Lo desconocido de lo desconocido de OSINT

Durante los últimos 10 años nuestras comunidades se han vuelto dependientes de la tecnología para soportar sus relaciones familiares y de negocio. Podría incluso llegar a afirmarse que 99.99%, si no es que el 100% de la población en cualquier sociedad desarrollada estará, por inferencia, utilizando tecnología en ambas formas, directa e indirecta, digamos por asociación con el uso de banca en línea, ATM, TV en línea bajo demanda, y tecnología dentro del auto, teléfonos celulares, y por supuesto mediante aquellos puntos de comunicación de que disponemos en nuestras computadoras personales, desktops, iPad, iPhone, Kindle, etcétera. De hecho, estas posibilidades parecieran ser infinitas.

Lo anterior implica que, queramos o no, esta cómoda relación tecnológica que hemos establecido agrega a nuestra propia existencia una huella invisible que podría estar influenciada o apalancada por la aplicación de la ley, publicidad, la comunidad criminal, terroristas, o quienquiera que, por cualquier propósito, quisiera averiguar cosas de esta huella oscura, desconocida y subliminal.

De hecho, en nuestra vida diaria vamos dejando huellas digitales subliminales. Por ejemplo, el uso de una dirección IP cuando nos conectamos a nuestro ISP. Tal vez incluso desde un documento en papel que ha sido descartado, o algún metadato en un documento de Word o Excel que haya sido liberado a un medio público, objetos que aislados no tendrían mayor significado, sin embargo, cuando tales fragmentos de información (“inteligencia”) aislados son acumulados, podrían proporcionar a un observador gran cantidad de información sobre el perfil personal y de negocio del sujeto en la mira.

Sobre este mismo tema consideremos una de las áreas de exposición potencial más ignoradas en nuestra sociedad electrónica en la forma de inteligencia de fuente abierta, en inglés open source intelligence [OSINT], la cual puede ser aprovechada por la comunidad criminal con un buen rango de éxito. Cuando vemos el lado opuesto de la pared cibernética de conflicto en la arena de los negocios comerciales, una gran mayoría de los CIO y CISO tienden a descartar esta área como una amenaza por pensar que no tienen por qué preocuparse – se trata solamente de ruido fuera de su infraestructura protegida, la cual no constituye ningún riesgo directo para su organización – y, en cierta medida, tienen razón cuando uno considera el “riesgo directo”. Para sustentar esta observación, en 2014 al moderar la Cumbre de Crimen Informático en Londres pregunté a más de 80 participantes si comprendían las amenazas planteadas por OSINT y si contaban con defensas para proteger a sus organizaciones contra dichas amenazas. No fue una sorpresa saber que únicamente alrededor de 5% de los participantes confirmaron que sí contaban con defensas en marcha y efectivamente se esforzaban por asegurar sus organizaciones contra exposiciones a OSINT y fuga de datos.

Desviándonos un poco del tema, hace algunos años un tal Clifford Stoll escribió un libro titulado “The Cuckoos Egg”, a partir de una historia real sobre el rastreo del espionaje de cómputo y ciberdelito. A pesar de que eso sucedió hace más de 30 años, en nuestra sociedad moderna existen todavía los mismos riesgos (la única diferencia, es que estos son escalados por la proporción de computadoras en operación en 2016). Lo que realmente era interesante sobre este libro era el hecho de que un peligro de seguridad masivo fue alertado por una pieza de información sin importancia en la forma de un error de 75 centavos en la contabilidad de una computadora central (mainframe). Sin embargo, dentro de esta recomendada publicación también vemos rastros de ignorancia en seguridad: un archivo de Unix Shadow de contraseñas fue obtenido por un tercero, pero dado que estaba cifrado, el dueño de la organización consideró que no había riesgo real directo para sus activos asegurados y no previó ningún daño, ¡permitiendo así a un tercero desconocido y no autorizado el acceso a dicho archivo protegido!

