Archivo de la etiqueta: definiciones

Podcast – 39 – Deep Packet Inspection

El capítulo de hoy ha surgido tras atender una charla comercial vía videoconferencia donde el presentador repetía una y otra vez la gran capacidad de Deep Packet Inspection de su solución. Pero, ¿seguro qué sabía lo que es, en realidad, Deep Packet Inspection?

Fuente imagen: AltenCalSoftLabs

Técnicamente hablando la denominación Deep Packet Inspection, que ha ganado bastante fuerza en el mundillo comercial y del marketing, debe utilizarse para una familia de técnicas de análisis de tráfico en el que lo que se examina no es la cabecera sino la información enviada en el paquete de datos.

Un firewall tradicional, de lo que sólo miran la tupla clásica (es decir, IP origen/destino, los puertos origen y destino; y el protocolo utilizado) tiene suficiente con mirar las cabeceras para tener toda la información necesaria para realizar su trabajo, así que estos equipos no revisan el campo de datos de los paquetes IP que gestionan. En cambio, los actuales firewalls con capacidad de seguimiento de protocolos, o lo que comercialmente se llama Next Generation Firewall, al analizar el comportamiento del protocolo necesitan analizar el campo de datos de los paquetes para tener la información necesaria. Por ejemplo, un Next Generation Firewall al gestionar el protocolo FTP permite la primera conexión al puerto 21 y luego analizará esa conexión para saber qué puerto aleatorio se ha elegido para empezar la transmisión. Así el firewall permitirá una conexión en un puerto aleatorio que, en situación normal no hubiera permitido.

Otros ejemplos clásicos son los sistemas de seguridad WAF o IDS/IPS, ya que su función es precisamente analizar las peticiones que llegan a los sistemas y revisa si las solicitudes son correctas o malintencionadas. Así que estos sistemas deben revisar el campo de datos de los paquetes y datagramas que circulan por la red.

Los proxies de navegación pueden parecer un ejemplo claro de inspección de profunda de paquetes, ya que su función es revisar las direcciones web consultadas para poder aplicar las políticas definidas por los administradores (control de acceso, categorización, etc.), su inclusión o no dentro de esta categoría en función de la arquitectura de uso. Es decir, si en nuestra empresa tenemos un proxy de navegación conocido por todos y nuestros sistemas operativos están configurados para utilizarlo, no podemos considerar que ese proxy entre dentro de la categoría ya que no se está analizando el tráfico de la red, sino que se lo enviamos conscientemente. Aquí tenemos una comunicación cliente-servidor tradicional. Si configuramos un proxy de navegación transparente que capture el tráfico sin que el cliente lo sepa, sí que entraríamos en nuestra categoría: tenemos un equipo no detectado por cliente o servidor que analiza los campos de datos y no sólo la cabecera.

Obviamente las capacidades de obtención de información de análisis los sistemas de Análisis Profundo de Paquetes son muy útiles en funciones de seguridad y, por ello, se utilizan mucho, pero la próxima vez que un comercial os cante las bondades de la Deep Packet Inspection.. preguntadle qué hace exactamente su sistema y porqué es novedoso… porque muchas veces las técnicas de recolección de datos son las mismas y lo que cambia de una solución a otra es cómo trata la información y qué hace con ella.

Podcast – 29 – WAF

En el capítulo de hoy hablaremos sobre los Web Applicaton Firewall (o simplemente WAF). La traducción al castellano podría ser «Cortafuegos para aplicaciones web», si bien este nombre no lo he visto nunca… y como en la gran mayoría de conceptos tecnológicos se usa el nombre o acrónimo inglés.

Micro con feed

Fuente imagen:PerfectYourPodcast

Los firewall (cortafuegos) permiten o bloquean el tráfico en función de su origen, destino o protocolo utilizado, mientras que un IDS/IPS realiza un análisis de la información transmitida para ver su es legítima o un posible ataque. Así vemos que como la función del WAF es precisamente analizar tráfico web, habría que identificar los sistemas WAF como una subcategoría de los sistemas IDS/IPS. Por esto podemos indicar que la palabra Firewall en el nombre de este sistema no es muy adecuada.

