15 ene. 2017

Un hacker en Corea (III)

Este post fue originalmente publicado en ElevenPaths como parte de una serie de artículos que cuentan los 3 meses que viví en Corea del Sur, estudiando Ciberseguridad en la Universidad de Corea.

Continúo con la historia de mis aventuras en Corea (I, II), si se me permite el desatino de llamar "aventura" a tres meses de saciar mi curiosidad con respecto a una cultura milenaria y a sus grandes avances en tecnología.

Cuando llegué a Corea, una de las primeras cosas que descubrí es la importancia que los coreanos le dan al número “1”. En un país donde Google y Whatsapp no son primeros (ni segundos), ser el “1” es un tema de debate serio. Los coreanos están primeros en muchas cosas como el nivel de conectividad, la cantidad de transacciones con tarjeta de crédito, la velocidad de Internet, la cobertura 4G; y también en su adicción al trabajo y al Soju/Sochu, un licor tradicional destilado del arroz.
Seguramente se quedaron pensando sobre el buscador… En Corea, las primeras opciones para buscar información son Naver y Daum, mientras que el mensajero por excelencia es Kakao Talk. Una demostración más, lo que damos por válido y sabido en occidente, de poco nos sirve después de pasar los Montes Urales y el Paralelo 38, uno de los motivos principales de mi viaje y del que hablaré en extenso en el próximo y último artículo (el bonus track de esta serie).

Si de ser primero se trata, Corea tampoco es ajeno al cibercrimen, siendo muy altas las tasas de infección con malware financiero ya sea en computadoras o móviles, así como la propagación de APT (Amenazas Persistentes y Avanzadas) dirigidas a entidades gubernamentales.

Las APT tienen un papel relevante y, como ya mencioné en la primera parte, la utilización masiva de Windows e Internet Explorer no ayuda a solucionar el problema. Desde finales de los 90, han existido varios casos de Windows Zero-Day y vulnerabilidades explotadas en ActiveX que han afectado a cientos de miles de usuarios, estaciones de radio y televisión, bancos, ATM, e infraestructuras críticas. En este último se enmarcan las Operaciones Kimsuky y DarkSeoul una serie de ataques en los cuales se utilizó malware contra servidores y usuarios de Korea Hydro and Nuclear Power (KHNP), la cual opera 23 reactores nucleares y varias centrales hidroeléctricas del país.

La seriedad de estos ataques remotos, lograron elevar el nivel de alerta DefCon -heredado de EE.UU., su principal socio económico y militar- de 3 a 5 y llevó a Corea a desarrollar su CyberSecurity Enhancement Measures, demostrando una vez más que se puede aprender de los errores.

Los índices de creación de malware e infección, así como la posibilidad de ataques dirigidos son tan altos que, incluso en 2012 nació la serie de televisión Ghost para concienciar sobre los problemas en la red. Esta serie, que también trata temas tan escabrosos como el Gromming y el acoso escolar, contó con la colaboración de la Unidad de Cibercrimen de la Policía de Korea y desde ese momento se publican los Índices Nacionales de Cibercrimen.

Todo lo mencionado, hace que organizaciones que pude conocer durante mi estadía consideren los siguientes puntos como fundamentales:
  • Instalación de dispositivos de detección y bloqueo de aplicación dañinas, como firewall, IDS, IPS, Anti-DDoS, etc. Muchas de las herramientas utilizadas son desarrolladas localmente en Corea, por ejemplo, por la empresa Igloo Security y, tal vez la más conocida en occidente, AhnLab Security. Con respecto a servicios Anti-DDOS no es extraño encontrar la tecnología de Arbor que, al igual que en Telefonica y ElevenPaths se utilizan para crear escudos Anti-DDOS desde la red.
  • Instalación de dispositivos y aplicaciones de control de APTs. En este caso no existe una discusión sobre la conveniencia de su instalación, es un hecho como lo es el backup, un sitio de contingencia o la instalación de un antivirus tradicional.
  • Inspección profunda de paquetes para determinar su origen y posibles amenazas. Un ejemplo sencillo: cada SMS enviado es analizado por las compañías de comunicaciones para determinar si contiene una URL y su nivel de riesgo para el destinatario. En el caso de detectar algún tipo de amenaza, se bloquea (el SMS y la URL) a nivel nacional a través de una red de colaboración en donde intervienen varias organizaciones públicas y privadas, ya mencionadas en mi primer artículo. Por eso, en ElevenPaths hemos desarrollado Tacyt, que permite analizar millones de aplicaciones móviles dañinas y que suscriben a la víctima a servicios SMS Premium.
  • Análisis forense del malware detectado localmente. En este caso la responsabilidad recae en los expertos del Laboratorio de KISA, una de las organizaciones públicas responsables de la seguridad de las comunicaciones en Corea. Una vez más, los hallazgos (firmas, detección heurística, patrones de comportamiento, etc.) son compartidos con el resto de los interesados.
  • En algunos casos, cuentan con una línea de ayuda telefónica por problemas relacionados con el malware (no, no es broma). El tema de la colaboración me lleva a mencionar otro aspecto fundamental en la lucha contra el cibercrimen: la cooperación internacional y la cooperación público privada. Por ejemplo, la alianza estratégica de ElevenPaths con Europol y que nuestro CEO, Pedro Pablo Pérez, represente a Telefónica en la Organización Europea de Ciberseguridad (ECSO), son iniciativas en este sentido.
"Es fácil ver las consecuencias de un ataque, pero es difícil saber qué y cómo sucedió, además de intentar determinar quién y cómo lo hizo". Es necesario que los países definan sus ciberestrategias en conjunto con los demás estados; un esfuerzo individual es poco más que nada. Actualmente, United Nations Group of Governmental Experts (GGE) está trabajando en un protocolo/framework internacional de actuación para tratar cualquier tipo de incidente que involucre un incidente digital y Corea del Sur colabora con el mismo debido a los "problemas" con sus vecinos.

Finalmente, me sorprendió la cantidad de papers publicados por investigadores coreanos. Advertir este punto me sirvió para mejorar mis búsquedas (en Naver y Google) cuando hago investigación sobre temas poco comunes, que van más allá de un buzzword y que están fuera del foco de atención público. Algunas lecturas recomendadas de mis profesores: Gabi’s World, Cryptographic Lab, Cybercrime Tech, Human Behavior.

En la última parte de nuestro recorrido por Corea, contaré algunas curiosidades de los lugares turísticos y de interés que visité; entre ellos la ya mencionada Isla Jeju y la famosa DMZ (Zona Desmilitarizada) (ubicada en el Paralelo 38), que actualmente sirve de división política con Corea del Norte y que dio origen al popular término que todos conocemos cuando hablamos de networking.

Un hacker en Corea (y IV)

Lic. Cristian Borghello, CISSP-CCSK-MVP
ElevenPaths Argentina

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!