El asunto que se perdió de vista con respecto al archivo de contraseñas fue que, a pesar de estar cifrado, pasaron por alto el hecho de que una vez que estuviera en manos de un externo, que podría ser un adversario potencial o atacante, esa persona o personas tendrían acceso sin límite de tiempo para intentar descifrarlo y obtener así las contraseñas. Es precisamente aquí donde podemos comenzar a ver la liga entre OSINT, la cual tiende a inferir el mismo nivel de acceso indirecto, sin prisa, con elementos que se pueden utilizar para desplegar un ataque. Los niveles de exposición que se podrían manifestar de una manera realista son originados por el malentendido de los riesgos indirectos alguna vez presentes.

Tomemos un documento común de oficina generado dentro de cualquier organización, el cual puede contener fragmentos múltiples de inteligencia subliminal o subconsciente. Luego, considere los activos que tienen asociaciones lógicas, tanto con los sistemas visibles como con los ocultos, que pueden decirle a alguien ajeno a la organización mucho sobre los sistemas de la empresa. Nuestros atacantes potenciales también pueden echarle un vistazo al DNS (Domain Name System) para investigar si hay algún agujero abierto o mala configuración de la que se aprovechen. Por ejemplo, hace aproximadamente cinco años se llevó a cabo una evaluación de OSINT de 100 sitios Web comerciales, por medio de la cual se descubrió que aproximadamente 12% poseía capacidades de transferencia de zona que permitían a un probable atacante una visión de los servidores internos y sus activos informáticos. De hecho, los sitios inseguros localizados en esta evaluación correspondían desde agencias gubernamentales estadounidenses hasta una organización de referencias de crédito, que en su caso permitió scripts en el lado del servidor que contenían identificadores de usuario y contraseñas embebidas en el sistema, información muy valiosa para cualquier sinvergüenza con intenciones de causar daño.

El verdadero punto sobre OSINT es que se trata de un punto conocido de explotación para pre ataque (footprinting) y es en efecto una técnica común utilizada por hackers, criminales cibernéticos y en particular por el crimen patrocinado por los Estados para acumular inteligencia cibernética, como lo haría cualquier organización militar cuando selecciona y planea un ataque contra un objetivo. Y no solo tal ejercicio subliminal puede proporcionar a los atacantes información sobre el objetivo en la mira, sino que puede revelar también otra información de interés que deja al descubierto lo que, hasta este punto, eran sistemas y activos escondidos.

La parte sorprendente es que no importa qué sitio, despliegue o ataque se decida conducir con OSINT, cuando se trata de buscar puntos de OSINT con el propósito de infiltración o explotación, hay una posibilidad muy alta de que tales artefactos existan, junto con puntos de fuga de datos. Ello permite la salida de información hacia las manos del atacante, quien la busca en forma de:

Sistemas internos y direcciones IP
Nombres de equipo
Sistemas asociados y de terceros
Sistemas operativos (tipos, versiones, niveles de actualización)
Nombres de usuarios
Contraseñas
Información de departamentos y extensiones telefónicas
Almacenamiento de documentos
Direcciones de correo electrónico sensibles en organismos de Gobierno
Control inseguro de cambios en la infraestructura

La manera en la que un atacante utiliza tales fragmentos de inteligencia indirecta para llevar a cabo un ataque directo está sujeto a su propio nivel de imaginación. Pero, dado que tiene la posibilidad de acceso, estoy seguro de que hallará la manera de aprovechar dichos materiales para formular un plan para comprometer algún activo, a algún tercero, o algún sitio/servicio asociado. Otra ruta posible sería el empleo de tácticas orientadas al personal, para llevar a cabo un ataque de ingeniería social directa contra una persona seleccionada. Por eso siempre digo: ¡La única limitante es la imaginación del atacante!

Después de leer esto, usted podría no estar convencido de que se trata de una cuestión de verdadera preocupación para su organización, pero piense otra vez, si usted da acceso indirecto a alguno de tales materiales que pueden ser aprovechados en un ataque directo a los activos de su organización, tal vez debería reconsiderarlo, pues la exposición de sus desconocidos no conocidos tal vez proporcione a su próximo atacante la información de inteligencia que necesita para perpetrar un ataque exitoso.

[email protected]

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Lo desconocido de lo desconocido de OSINT

Un comentario

Deja tu comentario