Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
POR:
Martín Gelbort
(Cybersecurity Researcher & Trainer)
COMPARTIR
The Cuckoo’s Egg y sus lecciones de Ciberseguridad
El libro "The Cuckoo's Egg: Siguiendo la pista de un espía a través del laberinto del espionaje informático", de Clifford Stoll, sigue siendo un recurso intemporal para los profesionales de la ciberseguridad, ya que detalla el viaje de Stoll desde que era astrónomo hasta que descubrió una importante brecha de seguridad. A pesar de haber sido escrito en 1989, las lecciones que contiene siguen siendo relevantes para cualquiera que se dedique hoy en día a la seguridad de la información.
Sinopsis
Clifford Stoll era un astrónomo cuya financiación se había agotado, lo que le obligó a gestionar los sistemas informáticos del Laboratorio Nacional Lawrence Berkeley (LBL) de la Universidad de California en Berkeley. Aunque admitió abiertamente que no era un administrador de sistemas experimentado, su curiosidad y su enfoque metódico le llevaron a descubrir un importante incidente de seguridad que desde entonces se ha convertido en un caso de estudio clásico en ciberseguridad.
A Stoll se le encargó investigar una discrepancia aparentemente menor de 75 céntimos en el sistema de contabilidad de uso de ordenadores de la universidad. Esta discrepancia, que la mayoría pasaría por alto, despertó el interés de Stoll. Descubrió que esta anomalía menor era una pista de algo mucho más importante: un ciberdelincuente se había infiltrado en la red informática de la universidad.
En los años 80, la potencia informática era cara y cada segundo de uso debía contabilizarse y facturarse a los usuarios. La red informática del LBL se alquilaba a usuarios remotos, y las discrepancias, por pequeñas que fueran, se tomaban en serio. Cuando Stoll profundizó, se dio cuenta de que la discrepancia era una prueba dejada por un usuario no autorizado que había explotado una vulnerabilidad en la función movemail de GNU Emacs para obtener derechos de superusuario.
A lo largo de diez meses, Stoll documentó meticulosamente su investigación, rastreando las actividades del ciberdelincuente a través de varias redes, llegando finalmente a Europa. Su formación científica como físico le permitió aplicar el método científico a su investigación, asegurándose de que cada paso fuera cuidadosamente observado y documentado.
El rastro del pirata conducía a una amplia gama de objetivos, incluidos contratistas de defensa e instalaciones militares, lo que pone de relieve la gravedad y amplitud de la brecha de seguridad. El método del ciberdelincuente, conocido como el "huevo del cuco", consistía en aprovechar una configuración errónea del servidor para obtener acceso no autorizado y escalar privilegios.
Lecciones clave
Activos configurados correctamente
El ciberdelincuente aprovechó una mala configuración del servidor en la utilidad movemail, que se instalaba con setuid root. Esto permitía a usuarios sin privilegios ejecutarla con privilegios elevados. Copiando un script en lugar de la utilidad atrun del sistema, el ciberdelincuente podía ejecutar comandos con acceso root, obteniendo esencialmente el control total del sistema.
Esta vulnerabilidad, aunque conocida por algunos miembros de la comunidad Unix, no se difundió ampliamente debido a la falta de bases de datos de vulnerabilidades organizadas en aquella época. La facilidad con la que el ciberdelincuente explotó este error de configuración subraya la importancia de una configuración adecuada del servidor y los peligros de la configuración por defecto.
Nunca deje de probar la seguridad
A lo largo de su investigación, Stoll se encontró con repetidas garantías de que los sistemas eran seguros, sólo para demostrar más tarde que estas afirmaciones eran falsas. Esta complacencia permitió al ciberdelincuente operar sin ser detectado durante años. Las pruebas periódicas y la vigilancia constante son esenciales para mantener la seguridad.
Un estribillo común entre las personas a las que Stoll alertó de la filtración fue: "Eso no es posible. Nuestro sistema es seguro". Esta mentalidad es peligrosa, ya que fomenta la complacencia. Ningún sistema es inmune a los ataques, y las pruebas continuas, incluidas las pruebas de penetración y las evaluaciones de vulnerabilidad, son fundamentales para identificar y mitigar los puntos débiles.
Las prácticas modernas de ciberseguridad hacen hincapié en la necesidad de realizar periódicamente auditorías de seguridad, pruebas de penetración y ejercicios de red teaming para simular ataques e identificar vulnerabilidades antes de que los agentes maliciosos puedan explotarlas. El concepto de "asumir la brecha" es ahora prevalente, animando a las organizaciones a operar bajo el supuesto de que sus sistemas ya han sido comprometidos, lo que provoca medidas de defensa proactivas.
La documentación es crucial
La meticulosa documentación de Stoll era poco común en la época, pero resultó de un valor incalculable. Los registros detallados son esenciales para la réplica, la investigación y los procesos legales. Su hábito de mantener notas organizadas y detalladas le permitió reconstruir las actividades del hacker y compartir eficazmente sus hallazgos con las fuerzas de seguridad y los servicios de inteligencia.
En ciberseguridad, la documentación suele considerarse una tarea tediosa, pero es indispensable. Una documentación adecuada de las políticas de seguridad, los procedimientos de respuesta a incidentes y las notas de investigación garantiza que las medidas adoptadas puedan revisarse, comprenderse y reproducirse en caso necesario. También proporciona un rastro claro de pruebas a efectos legales y de cumplimiento.
