“Vigilancia
masiva
¿Son estas las armas de espionaje
de la NSA?”
Un grupo de hackers dice haber
obtenido información confidencial de Equation Group, un conocido y sofisticado
grupo de ciber atacantes ligado a la NSA. Parte de la información publicada
permite por primera vez echar un vistazo a las herramientas utilizadas por la
agencia de seguridad estadounidense
Por Guido Vargas
En Derechos Digitales
–public. 18/8/16
El pasado lunes, un
desconocido grupo de hackers llamado The Shadow Brokers anunció haber
obtenido archivos confidenciales de Equation Group, uno de los grupos
abiertamente asociados a la NSA y los principales sospechosos del desarrollo de
importantes armas de malware como Stuxnet o Flame. The
Shadow Brokers inició una subasta millonaria por los archivos obtenidos, al
mismo tiempo que publicaron parte de su botín como prueba de sus logros.
Si bien es
imposible saber con certeza cuántas veces un grupo o servicio ligado a la NSA
ha sido hackeado, esta es la primera vez que alguien indica haberlo
hecho. La publicación de parte de los ficheros obtenidos le ha quitado el sueño
a un buen número de profesionales y aficionados a la seguridad informática, que
por primera vez tienen la posibilidad de observar y entender parte del arsenal
digital con que cuenta la NSA.
Antes de avanzar es
bueno recordar que el objetivo de la NSA es el espionaje masivo, es decir que
-a diferencia de Hacking Team o Gamma International- no suele atacar a
dispositivos específicos, sino a parte de lo que se suele denominar
“infraestructura crítica”.
Objetivo: Firewalls
Gran parte de los
ficheros están programados en python, un
lenguaje que facilita mucho su lectura y donde es relativamente fácil encontrar
pistas de qué hace qué en un programa. Es así como podemos saber que un buen
número de las herramientas indican estar destinadas a firewalls.
Un Firewall es un
dispositivo que se encarga de controlar el tráfico en una red de acuerdo a
ciertas reglas definidas. Es la primera línea de defensa para impedir desastres
en empresas, universidades, centros de salud y otros, protegiendo de ataques
masivos a un gran número de ordenadores bajo su protección.
Las herramientas
desarrolladas por Equation Group serían exploits, un pequeño programa que
aprovecha una vulnerabilidad de seguridad del sistema para conseguir un
comportamiento anómalo. Dentro de los exploits más graves se encuentran los
llamados “Remote Control Execution” o RCE que permiten a alguien ejecutar
código sin tener acceso al dispositvo.
Entre los objetivos
se encuentran modelos de firewall de Cisco PIX/ASA, Juniper Netscreen y
Fortigate entre otros. Lo listado a continuación es la información que existe
hasta el momento:
EGREGIOUSBLUNDER: Es un exploit que
permite ejecución de código remoto (RCE) para firewalls Fortigate, afectando a
12 modelos específicos.
ELIGIBLEBOMBSHELL: Es un RCE para
firewalls TOPSEC desde la versión 3.2.100.010.1_pbc_17_iv_3 a la 3.3.005.066.1.
A este exploit le acompañan WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE,
CONTAINMENTGRID, una serie de programas que permiten el control del dispositivo
tras la ejecución de ELIGIBLEBOMBSHELL.
ELIGIBLECANDIDATE: Es otro RCE que
aprovecha otra falla de seguridad en la misma área en firewalls TOPSEC,
afectando las versiones 3.3.005.057.1 a la 3.3.010.024.1.
ELIGIBLECONTESTANT: Es otro RCE
también para firewalls que apunta a los mismos firewalls de ELIGIBLECANDIDATE,
pero usando otra falla en su seguridad.
EXTRABACON: Es un RCE que
afecta a Cisco Adaptive Security Appliance (ASA) en 15 distintas versiones. Usa
una vulnerabilidad del protocolo SNMP
y requiere como requisito saber el tiempo en línea como la versión de software.
EPICBANANA: es un exploit para
escalar privilegios, esto significa poder ejecutar comandos de administrador en
el dispositivo. Su objetivo son también los Cisco ASA y Cisco Private Internet
eXchange (PIX). Usa una falla de seguridad, bastante común lamentablemente, que
es usar las credenciales de acceso por defecto (la contraseña es cisco). Afecta
a 15 versiones ASA y 7 PIX.
ESCALATEPLOWMAN: Es otro exploit
para escalar privilegios, esta vez contra firewalls WatchGuard, sin conocerse
aún las versiones afectadas. Se ejecuta mediante una inyección de código en el
comando ifconfig.
BOOKISHMUTE: Exploit contra un
firewall aún no identificado que ejecuta Red hat 6.0
FALSEMOREL: Permite usar el
hash de una contraseña para escalar privilegios en un firewall no especificado.
Requiere telnet habilitado para ejecutarse.
ELIGIBLEBACHELOR: Sirve para
introducir un exploit desconocido hasta el momento en firewalls TOPSEC.
Gravedad
Varios de estos
exploits son 0day (día cero), término con que se conocen las fallas de
seguridad que son explotables sin tener parches por parte de sus
desarrolladores. Varios de estos archivos datan de 2013, lo que implica que al
menos durante tres años la NSA no informó a los fabricantes de firewalls sobre
estas vulnerabilidades en sus sistemas y pudieron ser usadas.
Por la cantidad de
dispositivos, EXTRABACON es posiblemente la herramienta de mayor gravedad. Si
bien no está recomendado que estos routers dejen disponible SNMP en internet,
una búsqueda rápida indica que en América Latina hay miles de estos
dispositivos posiblemente vulnerables: más de 5200 en Brasil, casi 2000 en
México, sobre 1100 en Chile y casi 1000 en Colombia.
Combinando la nula
responsabilidad de la NSA de informar los fallos de seguridad que detecta y la
poca responsabilidad local de asegurar nuestras redes, miles de equipos han
estado a merced de hackers durante años y hoy, por la libre disposición de
estos ficheros, están a merced de cualquiera que se tome el tiempo de leer un
poco
Colectivo Acción Directa Chile -Equipo Internacional
Agosto 22 de 2016
No hay comentarios :
Publicar un comentario