Descubre el Ecosistema IT [Information Technology] y todo sobre Inteligencia Artificial

Home » NETWORKING & MOBILE » ¿Super Bowl o Super Bot?
NETWORKING & MOBILE

¿Super Bowl o Super Bot?

by José Zegarra
by José Zegarra 7 minutes read
A+A-
Reset

Por: Jai Balasubramaniyan, Director de Gestión de Productos de Seguridad de Gigamon

Ciudad de México, 10 de febrero del 2016.— Millones de dólares se invirtieron en soluciones de seguridad en el perímetro —Firewalls, IPS, VPNs y mucho más. La inversión no sólo fue en términos tecnológicos sino en tiempo, ya que se dedicaron meses enteros en investigar y reuniones con fabricantes, para revisar cada aspecto de la seguridad informática, para evitar ataques de ciber criminales y hackers con gran capacidad de operación.

El Juego

En el estadio Levi’s, los organizadores del Super Bowl implementaron una enorme red inalámbrica compuesta de 13,000 Access Points Wi-Fi (AP) debajo de los asientos del estadio, para soportar la conectividad del Internet de más de un millón de fanáticos. Si esto tiene grandes ventajas por diferentes razones, la desventaja es que la probabilidad de que todos los fans estén conectados a una red legítima es mínima.

Tomar nota. Si los fans están conectados a redes fraudulentas, los atacantes están listos y esperando para obtener pleno acceso de sus conexiones para lanzar una variedad de ataques que podría incluir:

  • Man-in-the-Middle: El atacante podría empezar por lanzar un ataque man-in-the-middle. El truco atrae a los fanáticos del Super Bowl para conectarse a un AP ilícito que pudiera ser configurado como un AP suave en la computadora de un atacante haciéndose pasar por el verdadero. Una vez que la víctima se ha conectado, el atacante podría conectarse al verdadero AP del Super Bowl y obtener acceso a un flujo constante de tráfico de la víctima que fluye a través del ordenador de craqueo transparente a la red real. El atacante puede rastrear del tráfico el nombre de usuario, contraseñas, números de tarjetas de crédito, etc. Con un software gratuito como LANjack y AirJack, este tipo de ataque se está haciendo cada vez más popular.
  • Negación de servicio (DoS): Un ataque DoS ocurre cuando un atacante bombardea continuamente un AP válido o una red con peticiones falsas, mensajes de conexión con éxito prematuro, mensajes de error y / u otros comandos. Esto desactiva a los usuarios legítimos de conectarse a la red y podría causar accidentes de red en casos extremos. Como los usuarios legítimos no puedan llegar a la red inalámbrica, las posibilidades de conexión a un AP ilícito se vuelven cada vez más altas.
  • BOT´s: La primera orden del día para cualquier BOT es conectarse a su servidor de comando y control (o bot master), que ordena a los sistemas hacer lo que desees. Si los usuarios están conectados a un AP ilícito, el atacante (sentado en el medio de ellos y el AP real) puede dirigirlos a ciertas páginas web e instalar el software malicioso, incluyendo los BOT, en sus equipos. Esto luego le da un control completo del equipo, por lo que los ordenadores infectados por bots también se les conocen como «zombis». Hay literalmente cientos de miles de tales equipos en Internet, infectados con algún tipo de bot y a espaldas de la mayoría de los usuarios. Usted puede contar con legiones de tales «PC zombis» y activarlos para ejecutar ataques de negación de servicio contra sitios web, los ataques de hot phishing, o simplemente enviar miles de correos electrónicos de spam, todos a un precio módico. Pregunte a su amigable vecino convertido en hacker empresario. Por desgracia, si alguien fuera a rastrear la fuente del nuevo ataque, todo lo que encontrara es una víctima involuntaria y no el verdadero atacante.

¿El juego terminó?

El domingo del Super Bowl, cientos, si no miles, posiblemente de puntos finales infectados se conectaron al Internet y, potencialmente, su mando y control del servidor de información exfiltrante, participó en ataques de negación de servicio, e inicio de los ataques de phishing.

Mientras se infecte en lugares como el Super Bowl es a veces inevitable, lo más importante es cómo reaccionar. Hoy en día la seguridad es menos acerca de la prevención de la violación y más acerca de una mejor detección, contención con más fuerza, y la recuperación más rápida.

Si usted es el administrador de un estadio, es extremadamente importante tener la visibilidad de los puntos finales de la red y el comportamiento de la red, como conectarse a sitios maliciosos, con el fin de detener el daño antes de que sea demasiado tarde. Es igualmente importante entender que los ataques no terminaron cuando el Super Bowl lo hizo.