El planteamiento de Stoll en materia de documentación puede servir de modelo para las prácticas modernas de ciberseguridad. Llevar registros exhaustivos de las actividades de la red, mantener registros detallados de respuesta a incidentes y documentar todos los hallazgos durante las evaluaciones de seguridad son pasos cruciales para construir una postura de seguridad resistente.
Observación y revisión de los registros
A pesar del prolongado acceso del ciberdelincuente, sus actividades pasaron desapercibidas debido a la falta de revisiones periódicas de los registros. La monitorización continua y el baselining del comportamiento del sistema son fundamentales para detectar anomalías. El ciberdelincuente no utilizó técnicas sofisticadas para cubrir sus huellas, sino que la falta de observación le permitió pasar desapercibido.
La revisión periódica de los registros y la supervisión en tiempo real son componentes esenciales de una estrategia de seguridad sólida. Los sistemas de gestión de eventos e información de seguridad (SIEM) pueden ayudar agregando y analizando datos de registro de diversas fuentes, lo que permite a los equipos de seguridad detectar y responder a actividades sospechosas con prontitud.
La experiencia de Stoll pone de relieve la importancia de comprender el comportamiento normal del sistema y reconocer las desviaciones. Establecer líneas de base para el tráfico de red, la actividad de los usuarios y el rendimiento del sistema puede ayudar a identificar posibles incidentes de seguridad en una fase temprana. Las herramientas automatizadas y los algoritmos de aprendizaje automático pueden ayudar a detectar anomalías, pero la supervisión humana y la experiencia siguen siendo esenciales.
Revisión de cuentas predeterminadas y no utilizadas
El atacante accedió inicialmente a los sistemas utilizando cuentas predeterminadas con contraseñas por defecto y cuentas antiguas con contraseñas débiles. La actualización periódica de las contraseñas, la eliminación de las credenciales por defecto y la desactivación de las cuentas no utilizadas pueden evitar este tipo de infracciones. El uso de cuentas y contraseñas por defecto es un riesgo de seguridad bien conocido, pero sigue siendo un problema común.
Las organizaciones deben aplicar políticas de contraseñas seguras, imponer cambios periódicos de contraseña y utilizar la autenticación multifactor (MFA) para mejorar la seguridad. Las cuentas predeterminadas deben desactivarse o renombrarse, y las cuentas no utilizadas deben eliminarse rápidamente. Es necesario realizar auditorías periódicas de las cuentas de usuario y los permisos de acceso para garantizar que sólo los usuarios autorizados tienen acceso a los sistemas críticos.
La investigación de Stoll reveló que muchos sistemas estaban en peligro simplemente porque no se habían protegido las cuentas por defecto. Esta lección sigue siendo relevante hoy en día, ya que el uso de credenciales débiles o por defecto sigue siendo un vector de ataque común. La implantación de prácticas sólidas de gestión de identidades y accesos (IAM) puede reducir significativamente el riesgo de acceso no autorizado.
Concientizar y formar sobre buenas prácticas
Uno de los temas subyacentes en la historia de Stoll es la falta de concienciación y comprensión de los riesgos de ciberseguridad entre muchas de las personas con las que interactuó. Esta falta de concienciación permitió al atacante explotar vulnerabilidades que podrían haberse mitigado con una formación y concienciación adecuadas.
Las organizaciones modernas deben dar prioridad a los programas de concienciación y formación en ciberseguridad para todos los empleados. Comprender la importancia de las medidas de seguridad, reconocer los intentos de phishing y seguir las mejores prácticas para la protección de datos son habilidades esenciales para todos en una organización.
La experiencia de Stoll subraya la necesidad de una cultura de la seguridad en las organizaciones. Las sesiones de formación periódicas, los simulacros de phishing y las campañas de concienciación pueden ayudar a inculcar entre los empleados una mentalidad que dé prioridad a la seguridad, reduciendo el riesgo de error humano y aumentando la resistencia general de la seguridad.
Conclusión
"The Cuckoo's Egg" es un relato convincente que mezcla intriga, espionaje y ciberseguridad. Subraya la importancia de las prácticas de seguridad meticulosas, las pruebas continuas y la documentación detallada. La lección clave es clara: la perfección en seguridad es inalcanzable, pero esforzarse por alcanzar la excelencia puede mitigar los riesgos de forma significativa.
El viaje de Clifford Stoll, que pasó de ser un administrador de sistemas reacio a convertirse en un héroe de la ciberseguridad, ofrece lecciones intemporales para los profesionales de la seguridad de hoy en día. Su historia sirve como recordatorio de que la curiosidad, la persistencia y un enfoque metódico son rasgos inestimables en la lucha contra las ciberamenazas.
Para cualquiera que trabaje en el campo de la ciberseguridad, "The Cuckoo's Egg" es un testimonio de la importancia de la diligencia, la curiosidad y la atención inquebrantable a los detalles. Las lecciones aprendidas de la experiencia de Stoll son tan pertinentes hoy como lo fueron en los años ochenta, haciendo hincapié en la necesidad de la mejora continua, las medidas de defensa proactivas y el compromiso con la excelencia en materia de seguridad.
En conclusión, este es más que un libro; es una llamada a la acción para que los profesionales de la ciberseguridad permanezcan vigilantes, documenten meticulosamente y nunca se vuelvan complacientes. Mientras seguimos enfrentándonos a amenazas y retos cambiantes, los principios destacados en la historia de Stoll seguirán guiándonos para desarrollar un entorno más seguro.