La mayoría de los atacantes se mueven de bajos a altos niveles de privilegios utilizando técnicas de movimiento vertical (de nuevo, mediante los métodos de intrusión descritos en este capítulo). Por ejemplo, una metodología común de hacker es que primero el atacante comprometa una única estación de trabajo de un usuario. Utilizará este acceso inicial para buscar y descargar contraseñas de cuentas administrativas locales. Después, si estas credenciales administrativas están compartidas con otras máquinas (que a menudo lo están), entonces se mueve horizontalmente y repite el proceso hasta que captura accesos a cuentas muy privilegiados. A veces, esto se produce inmediatamente durante la primera intrusión, porque el usuario o el sistema conectado ya cuenta con privilegios altos. A continuación, se mueve hasta el servidor de autenticación y obtiene todas las credenciales de conexión del usuario. Este es el modus operandi estándar para la mayoría de los grupos de hackers actualmente, e ir del compromiso inicial a la obtención de una red completa (o pwning, en lenguaje hacker) puede suponer menos de 1 hora.
En mi experiencia personal, y te recuerdo que solo soy un hacker medio, yo tardo normalmente sobre 1 hora en conseguir el acceso inicial y 1 hora más en capturar la base de datos de autenticación centralizada. Es decir, yo, un hacker medio, necesito unas 2 horas para hacerme por completo con una empresa. El tiempo máximo que he necesitado han sido 3 horas.
Ejecución de la acción prevista
Una vez que el acceso está garantizado y la propiedad del activo obtenida, los hackers llevan a cabo lo que tienen previsto hacer (a menos que el acceso haya puesto al descubierto un objetivo nuevo). Todos los hackers tienen previsiones. Un pentester legítimo tiene la obligación por contrato de hacer una o varias cosas. Un hacker malicioso difundirá algún malware, leerá o robará información confidencial, hará modificaciones perjudiciales o causará daños. La única razón que tiene el hacker para poner en riesgo uno o más sistemas es hacer algo. Hace algún tiempo (dos o tres décadas atrás), a la mayoría de los hackers simplemente les bastaba demostrar que habían hackeado un sistema. Hoy en día, el hackeo tiene un 99 % de motivación criminal y el hacker tiene que hacer algo malicioso a su objetivo (aunque el único daño que haga sea permanecer infiltrado de forma silenciosa esperando una futura acción potencial). El acceso no autorizado sin daños directos también es un daño.
Borrado de pistas
Algunos hackers intentarán borrar sus pistas. Esto es lo que solían hacer todos los hackers hace unos años, pero actualmente los sistemas informáticos son tan complejos y tienen tantos números que la mayoría de los propietarios de activos no comprueban la existencia de pistas de hacker. No comprueban los inicios de sesión, no comprueban los cortafuegos y no buscan signos de hackeo ilegal a menos que estos no les golpeen en la cara. Cada año, el Data Breach Investigations Report de Verizon (http://www.verizonenterprise.com/verizon-insights-lab/dbir/) informa de que la mayoría de los atacantes pasan desapercibidos durante meses y años y que un 80 % de los ataques se podrían haber detectado si los defensores se hubieran preocupado de mirar. Gracias a estas estadísticas, la mayoría de los hackers ya no se molestan en borrar sus pistas.
Actualmente es cuando los hackers deben borrar menos sus pistas, puesto que utilizan métodos que nunca serán localizados mediante la detección de acciones de hacker tradicionales. Lo que utiliza el hacker es tan común en el entorno de la víctima que es casi imposible distinguir entre actividades legítimas e ilegítimas. Por ejemplo, una vez dentro, el hacker normalmente lleva a cabo acciones en el contexto de la seguridad de un usuario legítimo, a menudo accediendo a los mismos servidores y servicios que dicho usuario. Y además utiliza las mismas herramientas (como programas de acceso remoto y lenguajes de script) que el administrador. ¿Quién puede decir lo que es malicioso y lo que no? El campo de la detección de intrusiones se tratará en el Capítulo 14.
Hackear es aburridamente exitoso
Si quieres saber cómo hackean los hackers, aquí lo tienes. Se encuentra todo resumido en este capítulo. Lo único que falta es añadir algunas herramientas, curiosidad y persistencia. El ciclo del hackeo funciona tan bien que algunos pentesters, después de haber superado la excitación inicial de ser pagados como hackers profesionales, se aburren y acaban haciendo otras cosas unos años después. ¿Podría haber un testimonio más grande de lo bien que funciona el ciclo? Sí, y es dentro de este marco y de esta forma de pensar que los defensores deben luchar contra los atacantes.
Malware automatizado como herramienta de hackeo
Cuando se utiliza, el malware puede llevar a cabo uno o más pasos, automatizándolo todo o tomando el control manual una vez el objetivo se ha conseguido y sometido. La mayoría de los grupos de hackers utiliza una combinación de ingeniería social, malware automatizado y atacantes humanos para llevar a cabo sus objetivos. En grupos amplios, cada hacker tiene asignado un rol y una especialidad. El malware ejecutará un paso de intrusión sencillo y tendrá éxito incluso sin intentar cualquiera de los otros pasos. Por ejemplo, el programa malicioso más rápido de la historia, el SQL Slammer, solo pesaba 376 bytes. Ejecutó su carga de desbordamiento de búfer contra el puerto UDP 1434 de SQL sin tener en cuenta si el objetivo estaba ejecutando el SQL. Como no había muchos ordenadores que ejecutaran el SQL, estarás pensando que el ataque no sería demasiado eficiente. Pues nada de eso; en 10 minutos cambió el mundo. Ningún otro programa malicioso ha estado tan cerca de infectar a tantos servidores en tan poco tiempo.
NOTA Si he omitido algún paso de la metodología hacker o me he dejado algún método de intrusión, pido disculpas. Una vez más, te recuerdo que solo soy un hacker medio.
Hackear éticamente
Me gustaría pensar que mis lectores son hackers éticos que se aseguran de tener el derecho legal de hackear cualquier objetivo que se hayan propuesto. Hackear un sitio para el cual no tengas la autoridad predefinida y expresa de hacerlo no es ético y, a menudo, es ilegal. Tampoco es ético (aunque no ilegal) hackear un sitio y dar a conocer una vulnerabilidad encontrada si no hay dinero. No es ético y suele ser ilegal encontrar una vulnerabilidad y pedir al sitio que os contrate como pentester. Esta última situación pasa siempre. Lo siento, no se puede decir a alguien que has encontrado una manera de hackear sus sitios o servidores y pedir un trabajo o dinero a cambio sin que esto sea una extorsión. Puedo decir que casi todos los sitios que reciben una solicitud sin ser solicitada no creen que puedas serles útil y no querrán contratarte. Ellos te ven como su enemigo y rápidamente llaman a sus abogados.
El resto del libro está dedicado a describir tipos concretos de hackeo, métodos particulares de intrusión, cómo los defensores luchan contra estos métodos y cómo expertos en su campo combaten contra estos hackers con su mismo juego. Si quieres vivir hackeando o luchar contra hackers, necesitas entender la metodología del hacker. Las personas descritas en este libro son unos monstruos en sus campos y puedes aprender mucho de ellos. Ellos lideran el camino. Una buena manera de empezar es con Bruce Schneier, descrito en el Capítulo 3, considerado por muchos como el padre de la criptografía informática moderna.
3