El lunes por la mañana, todos estos aficionados al fútbol regresaron al trabajo, trayendo y conectando sus dispositivos potencialmente infectados a las redes corporativas. Al igual que con la mayoría de las piezas sofisticadas de malware (también llamada Advanced Persistent Threats or APTs), después de haber ganado el punto de apoyo y hecho del compromiso inicial, las siguientes etapas del ciclo de vida del atacante comenzarán a desplegarse. Los atacantes pueden:

  • Establecer un punto de apoyo donde plantan software de administración remota en la red de la víctima, crear puertas traseras que permiten el acceso de red furtiva a su infraestructura.
  • Escalar privilegios en los que utilice hazañas populares y descifrado de contraseñas para adquirir privilegios de administrador sobre el ordenador de la víctima y tratar de ampliarlo a administrador de cuentas de dominio de Windows, así como otras cuentas de usuario
  • Llevar a cabo el reconocimiento interno por recolección de información sobre todos los nodos de la red, topologías de red, las relaciones de confianza, la estructura de dominio de Windows, etc.
  • Moverse lateralmente para ampliar el control a otras estaciones de trabajo, servidores y elementos de infraestructura y, a continuación, realice la recolección de datos sobre ello.
  • Mantener la presencia para asegurar un control continuo sobre los canales de acceso y credenciales adquiridas en los pasos anteriores permitiéndoles regresar para futuros robos de datos
  • Completar la misión. Exfiltración de datos robados de la red de víctima a través de uno o más sistemas conectados a Internet haciendo todo lo posible para evitar ser detectados.

Plan de juego

Así que ahora está consciente. Pero, ¿qué se puede hacer?

Soluciones de visibilidad de Gigamon pueden jugar un papel clave tanto en la estrategia de pre-y post-juego. Para un administrador de la red del estadio y la seguridad, la Plataforma de Distribución de Seguridad de Gigamon (SDP) podría ayudar a revelar todos los accesos al tráfico de Internet malicioso de un estadio. Al hacer uso de partes críticas de una infraestructura de red, el Gigamon SDP proporciona visibilidad al tráfico desde las redes físicas y virtuales y alimenta los dispositivos de seguridad con el tráfico precisa que necesitan.

Gigamon se especializa en:

  • toma de tráfico de los enlaces de red multi-concierto de alta velocidad
  • realizar manipulaciones de tráfico muy necesarias
  • resumir registros de flujo
  • la extracción de flujos de intereses de seguridad y metadatos útiles
  • descifrar el tráfico SSL
  • y, por último, la redistribución de ellos a los dispositivos de seguridad más lentos sin pérdida de fidelidad.

Sin Gigamon, muchos dispositivos de seguridad serían incapaces de soportar la avalancha de datos que les arrojaron-aunque en realidad eran capaces de detectar amenazas. La seguridad siempre ha sido sobre la búsqueda de la aguja en un pajar y Gigamon ayuda a proporcionar más de aguja y menos de heno para los dispositivos de seguridad.

Por otra parte, si le sucede que tiene una gran cantidad de dispositivos infectados que hacen estallar su red, Gigamon puede proporcionar una visibilidad completa de la cadena completa para matar APT. Antes de convertirse en un objetivo de una violación de datos, los puntos finales infectados explorarán la red para llevar a cabo el reconocimiento interno y el malware intentarán propagarse lateralmente a otros sistemas. Si las conexiones peer-to-peer iban a aparecer de repente entre el ordenador y sus compañeros de cubo adyacentes, muchos sistemas de seguridad simplemente se pierden el incidente ya que no está mirando profundamente dentro de la red interna.

Esa es la diferencia de SDP de Gigamon, que puede entregar el tráfico de la red interna a todo el ecosistema de seguridad para ayudar a detectar y localizar este tipo de ataques. Si una ráfaga de attempts se hacen para acceder a los servidores Web de una organización o acceder a sitios maliciosos, los metadatos de seguridad proporcionadas por Gigamon SDP, que contiene las solicitudes de DNS o direcciones URL Web y los códigos de error, podrían proporcionar una alerta temprana a los administradores del sistema en busca de este tipo de anomalías.

Vale la pena señalar: sin proveedor de seguridad solo se pueden evitar, los ataques dirigidos avanzados y remediar una amenaza, una vez rota. Una seguridad fuerte depende de un ecosistema de socios para romper la cadena de destrucción en todos los eslabones. Reconocemos esta dependencia y así, también, los hacemos nuestros socios. Nuestros esfuerzos en la creación de GigaSECURE, primera plataforma de distribución de seguridad de la industria, ha dado lugar a un amplio apoyo de prácticamente todos los proveedores de seguridad líderes en la industria. Juntos, esperamos ganar la pelea.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Puntuación media 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

You Might Be Interested In
Spread the love

El Sr. José Zegarra Malatesta ostenta la especialidad de Diseñador Multimedia, en entornos WP en Apple Macintosh, Plataforma Adobe CC y es Web Máster en la Plataforma WordPress en PC, Mac y dispositivos móviles, iOS y Android. El Sr. Zegarra aparte de ser el fundador en 1998 de la Revista IT/USERS®, también es el Diseñador de su propia revista y Creador de su propio sitio web.

You may also like

AMD y HPE avanzan hacia la nueva era...

Huawei impulsa conectividad rural con soluciones innovadoras |...

AFIN propone medidas urgentes para reforzar seguridad y...

Samsung lidera el futuro inalámbrico con IA en...

La conectividad se convierte en el motor del...

Obras conectadas: cómo la tecnología está rediseñando la...

Transformación digital con KVM Virtual Machine | IT/USERS

Huawei y Oman Airports inauguran el primer aeropuerto...

Huawei ganó tres galardones en redes ópticas en...

CommScope impulsa red inteligente 10G con SYSTIMAX Constellation...

Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Translate »

Este sitio utiliza cookies propias y de terceros para mejorar su experiencia, analizar el tráfico y mostrar anuncios personalizados. This website uses first and third-party cookies to improve your experience, analyze traffic, and display personalized ads. Accept Read More