella y ahí, cuando las víctimas se relajan, se preparan para perpetrar el ataque.

En seguridad informática, la poza es una web especializada a la que suele acudir la víctima. Por ejemplo un foro de programación. La comprometen de forma que puedan subir código propio, y así intentan explotar alguna vulnerabilidad en el navegador del usuario. Esto contrasta con los ataques "dirigidos" comunes hoy en los que se el atacante envía específicamente por email u otros medios documentos o enlaces muy concretos y personalizados a diferentes organizaciones, con la esperanza de que los abran y aprovechen alguna vulnerabilidad.

Por tanto, las diferencias con otros tipos de ataque, se podrían resumir en:
  • Existe un "efecto colateral", un ataque a un tercero que deben comprometer y esperar a que la víctima acuda. Se cuida incluso que afecte a cierto rangos de IPs para pasar aún más desapercibido.
  • Se aprovecha la potencial relajación en seguridad en la víctima que visita una web con frecuencia. Por ejemplo, si tiene la buena costumbre de usar listas blancas para restringir el uso de JavaScript o Java en el navegador, muy posiblemente esa web a la que es asiduo, tendrá vía libre y facilitará la explotación al atacante. Otro ejemplo es que el propio perfil de víctima (por ejemplo un programador) se someta o necesite una seguridad global más relajada por su perfil más técnico. 
Otros aspectos como exploits previamente desconocidos o el trabajo es más personalizado y elaborado (porque requiere un estudio previo de las costumbres de la víctima) ya están presentes en otros muchos tipos de ataque y no suponen diferencia.


¿Es grave?

Resumido de esta manera, parece que no existen muchas diferencias con lo que se ha venido denominando APTs. Quizás el "efecto colateral" de compromiso de una web específica y lo acertado de la metáfora de los leones, es lo que ha dado popularidad al término.

Aunque los ataques colaterales no son nada nuevo, y los ha habido mucho más espectaculares que el compromiso de una web. Recordamos dos especialmente interesantes:
  • El supermalware TheFlame atacó de una forma muy ingeniosa a la mismísima estructura PKI de Microsoft con el único objetivo de firmar su código y pasar desapercibido en los sistemas que realmente quería atacar.
  • En febrero, Bit9 tuvo que reconocer públicamente que entraron en su red y pudieron firmar código con uno de sus certificados. Los atacantes fueron capaces de entrar así en la red de un tercero (la víctima real) que solo permitía la ejecución de código previamente validado y firmado por Bit9.

En estos ataques con "daño colateral" la actitud del atacante es quizás menos "pasiva" que en los llamados watering hole, pero no por ello menos elaborada o exenta de grandes dosis de paciencia y planificación. Estos ejemplos son mucho más complejos que los que se basan en ataques a páginas de terceros, sin embargo aún no parecen dignos de nombre propio.

En resumen, los ataques del tipo "watering hole" pueden ser útiles en escenarios donde la seguridad de una compañía sea más elevada que la media y, por ejemplo, sus usuarios deban navegar por sitios muy restringidos o no se les permita abrir documentos en correos. El atacante se ve obligado a basarse en las vulnerabilidades de un tercero para tener éxito. Sin embargo, los actores y circunstancias son muy similares a otros escenarios.

Si hay algo que mejorar para evitar este tipo de ataques, es la seguridad impuesta en el navegador cuando se visitan páginas conocidas. Siempre se han recomendado las listas blancas de navegación, para restringir el uso de Flash, JavaScript o Java, a páginas concretas por habituales o necesidad. Este tipo de ataques aprovechan esa relajación, y es lo que realmente importa cuestionarse. ¿Caben otras medidas de seguridad en el navegador incluso cuando se navegan por páginas de confianza? ¿Se deben revisar incluso las listas blancas? Sí. No es nada nuevo que la famosa seguridad en profundidad debe abarcarlo todo y es el mejor antídoto del que se dispone hoy por hoy contra los ataques, tomen el nombre que tomen en el futuro.

Sergio de los Santos
ssantos@11paths.com

1 comentario:

  1. Quizás también te interese: http://www.elladodelmal.com/2015/02/como-eliminar-y-desactivar-el-historial.html

    ResponderEliminar