12 abril 2014

"Intrusion Prevention Systems" y "Modern Malware" for Dummies




Seguramente todos conocemos la serie de libros “For Dummies”, que podemos encontrar en cualquier librería y con temáticas muy variadas.

El año pasado, Alex nos hablaba y enlazaba un montón de ejemplares de Libros for Dummies específicos sobre Seguridad  

Curiosamente, en las dos últimas ediciones del Congreso de Seguridad español RootedCon, dos patrocinadores del evento regalaban dos de estos libros en papel: “Intrusion Prevention Systems” for Dummies y “Modern Malware” for Dummies, respectivamente en las ediciones de 2013 y 2014. 

Pasamos mucho tiempo devorando PDFs, y de vez en cuando, me gusta recordar cómo se siente  eso de usar libros en papel. 

Aunque ambos libros no pasan de las 70 hojas, os hago un resumen rápido de cada uno:

“Intrusion Prevention Systems” for Dummies, en su momento estaba patrocinado por Sourcefire, un fabricante de IPS basado en Snort.

En los primeros capítulos habla de topología de red, y nos ayuda a entender las diferencias entre IDS e IPS, así como dónde debe colocarse cada tipo de dispositivo, y las capacidades de cada uno, así como las diferencias teóricas entre NIDS/HIDS o NIPS/HIPS. Igualmente, indican las posibilidades de análisis de tráfico en entornos virtualizados, cloud, así como las diversas normativas internacionales (SOX, PCI-DSS, HIPAA, SAS70, etc,…) que requieren que haya un despliegue de IPS que analicen el tráfico. 

También habla de los diferentes motores existentes para detectar/prevenir ataques utilizados por los principales fabricantes, y lo bien que se adaptan a todos los tipos de malware, APT y detección de Zero-Days. No puedo evitar sonreir y leer con un cierto escepticismo estas cosas cuando ves la cantidad de organizaciones afectadas por vulnerabilidades de tipo Zero-Day que han tenido, más que seguro, despliegues de IPS. 

Que no se me malinterprete por lo que he dicho anteriormente. Por supuesto, no puedo dejar de recomendar que haya configuraciones mixtas de IDS e IPS en las organizaciones, puesto que ayudarán a detectar anomalías, bloquear de forma efectiva muchos ataques, y servir como muy buenas fuentes de información por los logs generados, al hacer un análisis forense, si hay un incidente, pero hay que tener claro que no son efectivos al 100%.

Quiero destacar algo que se menciona en esta obra, con lo que, en mi opinión, estoy de acuerdo pero parcialmente. Típicamente, y por la localización donde va cada dispositivo de seguridad, está claro que un IDS analiza una copia del tráfico y un IPS sobre el tráfico original, pudiendo bloquear lo que considere un ataque. Sin embargo, se dice en este libro, que un IDS sólo permite detectar un ataque y no tomar decisiones de bloqueo de dicho tráfico. Originalmente, esto se pensó así, pero el autor no ha tenido en cuenta la posibilidad que tienen (o tenían algunos IDS como ISS, en su día) de enviar un TCP RST al origen y al destino del ataque detectado. Recuerdo que hace años, en un ISP en el que trabajamos Yago y yo, protegimos del malware MyDoom, los servidores de correo a través de los que se transmitía esta joya. Importamos las reglas SNORT en ISS mediante lo que se conocía como reglas TRONS (SNORT al revés) y disponíamos de una interfaz de red con pila TCP/IP que construía y enviaba paquetes con el flag RST activo, de forma cruzada, spoofeando el origen. Otra opción es que aquellos firewalls que permitan interacción desde otros dispositivos, ya sea por API o por un protocolo bastante antiguo llamado OPSEC, se puede indicar como reacción al IDS que así lo haga.

De complementar funcionalidades de los IPS con WAF (Web Application Firewall) no se habla en este libro.

En mi opinión, por el tiempo que se invierte en leer menos de 70 hojas, merece la pena. Si más o menos el lector se abstrae de cosas enfocadas al fabricante que lo patrocina, para personas que se estén iniciando en el mundo de la seguridad, o reciclando de otros sectores, y que nos soléis preguntar por dónde empezar, es un buen complemento a la formación sobre seguridad perimetral  


 “Modern Malware” for Dummies, patrocinado por Palo Alto, fabricante de UTMs

Este libro, que también recomendó hace una semana nuestro amigo 1gbdeinfo en su blog, sí que lo veo de muchísimo más valor que el anterior. Se habla de diferentes maneras por las que se puede introducir el malware en las redes, que ya no está escrito generalmente por gente ávida de fama, sino por gobiernos, agencias de inteligencia, mafias y grupos organizados de individuos que con motivación, financiación y recursos son capaces de saltarse muchos de los mecanismos de protección actuales. Igualmente se explica diferentes técnicas típicamente utilizadas en malware y botnets, como cifrado y ofuscación, así como el uso de “covert channels” para comunicarse al exterior con su creador, de forma “invisible” o al menos muy complicada de detectar. 
Obviamente, hay un capítulo destinado a explicar cómo un Next Generation Firewall es capaz de ayudar a controlar este tipo de amenazas. 


Sin darle el mismo sesgo que al anterior, lo he visto bastante interesante y muy recomendable para tener cierta cultura sobre esta temática. En menos de 70 páginas no se puede terminar con unos enormes conocimientos, pero se hace bastante agradable de leer.   

7 comments :

Bruno Cardenas Cyberoff dijo...

quien fue el creador ?

Security By Default dijo...

Buenas Bruno,

El programador que incluyó el código vunerable se llama Robin Seggelmann

Tienes más información si lo buscas en Google ya que salieron varios artículos sobre él, por ejemplo: http://www.businessinsider.com/robin-seggelmann-regrets-introducing-heartbleed-error-2014-4

pepe dijo...

son kB, no kb

Iván. dijo...

Lo normal sería no tener la última versión en entornos de producción ( en este caso la 1.0.1.* ). Lo normal sería tener la 1.0.0.* ( ya no te digo la 0.9.8.... ).

Madrikeka dijo...

No estoy de acuerdo contigo, irnos a la versión 1.0.0, implicaría tener un entorno de producción sin actualizar entre 1 y 2 años, dependiendo de la versión que gastes y tampoco es bueno estar tanto tiempo sin actualizar.


Un saludo.

Iván G. G. dijo...

Un entorno de producción en condiciones es inviable actualizarlo de versiones cada año o cada 2 años. Y que tengas una versión estable, no tiene nada que ver a que no tengas actualizaciones..

Santos Guerra dijo...

1 vs los miles del software propietario?