Los WAF analizan las peticiones y respuestas HTTP que gestiona una aplicación web. Así es posible buscar patrones de posibles
ataques que busquen aprovecharse de una vulnerabilidad de nuestro sistema web. Generalmente los fabricantes incorporan firmas genéricas para detectar los tipos de ataque más genéricos (inyecciones SQL, ataques XSS, etc.) En general aquellas amenazas que siempre salen en los informes OWASP. Aunque estas firmas genéricas suelen funcionar bastante bien, la potencia de un WAF se demuestra cuando su administrador adapta o crea nuevas firmas especificamente pensadas para los sistemas web a los que da servicio. La gran adaptabilidad es, simultáneamente, su fuerza y su punto débil ya que afinar un WAF implica un conocimiento importante de los servicios web a los que protege de tal forma que se puedan crear las firmas de patrones necesarias para detectar un posible ataque específicamente en nuestra web, usando las variables de la aplicación, etc.

Podcast – 29 – WAF

Podcast – 26 – Adware

En este capítulo hablaremos sobre la estrategia de algunos malware para conseguir beneficios económicos al mostrar publicidad a los usuarios: el adware.

Micro con feed

Fuente imagen:PerfectYourPodcast

El adware puede ser una estrategia comercial en la que un desarrollador publica su software de forma gratuita a cambio de que el usuario vea anuncios mientras lo esté utilizando. Aquí el desarrollador espera tener un beneficio económico gracias a la visualización de dichos anuncios por parte del usuario de su programa. Este enfoque ha tenido una gran expansión en las aplicaciones móviles donde los usuarios puedes descargarse y usar las aplicaciones de forma gratuita mientras una porción de su pantalla muestra un anuncio o se ve un anuncio al arrancar o al cambiar de pantalla, etc.  Así pues el adware como estrategia de comercialización no tiene implicaciones en el mundo de la seguridad informática.

Cuando hablamos de adware en seguridad informática nos referíamos a aquel software que muestra anuncios no previstos a los usuarios.

Hace una década, antes de la aparición de los smartphones el adware más habitual era uno que simplemente hacia aparecer una ventana emergente con un anuncio en nuestro pantalla. Por regla general solían incluir audio y la gran mayoría eran de contenido erótico o bien de portales de descargas. Era la principal fuente de ingresos de esas páginas de descarga de programas piratas que nadie se descargaba pero todo el mundo tenía. Así pues podríamos decir que la mayoría eran troyanos. Como el sistema anterior era muy visible, la mayoría de usuarios acabó instalándose un sistema antimalware y realizaba una limpieza de sus ordenadores por lo que la estrategia dejó de ser eficiente desde el punto de vista económico.

Malware tipo adware

Adware. Fuente imagen: HowTouninstallMallware

Actualmente los sistemas de adware han evolucionado para que los usuarios no sepan que los tienen instalados y, por lo tanto, no los eliminen. Su operativa actual suele ser sustituir los anuncios que el usuario ve en una página web por los asociados al atacante. Así cuando  accedemos a nuestro blog favorito (que sabemos que tiene publicidad) y vemos los anuncios no nos sorprendemos. Aquí el perjudicado no es el usuario final (que al fin y al cabo ve un anuncio  donde espera que esté) sino el dueño de la página visitada que no contabiliza su anuncio sino el del atacante. Otra variante puede consistir en mostrar un anuncio no solicitado a pantalla  completa al acceder a una página web: aquí el usuario se suele molestar con la página visitada pensando que «se pasa» con este tipo de anuncios cuando en realidad la web no tiene nada  que ver y el responsable es el adware que tenemos instalado en nuestro terminal móvil.

Podcast – 26 – Adware