Hackear protocolos propietarios con tiburones y pandas


La raza humana comúnmente teme lo que no comprende. En tiempos de guerra, este miedo es aún mayor si un lado comprende un arma o tecnología que el otro no comprende. Hay una guerra constante que plaga la ciberseguridad quizás no solo en ciberseguridad, sino en el mundo que nos rodea es una batalla entre el bien y el mal. En seguridad cibernética, si el lado «malo» comprende o presta más atención a una tecnología que el lado «bueno», vemos un aumento en los ataques cibernéticos.

Este curso de los acontecimientos exige que los «buenos» de mentalidad ofensiva y defensiva se unan para eliminar lo desconocido de la mayor cantidad de tecnología posible. Una de las piezas de tecnología desconocidas más comunes en ciberseguridad que los profesionales ven con regularidad son los protocolos propietarios que se ejecutan en sus redes. Al utilizar tanto las tácticas como las perspectivas de los equipos rojo y azul, es posible conquistar y comprender estos paquetes previamente desconocidos. Esta estrategia es exactamente lo que nosotros, Douglas McKee e Ismael Valenzuela, esperábamos comunicar en nuestro webinar. «Pensar en rojo, actuar en azul: piratería de protocolos patentados».

Los protocolos patentados suelen ser un misterio para muchos profesionales. Los proveedores de muchas industrias los desarrollan para propósitos y tecnologías muy específicos. Los vemos en todo, desde World wide web de las cosas (IOT), hasta los sistemas de controles industriales (ICS), dispositivos médicos y más. Dado que, por su naturaleza, la tecnología “patentada” no se comparte, generalmente no existe una Solicitud de Comentarios (RFC) pública o una divulgación pública sobre cómo funcionan. Esto brinda una oportunidad para los atacantes y un desafío para los defensores. Los atacantes son conscientes de que estos protocolos de pink se revisan menos y, por lo tanto, son más susceptibles a las vulnerabilidades, mientras que los defensores tienen dificultades para comprender cómo es el tráfico válido o benigno. Desafortunadamente, los atacantes generalmente están más motivados económicamente para invertir el tiempo que los defensores, ya que las recompensas pueden ser muy sustanciales.

Durante el seminario internet, discutimos un enfoque de dos puntas para abordar estos protocolos desconocidos con el objetivo de una comprensión más profunda de estos datos. El propósito de un equipo rojo puede ser buscar vulnerabilidades, mientras que un equipo azul puede estar más interesado en detectar o marcar comportamientos inusuales en este tráfico. Discutimos cómo esto se puede lograr a través de la inspección visible usando Wireshark para comparar el tráfico en múltiples conversaciones, y complementamos este análisis con bibliotecas de Python como pandas, numpy y matplotlib, para la exploración y visualización de datos.

Por ejemplo, considere los paquetes en las capturas de Wireshark uno al lado del otro en la Figura 1. Un lector astuto puede notar que los paquetes UDP están espaciados uniformemente entre sí dentro del mismo PCAP, pero espaciados de manera diferente entre pcaps.

En el análisis de protocolo esto puede indicar el uso de un paquete de estado o “latido”, que puede contener algún tipo de datos donde el intervalo que se envía se negocia para cada conversación. Hemos visto esto como un rasgo común en los protocolos propietarios. Esto puede ser difícil de discernir para un profesional de ciberseguridad con una pequeña cantidad de datos, pero podría ser muy útil para un análisis más detallado. Si importamos los mismos datos en marcos de datos de pandas y agregamos visualizaciones de matplotlib a nuestro análisis, el comportamiento se vuelve mucho más claro como se ve en la Figura 2.

Al utilizar la perspectiva de la ingeniería inversa de un investigador de vulnerabilidades combinada con el conocimiento del análisis de datos de un defensor, podemos fortalecer y comprender más rápidamente lo desconocido. Si le interesa este tipo de análisis técnico profundo de protocolos propietarios, le recomendamos que consulte el registro de nuestra presentación a continuación. Hemos hecho públicos todos nuestros recursos sobre este tema, incluido el código pcaps y python en un Jupyter Notebook, que se puede encontrar en Github y Aglutinante. Es importante como industria que no cedamos al miedo a lo desconocido o simplemente ignoremos estos paquetes de aspecto extraño en nuestra red, sino que nos inclinemos para comprender los desafíos de seguridad que pueden presentar los protocolos propietarios y cómo protegernos contra ellos.

(incrustar) https://www.youtube.com/observe?v=-69E86PnJHM (/ incrustar)





Enlace a la noticia initial